网御神州科技(北京)有限公司
1 目 录
1.
第一章 VPN 功能使用.................................................................5 1.1.
概述..........................................................................................................................................................5 1.2.
IPS EC VPN 技术原理简介.......................................................................................................................5 1.3.
IPS EC VPN 对数据包的处理...................................................................................................................6 1.4.
IPSEC NAT 穿透:..................................................................................................................................8 1.5.
密钥管理(IKE 密钥协商)...................................................................................................................9 1.6.
D IFFI
E -H ELLMAN 交换:........................................................................................................................11 1.7.
基于策略和基于路由的VPN................................................................................................................11 1.8. 网关-网关VPN 隧道的建立 (13)
1.8.1. 典型案例: (14)
1.9. 远程访问VPN 隧道的建立 (16)
1.9.1. 典型案例: (16)
1.10. S EC G ATE VPN CA 中心软件的使用 (17)
1.10.1. SecGate 3600安全网关VPN 证书配置 (17)
1.10.2. SecGate VPN CA 中心软件 (18)
1.11. 动态域名 (18)
1.11.1. 使用动态域名的动态SecGate 3600安全网关 (18)
1.11.2. 如何注册https://www.doczj.com/doc/ee4299388.html, 的动态域名 (18)
1.12. 常见问题 (19)
1.12.1. VPN 不响应远程的密钥协商请求 (19)
1.1
2.2. VPN 的代理ID 配置.....................................................................................................................19 2.
第二章 用户认证........................................................................20 2.1.
概述........................................................................................................................................................20 2.2. 服务器. (20)
2.2.1.
功能 (20)
2.2.2. 内置参数 (21)
2.2.3. WEB 页面 (22)
2.2.4. 命令行 (23)
2.3. 用户组 (23)
2.3.1. 功能 (23)
2.3.2. WEB 页面 (23)
2.3.3. 命令行 (26)
2.4. 2.4 用户列表 (28)
2.4.1. 功能 (28)
2.4.2. WEB 页面 (28)
网御神州科技(北京)有限公司
2 2.4.3.
命令行 (30)
2.5. 在线用户 (31)
2.6. 客户端 (32)
2.6.1. 简介 (32)
2.6.1.1 帐号/口令方式 (32)
2.6.1.2 电子钥匙方式............................................................................................................................................32 2.6.2.
安装 (32)
2.6.3. 功能 (32)
2.6.3.1 主界面 (32)
2.6.3.2 配置系统 (33)
2.6.3.3 账户/口令方式认证 (34)
2.6.3.4 修改口令 (35)
2.6.3.5 电子钥匙驱动程序的安装 (36)
2.6.3.6 配置电子钥匙 (36)
2.6.3.7 修改电子钥匙PIN 口令 (37)
2.6.3.8 电子钥匙认证 (38)
2.6.3.9 修改口令 (39)
2.6.3.10 认证失败信息.......................................................................................................................................39 2.7. 2.7 实例及网络拓扑 (41)
2.7.1. 本地认证........................................................................................................................................41 2.7.1.1
设置服务器................................................................................................................................................42 2.7.1.2
设置系统的安全规则................................................................................................................................42 2.7.1.3
设置时间和地址定义................................................................................................................................43 2.7.1.4
添加用户组................................................................................................................................................43 2.7.1.5 添加用户. (45)
2.7.2.
RADIUS 服务器认证.....................................................................................................................46 3.
第三章 典型应用案例................................................................47 3.1. 纯路由-私有子网.. (47)
3.1.1. 特点 (47)
3.1.2. 拓扑 (47)
3.1.3. 实施要点 (48)
3.1.4. 配置 (48)
3.2. 纯路由-公网 (48)
3.2.1. 特点 (48)
3.2.2. 拓扑 (49)
3.2.3. 实施要点 (49)
3.2.4. 配置 (49)
3.3. 纯透明-内部网 (50)
3.3.1. 特点 (50)
网御神州科技(北京)有限公司
3 3.3.2.
