深信服ipsecVPN使用手冊

深信服ipｓec-VＰN使用手冊————————————————————————————————作者：————————————————————————————————日期: SＳL５.5顧客手冊2０３月?目錄TOC\o"1-5"＼h＼z＼uHYPERLＩNKＳSL5.5顧客手冊 ＰAＧEＲＥＦ＿Ｔoc\h1HYＰERＬＩNＫ\l＂_Tｏc"申明?ＰAGＥＲEF_Toｃ\h3HYPERLＩNK\l＂_Tｏｃ＂第1章控制臺(tái)的使用?ＰＡGEREF_Ｔoc\ｈ４1．1.登錄WebUI配置界面 PAGERＥＦ_Toｃ＼h4HＹPEＲLINK\ｌ"_Ｔoc"1.2.運(yùn)行狀態(tài)?PAGERＥF_Toc\h5ＨYPＥＲLINK＼l＂＿Ｔoc"第2章系統(tǒng)設(shè)置 PＡＧＥRＥＦ＿Ｔoc\h6HＹPERLＩNK第３章IPSEＣ-VPN信息設(shè)置 PＡGERＥF_Tｏc＼h7HYPＥRLINＫ\l"_Toc"３.1.運(yùn)行狀態(tài)?ＰAGEREＦ_Ｔoc＼h7HYPEＲLＩＮＫ\l＂_Ｔoc"3.2．RＩP設(shè)置?PAGＥＲＥＦ_Tｏc\ｈ８ＨYPＥＲLIＮＫ3.３．VPN接口 PＡＧＥREF_Ｔoc\h１０HYPEＲLINK＼l"＿Tｏc"3.４.LＤAＰ設(shè)置?PAＧEREF＿Toc＼ｈ10HYＰEＲLＩNK＼ｌ"_Toc"3．5．Radｉｕs設(shè)置?PAGERＥＦ_Toｃ\h13HＹＰEＲＬINK＼ｌ"＿Toc"3.６.生成證書 PAGERＥF_Toc\h１３HYPＥRLINK\l"_Tｏｃ"3.7.第三方對接?PAGEREF＿Toｃ\h15＿Ｔoｃ"3.7．2．第二階段 PAGEREＦ_Toc\ｈ17HＹＰERLＩNK3.7.3.安全選項(xiàng)?PAGＥREF_Toｃ\h１9第４章SＳLＶPN客戶端使用 PAGＥRＥF_Toc\h21ＨＹＰERＬINK\ｌ"_Toc"4.1.SＳLVＰN客戶端使用闡明 PAGEＲEF＿Tｏｃ＼ｈ２5申明Copyｒighｔ?201２深圳市深信服電子科技有限企業(yè)及其許可者版權(quán)所有，保留一切權(quán)利。未經(jīng)我司書面許可，任何單位和個(gè)人不得私自摘抄、復(fù)制本書內(nèi)容的部分或所有，并不得以任何形式傳播。SINＦOR、SAＮGFOR及圖標(biāo)為深圳市深信服電子科技有限企業(yè)的商標(biāo)。對于本手冊出現(xiàn)的其他企業(yè)的商標(biāo)、產(chǎn)品標(biāo)識(shí)和商品名稱，由各自權(quán)利人擁有。除非另有約定，本手冊僅作為使用指導(dǎo)，本手冊中的所有陳說、信息和提議不構(gòu)成任何明示或暗示的擔(dān)保。本手冊內(nèi)容如發(fā)生更改，恕不另行告知。如需要獲取最新手冊,請聯(lián)絡(luò)深信服電子科技有限企業(yè)客戶服務(wù)部。控制臺(tái)的使用登錄WebUI配置界面按照前面所示措施接好線后，通過Ｗeb界面來配置ＶPN設(shè)備。措施如下：首先為本機(jī)器配置一種１0.254．254.X網(wǎng)段的IＰ（如配置10.２54.25４．1００）,掩碼配置為255．２５5.255.０,然后在IE瀏覽器中輸入網(wǎng)關(guān)的默認(rèn)登錄IＰ及端口，輸入HYPＥRLＩNK""ｈttp：/／1０.2５4.25４.25４:1０00,頁面如下：在登錄框輸入『顧客名』和『密碼』,點(diǎn)擊登錄按鈕即可登錄VPN網(wǎng)關(guān)進(jìn)行配置,默認(rèn)狀況下的顧客名和密碼均為：Adｍin。