安全客戶端用戶手冊-安全接入客戶端用戶手冊

1、湖南天一銀河信息產(chǎn)業(yè)有限公司PAGE PAGE 18湖南天一銀河信息產(chǎn)業(yè)有限公司安全客戶端用戶手冊v1.5湖南天一銀河信息產(chǎn)業(yè)有限公司目錄TOC o 1-3 h z HYPERLINK l _Toc48973365 1. 系統(tǒng)簡介 PAGEREF _Toc48973365 h 3 HYPERLINK l _Toc48973366 1.1 組成部分 PAGEREF _Toc48973366 h 3 HYPERLINK l _Toc48973367 1.2 功能特點 PAGEREF _Toc48973367 h 3 HYPERLINK l _Toc48973368 1.3 系統(tǒng)限制 PAGEREF

2、 _Toc48973368 h 4 HYPERLINK l _Toc48973369 2. 軟件安裝 PAGEREF _Toc48973369 h 4 HYPERLINK l _Toc48973370 3. 軟件使用 PAGEREF _Toc48973370 h 5 HYPERLINK l _Toc48973371 3.1 用戶登錄 PAGEREF _Toc48973371 h 6 HYPERLINK l _Toc48973372 3.2 主菜單 PAGEREF _Toc48973372 h 6 HYPERLINK l _Toc48973373 3.3 安全連接 PAGEREF _Toc489

3、73373 h 7 HYPERLINK l _Toc48973374 3.3.1 安全連接主界面 PAGEREF _Toc48973374 h 7 HYPERLINK l _Toc48973375 3.3.2 連接/斷開網(wǎng)關(guān) PAGEREF _Toc48973375 h 8 HYPERLINK l _Toc48973376 3.4 啟用/禁用 PAGEREF _Toc48973376 h 9 HYPERLINK l _Toc48973377 3.5 用戶信息 PAGEREF _Toc48973377 h 9 HYPERLINK l _Toc48973378 3.6 日志 PAGEREF _To

4、c48973378 h 9 HYPERLINK l _Toc48973379 3.7 更改PIN碼 PAGEREF _Toc48973379 h 10 HYPERLINK l _Toc48973380 3.8 策略服務(wù)器 PAGEREF _Toc48973380 h 10 HYPERLINK l _Toc48973381 3.9 NAT穿透（NAT-T） PAGEREF _Toc48973381 h 12 HYPERLINK l _Toc48973382 3.10 關(guān)于 PAGEREF _Toc48973382 h 12 HYPERLINK l _Toc48973383 4ADSL接入下的使用

5、 PAGEREF _Toc48973383 h 121. 系統(tǒng)簡介安全客戶端(SureClient)是一套運行于MS windows 98/2000/XP平臺上的產(chǎn)品，是安全網(wǎng)關(guān)的客戶端配套產(chǎn)品。該套產(chǎn)品可以使得企業(yè)的移動辦公人員或企業(yè)的合作伙伴能安全可控地訪問企業(yè)的內(nèi)部資源。由于數(shù)據(jù)在公網(wǎng)上傳輸，不需要專線，可以大大降低用戶的通信成本。1.1 組成部分該套產(chǎn)品包括3個組成部分：安全客戶端管理軟件系統(tǒng)管理員使用，用于對用戶的管理及個人身份鑰匙的制作。具體使用請參閱“安全客戶端管理員手冊”。安全客戶端軟件安裝在終端用戶主機上的軟件，目前支持的操作系統(tǒng)為Win98/2000/XP， 和個人身份鑰匙

6、(SureID)配合使用，完成企業(yè)內(nèi)網(wǎng)的安全接入。用戶身份鑰匙(SureID)。USB接口，外形小巧。由安全客戶端管理員制作，是用戶身份的標識，和客戶端軟件配套使用，完成對用戶的身份識別。SureID外形圖1.2 功能特點該套軟件在IP層對數(shù)據(jù)進行加解密，對上層應(yīng)用軟件透明，一旦安裝了該軟件，就可以對所有使用TCP/IP協(xié)議通信的應(yīng)用實現(xiàn)對用戶透明的安全保護。個人身份信息存放于SureID。用戶只需攜帶該鑰匙，就可以在任何地方安全訪問企業(yè)內(nèi)部許可的資源。支持預共享密鑰和數(shù)字證書的認證方式。同時支持以太網(wǎng)、ADSL撥號以及Modem撥號接入Internet方式。支持策略服務(wù)器，能夠和使用動態(tài)IP

