SJW系列TPN安全网关配置手册

SJW74系列TPN安全网关配置手册V5. 1QjADTAssured Data2008年4月第1章 TPN安全网关简介61.3应用环境71.5接入方式8第2章开始配置安全网关92.!配置工具和配置方式92.1.1 配置工具92.1.2 配置途径92.2 对安全网关进行实时配置92.2.1 通过串行口对网关进行实时配置102.2.2 通过网络对网关进行实时配置112.3 实时保存配置信息122.4 导入导出配置文件122.5 清仝安全网关配置13第3章初始化向导143.1设备初始化的步骤14第4章系统基本信息配置194.1 配置软件的基本结构194.2 系统维护194.2.3 设备管理214.2.4 集中管理.224.2.5 设备告警.234.3 网络设置274.3.3 基本设置.274.3.4 网络接口294.3.4 DHCP 服务324.4.2 网协乂404.4.3 网络服务41第5章VPN配置465.2 VPN 的相美日475.2.1 身份认证方式和缺省预共享密钥475.2.2 数字证书.485.2.3 密钥生命周期.525.2.4 NAJ穿透功能535.2.6 动态1女人555.3 配置局域网到局域网的VPN565.3.1 典型环境下的VPN配置.575.3.2 局域网中有多个网段时的VPN配置.625.4 VPN 向导66第6章防火墙配置706.1 地址映射（NAT）配置706.1.1 配置NAT的通常步骤.706.1.2 添加NA！对象706.2 状态检测配置756.3 快速过滤配置766.4 HTTP检测配置776.4.1 非法 URL 检测设置776.4.2 URL 过滤以置786.4.4 HTTP检测在策略中的设置.816.5 用户认证配置826.6 攻击检测配置846.7 IDS互动配置876.8 MAC地址绑定配置886.9 网关ARP代理89第7章安全策略917.!安全策略的匹配917.1.1 策略的匹配机制和快速匹配功能917.1.2 策略生效时间.927.2 安全策略的顺序调整927.3 安全策略相关操作93第8章多链路配置948.1. 工作原理.948.1.2 配置方法948.1.3 配置实例.968.2.1工作原理1018.3策略路由105第9章WEB客户端1089.1寸 入 WEB 客 , 而108第10章 TPN配置11010.1.1基本M底11010.1.3权限对象11510.2 用户/认证管理12610.2.1 用户管理.12610.2.2 在线用户13010.2.3 禁用用户13110.2.4 认证服务器（第三方服务器认证）13110.2.5 认证选项.13210.3 TPN 向导13310.4 自定义进程特征库13610.5 TPN推荐配置顺序137第11章事件与报告13911.1 系统日志13911.2 流量统计14111.3 威胁报告142第12章其他功能14412.1 流量控制14412.1.1 基于策略的流量制.14412.1.2 基于用户的流量控制.14712.2 移动加速14912.4 调整NAT映射表项刷新时间15312.5.5 文件导入 导出功能1581.1.1 1 内核升级15912.7 义王重16412.8 恢复备份配置16412.9 听新装弐灾酉白165附录166附录A主要名词术语解释166附录B安全网关配置常见问题166附录C 推荐配置顺序168感谢您购买ADTSJW74系列安全网关!本手册将为您详细介绍安达通SJW74TPN系列安全网关的使用方法。欢迎访问安达通公司网站him:,及致电本公司400-880-1233。第1章TPN安全网关简介1.1 功能简介 安全网关应用IKE技术和Ipsec技术对!P数据流进行端到端的加密保护,实现异 地子网之间的安全互联,以及移动用户对固定网络的安全接入,提供VPN服务; 安全网关应用NAT技术使得企业内部私有地址能够访问外部互联网,并且能将内 网服务器的端口映射到公网上; 安全网关应用包过滤和状态检测技术保护内网主机和服务器,提供防火墙的功能: 安全网关具有链路备份和负载均衡的功能,支持在两条线路接入下的链路备份功能, 以及多条线路（2-3条）接入下的链路负载均衡功能 安全网关具备隧道接、隧道嵌套、VPN后NAT、NAT后VPN等多种高级功能, 能够组建各种复杂的VPN网络，满足客户的各种应用需求。 安全网关和TPN主机端程序利用身份认证技术和主机检测技术，实现进程检测和 接入安全功能。1.2 硬件接口以SJW74T-1000为例，安全网关外形如下图所示:SJW74T-300、SJW74T-500、SJW74T-IOOO、安全网关带有 4 个网口，其中一个 LAN , 个 WAN ,个 EXTO 口和一个 EXTI （均为 10/100M 自适应,WAN/EXT0/EXT1 均可做为 公网出口）；SJW74T-I5OO、SJW74T-3000 安全网关带有 4 个网口,其中一个 LAN ,个 WAN , 一一个EXT0 口和一个EXT1 （均为10/100M/1000M自适应,WAN/EXT0/EXT!均可做为公网出 ）;各型号的网关还具备:两个COM ,COM1用于配置和故障恢复,COM2作为双机热备时“心跳线”的连接口;!个电源指示灯;4个网络接口指示灯。1.3 应用环境SJW74安全网关的典型应用环境如下图,总部采用两条用户可以参考该图规划自己的应用环境。