假如需要查看目前網(wǎng)關(guān)的版本號(hào),可點(diǎn)擊查看版本,即顯示目前硬件的版本信息。登錄WebUI配置界面后,可以看到有如下配置內(nèi)容:如下圖所示：『運(yùn)行狀態(tài)』：此處可以查看目前設(shè)備的運(yùn)行狀態(tài)。『系統(tǒng)設(shè)置』:此處可設(shè)置設(shè)備的序列號(hào)、網(wǎng)絡(luò)配置及多種常見全局性配置?！篠SLVPN設(shè)置』:設(shè)置ＳSLＶPN有關(guān)信息?！篒PSECＶPN設(shè)置』：設(shè)置IＰSＥCVPN互聯(lián)信息?！悍阑饓υO(shè)置』:設(shè)置設(shè)備內(nèi)置的防火墻規(guī)則及方略?！合到y(tǒng)維護(hù)』:用來查看日志、備份/恢復(fù)設(shè)備的配置信息，重啟設(shè)備／服務(wù)或關(guān)閉設(shè)備。注意：所有配置界面中假如有[確定]、[保留]、[配置生效]按鈕,則配置完畢后,必須要點(diǎn)擊該按鈕才能使設(shè)置保留并生效,背面的文檔不再贅述。運(yùn)行狀態(tài)『SSLＶPN運(yùn)行狀態(tài)』里面可以查看『系統(tǒng)狀態(tài)』，『在線顧客』,『告警日志』，『遠(yuǎn)程應(yīng)用』。界面如下圖所示:系統(tǒng)設(shè)置『系統(tǒng)設(shè)置』包括『系統(tǒng)配置』，『網(wǎng)絡(luò)配置』,『時(shí)間計(jì)劃』，『管理員賬號(hào)』,『SSLVＰN選項(xiàng)』五個(gè)大模塊。如下圖：IPＳEC-VPN信息設(shè)置運(yùn)行狀態(tài)此頁面可以查看目前的ＶPN連接狀態(tài)和網(wǎng)絡(luò)流量信息。頁面如下:點(diǎn)擊分支NAT狀態(tài)可以查看目前分支NAT狀態(tài),包括顧客名、原子網(wǎng)網(wǎng)段、代理子網(wǎng)網(wǎng)段、網(wǎng)絡(luò)類型和子網(wǎng)掩碼。頁面如下：點(diǎn)擊查找顧客輸入顧客名，可以迅速找到目前顧客的連接狀況。頁面如下：點(diǎn)擊顯示選項(xiàng),可以對顯示的列進(jìn)行篩選。頁面如下:點(diǎn)擊停止服務(wù)可臨時(shí)停止VPN服務(wù)。然后在『顧客管理』新建顧客時(shí),在『組播服務(wù)』里選擇剛定義好的組播服務(wù)。頁面如下:ＲIＰ設(shè)置用于設(shè)置SAＮGＦORVＰN設(shè)備通過RIPv2協(xié)議向其他路由設(shè)備通告路由信息,以實(shí)現(xiàn)內(nèi)網(wǎng)路由設(shè)備ＲIＰ路由信息的動(dòng)態(tài)更新。［啟用路由選擇信息協(xié)議]:是整個(gè)動(dòng)態(tài)路由更新功能的開關(guān),激活后,SＡＮGFＯRVＰN設(shè)備會(huì)向所設(shè)置的內(nèi)網(wǎng)路由設(shè)備通告已與本端建立VＰN連接的對端網(wǎng)絡(luò)的信息（更新其他設(shè)備的路由表，添加到VＰN對端的路由指向ＳANGFOＲＶPN設(shè)備,VＰN連接斷開后會(huì)通告路由設(shè)備刪除該路由）。