【正文】 ? 客戶端【證書、口令】， VPN 網(wǎng)關(guān)【分布管理】 說(shuō)明：這種情況客戶端提交的證書在 VPN 網(wǎng)關(guān)進(jìn)行認(rèn)證，網(wǎng)關(guān)將會(huì)根據(jù)本地證書庫(kù)，遠(yuǎn)程證書認(rèn)證機(jī)構(gòu)的設(shè)置情況，對(duì)證書依次進(jìn)行認(rèn)證。 ? 客戶端【證書 】， VPN 網(wǎng)關(guān)【分布管理】 說(shuō)明：這種情況客戶端提交的證書在 VPN 網(wǎng)關(guān)進(jìn)行認(rèn)證，網(wǎng)關(guān)將會(huì)根據(jù)本地證書庫(kù)，遠(yuǎn)程證書認(rèn)證機(jī)構(gòu)的設(shè)置情況，對(duì)證書依次進(jìn)行認(rèn)證。 ? 客戶端【用戶名、口令】， VPN 網(wǎng)關(guān)【分布管理， Radius 認(rèn)證】 說(shuō)明：這種情況客戶端提交的用戶名在 VPN 網(wǎng)關(guān)中本地?cái)?shù)據(jù)庫(kù)不存在，并指明了其認(rèn)證信息將在 Radius 服務(wù)器進(jìn)行認(rèn)證。 常見(jiàn)的認(rèn)證請(qǐng)求及網(wǎng)關(guān)配置（客戶端【 XXX】：客戶端提交 XXX 認(rèn)證信息， VPN網(wǎng)關(guān)【 XXX】：網(wǎng)關(guān)認(rèn)證配置） ? 客戶端【用戶名、口令】， VPN 網(wǎng)關(guān)【集中管理】 說(shuō)明：這種情況客戶端提交的用戶名在 VPN 網(wǎng)關(guān)中本地?cái)?shù)據(jù)庫(kù)不存在，并指明了其認(rèn)證 信息將在 SPS 進(jìn)行認(rèn)證。如果網(wǎng)關(guān)設(shè)置為集中認(rèn)證，則將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給 SPS 服務(wù)器，如果選擇分布管理，則根據(jù)本地策略進(jìn)行認(rèn)證。在集中認(rèn)證模式下，客戶端提交的所有信息均將到 SPS進(jìn)行認(rèn)證，這種模式下，本地用戶管理、證書管理都將失效。分布管理模式下，口令可以在網(wǎng)關(guān)數(shù)據(jù)庫(kù) 進(jìn)行認(rèn)證，也可以在 Radius 服務(wù)器進(jìn)行認(rèn)證；證書可以在網(wǎng)關(guān)本地進(jìn)行認(rèn)證，也可以通過(guò)遠(yuǎn)程證書認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證。 （ 10） VPN 網(wǎng)關(guān)將認(rèn)證結(jié)果、權(quán)限等信息返回給客戶端。 （ 8） VPN 網(wǎng)關(guān)向證書認(rèn)證服務(wù)器提交認(rèn)證請(qǐng)求。 （ 6） VPN 網(wǎng)關(guān)向口令認(rèn)證服務(wù)器提交認(rèn)證請(qǐng)求。如果用戶信息認(rèn)證成功，還需要認(rèn)證證書，則到本地證書庫(kù)進(jìn)行認(rèn)證，如果無(wú)法進(jìn)行認(rèn)證，則轉(zhuǎn)（ 8）。 （ 5）如果客戶端提交了口令或者網(wǎng)關(guān)需要對(duì)證書區(qū)分權(quán)限，需要進(jìn)行用戶數(shù)據(jù)庫(kù)索引，此時(shí)查看用戶認(rèn)證是在本地還是遠(yuǎn)程，如果時(shí)本地用戶認(rèn)證，則進(jìn)行本本地?cái)?shù)據(jù)庫(kù) 1 10 4 5 6 7 8 9 口令服務(wù)器 證書服務(wù)器 VPN 網(wǎng)關(guān) 移動(dòng)客戶端 SPS 2 3 地?cái)?shù)據(jù)庫(kù)索引，否則轉(zhuǎn)（ 6）。 （ 3） SPS 認(rèn)證結(jié)束后，將認(rèn)證結(jié)果返回給客戶端。 認(rèn)證流程 圖 71 客戶端認(rèn)證流程圖 客戶端的認(rèn)證流程如上圖所示： （ 1）客戶端向網(wǎng)關(guān)提交認(rèn)證請(qǐng) 求。如果管理員希望對(duì)某項(xiàng)認(rèn)證內(nèi)容（口令、證書）由某遠(yuǎn)程認(rèn)證服務(wù)器完成認(rèn)證，可以將用戶的此項(xiàng)認(rèn)證方式設(shè)置為該遠(yuǎn)程認(rèn)證服務(wù)器認(rèn)證方式。 ? 遠(yuǎn)程用戶認(rèn)證：本地?cái)?shù)據(jù)庫(kù)中沒(méi)有保存用戶的認(rèn)證信息或需要將認(rèn)證信息提交給遠(yuǎn) 程認(rèn)證服務(wù)器。 ? 本地用戶認(rèn)證：在 VPN 網(wǎng)關(guān)中有一個(gè)認(rèn)證數(shù)據(jù)庫(kù)，其中保存了用戶的認(rèn)證、權(quán)限等信息，本地認(rèn)證即在 VPN 網(wǎng)關(guān)對(duì)客戶端信息進(jìn)行認(rèn)證。其中口令可以通過(guò)本地、 Radius 服務(wù)器、 SPS 進(jìn)行認(rèn)證；證書可以通過(guò)本地、 LDAP服務(wù)器、 SPS、第三方 CA 的本地認(rèn)證進(jìn)行認(rèn)證；如果 認(rèn)證方式為不需要，說(shuō)明該用戶不需要對(duì)該選項(xiàng)（口令或證書）進(jìn)行認(rèn)證，如果客戶端提交了該選項(xiàng)信息（口令或證書），會(huì)認(rèn)為客戶端提交信息不正確。如果是后者，需要指定一個(gè)地址范圍，即網(wǎng)關(guān)給所有移動(dòng)客戶端分配的地址都在這個(gè)范圍之內(nèi)。權(quán)限定義詳見(jiàn)【權(quán)限對(duì)象管理】部分。 VPN 設(shè)備提供了靈活的客戶端接入方式，網(wǎng)絡(luò)管理員首先需要確定自己的認(rèn)證模式，其次，根據(jù)認(rèn)證模式對(duì)網(wǎng)關(guān)進(jìn)行相應(yīng)配置，再次，如果需要，可以為網(wǎng)關(guān)創(chuàng)建若干移動(dòng)用戶，最后，移動(dòng)客戶就可以通過(guò)網(wǎng)絡(luò)管理員頒發(fā)的用戶名、口令或者證書 登錄 VPN 網(wǎng)關(guān)。當(dāng)移動(dòng)客戶需要和 VPN 網(wǎng)關(guān)建立 VPN 隧道 時(shí)，首先必須通過(guò)身份合法性（包括口令、證書及其組合方式）檢查，客戶端接入模塊提供了 VPN 網(wǎng)關(guān)對(duì)移動(dòng)客戶接入的配置、認(rèn)證管理等功能。 CA 證書信息：顯示已經(jīng)導(dǎo)入的第三方 CA 根證書的相關(guān)信息，如“證書名稱”、“頒發(fā)者”、“生效日期”、“失效日期”等。 