1.4 工作模式安全网关支持在路由模式和透明模式两种模式下工作,能够满足在各种网络环境下的 应用。在路由模式下，安全网关作为个三层设备工作,通常部署在内外网的边界,为内外 网提供路由、防火墙过滤、NAT和IPSEC加密等功能；在透明模式下,安全网关作为个透明网桥工作在二层,对通过安全网关的数据流进 行包过滤或提供IPSEC加密服务。此时,可以任意设置LAN 口和WAN 地址。使用透明 模式可以不改变用户原有的网络结构和地址规划，并且能使非IP的其他协议（比如IPX、 NETBEUI等）顺利透过安全网关；另外，ADT安全网关还具备个非常有用的特点,即在透明模式下还能正常提供路由 模式下具备的路由转发、NAT等功能,在些特殊场合下,该特性能实现“混和工作模 式”（即透明和路由并存）。注意:支持多线路接入的链路备份和链路均衡功能只在路由模式下有效。1.5 接入方式SJW74系列安全网关支持以太网固定地址接入、DHCP自动获取地址接入、PPPOE拨 号接入（比如ADSL、CABLE）等几种方式,多线路接入时,可以实现上述各种接入方式 的组合,同时能支持多个PPPOE拨号链路，能适用于绝大部分的网络环境。第2章开始配置安全网关2.1 配置工具和配置方式2.1.1 配置工具在安全网关能正常工作之前,必须经过正确的系统配置:对安全网关的各种配置操作都 需要通过安全网关控制台（SureConsole）软件进行。2.1.2 配置途径安全网关控制台能通过网络和COM 两种手段对安全网关进行配置。通常使用COM 对安全网关进行初始化配置,使用网络进行远程管理和配置;通过网络进行配置时，安全网关控制台软件使用SSL来保证与安全网关通信数据的安 全;无论通过网络还是串行口对安全网关进行配置，都需要进行用户认证。2.2 对安全网关进行实时配置安全网关的出厂缺省配置;根用户:root 根用户缺省密码:changeit （中文意思为“改掉它”） AN 1P 地址:192.168.1.1,掩码:255.255.255.0其他接口 IP地址均为空策略为空（默认全部阻断）对一台刚出厂的设备，建议通过“初始化向导”工具进行初始化配置,初始化配置可 以通过网络或串行口进行（详见第三章初始化向导）。2.2.I通过串行口对网关进行实时配置安全网关的串行口配置线为两头都为九孔或RJ45的串行连接线（设备包装附带）如用户自行制作该连接线,线序如下:口 九孔的线两头2、3号线进行交叉; RJ45的线3、6号线进行交叉。配置步骤如下:1 .在主机上安装安全网关控制台（SureConsole）软件;2 .用串行口连接线将安全网关的COM 口与配置主机的COM 相连接（注意:如碰 到有两个串口的安全网关,均连接到C0M1）；3 .打开安全网关电源,等待网关完成启动（根据设备的不同,这个过程需要时间约30 秒2分钟）；4 .打开安全网关控制台软件,选择“串口连接”，在本机串口”选择本机与安全网 关相连接的串口编号,输入管理员用户名和密码，点击确定”;登录界面如下:登录a确定)取消(05 .进入配置主界面;如下图所示:安全网美平台网关(5)両口Q) SY),一,七-连接 保存0 TB-累如妒,网增设对象莒理.i防火墻S VPN.安全策略i双机，出& 睡跪点*-策略路由：* WE8客户!爲色/权M者过，.用戸/认证管理 。事件月报青工具(I)相助(由W关于控創台系厕间:2008319 14:28:11系统已经运行了。天。小时23分22秒定制!勒模式:庠 基本價网关名稀:TB序列号:ADT-746P-06030053软件版本:5.1.001tb_l耍件版本:SJW74-T500工作模式:路由模式幣顔本:3.0,1資A使用CPU：30.5%内存:48.3%Sff ：0 036%用用用用t* fiEeeviten192.166.0.245wan132.132.0.245extO10.200.0.245extl0.0,0.0PPPoE (wan)0 0.0.0益VPN向导TPN配向导就罐目标网关!32,132.0.245畫录用戶root逹接时间24秒2.2.2通过网络对网关进行实时配置1 .在主机上安装安全网关控制台(SureConsole)软件:2 .用根交叉线(反线)或通过Hub、交换机将安全网关的LAN 口和配置主机进行 连接,将配置主机的该接口 1P地址改为192.168.1.2掩码255.255.255.0。3 .打开安全网关电源;4 .在配置主机上启动安全网关控制台,选择“网口连接”,在目标网关输入安全网关LAN 地址“ 192.168.11”,输入密码,点击“确定”;登录界面如下:5 .进入配置主界面。2.3 实时保存配置信息点击安全网关控制台主界面上的“保存”按钮或者选择“网关”菜单的“保存配置”, 即将安全网关的当前配置保存到内部的存储器中。注意:网关重新启动过后按最后一次保 存的配置运行。2.4 导入导出配置文件在实时配置模式下，选择安全网关控制台“网关”菜单下的“导出配置”项，在弹出的 对话框中选择存放路径并输入文件名，点击“确定”按钮，即保存配置文件到指定目录。安全同美平台网关（0操作（）查看（工具（D帮助（连接M重新启动（B）网关升级（5特征库导出（日清空配置（0 保存配置（5） 导入配置（I） 重新装载（叱） 导出配置（ 恢复备份（ 同步配置（:设置接口6（动态DN!