【導(dǎo)讀】上海天泰網(wǎng)絡(luò)技術(shù)有限公司

　　

【正文】 ：進行隧道協(xié)商時的身份認證方式，建靜態(tài)隧道 支持“預(yù)共享密鑰”和“證書認證”兩種方式。 當(dāng)選擇預(yù)共享密鑰方式時， “預(yù)共享密鑰設(shè)置” 包含了以下內(nèi)容： ? “預(yù)共享密鑰”：指建立靜態(tài)隧道兩端用于認證身份的口令密碼。 ? “使用標識符”：指采用預(yù)共享密鑰認證時，是否使用標識符作為網(wǎng)關(guān)搜索共享密鑰文件的索引。這里“本地標識符”和“遠端標識符”分別指用于表示本地網(wǎng)關(guān)和遠端網(wǎng)關(guān)搜索共享密鑰文件的索引。如果不使用標識符，以上兩個欄目將無法輸入，網(wǎng)關(guān)將使用本地和遠端的 IP 地址作為搜索共享密鑰文件的索引；如果設(shè) 置了“使用標識符”作為搜索索引的話，則需要同時設(shè)置本地標識符和遠端標識符作為密鑰搜索索引。并且需要在遠端網(wǎng)關(guān)的“預(yù)共享密鑰設(shè)置”中也設(shè)置相應(yīng)的本端標識符和遠端標識符，兩端的本地標識符和遠端標識符應(yīng)保持一致，即本地網(wǎng)關(guān)的本地標識符和遠端標識符應(yīng)該分別為遠端網(wǎng)關(guān)的遠端標識符和本地標識符。 注意：標識符中必須含有“ @”字符。另外，當(dāng)網(wǎng)關(guān)處于 NAT 后時，需要指定使用標識符。 ? “封裝模式”：指靜態(tài)隧道的數(shù)據(jù)包封裝模式，現(xiàn)支持隧道模式和傳輸模式兩種，一般采用隧道模式即可。 當(dāng)選擇證書認證方式時，“ 標識符 設(shè)置” 包含了以下內(nèi)容： ? “ 遠端 標識符”：指采用 證書 認證時，用于遠端網(wǎng)關(guān)的身份標識 。 注意：標識符 由 “ @”字符 和網(wǎng)關(guān)證書 CN 字段組成 。 例如：“ @testCN” ? “封裝模式”：指靜態(tài)隧道的數(shù)據(jù)包封裝模式，現(xiàn)支持隧道模式和傳輸模式兩種，一般采用隧道模式即可。 “本地設(shè)置”用于對本地保護網(wǎng)絡(luò)信息進行設(shè)置，包含了以下內(nèi)容： ? “本地接口”：指參與靜態(tài)隧道協(xié)商的本地網(wǎng)絡(luò)接口名稱。 ? “本地保護子網(wǎng)地址”：指靜態(tài)隧道保護的本地子網(wǎng)的 IP 地址。 ? “本地保護子網(wǎng)掩碼”：指靜態(tài)隧道保護的本地子網(wǎng)掩碼。 “遠端設(shè)置”用于對遠端 保護網(wǎng)絡(luò)信息進行設(shè)置，包含了以下內(nèi)容： ? “遠端網(wǎng)關(guān)地址類型”：地址類型可以是“ IP 地址”或者“域名”，如果遠端網(wǎng)關(guān)參與建隧道的接口有固定的 IP 地址，就可以選擇 IP 地址；如果擁有固定的域名，則可以選擇域名 .。 ? “遠端網(wǎng)關(guān) IP 地址”：當(dāng)?shù)刂奉愋瓦x擇 IP 地址時填寫 IP 地址；當(dāng)?shù)刂奉愋瓦x擇域名時則填寫遠端網(wǎng)關(guān)的域名。 ? “遠端保護子網(wǎng)地址”：指靜態(tài)隧道保護的遠端網(wǎng)關(guān)的子網(wǎng) IP 地址。 ? “遠端保護子網(wǎng)掩碼”：指靜態(tài)隧道保護的遠端網(wǎng)關(guān)的子網(wǎng)掩碼。 “封裝協(xié)議”：指用于數(shù)據(jù)加密傳輸所使用的協(xié)議，現(xiàn)支持 ESP 和 AH 兩種協(xié)議 ，一般選擇 ESP 協(xié)議，它能進行數(shù)據(jù)傳輸?shù)耐暾哉J證和加密處理。 “加密算法設(shè)置”包含了以下內(nèi)容： ? “加密算法”：在下拉列表中選擇用于數(shù)據(jù)加密的算法。 ? “認證算法”：用于通訊過程中數(shù)據(jù)正確性認證的算法，有“ MD5”和“ SHA1”。選擇好加密算法，認證算法，就可以點擊界面中的“添加算法”按鈕為該隧道添加加密－認證算法對。 ? “已添加算法”：顯示為該隧道添加的加密認證算法。選擇其中的某項，點擊“刪除算法”按鈕即可刪除為該隧道已添加的算法。 “其他設(shè)置”包含了以下內(nèi)容： ? “主動協(xié)商”：指本機是否主動發(fā)起協(xié)商。建立 隧道的雙方一般至少有一方需要選擇“主動協(xié)商”；另外，如果 VPN 網(wǎng)關(guān)設(shè)備在 NAT 后也需要選擇“主動協(xié)商”。 ? “會話密鑰保密”：指隧道會話密鑰是否向前保密。 ? “數(shù)據(jù)壓縮”：指靜態(tài)隧道傳輸數(shù)據(jù)是否壓縮，如果選擇進行數(shù)據(jù)壓縮。相應(yīng)地，到本地子網(wǎng)的遠端網(wǎng)關(guān)靜態(tài)隧道也需要選擇“數(shù)據(jù)壓縮”。 當(dāng)“靜態(tài)隧道設(shè)置”界面中各欄信息設(shè)置正確后，單擊的“添加”按鈕，即可添加一條靜態(tài)隧道。類似地，可以對定義好的靜態(tài)隧道進行“刪除”、“編輯”、“刷新”等操作。 本機證書管理 圖 65 本機 VPN 證書管理 證書是用于進行身份驗 證的文件， VPN 網(wǎng)關(guān)設(shè)備之間可以根據(jù)對方的證書信息驗證對方身份的合法性。 VPN 網(wǎng)關(guān)設(shè)備的證書由安全管理中心統(tǒng)一發(fā)放，保存在控制臺的某個路徑或者 USBKEY 中，也可以由第三方 CA 發(fā)放。 設(shè)置界面中包含了以下信息： “證書信息”：證書信息主要包括了“證書名稱”，“頒發(fā)者”，“生效日期”，“失效日期”。如果證書已經(jīng)導(dǎo)入，則將顯示該證書的信息。 “證書導(dǎo)入”： VPN 網(wǎng)關(guān)設(shè)備的證書首先須由安全管理中心下發(fā)，下發(fā)后的證書以文件形式存在硬盤或 USBKEY 等存儲載體中，然后需要將它從存儲載體中導(dǎo)入到 VPN 網(wǎng)關(guān)設(shè)備才可以使用 ?，F(xiàn)有四種不同的導(dǎo)入方式： ? “從證書文件導(dǎo)入”：需要分別指明由安全管理中心發(fā)放的四個證書文件在控制臺所在主機上的保存路徑，這四個文件分別是證書文件、 CA 證書文件、私鑰文件、配置文件； ? “從 TAR 文件導(dǎo)入”：這種方式下由安全管理中心發(fā)放的四個證書文件已經(jīng)被打包成 TAR 文件，只需在“文件名”中選擇該 TAR 文件的路徑文件即可，因此不必再像第一種方式那樣一一指定四個文件的路徑，比較方便； ? “從 USBKEY 導(dǎo)入”：這種方式下需要將存儲了證書的 USBKEY 插入到硬件設(shè)備USB 接口，并預(yù)先正確輸入導(dǎo)入 USBKEY 信息的口 令，這樣在導(dǎo)入時才會成功。 ? “從 PKCS12 文件導(dǎo)入”：這種方式下，證書和私鑰在同一個文件，即 PKCS12 文件中，根據(jù)實際情況，可能需要輸入文件密碼， CA 根證書文件和配置文件。 在選擇好證書導(dǎo)入方式和正確輸入相關(guān)的選項信息后，點擊“導(dǎo)入”按鈕即可導(dǎo)入證書。證書導(dǎo)入成功后，將會在“證書信息”一欄中顯示正確的證書信息。 PKI_CA 證書管理 當(dāng)客戶端采用第三方頒發(fā) CA 的證書，又希望能夠在網(wǎng)關(guān)對這些證書進行認證是，必須導(dǎo)入第三方 CA 的根證書。在這種方式下，網(wǎng)關(guān)通過第三方 CA 的根證書驗證客戶端證書是否合法 。 圖 67 CA 證書管理 如上圖所示， CA 證書認證包含如下選項 驗證過期：設(shè)置是否驗證第三方 CA 根證書過期。 CA 證書文件：選擇保存在本地某個路徑下的 CA 根證書，然后點擊“導(dǎo)入證書”按鈕導(dǎo)入第三方 CA 根證書。 CRL 文件：選擇證書吊銷列表文件。 CA 證書信息：顯示已經(jīng)導(dǎo)入的第三方 CA 根證書的相關(guān)信息，如“證書名稱”、“頒發(fā)者”、“生效日期”、“失效日期”等。 第七章 客戶端接入 客戶端管理簡介 本系統(tǒng)允許一定數(shù)量的移動客戶端通過網(wǎng)關(guān)訪問整個 VPN 系統(tǒng)。當(dāng)移動客戶需要和 VPN 網(wǎng)關(guān)建立 VPN 隧道 時，首先必須通過身份合法性（包括口令、證書及其組合方式）檢查，客戶端接入模塊提供了 VPN 網(wǎng)關(guān)對移動客戶接入的配置、認證管理等功能。 VPN 設(shè)備的能夠識別的合法認證信息為用戶名＋口令方式或證書方式或證書＋口令方式，即在客戶端在提交認證信息中，必須是這三種方式之一。 VPN 設(shè)備提供了靈活的客戶端接入方式，網(wǎng)絡(luò)管理員首先需要確定自己的認證模式，其次，根據(jù)認證模式對網(wǎng)關(guān)進行相應(yīng)配置，再次，如果需要，可以為網(wǎng)關(guān)創(chuàng)建若干移動用戶，最后，移動客戶就可以通過網(wǎng)絡(luò)管理員頒發(fā)的用戶名、口令或者證書 登錄 VPN 網(wǎng)關(guān)。 概 念及術(shù)語 ? 權(quán)限：移動客戶在認證成功后能訪問的資源信息，主要包括移動客戶端可以訪問的目的主機的訪問策略及其端口。權(quán)限定義詳見【權(quán)限對象管理】部分。 ? 地址池：移動客戶提交認證請求時，可以指定自己接口的地址，也可以由VPN 網(wǎng)關(guān)進行分配。如果是后者，需要指定一個地址范圍，即網(wǎng)關(guān)給所有移動客戶端分配的地址都在這個范圍之內(nèi)。 ? 認證方式 /類型：認證方式 /類型包括口令認證方式和證書認證方式。其中口令可以通過本地、 Radius 服務(wù)器、 SPS 進行認證；證書可以通過本地、 LDAP服務(wù)器、 SPS、第三方 CA 的本地認證進行認證；如果 認證方式為不需要，說明該用戶不需要對該選項（口令或證書）進行認證，如果客戶端提交了該選項信息（口令或證書），會認為客戶端提交信息不正確。 ? 