CA 證書文件：選擇保存在本地某個(gè)路徑下的 CA 根證書，然后點(diǎn)擊“導(dǎo)入證書”按鈕導(dǎo)入第三方 CA 根證書。在這種方式下，網(wǎng)關(guān)通過(guò)第三方 CA 的根證書驗(yàn)證客戶端證書是否合法 。證書導(dǎo)入成功后，將會(huì)在“證書信息”一欄中顯示正確的證書信息。 ? “從 PKCS12 文件導(dǎo)入”：這種方式下，證書和私鑰在同一個(gè)文件，即 PKCS12 文件中，根據(jù)實(shí)際情況，可能需要輸入文件密碼， CA 根證書文件和配置文件。 “證書導(dǎo)入”： VPN 網(wǎng)關(guān)設(shè)備的證書首先須由安全管理中心下發(fā)，下發(fā)后的證書以文件形式存在硬盤或 USBKEY 等存儲(chǔ)載體中，然后需要將它從存儲(chǔ)載體中導(dǎo)入到 VPN 網(wǎng)關(guān)設(shè)備才可以使用 。 設(shè)置界面中包含了以下信息： “證書信息”：證書信息主要包括了“證書名稱”，“頒發(fā)者”，“生效日期”，“失效日期”。 本機(jī)證書管理 圖 65 本機(jī) VPN 證書管理 證書是用于進(jìn)行身份驗(yàn) 證的文件， VPN 網(wǎng)關(guān)設(shè)備之間可以根據(jù)對(duì)方的證書信息驗(yàn)證對(duì)方身份的合法性。 當(dāng)“靜態(tài)隧道設(shè)置”界面中各欄信息設(shè)置正確后，單擊的“添加”按鈕，即可添加一條靜態(tài)隧道。 ? “數(shù)據(jù)壓縮”：指靜態(tài)隧道傳輸數(shù)據(jù)是否壓縮，如果選擇進(jìn)行數(shù)據(jù)壓縮。建立 隧道的雙方一般至少有一方需要選擇“主動(dòng)協(xié)商”；另外，如果 VPN 網(wǎng)關(guān)設(shè)備在 NAT 后也需要選擇“主動(dòng)協(xié)商”。選擇其中的某項(xiàng)，點(diǎn)擊“刪除算法”按鈕即可刪除為該隧道已添加的算法。選擇好加密算法，認(rèn)證算法，就可以點(diǎn)擊界面中的“添加算法”按鈕為該隧道添加加密－認(rèn)證算法對(duì)。 “加密算法設(shè)置”包含了以下內(nèi)容： ? “加密算法”：在下拉列表中選擇用于數(shù)據(jù)加密的算法。 ? “遠(yuǎn)端保護(hù)子網(wǎng)掩碼”：指靜態(tài)隧道保護(hù)的遠(yuǎn)端網(wǎng)關(guān)的子網(wǎng)掩碼。 ? “遠(yuǎn)端網(wǎng)關(guān) IP 地址”：當(dāng)?shù)刂奉愋瓦x擇 IP 地址時(shí)填寫 IP 地址；當(dāng)?shù)刂奉愋瓦x擇域名時(shí)則填寫遠(yuǎn)端網(wǎng)關(guān)的域名。 ? “本地保護(hù)子網(wǎng)掩碼”：指靜態(tài)隧道保護(hù)的本地子網(wǎng)掩碼。 “本地設(shè)置”用于對(duì)本地保護(hù)網(wǎng)絡(luò)信息進(jìn)行設(shè)置，包含了以下內(nèi)容： ? “本地接口”：指參與靜態(tài)隧道協(xié)商的本地網(wǎng)絡(luò)接口名稱。 注意：標(biāo)識(shí)符 由 “ ”字符 和網(wǎng)關(guān)證書 CN 字段組成 。 ? “封裝模式”：指靜態(tài)隧道的數(shù)據(jù)包封裝模式，現(xiàn)支持隧道模式和傳輸模式兩種，一般采用隧道模式即可。 注意：標(biāo)識(shí)符中必須含有“ ”字符。