【導讀】遠東網(wǎng)安科技有限公司版權(quán)所有，并保留對本手冊及本聲明的最終解釋權(quán)和修改權(quán)。未得到遠東網(wǎng)安科技有限公司的書面許可，任何。其它語言、將其全部或部分用于商業(yè)用途。本手冊依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。準確或錯誤導致的損失和損害承擔責任。

　　

【正文】 格式會有所不同，因此在導入的時候網(wǎng)關(guān)只能導入子網(wǎng)互連方式的策略，遠端（客戶端）只能導入遠程接入方式的策略。例如： bb 是子網(wǎng)互連， aaa 是遠程接入。 。 導入策略 注：這里指網(wǎng)關(guān)導入策略，不是客戶端導入策略 點擊“瀏覽”查找相應的策略文件（如： ）。 在“策略名稱”框輸入新導入的策略名稱。若策略名稱與本機策略同名或策略文件格式不符合網(wǎng)關(guān)策略，則給出相應的提示，策 略導入失敗。 16 第 6 章 令牌管理 概述 Vpn 令牌用于遠程接入 vpn 通道的建立，它是一個外觀類似優(yōu)盤的設(shè)備，可以在保證數(shù)據(jù)通信安全的同時，實現(xiàn) vpn通道建立的自動化。令牌使用了用戶 pin、證書或者預共享密鑰的雙重認證，集成復雜的硬件加密功能，確保通道建立，使用更加安全方便。 Vpn 令牌的使用方法 ： 一、把令牌插入 vpn 網(wǎng)關(guān)服務器的 usb 接口，利用 web 管理界面對令牌進行分發(fā)，此時 vpn安全策略及相應的證書和密鑰導入到 vpn 令牌； 二、為令牌設(shè)定初始用戶 pin； 三、把令牌插入客戶端 usb 接口進 行 vpn 通道的建立過程，建立安全隧道需要的預共享密鑰或證書也要導入到 vpn 令牌中，由客戶端軟件讀取并完成安全策略的配置； 四、忘記密碼或令牌被鎖定時，需要在網(wǎng)關(guān)服務器上對令牌用戶 pin 進行重新設(shè)定。若用戶丟失令牌可在網(wǎng)關(guān)數(shù)據(jù)庫刪除相應的令牌記錄，這樣既使別人擁有令牌和 pin，也無法建立通道，確保通道不被非法使用。 VPN 網(wǎng)關(guān)令牌管理模塊 VPN 令牌管理模塊包括兩個子模塊： license 管理、令牌口令管理。 license 管理 license 管理子模塊負責 license 分發(fā)和策略分發(fā)的功 能，將 license key 以及安全策略分發(fā)給vpn 令牌。 license key指防火墻與 vpn 令牌共同持有的一個不可讀的密鑰，此密鑰用于插有 vpn令牌的機器與防火墻的認證過程，相當于令牌的產(chǎn)品序列號。 license 管理界面 17 列表顯示 license 數(shù)據(jù)庫中的全部內(nèi)容。 如果令牌插在防火墻上，則其對應的行呈綠色，“操作”欄出現(xiàn)“分發(fā)“按鈕。 注 ：第一次分發(fā)，“ License”和“使用策略”欄均顯示為空，“狀態(tài)”欄為“活動就緒” 。 如果令牌對應的安全策略在分發(fā)后做過更改，對應行則呈紅 色，狀態(tài)為“策略已更改”。 注 ： 如果該令牌此時插在防火墻上，則顯示為綠色。 通常情況下顏色為白色，狀態(tài)為“已分發(fā)”。 點擊“分發(fā)“按鈕進入分發(fā)參數(shù)選擇頁，生成 24 位的 License，也可以點擊“ 生成”按鈕重新生成。選取遠程互聯(lián)所使用的策略（此處選項均為遠程互聯(lián)類型策略，點擊”分發(fā)“按鈕，則對此令牌進行分發(fā) ,License 和策略及對應的密鑰和證書將寫進令牌。 令牌口令管理 vpn 令牌 pin 包括用戶 pin 和管理員 pin（ so pin）。 用戶 pin 提供給 vpn 令牌的用戶，作為使用 vpn 令牌時 要輸入的口令； so pin 由令牌口令管理程序保留。 如果令牌被鎖定，可到令牌管理界面對防火墻的令牌解鎖或者重新設(shè)置用戶 pin。 