天清汉马USG防火墙IPSecVPN客户端用户手册.docx
- 文档编号:8797347
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:38
- 大小:1.59MB
天清汉马USG防火墙IPSecVPN客户端用户手册.docx
《天清汉马USG防火墙IPSecVPN客户端用户手册.docx》由会员分享,可在线阅读,更多相关《天清汉马USG防火墙IPSecVPN客户端用户手册.docx(38页珍藏版)》请在冰豆网上搜索。
天清汉马USG防火墙IPSecVPN客户端用户手册
天清汉马USG
IPSecVPN客户端用户手册
手册版本V3.2
产品版本V2.6.3.2
资料状态发行
版权声明
启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明
本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’sManualCopyrightandDisclaimer
Copyright
CopyrightVenusInfoSecurityInc.Allrightsreserved.
ThecopyrightofthisdocumentisownedbyVenusInfoSecurityInc.WithoutthepriorwrittenpermissionobtainedfromVenusInfoSecurityInc.,thisdocumentshallnotbereproducedandexcerptedinanyformorbyanymeans,storedinaretrievalsystem,modified,distributedandtranslatedintootherlanguages,appliedforacommercialpurposeinwholeorinpart.
Disclaimer
Thisdocumentandtheinformationcontainedhereinisprovidedonan“ASIS”basis.VenusInfoSecurityInc.maymakeimprovementorchangesinthisdocument,atanytimeandwithoutnoticeandasitseesfit.TheinformationinthisdocumentwaspreparedbyVenusInfoTechInc.withreasonablecareandisbelievedtobeaccurate.However,VenusInfoSecurityInc.shallnotassumeresponsibilityforlossesordamagesresultingfromanyomissions,inaccuracies,orerrorscontainedherein.
副本发布声明
启明星辰公司的USG产品正常运行时,包含3款GPL协议的软件(linux、zebra、OpenLDAP)。
启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户,请需要GPL软件的客户提供
(1)已经购买的产品的序列号,
(2)有效送达GPL软件地址和联系人,包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等;(3)人民币100元的光盘费和快递费,客户即可获得产品所包含的GPL软件。
第1章
1
客户端简介
1.1概述
IPSecVPN客户端通过在公网上建立一条虚拟隧道,完成与安全设备的协商,并与保护子网进行通信;通过日志显示协商状态,通过上下行流量和收发数据包来动态显示通信状态。
在同一时间,只允许一条隧道与设备协商并访问保护子网。
1.1.1主要功能
IPSecVPN客户端主要具备如下功能:
●通过图形界面对虚拟隧道进行配置和管理。
●完成与安全设备的协商,完成与保护子网的安全通信。
●动态显示协商过程的日志、通信过程的流量和数据包。