，路由表N TRUNK退出凶I刷新在实时配置模式下,选择安全网关控制台“网关”菜单下的“导入配置”项,在弹出 的对话框中选择指定目录下的配置文件,点击“确定”按钮,接着重新装载配置或者重启安 全网关，即按配置文件中的配置运行;利用安全网关配置可导入导出的特性，可以进行安全网关的大批量离线编辑,再统 导入;也可以通过分析配置文件进行离线的故障诊断等等;注意:在导入配置之后重新装载配置或者重启网关之前，不要点“保存”按钮。2.5 清空安全网关配置在安全网关控制台“网关”菜単下选择“清空配置”，接着重新启动安全网关,安全网 关的配置即恢复到出厂状态。注意:在清空配置之后重启网关之前，千万不要保存配置,否则清空将失效。第3章初始化向导从一台刚岀厂的安全网关,到符合用户的要求进行正常工作,通常要经过各种配置。在 刚开始配置时建议首先使用安全网关控制台中的“初始化向导”工具对安全网关做初始化 配置,通过初始化向导能够设置网关的基本信息并实现些基本功能。3.1设备初始化的步骤打开初始化向导可以通过两种途径:在安全网关控制台的“工具”菜单下选择“初始化 向导”或者直接选择安全控制台首界面下的初始化向导链接。打开初始化向导后的界面如下 图所示:点击“下步”，提示选择网关型号并输入网关名称:选择网关的设备型号并指定网关的名称网关名称用来在网络中唯一地标识网关设备网关型号（）：|SJW74c系列工描述SJW74C系列是款中高性能的安全网关,适合部署 在大型企业中心节点.网关名称（N）:|SJW74c系列| 取消 |点击“下步”,选择接入方式,在初始化向导中默认为单线路接入,以固定地址接入 为例:点击“下步”，选择何种动态接入方式（PPPoE或DHCP）,并输入相关信息，以及接 口是否允许ping和管理等等,以“PPPoE为例:配置网关的wan接口wan接口用来连接不可信网络,如Internet地址IP 地址Q）：|218.1.1.1子网渣码 Q）：|255.255.255.0默网关（2）：|218,1.1,254DNS 服务器処）：|218.1.1.253管理“允许Ping本接口但）“先百通迎云接迸行送移密献亜| 取消 |点击“下步配置网关的Lan 口地址:点击下一步”,配置VPN参数,要注意的是“ VPN隧道端点“和内部DNS”等参 数都只用于客户端,当用安全网关控制台制作SurelD （即部署客户端）时会用到这些参 数:设査VPN参数网关通过VPN来实现安全可靠的网络通信（上一步（叫下一歩可 取消点击“下步”,配置集中管理参数,安全网关可以工作在“自主管理”和“集中管理”两种模式下，“自主管理”可以选择“接受监控”。所谓“集中管理”，是指通过ADT网管服务器（SureManager）统一下发VPN参数（节 点、隧道、策略），从而达到快速部署VPN网络的目的，并且网关统上报运行状态，接受 网管服务器的监控。在安全网关上可以选择“自主管理”和“集中管理”两种方式,“自主管理”方式下可 以选择“接受监控”，即只向网管服务器上报运行信息，不接受发VPN参数。一旦选择“集中管理”或者“自主管理”下的“接受监控”,都需耍在下面“参数设置” 里输入服务器IP,用户名、密码等参数。点击“下步”，至此初始化向导的所有信息都输入完毕，初始化向导即将初始化的信 息传送到安全网关,并将安全网关重启。当初始化完成后,安全网关将自动重新启动,启动后安全网关就按向导中配置的信息 运行。注意:初始化按照一条线路接入的配置，如要新增线路需另外配置。注意:建议将一台网关应用到个新的环境之前先使用初始化向导做一遍初始化。第4章系统基本信息配置在本章中将介绍安全网关控制台软件的基本结构和系统基本信息的配置方法。系统基本 信息包括安全网关的名字、管理员帐号、系统II期、在后面配置中要用到的对象等等。4.1 配置软件的基本结构不论是实时配置模式或者还是编辑配置文件的形式,都将通过相同的配置界面來完成 配置工作。安全网关控制台的主界面分为两大部分,左边的树形结构包括了所有的配置项目: 右边是具体的配置内容,以列表的形式为主:当选中左边某个项目时,右边会出现相应的已 配置信息，通过在右边列表中的操作,可以进行各种各样的配置。当配置软件与安全网关的通信出现错误或岀现其他错误时，右边的下面部分会出现 个显示提示信息的列表框。配置界面的上部有一排导航栏按钮，这些按钮除了 “连接”、“保存”、“刷新”几个基 本功能按钮之外,其他的会根据左边选中的配置选项不同而变化，用于对配置具体内容的操 作:“连接”按钮用于重新连接个安全网关或重新编辑个配置文件;“保存”按钮用于保 存配置信息或导入导出配置文件;“刷新”按钮用于在实时模式下从安全网关刷新当前的配 置,在编辑配置文件模式下从配置文件刷新当前配置。配置界面底部显示了当前的安全网关状态、用户配置连接方式、登录用户名、连接时 间等信息。4.2 系统维护系统维护是配置选项中的第一个大项,其中包括五个小项，下面分别介绍各自的功能。4.2.1 设备信息设备信息中包括“设备名称”、“所有者”、“管理员”、“联系方法”等内容，记录这些 信息仅仅是为了区分设备以及记录管理员和联系方式，这些信息与今后的配置无任何关联；编辑设备信息的步骤如下:1 .选中“设备信息”后,双击右边的列表或者点击导航栏上的“属性”按钮;2 .在弹出的对话框上编辑设备信息,点击“确定”；如下图所示:4.2.2 日期与时间在该项中显示并可更改安全网关当前的系统时间和日期。