令牌口令管理頁面有 vpn 令牌 (License)ID， PIN 輸錯剩次數(shù)，用戶 PIN 碼，重設(shè)或解鎖操作按鈕。“ PIN 輸錯剩余次數(shù)”最大值為 15，超過此值令牌將被鎖定，解鎖后方可以繼續(xù)使用。重設(shè)或解鎖成功后，“ PIN 輸錯剩余次數(shù)”復位為 15 次。 18 第 7 章 VPNClient 管理 VPNClient 安裝 ⑴ 、運行 VpnClient 安裝程序 。 ⑵ 、選擇程序安裝路徑，點擊“ Browser”按鈕選擇路徑，然后點“ next”按鈕繼續(xù)下一步。 19 ⑶ 、 VpnClient 客戶端程序安裝完成。 20 VpnClient 客戶端操作 運行 VpnClient 客戶端程序 點擊“開始”－“程序”－“ Vpn Client“運行 vpn client 客戶端程序，輸入電子鑰匙密碼 (驗證客戶密碼 )進入管理界面，密碼錯誤則退出登錄。 客戶端程序會進行許可證網(wǎng)絡(luò)驗證 (程序自動完成，如果未連接到指定服務器，則程序自動終止 )。 vpn 通道管理界面 成功連接至指定網(wǎng)關(guān)服務器后的客戶端界面如下圖所示： 策略指派后，本地主機即可與遠端網(wǎng)關(guān)及子網(wǎng)進行安全通信。 21 策略管理 單擊主界面“策略”菜單或在策略屬性欄內(nèi)單擊鼠標右鍵，出現(xiàn)策略管理菜單，設(shè)置項目分別如下： （ 1）、添加：添加一條新策略。 （ 2）、刪除：從策略庫中刪除一條已有策略。 （ 3）、指派：指派一條策略為當前策略（存在多條策略時，僅能指派一條策略有效）。 （ 4）、導入通道：從文件中導入新的策略 。 安全通道管理 雙擊主界面上任一策略，進入策略修改界面。 策略修改包括安全通道的添加、編輯、刪除等功能。 雙擊通道列表中的特定通道或選擇特定通道后單擊“編輯”按鈕，進入通道管理界面。 單擊“通道名稱”列的選擇框，可以指派通道，已指派通道前選框顯示為 √。 本機地址設(shè)定 與遠端網(wǎng)關(guān)或主機進行通信，需指定本機地址。 默認為“自動”，由程序自動檢測本機地址。 22 否則，請選擇“選擇地址”或“選擇網(wǎng)卡”選項，指定本機地址。 （自動形式 ) (選擇指定 IP 地址 ) 23 (選擇指定網(wǎng)卡 ) 遠端地址設(shè)定 設(shè)定待連接的遠端 vpn網(wǎng)關(guān)及子網(wǎng)地址，如果不知道遠端 VPN 網(wǎng)關(guān)及子網(wǎng)地址，請咨詢網(wǎng)絡(luò)管理人員。 認證方式設(shè)定 VPNClient 客戶端支持兩種認證方式：預共享密鑰和證書模式（同時只能指定一種模式）。 點擊“身份驗證方法”進行認證方式設(shè)定。 （ 1）、證書模式 24 選中“適用由此證書頒發(fā)機構(gòu)（ CA）頒發(fā)的證書”項，設(shè)置證書模式。 可以打開“瀏覽列表”選擇已有證書，或選擇“打開新證書”自動安裝新證書。 （ 2）、預共享密鑰 選中“此字串用來密鑰交換（預 共享密鑰）”項，輸入預共享密鑰。 安全措施設(shè)置 可以添加、刪除、修改相應的 ipsec 安全模式，詳細設(shè)定參數(shù)請與網(wǎng)管管理員聯(lián)系。 可選的安全策略有高級、中級、自定義 3 種。 25 （ 1）、添加：單擊“添加”按鈕，添加新的安全措施。 （ 2）、編輯：選項及參數(shù)同上。 （ 3）、刪除：選中某條安全措施，單擊“刪除”按鈕刪除。 注 ：“會話密鑰一直向前保密”為可選項項。 密鑰交換（ IKE）設(shè)置 設(shè)置相應的 IKE 安全設(shè)定。 26 IPSec 策略指派 指派一條活動策略，一 次只能指派一個 IPSec 策略。 IPSec 策略刷新 策略指派后，需要刷新后才能生效。 單擊“系統(tǒng)” “刷新”或單擊“ ”按鈕，使已指派的策略生效。 27 電子鑰匙密碼修改 單擊“工具”－“電子鑰匙密碼修改”，重新設(shè)置電子鑰匙密碼。