如果不使用標(biāo)識(shí)符，以上兩個(gè)欄目將無(wú)法輸入，網(wǎng)關(guān)將使用本地和遠(yuǎn)端的 IP 地址作為搜索共享密鑰文件的索引；如果設(shè) 置了“使用標(biāo)識(shí)符”作為搜索索引的話，則需要同時(shí)設(shè)置本地標(biāo)識(shí)符和遠(yuǎn)端標(biāo)識(shí)符作為密鑰搜索索引。 ? “使用標(biāo)識(shí)符”：指采用預(yù)共享密鑰認(rèn)證時(shí)，是否使用標(biāo)識(shí)符作為網(wǎng)關(guān)搜索共享密鑰文件的索引。 ? “認(rèn)證方式”：進(jìn)行隧道協(xié)商時(shí)的身份認(rèn)證方式，建靜態(tài)隧道 支持“預(yù)共享密鑰”和“證書認(rèn)證”兩種方式。您可以在此界面中填入相應(yīng)的隧道信息以定義一條靜態(tài)隧道。靜態(tài)隧道策略是基于已知建立隧道雙方的 IP 地址或域名地址和保護(hù)子網(wǎng)基礎(chǔ)上而制定的。注意：由于 3DESCBC是默認(rèn)的加密算法，因此不允許卸載此算法。要加載加密算法可以在需要加載的加密算法條目上單擊鼠標(biāo)右鍵在點(diǎn)擊“加載”即可。加密算法設(shè)置界面如下圖所示： 圖 62 該界面包含了本機(jī)支持所有加密算法的基本信息，其中狀態(tài)列指明算法是否被加載。但 VPN 網(wǎng)關(guān)設(shè)備也支持多種其他加密算法，包 括軟加密算法和硬加密算法，并實(shí)現(xiàn)了加密算法的動(dòng)態(tài)加載。 設(shè)置好以上信息后，點(diǎn)擊“確定”按鈕即可使設(shè)置生效。 TSEC 的“通告端口”和“策略端口”一般采用預(yù)設(shè)的缺省值 2020，除非當(dāng) TSEC 的通告端口、策略端口有變化時(shí)，則必須指明SPS 的相應(yīng)端口。當(dāng)選擇“ IP 地址”方式時(shí)，在“ IP 地址”欄中，填入 SMC 的 IP 地址，此時(shí)“域名地址”欄為無(wú)效狀態(tài)，不可輸入；當(dāng)選擇“域名地址”方式時(shí)，在“域名地址”欄中填入 TSEC 的域名地址，當(dāng) TSEC 的 IP 地址不是固定 IP 而是動(dòng)態(tài)變化時(shí)，則采用這種方式。用戶在采用證書認(rèn)證建立隧道 時(shí)需要對(duì)主 TSEC 設(shè)置，根據(jù)實(shí)際情況可以選擇設(shè)置從 TSEC。 TSEC 可以對(duì) VPN 網(wǎng)關(guān)設(shè)備等進(jìn)行集中管理：負(fù)責(zé)為 VPN網(wǎng)關(guān)設(shè)備發(fā)放證書、管理各網(wǎng)關(guān)之間建立隧道的策略、控制網(wǎng)關(guān)的注冊(cè)、以及收集網(wǎng)關(guān)登錄時(shí)的 IP 地址、子網(wǎng)掩碼、 IP 是否經(jīng)過(guò)了 NAT 等重要信息。在集中管理方式下， VPN 設(shè)備在認(rèn)證注冊(cè)后，從安全管理中心可下 載 到“下載設(shè)備列表”、“下載子網(wǎng)列表”、“下載隧道列表”等。 集中式管理 集中式管理是天泰 VPN 的一大特色，在集中管理方式下，所有的策略均由 TSEC制定， VPN 設(shè)備利用證書向安全管理中心通過(guò)認(rèn)證注冊(cè)后，從安全管理中心統(tǒng)一下載與本機(jī)相關(guān)的設(shè)備、子網(wǎng)、隧道策略，而不再需要用戶在本地配置策略。 