【導(dǎo)讀】遠(yuǎn)東網(wǎng)安科技有限公司版權(quán)所有，并保留對本手冊及本聲明的最終解釋權(quán)和修改權(quán)。未得到遠(yuǎn)東網(wǎng)安科技有限公司的書面許可，任何。其它語言、將其全部或部分用于商業(yè)用途。本手冊依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。準(zhǔn)確或錯誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。

　　

【正文】 格式會有所不同，因此在導(dǎo)入的時候網(wǎng)關(guān)只能導(dǎo)入子網(wǎng)互連方式的策略，遠(yuǎn)端（客戶端）只能導(dǎo)入遠(yuǎn)程接入方式的策略。例如： bb 是子網(wǎng)互連， aaa 是遠(yuǎn)程接入。 。 導(dǎo)入策略 注：這里指網(wǎng)關(guān)導(dǎo)入策略，不是客戶端導(dǎo)入策略 點(diǎn)擊“瀏覽”查找相應(yīng)的策略文件（如： ）。 在“策略名稱”框輸入新導(dǎo)入的策略名稱。若策略名稱與本機(jī)策略同名或策略文件格式不符合網(wǎng)關(guān)策略，則給出相應(yīng)的提示，策 略導(dǎo)入失敗。 16 第 6 章 令牌管理 概述 Vpn 令牌用于遠(yuǎn)程接入 vpn 通道的建立，它是一個外觀類似優(yōu)盤的設(shè)備，可以在保證數(shù)據(jù)通信安全的同時，實(shí)現(xiàn) vpn通道建立的自動化。令牌使用了用戶 pin、證書或者預(yù)共享密鑰的雙重認(rèn)證，集成復(fù)雜的硬件加密功能，確保通道建立，使用更加安全方便。 Vpn 令牌的使用方法 ： 一、把令牌插入 vpn 網(wǎng)關(guān)服務(wù)器的 usb 接口，利用 web 管理界面對令牌進(jìn)行分發(fā)，此時 vpn安全策略及相應(yīng)的證書和密鑰導(dǎo)入到 vpn 令牌； 二、為令牌設(shè)定初始用戶 pin； 三、把令牌插入客戶端 usb 接口進(jìn) 行 vpn 通道的建立過程，建立安全隧道需要的預(yù)共享密鑰或證書也要導(dǎo)入到 vpn 令牌中，由客戶端軟件讀取并完成安全策略的配置； 四、忘記密碼或令牌被鎖定時，需要在網(wǎng)關(guān)服務(wù)器上對令牌用戶 pin 進(jìn)行重新設(shè)定。若用戶丟失令牌可在網(wǎng)關(guān)數(shù)據(jù)庫刪除相應(yīng)的令牌記錄，這樣既使別人擁有令牌和 pin，也無法建立通道，確保通道不被非法使用。 VPN 網(wǎng)關(guān)令牌管理模塊 VPN 令牌管理模塊包括兩個子模塊： license 管理、令牌口令管理。 license 管理 license 管理子模塊負(fù)責(zé) license 分發(fā)和策略分發(fā)的功 能，將 license key 以及安全策略分發(fā)給vpn 令牌。 license key指防火墻與 vpn 令牌共同持有的一個不可讀的密鑰，此密鑰用于插有 vpn令牌的機(jī)器與防火墻的認(rèn)證過程，相當(dāng)于令牌的產(chǎn)品序列號。 license 管理界面 17 列表顯示 license 數(shù)據(jù)庫中的全部內(nèi)容。 如果令牌插在防火墻上，則其對應(yīng)的行呈綠色，“操作”欄出現(xiàn)“分發(fā)“按鈕。 注 ：第一次分發(fā)，“ License”和“使用策略”欄均顯示為空，“狀態(tài)”欄為“活動就緒” 。 如果令牌對應(yīng)的安全策略在分發(fā)后做過更改，對應(yīng)行則呈紅 色，狀態(tài)為“策略已更改”。 注 ： 如果該令牌此時插在防火墻上，則顯示為綠色。 通常情況下顏色為白色，狀態(tài)為“已分發(fā)”。 點(diǎn)擊“分發(fā)“按鈕進(jìn)入分發(fā)參數(shù)選擇頁，生成 24 位的 License，也可以點(diǎn)擊“ 生成”按鈕重新生成。選取遠(yuǎn)程互聯(lián)所使用的策略（此處選項(xiàng)均為遠(yuǎn)程互聯(lián)類型策略，點(diǎn)擊”分發(fā)“按鈕，則對此令牌進(jìn)行分發(fā) ,License 和策略及對應(yīng)的密鑰和證書將寫進(jìn)令牌。 令牌口令管理 vpn 令牌 pin 包括用戶 pin 和管理員 pin（ so pin）。 用戶 pin 提供給 vpn 令牌的用戶，作為使用 vpn 令牌時 要輸入的口令； so pin 由令牌口令管理程序保留。 如果令牌被鎖定，可到令牌管理界面對防火墻的令牌解鎖或者重新設(shè)置用戶 pin。 