7、接入的安全網(wǎng)關(guān)進行VPN安全連接。SureID的訪問受用戶口令保護。1.3 系統(tǒng)限制目前只能在MS windows 98/2000/XP上安裝。系統(tǒng)上不能同時安裝使用其他IPSEC協(xié)議的VPN客戶端軟件， 否則不能正常工作。如果系統(tǒng)上安裝了其他利用中間層技術(shù)的底層軟件，可能會導致系統(tǒng)異常，建議在安裝安全客戶端之前將此類軟件卸載。2. 軟件安裝軟件的安裝非常簡單， 運行安裝光盤中的setup.exe， 按照其缺省設(shè)置即可完成。運行setup.exe，彈出的安裝提示界面如下：按照界面提示選擇“Yes”，經(jīng)過license和目錄選擇界面，會出現(xiàn)如下的界面。此時執(zhí)行驅(qū)動程序文件的安裝，該過程將會要持續(xù)

8、10多秒種，不要中途中斷。上述窗口關(guān)閉后，重新啟動計算機，安全客戶端（配合適當?shù)腢SB KEY）就能正常運行了。3. 軟件使用從“開始菜單欄程序天一銀河安全客戶端”中，可以啟動安全客戶端。3.1 用戶登錄用戶身份鑰匙受口令保護，用戶啟動SureClient時，必須經(jīng)過口令校驗方能讀取用戶身份鑰匙中的信息。在口令輸入框里輸入PIN碼（初始PIN碼為”00000000”），會彈出一個窗口（如下圖所示）此時正在讀取用戶的配置信息，此過程可能需要515秒。登錄成功之后，會彈出安全連接對話框，同時在屏幕右下角的工具欄里會出現(xiàn)一個黑色和紅色箭頭組成的圖標（見下圖），即為安全客戶端軟件。單擊右鍵則彈出程序。

9、3.2 主菜單右鍵單擊和左鍵雙擊程序圖標，會彈出如下圖主菜單：3.3 安全連接安全客戶端如果要訪問某安全網(wǎng)關(guān)所保護的企業(yè)資源，必須先同該網(wǎng)關(guān)建立起安全連接。3.3.1 安全連接主界面單擊主菜單中的“安全連接”，可彈出安全連接對話框。 安全連接對話框主要由以下幾個區(qū)域組成：網(wǎng)關(guān)列表顯示用戶可以進行安全通信的安全網(wǎng)關(guān)。紅色圖標表示和該網(wǎng)關(guān)沒有連接，綠色表示已經(jīng)連接。 網(wǎng)關(guān)信息區(qū)域顯示當前所選的網(wǎng)關(guān)及其所保護資源的相關(guān)信息。目的地址：由IP地址和掩碼表示，表示該連接建立后，該主機可以訪問的IP地址范圍。目的端口：該主機可以訪問的端口?！叭我狻北硎救我舛丝凇鬏攨f(xié)議：表示IP上層協(xié)議，如TCP， UD

10、P， ICMP等。隧道端點：表示安全隧道的終點，實際上是對等安全網(wǎng)關(guān)的外部IP地址。狀態(tài)欄動態(tài)顯示與網(wǎng)關(guān)安全連接的狀態(tài)。3.3.2 連接/斷開網(wǎng)關(guān)連接 在網(wǎng)關(guān)列表中選中所想連接的網(wǎng)關(guān)，點擊“連接”按鈕，即可發(fā)起連接請求。如果配置正確，對方網(wǎng)關(guān)也配置正確，經(jīng)過幾秒種后，安全連接建立成功，就可以和該網(wǎng)關(guān)保護的內(nèi)網(wǎng)的主機進行安全通信了。此時安全連接主界面就變?yōu)槿缦聢D所示：斷開在列表中選擇要斷開連接的網(wǎng)關(guān)，單擊“斷開”，可斷開與該網(wǎng)關(guān)的安全連接。返回如果要關(guān)閉該窗口，鼠標單擊“返回”。3.4 啟用/禁用如果用戶暫時不需要提供安全連接時（如：在企業(yè)的內(nèi)網(wǎng)），可以使用禁用功能（如下圖所示）。禁用后，軟件對