靜態(tài)隧道的配置相對(duì)于說(shuō) 對(duì)用戶的要求較高，需要知道配置一條隧道參數(shù)的所有信息，且兩臺(tái) VPN 設(shè)備要采用靜態(tài)隧道通信，兩端的參數(shù)必須對(duì)稱。 VPN 隧道管理采用分布式管理和集中管理兩種管理方式。 6． 協(xié)商隧道 VPN 網(wǎng)關(guān)將下載下來(lái)的隧道在本地展開(kāi)后所得的隧道。 4． 下載子網(wǎng) VPN 設(shè)備從 TSEC 下載下來(lái)的其它設(shè)備的保護(hù)子網(wǎng)。 2． 靜態(tài)隧道 在 VPN 設(shè)備上手動(dòng)添加的隧道，添加靜態(tài)隧道需要填入隧道的詳細(xì)參數(shù)信息，如本地的保護(hù)子網(wǎng)、掩碼、本地外出接口、遠(yuǎn)端 VPN 網(wǎng)關(guān)的端點(diǎn)地址或域名、遠(yuǎn)端 VPN 網(wǎng)關(guān)的保護(hù)子網(wǎng)、掩碼，加密算法等參數(shù)。 第六章 VPN 設(shè)置 VPN 功能簡(jiǎn)介 術(shù)語(yǔ) 1． 安全管理中心（ VPNTSEC） VPN 設(shè)備的集中管理軟件，集中發(fā)放證書、生成設(shè)備、策略，管理各設(shè)備的子網(wǎng)等，詳見(jiàn)《安全管理中心使用手冊(cè)》。 權(quán)限對(duì)象管理 圖 52 權(quán)限對(duì)象管理設(shè)置 權(quán)限對(duì)象用來(lái)描述客戶端能夠訪問(wèn)資源信息，一個(gè)權(quán)限對(duì)象可以包含如下信息： ? 對(duì)象名稱：權(quán)限對(duì)象的唯一標(biāo)識(shí) ? 權(quán)限策略：允許或者拒絕 ? 網(wǎng)絡(luò)協(xié)議： tcp， udp， icmp 或者 any ? 網(wǎng)絡(luò)服務(wù)策略 不控制：說(shuō)明此權(quán)限不對(duì)網(wǎng)關(guān)進(jìn)行控制端口控制 指定端口：說(shuō)明此權(quán)限僅限定某指定端口 除此指定端口：說(shuō)明此權(quán)限對(duì)除某個(gè)端口外所有端口有效 端口范圍：說(shuō)明此權(quán)限僅限定某端口范圍 除此端口范圍：說(shuō)明此權(quán)限對(duì) 除某個(gè)端口范圍外的其他所有端口有效 ? 網(wǎng)絡(luò)地址 時(shí)間對(duì)象管理 圖 53 時(shí)間對(duì)象 管理 時(shí)間對(duì)象用來(lái)描述客戶端能夠訪問(wèn)的時(shí)間段。 本地保護(hù)子網(wǎng) 圖 51 本 地保護(hù)子網(wǎng) 管理 “ 本地保護(hù)子網(wǎng)列表”是本地 VPN 網(wǎng)關(guān)設(shè)備用于告知安全管理中心其參與建立隧道的受保護(hù)網(wǎng)段列表。 鼠標(biāo)右鍵單擊相應(yīng)條目 可 決定 對(duì)它們是否啟用 。 動(dòng)態(tài)路由配置 當(dāng)用 VPN 設(shè)備 充當(dāng)某些網(wǎng)段的路由器時(shí) ,就需要啟動(dòng)網(wǎng)關(guān)的動(dòng)態(tài)路由功能 ， 通過(guò)向周圍可達(dá)網(wǎng)段發(fā)送多播廣播包 ,來(lái)學(xué)習(xí)路由 ,在路由表中動(dòng)態(tài)添加路由 。 