拓扑 (50)
3.3.3. 实施要点 (51)
3.3.4. 配置 (51)
3.4. 3.4 纯透明 (52)
3.4.1. 特点 (52)
3.4.2. 拓扑 (52)
3.4.3. 实施要点 (53)
3.4.4. 配置 (53)
3.5. 混合 (53)
3.5.1. 特点 (53)
3.5.2. 拓扑 (54)
3.5.3. 实施要点 (54)
3.5.4. 配置 (54)
3.6. 多内网 (55)
3.6.1. 特点 (55)
3.6.2. 拓扑 (56)
3.6.3. 实施要点 (56)
3.6.4. 配置 (56)
3.7. 多VLAN 内网 (57)
3.7.1. 特点 (57)
3.7.2. 拓扑 (58)
3.7.3. 实施要点 (58)
3.7.4. 配置 (58)
3.8. VLAN 旁路 (59)
3.8.1. 特点 (59)
3.8.2. 拓扑 (60)
3.8.3. 实施要点 (60)
3.8.4. 配置 (60)
3.9. 多外网口 (61)
3.9.1. 特点 (61)
3.9.2. 拓扑 (61)
3.9.3. 实施要点 (61)
3.9.4. 配置 (62)
3.10. DHCP-客户端 (62)
3.10.1. 特点 (62)
3.10.2. 拓扑 (63)
3.10.3. 实施要点 (63)
3.10.4. 配置 (63)
3.11. DHCP-服务器 (64)
3.11.1. 特点 (64)
3.11.2. 拓扑 (64)
网御神州科技(北京)有限公司
4 3.11.3.
实施要点 (64)
3.11.4. 配置 (65)
3.12. DHCP-中继 (65)
3.12.1. 特点 (65)
3.12.2. 拓扑 (66)
3.12.3. 实施要点 (66)
3.12.4. 配置 (66)
3.13. 普通ADSL 线路+混合模式 (67)
3.13.1. 拓扑图 (67)
3.13.2. 应用环境及要求 (67)
3.13.3. 周边网络设备配置要点 (68)
3.14. 专线+内网提供WEB 服务 (69)
3.14.1. 拓扑图 (69)
3.14.2. 应用环境及要求 (69)
3.14.3. 周边网络设备配置要点 (70)
3.15. 多ADSL 线路+负载均衡 (71)
3.15.1. 拓扑图 (71)
3.15.2. 应用环境及要求 (71)
3.15.3. 周边网络设备配置要点 (72)
1.第一章 VPN功能使用
1.1. 概述
虚拟专用网(VPN)提供了通过公用广域网 (WAN) ( 例如,互联网) 在远程计算机间安全通信的方法。VPN 连接可以链接两个局域网 (LAN) 或一个远程拨号用户和
一个 LAN。在这两点间流动的信息流流经共享的Internet,例如,路由器、交换机以及
其它组成公用 WAN 的网络设备。
要在公网传输过程中确保 VPN 通信的安全性,则两个参与者必须创建一个IPSec 隧道。IPSec 隧道由一对指定安全参数索引 (SPI) 的单向“安全联盟”(SA) ( 位于隧道
的两端) 、目标 IP 地址以及使用的安全协议 ( “认证包头”或“封装安全性负荷” )
组成。通过这些参数可以对数据进行加密与完整性处理,保证通信数据的私密性和完整
性。
1.2. IPSec VPN技术原理简介
根据因特网工程标准工作组的定义,IPSec的协议框架结构如下图所示。
网御神州科技(北京)有限公司 5
网御神州科技(北京)有限公司
6
IPSec 最终为网络数据提供ESP 与AH 安全保护。ESP 协议为数据提供了加密与完整性保护,AH 协议只对数据提供完整性保护。一般来说IPSec VPN 使用ESP 协议,AH 协议只在某些禁止使用加密的情况下使用。加密算法、验证算法、密钥管理都是为了ESP/AH 服务的。
封装安全载荷( E S P )是插入I P 数据报内的一个协议头,以便为I P
提供机密性、数据源验证、抗重播以及数据完整性等安全服务。隧道模式
下,它加密封装整个I P 数据报。
验证头( Authentication Header ,A H )是一种I P S e c 协议,用于为I P
提供数据完整性、数据原始身份验证和一些可选的、有限的抗重播服务。
它定义在R F C 2 4 0 2中。除了机密性之外,A H 提供E S P 能够提供的
一切东西。但要注意的是, A H 不对受保护的I P 数据报的任何部分进行
加密。
加密算法:并非只有单独的一种!有多种技术都可用来加密信息、安全地