設(shè)備自身不接受RIＰ路由協(xié)議的動(dòng)態(tài)更新,VPN設(shè)備要跟其他啟用了RIP協(xié)議的內(nèi)網(wǎng)路由器通訊,則需要在VPＮ設(shè)備上手動(dòng)添加靜態(tài)路由。[啟用密碼驗(yàn)證］:用于設(shè)置互換ＲＩPv2協(xié)議信息時(shí)需要驗(yàn)證的密碼，可視詳細(xì)狀況進(jìn)行設(shè)置?！海蒔地址』和『端口』:用于設(shè)置積極向哪個(gè)IＰ(路由設(shè)備IＰ)公布路由更新信息。[需要觸發(fā)更新］:勾選后，VPN設(shè)備在路由信息有變化時(shí)會(huì)觸發(fā)路由更新信息過程,這時(shí)下面設(shè)置的RIP更新周期參數(shù)失效。［記錄日志]:勾選,則VPN設(shè)備會(huì)記錄RIＰ路由更新的日志信息。最終點(diǎn)擊確定保留配置。ＶPN接口VPN接口設(shè)置,用于設(shè)置VＰN服務(wù)虛擬網(wǎng)卡IP。頁面如下:注意:默認(rèn)狀況下請?jiān)O(shè)置為［使用自動(dòng)分派的ＶPN接口IＰ］,假如出現(xiàn)IP沖突的提醒,可改為自定義IP并進(jìn)行設(shè)置。VPN接口是VＰN硬件網(wǎng)關(guān)系統(tǒng)的虛擬接口,外觀上并不存在對應(yīng)的真實(shí)物理接口。LDAＰ設(shè)置ＳANGＦＯRVＰＮ設(shè)備的VPN服務(wù)支持使用第三方LDAP認(rèn)證。如需要啟用第三方認(rèn)證,請?jiān)凇篖ＤAP服務(wù)器設(shè)置』中對的設(shè)置第三方LDAP服務(wù)器信息（包括LDAＰ服務(wù)器IP、LDAＰ服務(wù)器端口、LDAP管理員密碼）,頁面如下:其中，管理員名稱需使用域管理員帳號(hào),并且填寫完整的格式，例如：“”（不包括引號(hào)）設(shè)置好ＬDAＰ服務(wù)器信息后，請點(diǎn)擊高級(jí),顯示【LDAP高級(jí)設(shè)置】對話框，按照實(shí)際需求設(shè)置LDAP高級(jí)信息,頁面如下:『顧客過濾參數(shù)』和『登錄名屬性』保留默認(rèn)值即可，填寫好顧客根目錄及查詢目錄（顧客接入校驗(yàn)時(shí)都是使用查詢目錄來查詢并校驗(yàn)的,只有有當(dāng)查詢目錄為空的時(shí)候才用根目錄,導(dǎo)入顧客的時(shí)候使用顧客根目錄來導(dǎo)入)。點(diǎn)擊測試,輸入一種域顧客名及密碼，假如測試通過，則ＬDＡＰ配置對的,頁面如下:點(diǎn)確定完畢配置。LDAＰ認(rèn)證僅支持微軟的AＤ和Novell的eDirectory兩種,ＯpenLDＡP等暫不支持。Rａdius設(shè)置設(shè)置界面如下：填寫『Ｒａdiuｓ服務(wù)器IP』、『Ｒadiｕｓ服務(wù)器端口』、『認(rèn)證共享密鑰』和『Radius認(rèn)證協(xié)議』。勾選[啟用Radiｕs認(rèn)證］即可。生成證書基于硬件特性的證書認(rèn)證系統(tǒng)是深信服企業(yè)的發(fā)明專利之一。ＳANGFＯRSSＬVPＮ硬件設(shè)備和SＡＮGFＯＲDLANVPN軟件同樣,都采用了該技術(shù)用于不一樣VＰＮ節(jié)點(diǎn)之間的身份認(rèn)證。該證書提取了ＳSLVＰＮ設(shè)備或安裝ＤLＡNVPN軟件的計(jì)算機(jī)的部分硬件特性(如網(wǎng)卡、硬盤等)生成加密的認(rèn)證證書。由于硬件特性的唯一性,使得該證書也是唯一的、不可偽造的。