●对隧道列表提供不同的显示风格、对隧道列表提供排序的功能。
●支持PFS和NAT穿越(源NAT、目的NAT)。
●隧道连接,除了手动操作连接,还提供程序启动即连接和插key即连接。
1.1.2系统组成
IPSecVPN客户端系统组成如下图所示:
图1IPSecVPN客户端系统组成
各模块的主要功能如下:
●前台界面:
是图形化的GUI用户接口。
用户通过前台界面进行虚拟隧道的配置,并显示协商和通信的相关信息;
●IKE协商:
通过读取隧道信息,与安全网关进行协商,生成并维护IPSecSA。
●IPSec引擎:
初始化虚拟网卡,并根据IPSecSA对数据进行相应的封装或解封装处理。
●硬件层:
对IKE协商和IPSec处理提供硬件平台。
1.2相关术语解释
下面列举出相关术语解释。
●远程网关:
远程网关的IP地址,也即文中的服务器或设备端。
●远端子网:
远端网关保护的子网,可以是一台或多台PC。
●本地接口:
本地真实的IP地址,也即IPSecVPN客户端的主机IP地址。
●本地虚拟IP:
本地虚拟网卡的IP地址。
●DNS服务器:
本地虚拟网卡的DNS服务器地址。
●WINS服务器:
本地虚拟网卡的WINS服务器地址。
●IKE协议:
InternetKeyExchangeProtocol(因特网密钥交换协议),为端点间的认证提供预共享密钥和RSA数字签名方法、建立新的IPsec连接(创建一对SA)、管理现有连接。
IKE跟踪连接的方法是给每个连接分配一组安全联盟(SA)。
SA描述与特殊连接相关的所有参数,包括使用的IPSec协议(ESP/AH/二者兼有),加密/解密和认证/确认传输数据使用的对话密钥。
SA本身是单向的,每个连接需要一个以上的SA。
大多数情况下,只使用ESP或AH,每个连接要创建2个SA,一个描述入站数据流,另一个描述出站数据流。
同时使用ESP和AH的情况中就要创建4个SA。
●IKE认证方式:
IKE提供共享密钥、证书认证两种认证方式,本软件中将证书分为数字证书和智能卡证书。
数字证书是从本地导入,智能卡证书只能从USBKey中读取并使用。
IKE还可以对服务器端CA证书进行验证。
●IKE协商模式:
在IKE第一阶段协商时可以使用“主模式”或“野蛮模式”,二者的不同之处在于,野蛮模式可以用更少的包发送更多信息,这样做的优点是快速建立连接,而代价是以清晰的方式发送安全网关的身份。
●IKE认证算法:
用于数据的数字签名,包括MD5和SHA1。
服务器必须使用相同的设置。
●IKE加密算法:
用于数据的加密或解密,包括DES、3DES、AES128、AES192、AES256。
必须使用与服务器相同的设置。
●IKE密钥DH组:
指定IKE交换密钥时使用的Diffie-Hellman组,密钥交换的安全性随着DH组的扩大而增加,但交换的时间也增加了。
必须使用与服务器相同的设置。
●IKE密钥周期:
该密钥周期是IKE加密密钥的过期时间。
当密钥过期后,一个新的密钥将会产生,此过程不会中断VPN服务。
●IPSec封装协议:
IPSec封装协议描述了如何处理数据的方法。
其中可以选择的2种协议是AH(认证头,AuthenticationHeader)和ESP(封装安全有效载荷,EncapsulatingSecurityPayload)。
ESP具有加密,认证或二者兼有的功能。
但是,我们不建议仅使用加密功能,因为它会大大降低安全性。
AH只有认证作用,与ESP的认证之间的不同之处仅仅在于,AH可以认证部分外发的IP头,如源和目的地址,保证包确实来自IP包声明的来源。
●IPSec认证算法:
用于对要发送的数据进行认证计算和对接收的数据进行验证计算,包括MD5和SHA1算法,该算法可用于AH协议或ESP协议的认证功能。
必须使用与服务器相同的设置。
●IPSec加密算法:
用于ESP协议时对要发送的数据进行加密或对接收到的数据进行解密,包括DES、3DES、AES128、AES192、AES256算法。
必须使用与服务器相同的设置。
●IPSec支持PFS:
IKE提供完全正向保密(perfectforwardsecrecy,PFS)的支持。
在PFS中,不能使用保护数据传输的密钥派生其他密钥,不重新使用用于创建数据传输密钥的种子。
必须使用与服务器相同的设置。
●IPSec密钥周期:
该密钥周期是IPSec加密密钥的过期时间。
当密钥过期后,一个新的密钥将会产生,此过程不会中断VPN服务。
●DPD:
DeadPeerDetection(DPD),断线侦测。
用于IPSec对端状态的检测。
当接收端在触发DPD的时候间隔内收不到对等体的IPSec加密报文时,能够触发DPD查询,主动向对端发送请求报文,对IKE对等体是否存在进行检测。
●DPD检查间隔:
设置经过多长时间没有从对端收到IPSec报文,则触发DPD。
●DPD重试次数:
设置没有收到DPD响应报文,需要重传DPD报文的次数。
●DPD重试时延:
设置经过多长时间没有收到DPD响应报文,则重传DPD报文。
1.3版本说明
IPSecVPN客户端默认使用的端口包括:
●端口500(UDP)IKE协商。
●端口4500(UDP)NAT穿越。
如果这几个端口被其它应用程序使用,IPSecVPN客户端无法正常运行,需要先关闭使用这些端口的服务,再启动IPSecVPN客户端。
1.4运行环境说明
IPSecVPN客户端要求如下运行环境:
●硬件环境PC服务器/256M内存/40GHD/PentiumIVCPU/
●软件版本Windows2000/Windows2003/WindowsXP/Vista
由于虚拟网卡的参数是通过DHCP设置,所有客户端主机的DHCPClient服务必须开启,不然设置虚拟网卡参数失败,无法正常通信。
第2章
2
安装和卸载
2.1安装客户端
2.1.1第一步:
进入安装程序界面
将安装光盘放入光盘驱动器(CDROM)中,执行光盘驱动器目录下的“setup.exe”文件。
需要说明的是,在安装过程中,可以随时点击相应的『取消』按钮,取消此次安装操作。
图2IPSecVPN客户端安装
如图2所示为安装向导界面,为正式安装做准备。
用鼠标点击『下一步』按钮,进入协议许可界面,选择接受许可证协议,才能继续安装。
图3协议许可
2.1.2第二步:
选定安装位置
用鼠标点击『下一步』按钮,进入如图4所示选择安装位置的界面。
图4选定软件要安装的位置
如果采用默认的安装目录,请直接点击『下一步』;如果需要更改安装目录,请点击『更改』按钮,进入如图5所示的选择文件加界面,选择需要的安装目录并点击『确定』按钮。
图5选择软件要安装的目录
2.1.3第三步:
准备安装
用鼠标点击『下一步』按钮,进入如图4所示的准备安装界面。
图6准备安装界面
2.1.4第四步:
正在安装
用鼠标点击『安装』按钮,进入如图7所示的正在安装界面。
图7正在安装界面
2.1.5第五步:
安装虚拟网卡
IPSecVPN客户端安装还集成了虚拟网卡的安装,如图8所示。
图8安装虚拟网卡
2.1.6第六步:
提示安装WinPCAP
IPSecVPN工作时依赖WinPCAP部分组件,再安装完虚拟网卡后会提示安装,此时需要选择“是”,如图9所示。
图9选择安装WinPCAP
2.1.7第七步:
安装WinPCAP
选择“是”后,系统执行安装WinPCAP,如图10。
图10安装WinPCAP
2.1.8第八步:
安装完成
安装完成后,进入如图11所示的安装完成界面。
点击『完成』,完成IPSecVPN客户端的所有安装工作。
图11安装完成界面
2.2卸载客户端
进入“控制面板”后点击“添加或删除程序”,弹出如图12所示的卸载程序界面。
图12卸载程序界面
选择“IPSecVPN”后,点击“更改/删除”按钮弹出如图12和图13所示的界面。
图12卸载程序界面
图13移出功能选择
如果选择“是”,则弹出如图14所示的卸载虚拟网卡界面;选择“否”,则不卸载虚拟网卡。
图14卸载虚拟网卡
卸载完成后,弹出如图15所示的界面。
根据自己的需要重启或不重启电脑。
图15卸载完成界面
第3章
3
客户端配置
3.1主要界面介绍