交换密钥、维持信息完整以及确保一条消息的真实性。将所有这些技术组
合在一起,才能在日益开放的世界中,提供保守一项秘密所需的各项服务。
验证算法:为保守一个秘密,它的机密性是首先必须保证的。但假如不进
行身份验证,也没有办法知道要同你分享秘密的人是不是他/她所声称的
那个人。同时假如不能验证接收到的一条消息的完整性,也无法知道它是
否确为实际发出的那条消息。
I K E 定义了安全参数如何协商,以及共享密钥如何建立。但它没有定义
的是协商内容。这方面的定义是由“解释域( D O I )”文档来进行的。
用IPSec 保护一个I P 包之前,必须先建立一个安全联盟(S A )。Internet
密钥交换(I KE )用于动态建立S A 。IKE 代表IPSec 对S A 进行协商,
并对SADB 数据库进行填充。
1.3. IPSec VPN 对数据包的处理
IPSec VPN 主要有两种形式,分支机构互联VPN 和移动用户远程访问VPN 。下面就这两种形式的VPN 介绍IPSec 是如何实现网络互联与安全保护的。
如下图,某企业有北京和上海两个分支。北京分公司的内部网络地址是192.168.1.0/24,上海分公司的内部网络地址是192.168.2.0/24。北京安全网关的IP地址
是202.123.1.1,上海安全网关的IP地址是202.123.1.2。建立VPN后数据包的处理过程
是如下这样:
1.北京访问上海数据包:19
2.168.1.254 ----> 192.168.2.254 数据包是原
始访问数据。
2.北京安全网关加密处理:202.12
3.1.1 ----> 202.123.1.2 数据包内是加
密后的数据。
3.经过Internet到达上海安全网关。
4.上海安全网关解密:解密后得到原始数据包,192.168.1.254 ---->
192.168.2.254。
5.上海安全网关转发到内部网络,上海服务器192.168.2.254收到访问
数据。
6.上海服务器返回数据:192.168.2.254 ----> 192.168.1.254经过相同的处
理过程,数据包可以安全地返回给北京的访问主机。
如下图,某企业上海出差员工要访问北京总部。北京总部的内部网络地址是192.168.1.0/24,北京安全网关的地址是202.123.1.1。出差员工拨号获得的地址是
202.123.1.2,VPN内部分配的地址是192.168.2.254。建立VPN后数据的处理过程就是
如下这样的:
网御神州科技(北京)有限公司7
1.出差用户访问北京总部:19
2.168.2.254 ----> 192.168.1.254 数据包原
始数据。
2.出差用户主机VPN客户端对数据加密处理:202.12
3.1.2 ---->
202.123.1.1 数据包内是加密后的数据。
3.经过Internet到达北京安全网关。
4.北京安全网关解密:解密后得到原始数据包,192.168.2.254 ---->
192.168.1.254。
5.北京安全网关转发到内部网络,北京服务器192.168.1.254收到访问
数据。
6.北京服务器返回数据:192.168.1.254 ----> 192.168.2.254经过相同的处
理过程,数据包可以安全地返回给出差用户的访问主机。
1.4. IPSEC NAT 穿透:
“网络地址转换”(NAT) 和“网络地址端口转换”(NAPT) 为互联网标准,它允许局域网 (LAN) 将一组 IP 地址用于内部信息流,将第二组地址用于外部信息流。NAT
设备从预定义的 IP 地址池中生成这些外部地址。
在设置 IPSec 隧道时,沿着数据路径出现 NAT 设备不影响“阶段1”和“阶段2”
的 IKE 协商,它通常将 IKE 封包封装在“用户数据报协议”(UDP) 封包中。但是,
在完成“阶段2”协商后,执行 IPSec 封包上的 NAT 会导致隧道失败。在 NAT 对
IPSec 造成中断的众多原因中,其中一个原因就是,对于“封装安全性协议”(ESP) 来
说,NAT 设备不能识别端口转换的“第 4 层”包头的位置 ( 因为它已被加密)。对于
“认证包头” (AH) 协议, NAT 设备可以修改端口号,但不可以修改认证检查,于是网御神州科技(北京)有限公司8
网御神州科技(北京)有限公司
9
对整个IPSec 封包的认证检查就会失败。SecGate 3600使用NAT 穿越功能可以解决此问题。