集中管理：客戶端提交的所有認證信息均需要在 SMC 進行認證，本地不對用戶、口令、證書進行管理。 ? 本地用戶認證：在 VPN 網(wǎng)關(guān)中有一個認證數(shù)據(jù)庫，其中保存了用戶的認證、權(quán)限等信息，本地認證即在 VPN 網(wǎng)關(guān)對客戶端信息進行認證。如果管理員希望對用戶的權(quán)限或認證信息進行控制，需要在本地添加此用戶，指定用戶信息。 ? 遠程用戶認證：本地數(shù)據(jù)庫中沒有保存用戶的認證信息或需要將認證信息提交給遠 程認證服務(wù)器。遠程認證包括遠程口令認證和遠程證書認證。如果管理員希望對某項認證內(nèi)容（口令、證書）由某遠程認證服務(wù)器完成認證，可以將用戶的此項認證方式設(shè)置為該遠程認證服務(wù)器認證方式。 ? 口令和證書獨立認證：對于客戶端提交的認證信息， VPN 網(wǎng)關(guān)可能需要對口令認證服務(wù)器（包含本地認證）和證書認證服務(wù)器（包含本地認證）需要分別指定。 認證流程 圖 71 客戶端認證流程圖 客戶端的認證流程如上圖所示： （ 1）客戶端向網(wǎng)關(guān)提交認證請 求。 （ 2）如果網(wǎng)關(guān)設(shè)計采用集中管理，意味著所有的認證都將在 SPS 進行，則將客戶端提交的請求轉(zhuǎn)向 SPS。 （ 3） SPS 認證結(jié)束后，將認證結(jié)果返回給客戶端。 （ 4） VPN 網(wǎng)關(guān)通過客戶端提交的用戶名在本地數(shù)據(jù)庫查找。 （ 5）如果客戶端提交了口令或者網(wǎng)關(guān)需要對證書區(qū)分權(quán)限，需要進行用戶數(shù)據(jù)庫索引，此時查看用戶認證是在本地還是遠程，如果時本地用戶認證，則進行本本地數(shù)據(jù)庫 1 10 4 5 6 7 8 9 口令服務(wù)器 證書服務(wù)器 VPN 網(wǎng)關(guān) 移動客戶端 SPS 2 3 地數(shù)據(jù)庫索引，否則轉(zhuǎn)（ 6）。用戶認證過程中，如果失敗轉(zhuǎn)（ 10）。如果用戶信息認證成功，還需要認證證書，則到本地證書庫進行認證，如果無法進行認證，則轉(zhuǎn)（ 8）。認 證證書過程中，如果失敗則轉(zhuǎn)（ 10）。 （ 6） VPN 網(wǎng)關(guān)向口令認證服務(wù)器提交認證請求。 （ 7）口令服務(wù)器返回認證結(jié)果。 （ 8） VPN 網(wǎng)關(guān)向證書認證服務(wù)器提交認證請求。 （ 9）證書認證服務(wù)器返回認證結(jié)果。 （ 10） VPN 網(wǎng)關(guān)將認證結(jié)果、權(quán)限等信息返回給客戶端。 認證模式 以下列舉本 VPN 網(wǎng)關(guān)常見的幾種客戶端認證模式： 如果管理員希望移動用戶認證管理都在 VPN 網(wǎng)關(guān)進行，則可以把網(wǎng)關(guān)認證模式選擇分布管理；在分布管理模式下，網(wǎng)關(guān)將根據(jù)不同設(shè)置，對客戶端提交的信息進行驗證。分布管理模式下，口令可以在網(wǎng)關(guān)數(shù)據(jù)庫 進行認證，也可以在 Radius 服務(wù)器進行認證；證書可以在網(wǎng)關(guān)本地進行認證，也可以通過遠程證書認證機構(gòu)進行認證。 如果管理員希望所有客戶端提交的認證信息均在 SPS 進行認證，則可以把網(wǎng)關(guān)認證模式選擇為集中認證。