如果網(wǎng)關(guān)地址和網(wǎng)絡(luò)接口都選了，則該網(wǎng)關(guān)地址一定要是從選擇的網(wǎng)絡(luò)接口可達(dá)。 “網(wǎng)絡(luò)接口”，如果“靜態(tài)網(wǎng)絡(luò)接口類型”選擇的是“網(wǎng)絡(luò)接口”，則該項(xiàng)就變成可編輯。 “網(wǎng)關(guān)地址”，表示 VPN 設(shè)備將把數(shù)據(jù)包發(fā)送給這個(gè)地址的網(wǎng)絡(luò)設(shè)備。 ? 靜態(tài)路由接口 “ 靜態(tài)路由接口類型 ” 有 “網(wǎng)絡(luò)接口”或者“隧道”兩種。在該 IP 范圍內(nèi)的數(shù)據(jù)包才會(huì)按照該規(guī)則進(jìn)行路由。對(duì)話框如 下 圖 所示： 圖 410 ? 基本屬性 分別填入 想添加路由的 “目的 IP 地址”、“目的地址掩碼” 和“優(yōu)先級(jí) ” 。 VPN 設(shè)備出廠時(shí)， “靜態(tài)路由”內(nèi)容為空。 靜態(tài)路由配置 靜態(tài)路由指的是 VPN 設(shè)備中固定的路由條目。 在添加“透明網(wǎng)絡(luò)”條目后，可以雙擊 “編輯” 對(duì)其做進(jìn)一步配置，如下圖： 圖 49 “未綁定端口”中列出了待選的網(wǎng)絡(luò)接口；“已綁定接口”中列出的網(wǎng)絡(luò)接口之間將實(shí)現(xiàn)透明連接。對(duì)話框如 下 圖所示： 圖 48 在“透明網(wǎng)絡(luò)名稱”中您可以自定義該透明網(wǎng)絡(luò)的名稱；“設(shè)備名稱”中列出了可用的透明網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)。 VPN 設(shè)備出廠時(shí)， “透明網(wǎng)絡(luò)”內(nèi)容為空。透明網(wǎng)絡(luò)可以使 VPN 設(shè)備在接入網(wǎng)絡(luò)后，原來(lái)的網(wǎng)絡(luò)拓?fù)浼霸O(shè)置不需更改。 ? 網(wǎng)絡(luò)接口傳輸統(tǒng)計(jì)信息 顯示 本接口接收、發(fā)送的正確、錯(cuò)誤數(shù)據(jù)包個(gè)數(shù)。 如果本接口啟用了 VPN 功能，則 VPN 設(shè)備會(huì)從這個(gè)接口所處的線路向 TSEC 注冊(cè)、通告， TSEC 將會(huì)記錄這個(gè)線路的源 IP 地址，同時(shí)可以解析出該線路是否在 NAT 后，但對(duì)某些特殊的情況， 如這條線路處于一個(gè) NAT 后，但該 NAT 給這個(gè)接口做了 一個(gè)反向 NAT，此時(shí)需要將 NAT 設(shè)備的 IP 地址填在強(qiáng)制通告地址上，以告訴 TSEC，這樣其它 VPN 設(shè)備就可以主動(dòng)訪問(wèn)這臺(tái) VPN 設(shè)備。 “優(yōu)先級(jí)”表示這個(gè)接口在隧道協(xié)商時(shí)的優(yōu)先順序，可選值是 0－ 3,0 的優(yōu)先級(jí)最高， 3 的最低。 ? VPN 設(shè)置 每個(gè)接口有個(gè)屬性是“是 否啟用 VPN 功能” ，只有當(dāng)這個(gè)設(shè)置為啟用時(shí)，該接口才會(huì)參與隧道協(xié)商。 ? 撥號(hào)用戶設(shè)置 如果用戶選擇了“