通過對該硬件特性的驗(yàn)證,就保障了只有指定的硬件設(shè)備才能接入授權(quán)的網(wǎng)絡(luò),防止了安全隱患。頁面如下:點(diǎn)擊生成證書,選擇證書保留途徑,點(diǎn)擊保留即可。證書保留到當(dāng)?shù)睾?，還需要將該證書通過某種方式（如電子郵件或U盤等)提供應(yīng)需要接入的站點(diǎn)管理員，由該站點(diǎn)管理員將證書與顧客名綁定（即在總部建顧客時(shí)，啟用硬件捆綁鑒權(quán)，詳見5.4章節(jié)）。后來該用入接入總部時(shí),會(huì)自動(dòng)驗(yàn)證接入的計(jì)算機(jī)身份的合法性。第三方對接SAＮGＦＯＲVPN硬件網(wǎng)關(guān)提供了與第三方VPN設(shè)備互聯(lián)的功能,能與第三方的原則IPSEＣVＰN設(shè)備建立VPN連接。第一階段『第一階段』用于設(shè)置需要與SANＧＦORVＰN網(wǎng)關(guān)建立原則ＩPＳec連接的對端ＶPN設(shè)備的有關(guān)信息，也就是原則IPＳeｃ協(xié)議協(xié)商的第一階段。頁面如下：選擇線路出口，點(diǎn)擊新增，顯示『設(shè)備列表設(shè)置』對話框,頁面如下：點(diǎn)擊高級(jí)，顯示『高級(jí)選項(xiàng)』對話框，可進(jìn)行其他高級(jí)設(shè)置，頁面如下:第二階段第二階段重要配置VPN的『入站方略』和『出站方略』,如下圖：『入站方略』用于設(shè)置由對端發(fā)到本端的數(shù)據(jù)包規(guī)則，點(diǎn)擊新增,顯示【方略設(shè)置】對話框,頁面如下:『出站方略』用于設(shè)置從本端發(fā)往對端的數(shù)據(jù)包規(guī)則,點(diǎn)擊新增,顯示【方略設(shè)置】對話框，頁面如下：安全選項(xiàng)『安全選項(xiàng)』用于設(shè)置與對端建立原則IPSec連接時(shí)所使用的安全參數(shù)。頁面如下:在建立與第三方設(shè)備的ＩPSec連接前，請先確定對端設(shè)備采用何種連接方略,包括:使用的『協(xié)議』(AH或EＳP)、『認(rèn)證算法』（ＭD5或SHＡ-1）、『加密算法』（DES、3DEＳ、AES)，點(diǎn)擊新增，添加新的選項(xiàng),頁面如下:SANGFORVPN網(wǎng)關(guān)會(huì)使用設(shè)置好的連接方略與對端協(xié)商建立ＩPSｅc連接?！喊踩x項(xiàng)』中的『加密算法』用于設(shè)置原則IPSeｃ連接的第二階段所使用的數(shù)據(jù)加密算法,假如要與多種采用不一樣連接方略的設(shè)備互聯(lián)，需要分別將各個(gè)設(shè)備使用的連接方略添加到『安全選項(xiàng)』中。『出站方略』和『入站方略』中方略所對應(yīng)的源ＩP地址是指『源ＩＰ類型』和『本/對端服務(wù)』。注意:『出站方略』和『入站方略』中的『出站服務(wù)』、『入站服務(wù)』和『時(shí)間設(shè)置』均為SＡNＧFOR擴(kuò)展的規(guī)則,此類規(guī)則僅在本端設(shè)備生效，在與第三方設(shè)備建立VＰN連接的過程中不會(huì)協(xié)商此類規(guī)則。SＳLVPN客戶端使用輸入顧客名密碼及校驗(yàn)碼后,點(diǎn)擊登錄,即可登陸ＳSLVPN。『證書登錄』連接用于數(shù)字證書認(rèn)證顧客登錄（數(shù)字證書手動(dòng)安裝在IE上的顧客）。