修改时间日期的步骤如下:1 .双击右边列表中“系统时间” 项或单击该项并在导航栏按钮中点击属性,弹出修 改对话框，可以手工修改，也可以选择“与本机保持一致”，如选择“与本机保持 一致”，配置软件自动从配置主机上读取日期时间并设置到安全网关上去;2 .点击“确定”;如下图:4.2.3 设备管理设备管理选项显示了当前所有用户信息,以及目前登录用户信息等等。缺省设备只有 个root用户,root用户具有最高权限:在右边列表中显示出最后一个用户连接的IP地址、 当前每个用户的当前连接数目等信息;用户可以自行添加用户,用户添加的用户分为两个级别,分别为管理用户”和浏 览用户”，管理用户可以对安全网关进行各种配置，浏览用户只能实时查看当前网关的配置 信息，不能修改配置。添加用户时，能够对新加用户进行IP限制,即限定该IP地址能登 录网关进行配置査询或修改。添加用户界面如下:在设备管理下,点击“选项”按钮,可更改些控制用户登录的参数,主要包括空闲切断时间”，“最大在线个数”和“禁止重変登录”如下图所示:4.2.4 集中管理集中管理功能是配合“安全网关网管系统(SureManager)实现对网关的集中监控和策 略分发的功能。注意:使用该功能必须在已经安装了一台“安全网关网管系统”的前提下。开启集中管理的步骤如下：1 .在左侧树形结构中选择“系统维护”下的“集中管理”,点击导航栏上的“属性”按钮,或者双击右侧的“集中管理”项;2 .在弹出的对话框中选中“启用集中管理功能”,输入服务器IP,即网管服务器的IP 地址,端口默认为4600,输入用户名和密码，点击“确定”即可。注意:用户名与密码在网管服务器上设定。关于集中管理的详细使用方法,可参考“安全网关网管系统”的相关手册和资料。4.2.5设备告警设备告警选项分两个子选项，“告警服务器”和“告警邮件”，分别用来设置当设备产 生紧急程度相当高的事件时立即将该告警信息发送到邮件服务器或ADT专用告警服务器。设置告警服务器选项的步骤如下:1 .选中“告警服务器”，双击右边的列表;2 .在弹出的对话框中选中“启用告警服务器”，接着在下面的文本框中输入告警服务 器的IP地址和端口，如需用户认证,则还需输入认证密码;3 .点击“确定”按钮;如下图:设置告警邮件的步骤如F：1 .选中“告警服务器”,双击右边的列表;2 .在弹出的对话框中选中“发送告警邮件”,接着在下面的文本框中输入SMTP服务 器的域名或IP地址，如需SMTP认证，则输入认证密码;3 .点击“确定”按钮;如下图:4.2.6设备日志设备日志选项分三个子选项,“事件记录”、“日志服务器”和“日志邮件”。“事件记录”用来设置对哪些类型的日志进行记录,达到一定的过滤效果,设置的步 骤如下:1 .选中“事件记录”，双击右边的列表或点击导航栏上的“属性”按钮;2 .在弹出的对话框中对需要记录的日志类型进行打勾，“事件记录”从日志紧急程度 和II志产品模块两方面进行日志过滤;3 .点击“确定”按钮:如下图:“日志服务器”用来设置设备产生的11志同步发送到ADT专用日志服务器,设置步骤 如下:1 .选中“日志服务器”,双击右边的列表或点击导航栏上的“属性”按钮;2 .在弹出的对话框中选中“发送日志到外部日志服务器”，选择日志服务器的类型是 ADT专用II志服务器或者标准syslog服务器,在下面的文本框中输入服务器的IP 地址和端口号，如果服务器需认证，则输入认证密码:3 .点击“确定”按钮：如下图:“日志邮件”用来设置或当日志达到定数目以后通过邮件方式发送到指定邮箱,设 置步骤如下:1 .选中“日志邮件”,双击右边的列表或点击导航栏上的“属性”按钮;2 .在弹出的对话框中选中当日志存储空间不够时发送日志邮件”，接着在下面的文 本框中输入SMTP服务器的域名或IP地址，如需SMTP认证，则输入认证密码:3 .点击“确定”按钮;如下图:经过如上设置后,通常情况下,当日志数量达到1024条以上时,会自动发送到指定邮 箱中。注意:安全网关产生日志后首先保存在本地，当超过存放空间，安全网关会删除所有 本地日志,重新开始记录日志。如果设置了日志服务器，则同步发送到日志服务器,如果 设置了邮件服务器，当达到定数目以后再发送到指定邮箱。4.3网络设置网络设置中包括了与安全网关相关的所有相关网络基本信息。4.3.1 基本设置基本设置中有三个选项，“工作模式”、“组播支持”以及“VPNTCPMMS”。“工作模式”决定了安全网关是工作在路由模式还是透明模式下,即是工作在三层还是 二层;当工作在透明模式时，除了能透过二层以太网帧,安全网关的三层路由、地址映射等 功能依旧有效,能做到两者兼顾。双击“工作模式”表项或者选中该项点击导航栏上的“属性”按钮,在弹出的对话框中 即可设置工作模式，如下图:在“组播支持”中设置是否允许组播报文透过安全网关。无论安全网关工作在路由模式 还是透明模式下,该设置均有效。VPN TCP MMS选项是用于在VPN隧道穿越NAT时,让 网关或者客户端能顺利穿透对UDP分段报文丢弃的防火墙时使用,在正常以太网MTU值 下，该参数默认值为1368。在某些主机或路由器MTU小于正常值时可以适当调低该参数。注意:该参数调得过低会导致TCP应用通信效率降低。