在集中認證模式下，客戶端提交的所有信息均將到 SPS進行認證，這種模式下，本地用戶管理、證書管理都將失效。 當(dāng)客戶端提交一個認證請求到網(wǎng)關(guān)的時候， VPN 網(wǎng)關(guān)首先根據(jù)網(wǎng)關(guān)的認證模式進行處理。如果網(wǎng)關(guān)設(shè)置為集中認證，則將認證請求轉(zhuǎn)發(fā)給 SPS 服務(wù)器，如果選擇分布管理，則根據(jù)本地策略進行認證。 在分布管理情況下：如 果客戶端提交的認證方式為用戶名＋口令，根據(jù)本地數(shù)據(jù)庫或者遠程 Radius 服務(wù)器的信息確定認證是否成功；如果客戶端提交證書，根據(jù)本地證書庫或者遠程證書認證機構(gòu)確定認證是否成功；如果網(wǎng)關(guān)選擇對證書區(qū)分權(quán)限，則從證書中提取用戶名，到本地用戶數(shù)據(jù)庫或者 Radius 服務(wù)器檢索用戶信息。 常見的認證請求及網(wǎng)關(guān)配置（客戶端【 XXX】：客戶端提交 XXX 認證信息， VPN網(wǎng)關(guān)【 XXX】：網(wǎng)關(guān)認證配置） ? 客戶端【用戶名、口令】， VPN 網(wǎng)關(guān)【集中管理】 說明：這種情況客戶端提交的用戶名在 VPN 網(wǎng)關(guān)中本地數(shù)據(jù)庫不存在，并指明了其認證 信息將在 SPS 進行認證。 ? 客戶端【用戶名、口令】， VPN 網(wǎng)關(guān)【分布管理，本地認證】 說明：這種情況客戶端提交的用戶名在 VPN 網(wǎng)關(guān)中本地數(shù)據(jù)庫存在，并指明了其認證信息將在本地數(shù)據(jù)庫中進行索引。 ? 客戶端【用戶名、口令】， VPN 網(wǎng)關(guān)【分布管理， Radius 認證】 說明：這種情況客戶端提交的用戶名在 VPN 網(wǎng)關(guān)中本地數(shù)據(jù)庫不存在，并指明了其認證信息將在 Radius 服務(wù)器進行認證。 ? 客戶端【證書】， VPN 網(wǎng)關(guān)【集中管理】 說明：這種情況客戶端提交的證書在 VPN 網(wǎng)關(guān)無法認證，網(wǎng)關(guān)將會把認證請求轉(zhuǎn)發(fā)給 SPS。 ? 客戶端【證書 】， VPN 網(wǎng)關(guān)【分布管理】 說明：這種情況客戶端提交的證書在 VPN 網(wǎng)關(guān)進行認證，網(wǎng)關(guān)將會根據(jù)本地證書庫，遠程證書認證機構(gòu)的設(shè)置情況，對證書依次進行認證。 ? 客戶端【證書、口令】， VPN 網(wǎng)關(guān)【集中管理】 說明：這種情況客戶端提交的證書在 VPN 網(wǎng)關(guān)無法認證，網(wǎng)關(guān)將會把認證請求轉(zhuǎn)發(fā)給 SPS。 ? 客戶端【證書、口令】， VPN 網(wǎng)關(guān)【分布管理】 說明：這種情況客戶端提交的證書在 VPN 網(wǎng)關(guān)進行認證，網(wǎng)關(guān)將會根據(jù)本地證書庫，遠程證書認證機構(gòu)的設(shè)置情況，對證書依次進行認證。其中對于口令的認證，網(wǎng)關(guān)將會從證書中提取用戶名，到本地數(shù) 據(jù)庫或者 Radius 服務(wù)器進行檢索，以認