令牌口令管理頁面有 vpn 令牌 (License)ID， PIN 輸錯剩次數(shù)，用戶 PIN 碼，重設(shè)或解鎖操作按鈕?！?PIN 輸錯剩余次數(shù)”最大值為 15，超過此值令牌將被鎖定，解鎖后方可以繼續(xù)使用。重設(shè)或解鎖成功后，“ PIN 輸錯剩余次數(shù)”復(fù)位為 15 次。 18 第 7 章 VPNClient 管理 VPNClient 安裝 ⑴ 、運(yùn)行 VpnClient 安裝程序 。 ⑵ 、選擇程序安裝路徑，點(diǎn)擊“ Browser”按鈕選擇路徑，然后點(diǎn)“ next”按鈕繼續(xù)下一步。 19 ⑶ 、 VpnClient 客戶端程序安裝完成。 20 VpnClient 客戶端操作 運(yùn)行 VpnClient 客戶端程序 點(diǎn)擊“開始”－“程序”－“ Vpn Client“運(yùn)行 vpn client 客戶端程序，輸入電子鑰匙密碼 (驗(yàn)證客戶密碼 )進(jìn)入管理界面，密碼錯誤則退出登錄。 客戶端程序會進(jìn)行許可證網(wǎng)絡(luò)驗(yàn)證 (程序自動完成，如果未連接到指定服務(wù)器，則程序自動終止 )。 vpn 通道管理界面 成功連接至指定網(wǎng)關(guān)服務(wù)器后的客戶端界面如下圖所示： 策略指派后，本地主機(jī)即可與遠(yuǎn)端網(wǎng)關(guān)及子網(wǎng)進(jìn)行安全通信。 21 策略管理 單擊主界面“策略”菜單或在策略屬性欄內(nèi)單擊鼠標(biāo)右鍵，出現(xiàn)策略管理菜單，設(shè)置項(xiàng)目分別如下： （ 1）、添加：添加一條新策略。 （ 2）、刪除：從策略庫中刪除一條已有策略。 （ 3）、指派：指派一條策略為當(dāng)前策略（存在多條策略時，僅能指派一條策略有效）。 （ 4）、導(dǎo)入通道：從文件中導(dǎo)入新的策略 。 安全通道管理 雙擊主界面上任一策略，進(jìn)入策略修改界面。 策略修改包括安全通道的添加、編輯、刪除等功能。 雙擊通道列表中的特定通道或選擇特定通道后單擊“編輯”按鈕，進(jìn)入通道管理界面。 單擊“通道名稱”列的選擇框，可以指派通道，已指派通道前選框顯示為 √。 本機(jī)地址設(shè)定 與遠(yuǎn)端網(wǎng)關(guān)或主機(jī)進(jìn)行通信，需指定本機(jī)地址。 默認(rèn)為“自動”，由程序自動檢測本機(jī)地址。 22 否則，請選擇“選擇地址”或“選擇網(wǎng)卡”選項(xiàng)，指定本機(jī)地址。 （自動形式 ) (選擇指定 IP 地址 ) 23 (選擇指定網(wǎng)卡 ) 遠(yuǎn)端地址設(shè)定 設(shè)定待連接的遠(yuǎn)端 vpn網(wǎng)關(guān)及子網(wǎng)地址，如果不知道遠(yuǎn)端 VPN 網(wǎng)關(guān)及子網(wǎng)地址，請咨詢網(wǎng)絡(luò)管理人員。 認(rèn)證方式設(shè)定 VPNClient 客戶端支持兩種認(rèn)證方式：預(yù)共享密鑰和證書模式（同時只能指定一種模式）。 點(diǎn)擊“身份驗(yàn)證方法”進(jìn)行認(rèn)證方式設(shè)定。 （ 1）、證書模式 24 選中“適用由此證書頒發(fā)機(jī)構(gòu)（ CA）頒發(fā)的證書”項(xiàng)，設(shè)置證書模式。 可以打開“瀏覽列表”選擇已有證書，或選擇“打開新證書”自動安裝新證書。 （ 2）、預(yù)共享密鑰 選中“此字串用來密鑰交換（預(yù) 共享密鑰）”項(xiàng)，輸入預(yù)共享密鑰。 安全措施設(shè)置 可以添加、刪除、修改相應(yīng)的 ipsec 安全模式，詳細(xì)設(shè)定參數(shù)請與網(wǎng)管管理員聯(lián)系。 可選的安全策略有高級、中級、自定義 3 種。 25 （ 1）、添加：單擊“添加”按鈕，添加新的安全措施。 （ 2）、編輯：選項(xiàng)及參數(shù)同上。 （ 3）、刪除：選中某條安全措施，單擊“刪除”按鈕刪除。 注 ：“會話密鑰一直向前保密”為可選項(xiàng)項(xiàng)。 密鑰交換（ IKE）設(shè)置 設(shè)置相應(yīng)的 IKE 安全設(shè)定。 26 IPSec 策略指派 指派一條活動策略，一 次只能指派一個 IPSec 策略。 IPSec 策略刷新 策略指派后，需要刷新后才能生效。 單擊“系統(tǒng)” “刷新”或單擊“ ”按鈕，使已指派的策略生效。 27 電子鑰匙密碼修改 單擊“工具”－“電子鑰匙密碼修改”，重新設(shè)置電子鑰匙密碼。