“组播支持”和“ VPNTCPMMS”在同一个对话框中设置，双击“组播支持”或“VPN TCP MMS”表项或者选中该项点击导航栏上的“属性”按钮，在弹出的对话框中即可设置 是否允许支持组播报文透过，如下图:4.3.2 网络接口在“网络接口”中可以设置设备各个接U的ip地址、接U速度以及双工模式等参数, 以及PPPOE拨号的用户名密码等参数。双击右侧列表中的一个接口,或者选中该接口点击导航栏上的“属性”按钮,在弹出 的对话框中可以看到该接口的参数信息，并对其进行修改。LAN 的接口信息配置如下图:最上面的是“启用本接口”选项，如果不选这个选项则该接口处于关闭（即Down）状 态，下面的所有选项也都无效:在“接口地址”中可以指定改接口的IP地址和掩码，并且 可以看到该接口的MAC地址:在“管理”选项中可以设定是否允许通过该接口配置网关; 在“工作特性”选项中可以设定该接口的工作速率和双工模式、以及MTU等参数。“接入方式”选项用于TPN用户从该接口打开登录界面时，采用的登录方式。“本地接入”通常用于上网，VPN接入通常用于远程接入内网:通常在LAN 口选择“本地接入，在WAN 口选择“VPN接入”,个接口只能选择种接入方式。点击“接口地址”边上的“高级”按钮可以在个接口上添加多个IP地址,如下图:SJW74C-4的DMZ 、EXT 口配置与LAN 口的配置类似，WAN 口上不支持绑定多个 IP地址。WAN 口支持通过DHCP自动获取IP地址,在WAN 口的接口属性中的“接口地址”选 项下选择“DHCP获取”，点击“确定”，稍候片刻,即可通过DHCP获取IP地址,设置界 面如下图:4.3.3 PPPOE 拨号SJW74系列安全网关支持多路的PPPOE拨号,除LAN 口外的其他网口均可PPPOE拨 号,以WAN 口为例，设置PPPOE拨号的步骤如下:选择左侧树形结构“网络设置”下的“网络接口”，双击右侧表项中的WAN ，在弹 出对话框中选择“PPPoE拨号”页签，选择“启用PPPoE拨号”,输入用户名和密码，如果 个网络中存在多个PPPOE拨号服务,可以在服务名项中手工指定服务名,使设备拨到 指定的服务上去,可以通过点击“Discover”按钮来获取当前网络中的所有PPPoE服务, 获取的服务名会显示在“服务名”的列表下,如果希望安全网关启动和断线后自动拨号, 则在“断线自动拨号”选项前打勾，如下图:PPPOE拨号设置完成后,当选中WAN 时,导航栏上会出现一个“拨号”或“断开” 按钮,用于进行手工的PPPOE拨号或断开连接。注意:设置PPPOE拨号的网口仅仅作为物理接口,连接ADSL modem等设备，在拨 号的同时,该接口本身的IP地址依然有效,相对于个物理接口上绑定了两个IP地址。4.3.4 DHCP月艮务安全网关能够为局域网内的主机提供DHCP服务,配置步骤如下:1 .在LAN 口接口属性对话框内,选中“在本接口启用DHCP服务”,在下面的文本框 中输入DHCP服务的相关参数,其中租借时间若设置为0,则采用默认的租借时间, 为5天。2 .点击“确定”按钮。如下!?!：注意:除WAN 口外的接口均能提供DHCP服务,但同时只有一个生效。4.3.5 DNSDNS选项中指定一个主DNS服务器地址和一个备用DNS服务器地址,用于网关本身 对域名进行解析;当安全网关对局域网内其他主机提供DNS relay服务时,也通过这些设定 的DNS服务器进行域名解析。选中“DNS”选项，双击右侧列表或点击导航栏上的“属性”按钮,在弹出的対话框 中输入主和备DNS服务器的IP地址，点击“确定”即可，如图:4.3.6 DDNSDDNS即动态域名服务,为设备在只有动态IP的情况下（比如ADSL拨号、DHCP获 取地址）提供一个固定的域名,其它用户或者设备可以通过该固定域名直接访问安全网关设 备。在配置DDNS之前,需要用户预先为安全网关注册个域名,安全网关支持花生壳动 态域名。安达通公司提供专业级花生壳DDNS域名。启用DDNS选项功能,可以令安全网关通过动态域名作为VPN隧道的端点,提供解决 动态!P地址下VPN互联的另种手段。双击DDNS选项卜.的右侧列表，在弹出的对话框中输入DDNS注册的相关信息，选中 “启用DDNS服务”点击确定即完成DDNS的配置。如下图:注意:花生壳的服务器使用61.152.96.115;端口使用606。4.3.7网络路由在该选项下可以查看、添加、删除安全网关中的路由表项;网络设置一网络路由目的地址名称目的地址类型淹码网关地址名称网关地址类型路由表项类型00.0.0-靜态i譏址0.0.0.0132J32.100 254裾态i谶址静态配置132132.。,0靜态 IP地址255255。0132.132100.200靜态 IPtft批动态9 强192.188.200.0靜态 IP地址255.255.25.192.168.200.1静态 IP地址动态配置路由表中有H的地址类型、网关地址类型和路由表项类型三个可选项,在通常情况下, 手工添加的静态路由的目的地址类型、网关地址类型都选择为“静态IP地址”,路由表项类 型为“静态配置”，而系统自动生成的路由表项类型为“动态地址”。手工添加静态路由的步骤为:点击导航栏按钮上的“添加”按钮，在弹出的对话框中 输入目的地址名称、掩码和网关地址名称，其他的均为默认选择,即完成一条路由的添加, 如下图:点击导航栏按钮上的“删除”按钮,则删除当前选中路由表项;注意:当安全网关进行PPPOE拨号或DHCP自动获取地址时,默认路由自动添加, 如原来已有默认路由,则会被删除。