NAT 穿越协议通过对ESP 和AH 协议进行UDP 封装,在加密封装后的数据包中增加UDP 头,这样NAT 设备就可以对加密数据包进行正确的NAT 端口转换。
1.5. 密钥管理(IKE 密钥协商)
密钥的分配和管理对于成功使用 VPN 很关键。只有参与通信的VPN 双方得到共同密钥才能使VPN 正确加密通信。保证参与通信的VPN 双方能够安全地协商出共同的密钥是整个VPN 通信的关键。所以密钥协商是VPN 安全使用的关键,他不仅要解决密钥协商,还需要解决VPN 双方的身份认证、算法协商、保护模式协商。
IPSec 使用“互联网密钥交换” (IKE)协议支持密钥的自动生成和协商以及安全联盟协商。身份验证方式支持预共享密钥和证书两种。
预共享密钥认证方式:通过使用预共享密钥的“自动密钥IKE ”来认证 IKE
会话中的参与者时,各方都必须预先配置和安全地交换预共享密钥。一旦
预共享密钥被正确分配后,就可使用IKE 协议了。
证书验证方式:经过CA 签发的证书中含有CA 私钥签名和身份信息,可
以使用CA 的公开密钥(可以公开给任何人得到)去验证证书的有效性。
同时交换中需要传递自身私钥的签名,通过证书中的公钥验证。经过这些
过程就可以确认证书的有效性和证书持有人的唯一性。各方得到各自的证
书后就可以使用IKE 协议了。
IKE 将在预先确定的时间间隔内自动更改其密钥。经常更改密钥会大大提高安全性,自动更改密钥会大大减少密钥管理任务。但是,更改密钥会增加信息流开销,因此,过于频繁地更改密钥会降低数据传输效率。
IKE 密钥交换包括两个阶段的信息交换:第一阶段和第二阶段。第一阶段支持主模式和野蛮模式两种交换模式,第二阶段是快速模式。
第 1 阶段可能发生在 Main mode (主模式)或 Aggressive mode (野蛮模
网御神州科技(北京)有限公司
10
式)下。这两种模式如下所述:
Main Mode (主模式): 发起方和接受方之间进行三个双向信息交换(总
共六条信息)以获取以下信息:
第一次交换,(信息1 和 2):提出并接受加密和认证算法。
第二次交换,(信息3 和 4):执行 Diffie-Hellman 交换,发起方
和接受方各提供一个当前数 ( 随机生成的号码)。
第三次交换,(信息5和6):发送并验证其身份。
在第三次交换信息时传输的信息由在前两次交换中建立的加密算
法保护。因此,在明文中没有传输参与者的身份。
Aggressive Mode (野蛮模式):发起方和接受方获取相同的对象,但仅进
行两次交换,总共有三条消息:
第1条消息: 发起方建议 SA ,发起 Diffie-Hellman 交换,发送一
个当前数及其 IKE 身份。
第2条消息: 接受方接受 SA ,认证发起方,发送一个当前数及其
IKE 身份,以及发送接受方的证书(如果使用证书)。
第3条消息: 发起方认证接受方,确认交换,发送发起方的证书
( 如果使用证书)。
由于参与者的身份是在明文中交换的 ( 在前两条消息中), Aggressive
mode ( 主动模式) 不提供身份保护。
第 2 阶段:当参与者建立了一个已认证的安全隧道后,他们将继续执行
“第 2 阶段”。在此阶段中,他们将协商 SA 以保护要通过IPSec 隧道传
输的数据。
与“第 1 阶段”的过程相似,参与者交换提议以确定要在 SA 中应用的
安全参数。“第 2 阶段”提议还包括一个安全协议 - “封装安全性负荷”
(ESP) 或“认证包头” (AH) - 和所选的加密和认证算法。如果需要“完
全正向保密”(PFS),提议中还可以指定一个 Diffie-Hellman 组。
网御神州科技(北京)有限公司
11
1.6. Diffie-Hellman 交换:
Diffie-Hellman 交换允许参与者生成一个共享的秘密值。该技术的优点在于它允许参与者在非安全媒体上创建秘密值,而不把此秘密值通过网络传输。有五个 Diffie-Hellman (DH ) 组 (SecGate 支持组 1、2 和5,基于离散对数,3、4是使用的是椭圆曲线算法,因为没有达到工业标准,所以没有被主流VPN 产品采用)。在各组计算中所使用主要模数的大小都不同,如下所述:
DH 组1:768位模数
DH 组2:1024位模数
DH 组5:1536位模数
模数越大,就认为生成的密钥越安全;但是,模数越大,密钥生成过程就越长。由于每个 DH 组的模数都有不同的大小,因此参与者必须使用相同的组。
1.7. 基于策略和基于路由的VPN
