【正文】 320 第六步：斷線偵測和啟動模式 321 隧道屬性編輯 322 修改隧道名 323 修改基本設置 323 修改擴展認證 324 修改本地網(wǎng)絡 324 修改高級設置 325第4章 界面操作 426 基本操作 426 選中隧道 427第5章 隧道連接 529 未選中隧道 529 未連接 529 正在連接 530 已連接 531 進行通信 532 正在斷開 536V北京啟明星辰信息安全技術(shù)有限公司天清漢馬USG－IPSec VPN客戶端用戶手冊 Error! No text of specified style in document.1第1章 客戶端簡介 概述IPSecVPN客戶端通過在公網(wǎng)上建立一條虛擬隧道，完成與安全設備的協(xié)商，并與保護子網(wǎng)進行通信；通過日志顯示協(xié)商狀態(tài)，通過上下行流量和收發(fā)數(shù)據(jù)包來動態(tài)顯示通信狀態(tài)。 主要功能IPSecVPN客戶端主要具備如下功能：● 通過圖形界面對虛擬隧道進行配置和管理?！?動態(tài)顯示協(xié)商過程的日志、通信過程的流量和數(shù)據(jù)包?！?支持PFS和NAT穿越（源NAT、目的NAT）。 系統(tǒng)組成IPSecVPN客戶端系統(tǒng)組成如下圖所示：圖 1 IPSecVPN客戶端系統(tǒng)組成各模塊的主要功能如下：● 前臺界面：是圖形化的GUI用戶接口?！?IPSec引擎：初始化虛擬網(wǎng)卡，并根據(jù)IPSec SA對數(shù)據(jù)進行相應的封裝或解封裝處理。 相關(guān)術(shù)語解釋下面列舉出相關(guān)術(shù)語解釋。● 遠端子網(wǎng)：遠端網(wǎng)關(guān)保護的子網(wǎng)，可以是一臺或多臺PC。● 本地虛擬IP：本地虛擬網(wǎng)卡的IP地址。● WINS服務器：本地虛擬網(wǎng)卡的WINS服務器地址。IKE跟蹤連接的方法是給每個連接分配一組安全聯(lián)盟（SA）。SA本身是單向的，每個連接需要一個以上的SA。同時使用ESP和AH的情況中就要創(chuàng)建4個SA。數(shù)字證書是從本地導入，智能卡證書只能從USBKey中讀取并使用。● IKE協(xié)商模式：在IKE第一階段協(xié)商時可以使用“主模式”或“野蠻模式”，二者的不同之處在于，野蠻模式可以用更少的包發(fā)送更多信息，這樣做的優(yōu)點是快速建立連接，而代價是以清晰的方式發(fā)送安全網(wǎng)關(guān)的身份。服務器必須使用相同的設置。必須使用與服務器相同的設置。必須使用與服務器相同的設置。當密鑰過期后，一個新的密鑰將會產(chǎn)生，此過程不會中斷VPN服務。其中可以選擇的2種協(xié)議是AH（認證頭，Authentication Header）和ESP（封裝安全有效載荷，Encapsulating Security Payload）。但是，我們不建議僅使用加密功能，因為它會大大降低安全性。● IPSec認證算法：用于對要發(fā)送的數(shù)據(jù)進行認證計算和對接收的數(shù)據(jù)進行驗證計算，包括MD5和SHA1算法，該算法可用于AH協(xié)議或ESP協(xié)議的認證功能。● IPSec加密算法：用于ESP協(xié)議時對要發(fā)送的數(shù)據(jù)進行加密或?qū)邮盏降臄?shù)據(jù)進行解密，包括DES、3DES、AES12AES19AES256算法。● IPSec支持PFS：IKE 提供完全正向保密 (perfect forward secrecy，PFS)的支持。必須使用與服務器相同的設置。當密鑰過期后，一個新的密鑰將會產(chǎn)生，此過程不會中斷VPN服務。用于IPSec對端狀態(tài)的檢測?！?DPD檢查間隔：設置經(jīng)過多長時間沒有從對端收到IPSec報文，則觸發(fā)DPD。● DPD重試時延：設置經(jīng)過多長時間沒有收到DPD響應報文，則重傳DPD報文?！?端口4500（UDP） NAT穿越。 運行環(huán)境說明IPSecVPN客戶端要求如下運行環(huán)境：● 硬件環(huán)境 PC服務器/256M內(nèi)存／40GHD／Pentium IV CPU /● 軟件版本 Windows 2000 / Windows 2003 / Windows XP / Vista由于虛擬網(wǎng)卡的參數(shù)是通過DHCP設置，所有客戶端主機的DHCP Client服務必須開啟，不然設置虛擬網(wǎng)卡參數(shù)失敗，無法正常通信。需要說明的是，在安裝過程中，可以隨時點擊相應的『取消』按鈕，取消此次安裝操作。用鼠標點擊『下一步』按鈕，進入?yún)f(xié)議許可界面，選擇接受許可證協(xié)議，才能繼續(xù)安裝。圖 4 選定軟件要安裝的位置如果采用默認的安裝目錄，請直接點擊『下一步』；如果需要更改安裝目錄，請點擊『更改』按鈕，進入如圖 5所示的選擇文件加界面，選擇需要的安裝目錄并點擊『確定』按鈕。圖 6 準備安裝界面 第四步：正在安裝用鼠標點擊『安裝』按鈕，進入如圖 7所示的正在安裝界面。圖 8 安裝虛擬網(wǎng)卡 第六步：提示安裝WinPCAPIPSecVPN工作時依賴WinPCAP部分組件，再安裝完虛擬網(wǎng)卡后會提示安裝，此時需要選擇“是”，如圖9所示。圖10 安裝WinPCAP 第八步：安裝完成安裝完成后，進入如圖11所示的安裝完成界面。圖 11 安裝完成界面 卸載客戶端進入“控制面板”后點擊“添加或刪除程序”，彈出如圖12所示的卸載程序界面。圖 12 卸載程序界面圖 13移出功能選擇如果選擇“是”，則彈出如圖14所示的卸載虛擬網(wǎng)卡界面；選擇“否”，則不卸載虛擬網(wǎng)卡。根據(jù)自己的需要重啟或不重啟電腦。默認安裝目錄為“C:\Program Files\VenusTech\IPSecVPN”。詳細如表 1所示。 隧道基本設置參數(shù)說明隧道基本參數(shù)說明如表 2所示。其中共享密鑰要求輸入密鑰和確認密鑰，數(shù)字證書需要從本地導入p12格式的證書（或從下拉框中選擇已存在的p12證書），智能卡證書從插入電腦的USB Key中導入p12格式的證書；后面兩種認證方式，還提供對服務器端證書的驗證功能，如果選擇“驗證CA證書”復選框，則需要從本地導入cer格式的證書（或從下拉框中選擇