注意:当启用链路均衡时,默认路由只会显示其中的一条;注意:当安全网关工作在透明模式下时，网络路由的接口可能不能真实反映实际数据 包的走向。4.3.8 ARP 表在该选项下可以查看、添加、删除、清空安全网关中的叼表项;点击导航栏按钮上的“删除”按钮,则删除当前选中arp表项,点击导航栏按钮上的“清 空”按钮,则清空arp表中的所有表项;注意：除了一些特殊的应用,在极少的情况下添加arp表项:注意：在arp表项上点击右键,可以直接将当前表项添加到MAC地址绑定表项中。4.3.9 VLAN TRUNKVLAN TRUNK作为项高级功能，能够使安全网关接在TRUNK 口上，并且对TRUNK 线路中的其中一个VLAN的IP数据流进行加密或防火墙过滤操作。要开启TRUNK功能的步骤如下:I.在VLAN TRUNK选项下,点击导航栏上的“选项”按钮,在弹出的对话框中的“TRUNK控制”栏下在要开启TRUNK的接口前打勾;2.点击“确定”如下图所示:当安全网关需要与位于其它VLAN的安全网关进行IKE协商,或者需要与位于其它 VLAN的主机进行通信时，需要指定对方安全网关或主机所在VLAN的ID,因此需要输入 对方IP地址与VLAN ID的对应表,在该项下点击导航栏上的添加”按钮,在弹出的对话 框中输入对方IP与VLAN ID的对应表,如下图:VLAN协议支持802.1Q和ISL。点击“删除”按钮删除当前选中的!P-VLAN ID对应表项。注意:VLAN TRUNK功能只有当安全网关工作在透明模式下有效;注意:安全网关启用VLAN TRUNK功能后并不融入原有的VLAN体系,只是将原有 TRUNK以太网帧的二层信息原封拷贝到加密后或做其它处理后的新数据包上。4.4对象管理在安全网关的配置中,安全策略、VPN隧道、地址映射等对IP地址、服务、协议、事 件表等元素的引用都采用对象的方式,从而使配置的思路更加清晰,在复杂环境下大大减小 了配置的复杂度。在“对象管理”大项中有四个小项,分别提供对“网络地址”、“网络协议”、“网络服务” 和“时间表”这四种类型对象的增、删、改功能，下面分别介绍。4.4.1 网络地址网络地址中有“地址”和“地址组”两个选项，地址组是指包含了多个地址对象的 个地址集合。地址对象有三种类型，分别为“子网”、“主机”和“范围”，用户可以根据自 己的需求来选择地址对象的类型,当选择“子网”时，需要指定子网掩码。每个对象都有一 个名称，用户可以根据自己的喜好对名称进行定义，除此之外,还有一项描述信息供用户使 用，该项可以为空。添加一个地址对象的步骤如下:1 .在树形结构中选中“地址” 项,在导航栏上点击“添加”按钮:2 .在弹出的对话框中输入相关信息，点击“确定”即可;如下图:添加一个地址组对象的步骤如下:1 .在树形结构中选中“地址组” 项,在导航栏上点击“添加”按钮;2 .在弹出的对话框中输入地址组名称,并在左侧列表中选择属于该地址组的地址 对象到右侧,点击“确定”即可;如下图:添加地址如地址组由一个或多个地址对象妲成，这样,反用相同策 略的地址对象便可组成一俎，方便管理.确定（）I取消（0注意:地址对象和地址组对象的名字不能重复;除了在对象管理选项中添加地址、地址组对象,还可以在添加策略和VPN网关 时临时添加地址、地址组对象。4.4.2网络协议网络协议对象指ip的上层协议,通过指定协议号来确定协议类型,用于在网络服务中 被引用。添加一个网络协议对象的步骤如下:1 .在树形结构中选中“网络协议” 项,在导航栏上点击“添加”按钮;2 .在弹出的对话框中输入协议名称和协议号，点击“确定”即可;添加EGP协议如图所示:注意:此处配置的网络协议指的是IP的上层协议,具体的协议规范详见RFC。4.4.3网络服务网络服务选项中包含“服务”和“服务组”两个小项,服务组是指包含了多个服务对 象一个服务集合。网络服务对象描述了一个五元组中的三项信息,即源端口、目的端口和协 议,用于在策略中被引用。当所选协议非TCP或UDP时,服务仅仅指协议。添加一个网络服务对象的步骤如下:1 .在树形结构中选中“服务” 项，在导航栏上点击“添加”按钮;2 .在弹出的对话框中输入该服务的协议、源端口和目的端口信息,点击“确定”即可;添加一个向外访问的HTTP服务如下图所示:安全网关控制台软件为用户总结了一些常用的服务,在选中树形结构中的“服务”选项后,点击“导航栏”上的“模板导入”按钮,即从模板文件中把些常用服务导入到网关中, 导入后如下图:注意:网络服务有方向之分,即外出和进入,从模板导入的所有服务都指外出的服务,进入的服务需自行定义,只需将源端口和目的端口调换即可。添加一个服务组对象的步骤如下:1 .在树形结构中选中“服务组” 一项,在导航栏上点击添加按钮;2 .在弹出的对话框中输入服务组名称，并从左边列表选择属于该服务组的服务对 象到右边列表，点击“确定”即可;如下图:4.4.4时间表时间表描述了一个个时间段的集合,在添加安全策略时被引用,用于指定该策略 的生效时间。添加一个时间对象的步骤如下:1 .在树形结构中选中“时间表” 项，在导航栏上点击“添加”按钮:2 .在弹出的对话框中点击“添加”按钮添加时间段，重复操作直至添加了所有的时间 段，点击“确定”即可:如下图:注意:个时间表中最多引用两个时间段。第5章VPN配置5.1 配置VPN的步骤通常配置安全网关的VPN功能之前需要确定以下几点:1 . IKE的身份认证的方式,安全网关支持预共享密钥和数字证书两种身份认证方 式;2 .