『ＵSB-Keｙ登錄』用于使用USB-Ｋeｙ認(rèn)證的顧客登錄（包括有驅(qū)UＳB－Key和無驅(qū)UＳB-Ｋｅy）。登錄成功后會(huì)出現(xiàn)SSＬVＰN資源列表界面如下:界面會(huì)顯示該SSLVPN顧客可用的SSＬＶPN內(nèi)網(wǎng)資源列表,對于Wｅｂ類型或B/S構(gòu)造的資源，直接點(diǎn)擊資源列表中的超鏈接即可訪問,對于其他C/Ｓ構(gòu)造的資源,則可直接打開Ｃlｉｅnt客戶端,通過連接服務(wù)器的內(nèi)網(wǎng)ＩＰ來訪問。假如登錄SＳLVＰＮ的顧客需要訪問總部定義好的『TCP應(yīng)用』和『L3ＶPＮ應(yīng)用』，則登錄成功后，會(huì)自動(dòng)安裝控件或者需要點(diǎn)擊啟用TCP服務(wù)控件和啟用L3VＰＮ服務(wù)控件,如下圖所示:注：若在『系統(tǒng)設(shè)置』→『SSLVPN選項(xiàng)』→『系統(tǒng)選項(xiàng)』→『客戶端選項(xiàng)』,勾選了顧客登錄后,自動(dòng)安裝TCP、L３VPN應(yīng)用組件,那么ＳSL客戶端登陸時(shí)，會(huì)自動(dòng)安裝上述兩個(gè)組件。若沒有勾選,則需要在上述頁面手動(dòng)安裝。如下圖：至此，完畢了一次SSLＶPN顧客登陸的過程。需要退出SＳLVPN時(shí)，點(diǎn)擊右上角的注銷按鈕,即可安全退出SSＬＶＰN。注銷之后,顧客將不能訪問ＳSLVPN的資源。資源列表上方的設(shè)置按鈕,可讓顧客自行修改密碼，界面如下：點(diǎn)擊[修改],如下圖所示:修改后,點(diǎn)擊保留即可成功修改顧客的登錄密碼?！合到y(tǒng)設(shè)置』下，顯示的內(nèi)容與SSLVPＮ配置有關(guān)，請以實(shí)際顯示的為準(zhǔn)。對于使用UＳB-ＫＥY的顧客登錄SSLVＰN的過程,和一般顧客登錄稍有不一樣。ＵSB-ＫEY顧客登錄時(shí),打開瀏覽器輸入SＳLVPＮ登錄網(wǎng)址,在登錄界面處,插入U(xiǎn)ＳＢ-Key，點(diǎn)擊USＢ-ＫＥY登錄即進(jìn)入U(xiǎn)ＳB－KEY顧客的登錄界面，（或前面直接取消修改PIN的操作）,界面如下：輸入顧客USB－Key的PＩN碼，設(shè)備會(huì)自動(dòng)校驗(yàn)客戶端信息，校驗(yàn)成功能，即遠(yuǎn)成SＳLＶPN客戶端登陸。UＳB－Keｙ顧客登錄后,點(diǎn)擊資源列表上方的設(shè)置按鈕，可讓顧客自行修改密碼和UＳB-Key的ＰIN碼,界面如下：點(diǎn)擊修改，如下圖所示：輸入[舊PIＮ碼]和[新PＩＮ碼]，點(diǎn)擊保留即修改成功。注意：登錄SＳＬＶＰN之后,假如相隔一段時(shí)間，沒有訪問SSLＶＰN內(nèi)網(wǎng)資源,或者客戶端這邊沒有任何操作,ＳＳLVPＮ會(huì)超時(shí),自動(dòng)注銷。超時(shí)時(shí)間設(shè)置請參照4．5章節(jié)。SSLVＰN客戶端使用闡明顧客通過IＥ登陸了SSＬＶPN后,會(huì)自動(dòng)在電腦上安裝SＳＬVＰＮ客戶端組件。在『系統(tǒng)設(shè)置』→『ＳSＬVＰN選項(xiàng)』→『系統(tǒng)選項(xiàng)』→『客戶端選項(xiàng)』。可選擇[由顧客手動(dòng)安裝組件]或［自動(dòng)安裝組件]。若選擇為手動(dòng)安裝，則在登陸時(shí)，會(huì)提醒：點(diǎn)擊安裝硬件特性碼組件