SecGate VPN 设备支持的配置非常灵活。可以创建基于路由和基于策略的 VPN 隧道。另外,每种隧道都可使用“预共享密钥”或“证书”管理。
基于策略的VPN :
利用基于策略的 VPN 隧道,隧道被当作对象(或构件块),与源、目标、
服务和动作一起,组成允许 VPN 信息流的策略。( 实际上,VPN 策略
动作是permit ,但如果选用了隧道,则暗指动作tunnel)。在基于策略的 VPN
配置中,策略按名称引用 VPN 隧道。
原始数据包加密数据包
安全策略表
如果是小型VPN 网络,使用基于策略的VPN 比较方便,可以对经过VPN 的数据进行细粒度访问控制。
基于路由的VPN :
利用基于路由的 VPN ,策略不引用VPN 隧道。SecGate 3600设备进行路
由查询以找到通过其发送信息流到达该地址的接口时,找到隧道接口,它
被绑定到特定VPN 。
原始数据包加密数据包
路由表
如果大型VPN 网络,VPN 网络包含VPN 主干网、VPN 边缘网。数据需要通过多个VPN 进行路由到达目的网络。我们称这种形式为纵向网,这时我们更习惯于将各个VPN 作为路由器看待。使用基于路由的VPN 更适合这种使用方式。
因此,利用基于策略的 VPN 隧道,可将一个隧道视为策略结构中的一个元素。利用基于路由的 VPN 隧道,可将一个隧道当作传输信息流的方法,同时将一个策略当作允许或拒绝传送该信息流的方法。
网御神州科技(北京)有限公司 12
网御神州科技(北京)有限公司
13
1.8. 网关-网关VPN 隧道的建立
IPSec VPN 隧道存在于两个网关之间,同时每个网关都需要一个 IP 地址。当两个网关都拥有静态公网IP 地址或域名时,可以使用主模式、预共享密钥认证。当一个网关拥有静态地址或域名,而另一个网关拥有动态分配的地址或经过NAT 接入公网时,可以使用两种形式野蛮模式、预共享密钥,或者主模式、证书。
静态网关到网关VPN :
用于此处时,静态网关到网关VPN 包括一个连接两个网络的IPSec 隧道,
每个网络都拥有一个作为安全网关的SecGate 3600设备。在两个设备上用
作外向接口的物理接口或子接口都有一个固定的 IP 地址或域名。由于远
程网关的IP 地址或域名保持不变而可以到达,因此,位于隧道任一端的
主机可使用静态站点到站点 VPN 发起 VPN 隧道设置。
这种情况下可以使用预共享密钥作为认证方式即可,身份默认就是网关的IP 地址。
动态网关到网关VPN :
如果其中一个SecGate 3600设备的外向接口具有动态分配的IP 地址或者
通过NAT 接入时,则该设备在术语上被称为“动态网关”,并且具有不同
的VPN 配置。因为从静态网关方面来发起,不能确定对端的IP 地址,只
有动态网关才能发起VPN 连接。但是,当在动态网关和静态网关之间建
立隧道之后,如果目的主机有固定的 IP 地址,在两个网关之中的任一个
网关后面的主机,都可发起 VPN 信息流。因为动态网关没有有效的公网
地址或域名,所以不能使用主模式、预共享密钥。只能使用野蛮模式、预
共享密钥或主模式、证书。
1.8.1.典型案例:
北京分公司的内部网络地址是192.168.1.0/24,上海分公司的内部网络地址是192.168.2.0/24。北京安全网关的IP地址是202.123.1.1,上海安全网关的IP地址是
202.123.1.2。
基于策略的VPN配置:
北京安全网关配置:
1.添加远程VPN端点配置,名称sh,地址输入上海安全网关的地址
202.123.1.2,预共享密钥使用“beijingshanghaiprekey”。
2.添加VPN隧道,隧道名为bj-sh,本地地址使用202.12
3.1.1,远程
VPN端点使用“sh”。
3.添加安全策略,192.168.1.0/24 ----> 192.168.2.0/24 允许并且选用隧道
“bj-sh”。
4.添加安全策略,192.168.2.0/24 ----> 192.168.1.0/24 允许并且选用隧道
“bj-sh”。
上海安全网关配置:
1.添加远程VPN端点配置,名称bj,地址输入北京安全网关的地址
202.123.1.1,预共享密钥使用“beijingshanghaiprekey”。
2.添加VPN隧道,隧道名为sh-bj,本地地址使用202.12
3.1.2,远程
VPN端点使用“bj”。
网御神州科技(北京)有限公司14
网御神州科技(北京)有限公司
15
3. 添加安全策略,192.168.1.0/24 ----> 192.168.2.0/24 允许并且选用隧道