有哪些本地子网（或主机）和対方网关保护的子网（或主机）,需要通过安全 网关进行VPN互联;3 .安全网关通过公有地址还是私有!P地址（通常是指WAN 口地址或PPPOE拨 号地址）与其他安全网关进行VPN互联;4 .若安全网关使用公有地址，该地址是固定的还是动态的（比如ADSL拨号）；5 .若安全网关使用私有地址，是通过动态映射访问公网,还是通过静态映射能够 被公网中其他主机访问某个端口;6 .如果需要安全客户端接入本网关,需要为安全客户端规划段私有IP地址;以上确定后，通常依照如下步骤来配置个VPN网关:1 .配置些VPN的参数，包括IKE身份认证的方式，如果采用证书认证则需要依次 导入一系列证书;是否处于NAT设备后;是否采用动态地址接入,如果是动态接 入则需要提供动态接入的类型和地址服务器的帐号和密码;2 .添加VPN节点对象,其中需要提供对方网关的WAN 地址（如果是固定地址接入） 和LAN U地址，预共享密钥（如果是预共享密钥方式认证）等信息，通过添加VPN 节点，指定了和当前配置网关建立VPN隧道的对端网关的相关信息;3 .添加VPN隧道对象,需要指定隧道的类型（静态指定密钥信息还是动态协商），确 定隧道的安全等级,选择隧道的对端VPN节点。4 .在安全策略中添加VPN策略，选择VPN隧道;5 .添加安全客户组信息,包括安全客户端的私有!P地址范围,能访问的子网,加密 强度等信息:生成安全客户端;针对每个安全客户端制作SurelD：关于安全网关通过何种IP地址与公网相连对于VPN配置有着至关重要的关系。通常情 况下，在个VPN网络中，至少需要一个结点有公网地址或者被静态映射（包括静态端口 映射）到个固定公网地址（某些端口）;在全动态IP地址接入的情况下,需要使用ADT 地址服务器或动态域名的方式来实现动态VPN互联。5.2 VPN的相关配置VPN的相关配置主要包含在左侧树形结构“VPN”大项下的“密钥协商”和“动态接 入”中,下面分别介绍。5.2.1 身份认证方式和缺省预共享密钥安全网关支持预共享密钥和数字证书两种身份认证方式。设置身份认证方式的步骤为:1. 在左侧树形结构中选中“密钥协商”,在右侧的列表中双击”身份认证方式”，或选中该项点击导航栏上的“属性”按钮;2. 在弹出的对话框中选择任何种身份认证方式或两者皆可（当证书模块未启用时,无法选择证书认证模式）；3. 必要时，可以在该对话框中输入缺省预共享密钥;4. 点击“确定”按钮。如下图;注意；缺省密钥是不指定VPN节点的密钥，即对所有的节点和客户端成员都有效的密 钥,使用缺省密钥会降低系统的安全性,只有在特殊情况下使用缺省密钥,通常不推荐使 用。5.2.2 数字证书当安全网关采用数字证书作为!KE的身份认证方式时,需要将CA根证书、设备证书、 私钥等PKI相关元素导入到网关，另外根据需求，可配置CRL、OCSP等相关参数。在安全网关上导入数字证书可采用三种方式:1. 在安全网关上生成PKCS10证书请求,用该请求到证书服务器上申请证书,再以文件形式导入PKCS12格式的证书;2. 直接在证书服务器上申请证书，以文件形式导入PKCS12格式的证书;3. 分别导入CA根证书、设备证书、设备私钥(非标准格式)。注意:安全网关使用的数字证书中主体名,即commom name (cn)选项必须为安全网 关的LAN IP地址,以此将证书与安全网关绑定。采用何种方式生成并导入数字证书,用户可根据CA系统支持的标准以及具体需求来 决定。下面分别说明在每种方式下的证书导入方式。5.2.2.1先生成证书请求的方式首先导入根证书,选中左侧树形结构“VPN”大项下的“数字证书”小项，双击右侧“CA根证书”表项，在对话框中选择存放根证书的目录，如下图:点击“确定”按钮，完成根证书的导入。右键点击侧的列表,选择“证书请求” “生成”,如下图所示:在弹出的对话框中输入，证书名称、机构名、国家等信息，如下图:点击“确定”,弹出是否导出的对话框，如卜图:点击“确定”,选择导出请求文件的存放目录，导出证书请求文件。利用证书请求申请数字证书的过程参考数字证书系统的说明书。生成数字证书后，右键点击右侧的列表，选择“导入PKCS12文件”，在弹出的对话框 中选择证书文件所在目录，并输入密码,点击“确定”即可。522.2直接导入的方式直接导入方式即省略掉上一种方式中生成证书请求的步骤,其他步骤与上一种方式相 同。5.2.2.3分别导入的方式首先导入根证书,选中左侧树形结构“VPN”大项下的“数字证书”小项,双击右侧“CA 根证书”表项,在对话框中选择存放根证书的目录,如下图:点击“确定”按钮;双击右侧下部的列表的“设备证书”选项,在弹出的对话框中选择设备证书文件,如下图:点击“确定”按钮;双击右侧部的列表的“设备私钥”选项,在弹出的对话框中选择设备私钥文件,如下图:点击“确定”按钮;注意:在导设备证书之前,需要首先导入CA根证书。5.2.2.4导入和清空CRL右键点击右侧的列表,选择“CRL导入“，即导入CRL列表,在弹出的对话框中 选择个扩展名为crl的文件，点击确定即可。相反,选择“清空”，即清空当前的CRL列 表,如下图:522.5启用证书模块点击导航栏上的“选项”按钮,在弹出的对话框屮选屮“启用证书功能模块”复选框,如果不启用OCSP （在线证书检查）,则直接点击“确定”按钮;如果启用OCSP,选中启用在线证书检查功能”复选框,输入服务器IP地址、端口、 超时时间和CRL更新时间等参数,点击“确定”按钮。