11、本機發(fā)起的數(shù)據(jù)通信不做任何操作，用戶可以忽略此軟件的存在。當重新“啟用”安全客戶端的加密與安全通信功能時，不再需要輸入用戶PIN碼。禁用單擊主菜單中的“禁用”，可實現(xiàn)禁用。啟用禁用后，如果想重新啟用，點擊主菜單中的“啟用”。該軟件啟動后，缺省狀態(tài)是“啟用”。3.5 用戶信息用戶信息提供了關(guān)于用戶自身的相關(guān)的信息（由管理員統(tǒng)一規(guī)劃確定，用戶只能查看）在主菜單中選擇“用戶信息”，會彈出用戶信息窗口：用戶名標識不同用戶。用戶類別由系統(tǒng)管理員定義的用于區(qū)分不同用戶的級別。私有ip分配給此用戶的在內(nèi)部網(wǎng)中的網(wǎng)絡(luò)IP地址。認證方式客戶端軟件同網(wǎng)關(guān)認證時采取的認證方式，預共享密鑰認證或證書認證。OCSP服務(wù)

12、器地址如果是證書認證方式，該項表示在線證書認證服務(wù)器的地址。OCSP端口要去訪問的OCSP服務(wù)器的端口。3.6 日志用戶可以在需要時查看日志，當出現(xiàn)問題時，也可以按日志中內(nèi)容的描述給管理員，以便分析故障。當日志文件太大，系統(tǒng)會自動刪除。日志的內(nèi)容按照時間順序排列。日志格式月/日/年 時：分：秒 日志信息導出日志用戶可以導出日志信息，此時所有的日志條目將以文本格式保存在用戶指定的位置。清除日志刪除所有的日志信息，此過程不可恢復。返回關(guān)閉日志窗口。3.7 更改PIN碼SureClient 提供了更改PIN碼功能，用戶可以隨時根據(jù)需要更改PIN碼，更改成功后在下次啟動時生效。在主菜單中選擇 “更改口

13、令” 欄， 會彈出如下圖對話框：輸入原有口令及新口令（最大長度為8）即可。3.8 策略服務(wù)器如果安全客戶端訪問的網(wǎng)關(guān)是使用策略服務(wù)器，那么安全客戶端也必須使用策略服務(wù)器才能和網(wǎng)關(guān)實現(xiàn)安全通訊，操作方法如下：點擊主菜單中的“高級”，可以彈出如下對話框：在“策略服務(wù)配置”欄中選擇“使用”，并且輸入服務(wù)器地址，客戶端ID及口令，如下：然后點擊“刷新列表”。“客戶端所在域信息”欄中會顯示客戶端當前的基本信息，包括連接狀態(tài)，VPN社區(qū)，客戶端所在的VPN域以及該域中的網(wǎng)關(guān)數(shù)?！皠討B(tài)網(wǎng)關(guān)信息”欄中會顯示VPN域中當前網(wǎng)關(guān)的基本信息，包括網(wǎng)關(guān)ID，網(wǎng)關(guān)名稱，子網(wǎng)地址，子網(wǎng)掩碼，公網(wǎng)IP及其是否在線（將拉動條

14、向右拉可以看到該條目）。設(shè)置完以上策略服務(wù)信息后，安全客戶端就可以和該域中在線的網(wǎng)關(guān)保護的子網(wǎng)實現(xiàn)安全通訊，操作方法前面已介紹，這里不再贅述。注意：如果和安全客戶端通訊的安全網(wǎng)關(guān)公網(wǎng)地址發(fā)生變化，安全客戶端必須重新連接，并且如果“安全連接”中的“隧道端點”沒有更新，請點擊“策略服務(wù)器”中的“刷新列表”按鈕3.9 NAT穿透（NAT-T）正常的IPSec協(xié)議（VPN的關(guān)鍵協(xié)議），不能穿透NAT設(shè)備，導致“公有IP私有IP”間不能建立VPN連接。當安全客戶端處于NAT設(shè)備后面（如：在某公司的內(nèi)網(wǎng)中，通過ADSL/Cable Modem等設(shè)備共享上網(wǎng)）。這時，如果安全客戶端要和遠端部署的安全網(wǎng)關(guān)相連，需要將“NAT-T設(shè)置”的可選項“本機在NAT設(shè)備后面”選中。這樣，安全客戶端將采用NAT穿透技術(shù)（NATT），和遠端的安全網(wǎng)關(guān)進行VPN連接。3.10 關(guān)于菜單中選擇 “關(guān)于”，彈出下面的窗口。4ADSL接入下的使用如果移動用戶的網(wǎng)絡(luò)接入方式為ADSL（采用普通電話modem撥號上網(wǎng)則不需要進行任何處理），并且使用ADSL撥號軟件（如：Enternet）進行PPPoE撥號，則在運行安全客戶端軟件之前必須取消本地網(wǎng)卡上綁定的“ADT IPSec”協(xié)議；而保留安裝PPPoE撥號軟件時生成的“虛擬網(wǎng)卡”上綁定的“ADT IPSec”協(xié)議。否則，安全客戶端不能夠正常工作。如下圖，在