“sh-bj ”。
4. 添加安全策略,192.168.2.0/24 ----> 192.168.1.0/24 允许并且选用隧道
“sh-bj ”。
基于路由的VPN 配置:
北京安全网关配置:
1. 添加远程VPN 端点配置,名称sh ,地址输入上海安全网关的地址
202.123.1.2,预共享密钥使用“beijingshanghaiprekey ”。
2. 添加VPN 隧道,隧道名为bj-sh ,本地地址使用202.12
3.1.1,远程
VPN 端点使用“sh ”。
3. 添加VPN 设备sh ,绑定到隧道“bj-sh ”上。
4. 添加策略路由目的地址192.168.2.0/25
5.255.255.0,VPN 设备“sh ”。
5. 添加安全策略,192.168.1.0/24 ----> 192.168.2.0/24 允许。
6. 添加安全策略,192.168.2.0/24 ----> 192.168.1.0/24 允许。
上海安全网关配置:
1. 添加远程VPN 端点配置,名称bj ,地址输入北京安全网关的地址
202.123.1.1,预共享密钥使用“beijingshanghaiprekey ”。
2. 添加VPN 隧道,隧道名为sh-bj ,本地地址使用202.12
3.1.2,远程
VPN 端点使用“bj ”。
3. 添加VPN 设备bj ,绑定到隧道“sh-bj ”上。
4. 添加策略路由目的地址192.168.1.0/25
5.255.255.0,VPN 设备“bj ”。
5. 添加安全策略,192.168.1.0/24 ----> 192.168.2.0/24 允许。
6.添加安全策略,192.168.2.0/24 ----> 192.168.1.0/24 允许。
1.9. 远程访问VPN隧道的建立
配置远程访问VPN时,可以为每个VPN拨号用户配置隧道,或将用户安排到只需配置一个隧道的 VPN 客户端分组中。也可创建一个用户、一条隧道,所有VPN客户
端都通过这条隧道访问内部网络。在有大型远程访问用户时,此方案特别节省时间,原
因是不必单独配置每个IKE用户。
VPN客户端分组:
某些组织拥有许多拨号 VPN 用户。例如,一个销售部门可能拥有几百个用户。对于数量如此之多的用户,为每位用户分别创建单独的用户定义、拨号VPN配置以及策
略是不切实际的。为了消除这种麻烦,“VPN客户端分组”方法建立一个可用于多个用
户的用户定义。
1.9.1.典型案例:
北京总部的内部网络地址是192.168.1.0/24,北京安全网关的地址是202.123.1.1。
出差员工拨号获得的地址是202.123.1.2,VPN内部分配的地址是192.168.2.253。
网御神州科技(北京)有限公司16
网御神州科技(北京)有限公司
17
基于策略的VPN 配置:
北京安全网关配置:
1. 添加远程VPN 端点配置,名称chuchai ,类型选择客户端。预共享密
钥使用“chuchaiprekey ”,交换模式选用“野蛮模式”,本地ID 使用
secgate ,远程ID 使用chuchai 。
2. 添加VPN 隧道,隧道名为chuchai ,本地地址使用202.12
3.1.1,远程
VPN 端点使用“chuchai ”。
3. 添加安全策略,192.168.2.0/24 ----> 192.168.1.0/24 允许并且选用隧道
“chuchai ”。
VPN 客户端配置:
1. 添加VPN 连接配置,名称bj ,地址输入北京安全网关的地址
202.123.1.1,预共享密钥使用“chuchaiprekey ”。要访问的网络是
192.168.1.0/255.255.255.0。
2. 在高级界面中,选择策略部分的“设置”按钮。交换模式选用“野蛮
模式”,在本地ID 输入框中输入“chuchai ”
3. 在高级界面中,选择获取虚拟地址。在地址栏中手工设置IP 地址
192.168.2.253/255.255.255.0
1.10. SecGate VPN CA 中心软件的使用
1.10.1. SecGate 3600安全网关VPN 证书配置
申请证书时, SecGate 设备生成密钥对。公开密钥合并在申请中,在VPN 配置界面中导出证书申请。将申请交给SecGate VPN CA 中心,CA 中心签发证书。最后将证书导入到安全网关中。
在使用证书进行VPN 安全互联之前,请将CA 证书也导入到VPN 中。
网御神州科技(北京)有限公司
18
1.10.