5.2.3密钥生命周期安全网关为了应对可能的各种网络攻击，保护网络通信的各种密钥需要定时更新，以 确保在给定的时间内，攻击者无法对密文进行破解。对生命周期的描述由两个因素构成:时间和流量，只要其中一个因素超过设定值，安全 网关之间就会协商新的密钥，并使用新的密钥来进行加密。在安全网关中,用SA （安全联盟）来描述一个VPN隧道,在个正常的安全隧道中， 存在两种SA： IKESA （第一阶段SA）和IPSECSA （第二阶段SA）,第阶段SA用于保 护第二阶段SA密钥协商时的通信，第二阶段SA真正用来加密数据,他们分别具有不同 的生命周期。以下是推荐的生命周期设置值:IKESA （第一阶段）生命周期时间生命周期:推荐时间为12小时,不小于6小时。流量生命周期:以K字节为单位,推荐值为10240KBIPSEC SA （第二阶段）生命周期时间生命周期：推荐时间为6小时，不小于1小时。流量生命周期:以K字节为单位，推荐值为104800KB安全网关上按照上述的推荐值设置了默认的生命周期值。通常情况下,第一阶段的时 间生命周期是第二阶段时间生命周期的两倍，修改IKE生命周期的步骤如下:1. 选中左侧树形结构中“VPN”大项下的“密钥协商”小项，双击右侧“IKE密钥生命周期或IPSEC密钥生命周期”，或选中列表中该选项并点导航栏上 的“属性”按钮;2. 在弹出的对话框中输入要设定的生命周期数值，点击“确定”按钮。如下图:5.2.4 NAT穿透功能由于NAT在制定标准时只考虑了为TCP、UDP和ICMP三种协议做动态NAT （当时还没有提出Ipsec协议），因此先天就决定了 !psec协议的报文是无法穿越NAT的，即当VPN 设备（或客户端）之前有NAT设备时,就无法与其他的VPN设备建立安全隧道,这给VPN 的实际应用带来了很大的局限性,ADT系列安全网关和安全客户端采用先进的NAT-T技术 解决了 VPN穿越NAT的问题，即通信双方有一台安全网关或安全客户端在NAT设备的后 面时,也可以建立起VPN隧道,进行安全通信。设置NAT穿透的功能的步骤如下:1. 选中左侧树形结构中“VPN”大项下的“密钥协商”小项,双击右侧列表中“NAT穿透功能模块”项,或选中该选项,并点导航栏上的“属性”按钮;2. 在弹出的对话框中“网关在NAT设备后面”选项前打勾，点击“确定”按钮。如下图:当该选项选中后,安全网关就可在NAT设备后与其他安全网关建立安全隧道。注意:由于动态NAT的单向特性，在NAT后的安全网关必须主动发起协商才能成功 协商隧道,因此该功能常常与隧道保持功能配合使用;注意:使用NAT穿透功能需保证与之通信的对方安全网关有公网!P地址,如果要实 现两台都在NAT后的安全网关VPN通信,则需通过一台有公网IP地址的安全网关做隧道 接;注意:使用NAT穿透功能后,VPN的安全等级不能为“低”。5.2.5 隧道保持功能由于安全网关间加密密钥定期更新的特性,当SA生命周期到期而又没有通信流量的时 候,安全网关在删除旧的SA之后不会再协商新的SA,这给些应用带来了不便,隧道保 持功能就是针对解决这个问题而设计。当启用该选项后，安全网关会根据安全策略定期检查 定期SA是否存在，当检查到没有SA的时候会立即对对方安全网关发起协商，直到SA存 在为止。可以设置定期检查的周期，建议将该周期设置成120秒。设置隧道保持功能的步骤如下:1. 选中左侧树形结构中“VPN”大项下的“密钥协商”小项，双击右侧列表中“隧道保持功能模块”项,或选中该选项，并点导航栏上的“属性”按钮;2. 在弹出的对话框中“启动隧道保持功能模块”选项前打勾，并再扫描间隔文本 框中输入定期检查SA的周期，默认为120秒，点击“确定”按钮。如下图:注意:对于些协商总是单边发起的（比如对方安全网关在NAT设备后）情况,在接 受方网关则无需启用该功能,因为在这些情况下,本网关无法主动发起协商,而相反在发 起方的安全网关（动态或在NAT设备后）上应启用该功能。5.2.6 动态接入该功能用于解决动态VPN地址卜一的VPN互联，通过“ADT地址服务器”，同一个域中 的安全网关可以相互知道对方的公网1P地址，从而建立安全隧道。当用户使用该功能时， ADT公司会提供个安全域的号码和密码，用户可以通过WEB界面在“ADT策略服务器” 上添加安全网关的帐号。使用动态接入的步骤如下:1. 选中左侧树形结构中“VPN”大项下的“动态接入”小项,双击右侧列表中的第一项,或点击导航栏上的“属性”按钮:2. 在弹出的对话框中“启动策略服务器”选项前打勾,输入各项的具体内容,ADT公司提供的策略服务器IP地址为211.152.185.40,点击“确定”按钮。如下图:注意:网关ID的前四位数字为域号码，中间的字母G代表安全网关,后三位数字代表 同一个域中的安全网关序号,添加安全网关ID后的初始密码为changeit:客户端!D的前 四位数字为域号码,中间的字母C代表安全客户端,后三位数字代表同一个域中的安全客 户端序号,安全客户端ID的初始密码为changeit:在此配置客户端ID和密码是为了制作 SurelD时能把这些信息写入SurelD中，通常多个客户端共用一个客户端ID和密码。5.3配置局域网到局域网的VPN理解了上述的VPN相关概念,配置VPN就相当简单了。通常情况下，