2. SecGate VPN CA 中心软件
SecGate VPN CA 中心是一个简单的CA ,可以完成签发证书请求等功能。
z 打开SecGate VPN CA 中心,选择菜单“证书管理”中的“导入证书
请求”。导入后列表中出现导入证书请求。
z 选择“证书管理”中的“生成证书”选择有效期,如10年。输入CA
密码后,SecGate 默认CA 证书中心的CA 私钥口令是“111111”,六
个1。
z SecGate VPN CA 中心将利用CA 私钥将签发选择的证书请求,签发
成功后,选择“导出证书”将证书导出,然后就可以在SecGate 3600
安全网关或VPN 客户端上导入。
1.11. 动态域名
1.11.1. 使用动态域名的动态SecGate 3600安全网关
对于动态获取IP 地址的SecGate 3600安全网关,可在远程网关的配置中指定完全合格的域名 (FQDN )。例如,互联网服务提供商 (ISP) 有可能通过 PPPOE 或DHCP 将 IP 地址分配给客户。ISP 从大型地址池提取地址,并在客户联机时分配这些地址。尽管SecGate 3600安全网关拥有不变的 FQDN ,但其IP 地址的更改无法预测。SecGate 3600安全网关可使维护从FQDN 到动态分配的IP 地址的“域名服务”(DNS )映射(此过程称为动态 DNS )。
1.11.
2. 如何注册https://www.doczj.com/doc/ee4299388.html, 的动态域名
您可以使用以下步骤注册域名或者登陆https://www.doczj.com/doc/ee4299388.html, 网站阅读使用帮助。
1. 登陆www.332
https://www.doczj.com/doc/ee4299388.html,,点击“用户注册”或者“新用户注册”,在用户注
册界面输入您要注册的用户信息,然后提交注册。
2. 以您注册的用户名登陆后,可以管理域名,添加自己申请的域名。添
加方法是在管理域名界面左边的 “动态dns ”页面中,使用“新建”
网御神州科技(北京)有限公司
19
超链接。
1.1
2. 常见问题
1.1
2.1. VPN 不响应远程的密钥协商请求
在远程VPN 连接SecGate 3600安全网关之前,您必须添加一条策略。允许远程地址到SecGate 3600安全网关的VPN 服务接入。
1.1
2.2. VPN 的代理ID 配置
两个VPN 的代理 ID 必须匹配,这意味着两个对等方的代理 ID 中指定的网络相同,并且为一个对等方指定的本地 IP 地址与为另一个对等方指定的远程 IP 地址相同。
确保代理 ID 匹配的最简单的方法是使用 0.0.0.0/0 作为本地地址,使用 0.0.0.0/0 作为远程地址。SecGate VPN 不是使用代理ID 进行访问控制,而是使用策略对进出 VPN 的信息流进行控制。
网御神州科技(北京)有限公司
20
2. 第二章 用户认证
2.1. 概述
本安全网关提供内网用户帐户认证功能,内网用户必须经过身份认证才能使用外网的网络服务,管理员可以监控用户的网络使用情况,并对于访问流量和时间进行控制,主要功能如下:
z 控制通过认证的用户所使用的网络服务类型。
z 指定用户可以登录的地址和登录的时间。
z 限制用户的数据流量和登录时间。
z 控制用户的密码修改间隔时间。
z 选择用户认证协议。
z 支持RADIUS 服务器认证功能。
z 支持用户名/口令认证方式和电子钥匙认证方式。
用户需要在个人电脑上使用客户端软件进行认证,该软件兼容WIN98/2000/XP 系统,支持用户名/口令认证方式和电子钥匙认证方式。
2.2. 服务器
2.2.1. 功能
用户认证服务器分为本地服务器和RADIUS 服务器。
本地服务器即集成在安全网关上的用户认证服务器,管理员通过该服务器对在线用户进行控制和监控,除了基本的权限认证功能外,服务器还支持以下功能:
1. 创建/修改/删除用户或用户组并修改其相关属性。
2. 日志记录功能