安装完成后,在“开始”->“程序”->“启明星辰USGIPSecVPN”下点击“IPSecVPN”或双击安装目录下的“IPSecVPN.exe”运行程序,弹出如图16所示的界面。
默认安装目录为“C:
\ProgramFiles\VenusTech\IPSecVPN”。
图16IPSecVPN客户端界面
对每一条隧道以列表形式显示其名称、状态、远程网关、远端子网、指定虚拟IP地址、认证方式、连接模式。
详细如表1所示。
表1隧道列表显示内容
显示名
含义
可能值
备注
名称
隧道名称
任意
唯一标识隧道
状态
连接状态
未连接
第一阶段协商成功
第二阶段协商成功
已连接
共四个连接状态
远程网关
安全设置的IP地址
任意
如:
192.168.31.1
远端子网
保护子网
任意
如:
20.0.0.0/24
指定虚拟IP地址
参数是否由设备端设置
是(由客户端指定)
否(由服务器设置)
包括虚拟网卡、DNS服务器和WINS服务器的IP
认证方式
IKE协商的认证方式
共享密钥
数字证书
智能卡证书
共三种认证方式
启动模式
隧道连接的模式
手动操作连接
程序启动即连接
插入key即连接
共三种启动模式
3.2配置参数说明
下面说明隧道配置参数的含义、可能值及其限制。
3.2.1隧道基本设置参数说明
隧道基本参数说明如表2所示。
在“基本设置”提供三种认证方式,分别为共享密钥、数字证书和智能卡证书。
其中共享密钥要求输入密钥和确认密钥,数字证书需要从本地导入p12格式的证书(或从下拉框中选择已存在的p12证书),智能卡证书从插入电脑的USBKey中导入p12格式的证书;后面两种认证方式,还提供对服务器端证书的验证功能,如果选择“验证CA证书”复选框,则需要从本地导入cer格式的证书(或从下拉框中选择已存在的cer证书)。
表2隧道基本参数说明
显示名
含义
可能值
备注
隧道名称
隧道名称
任意
唯一标识隧道
远程网关
安全设置的IP地址
任意
如:
192.168.31.1
远端子网
保护子网
任意
如:
20.0.0.0/24
本地接口
本地真实IP地址
枚举所有的真实IP
如:
192.168.31.2
只能下拉选择来实现
认证方式
IKE协商的认证方式
共享密钥
数字证书
智能卡证书
共三种认证方式
默认为共享密钥
只能下拉选择来实现
3.2.2隧道扩展认证参数说明
扩展认证允许IPsec客户端的使用者,而不是IPsec客户端软件,被IPsec网关认证,扩展认证是基于每一用户的。
扩展认证也被称作X-AUTH,其认证参数如表3所示。
表3隧道扩展认证参数说明
显示名
含义
可能值
备注
登录名
登录名称
任意
如:
Admin
输入密码
登录需要的密码
任意
如:
123456
确认密码
重新输入密码
任意
如:
123456
3.2.3隧道本地网络参数说明
本地虚拟IP地址、DNS服务器和WINS服务器的值,可以用户手动输入,也可以由服务器端配置完全后,在协商的时候发送给IPSec客户端。
如果用户选择“指定虚拟IP地址”,虚拟网卡参数设置以用户输入为准,否则以服务器端设置为准。
如果两端都没有设置,则不能协商成功。
参数如表4所示。
表4隧道本地网络参数说明
显示名
含义
可能值
备注
虚拟IP地址
虚拟网卡IP地址
任意
如:
10.0.0.4
DNS服务器
虚拟网卡DNS
任意
如:
1.1.1.1
WINS服务器
虚拟网卡WINS
任意
如:
2.2.2.2
3.2.4隧道高级设置参数说明
隧道高级参数分为IKE设置参数、IPSec设置参数、断线侦测和连接模式。
分别说明如表5、表6、表7、表8所示。
表5IKE设置参数说明
显示名
含义
可能值
备注
协商模式
IKE第一阶段协商的模式
主模式
野蛮模式
默认:
主模式
必选
认证算法
IKE协商采用
MD5
SHA1
默认:
MD5
必选
加密算法
IKE协商采用
DES
3DES
AES128
AES192
AES256
默认:
3DES
必选
密钥DH组
IKE协商采用
DH1(768)
DH2(1024)
DH5(1536)
DH14(2048)
默认:
DH2(1024)
必选
密钥周期
IKE密钥周期
在600到86400之间
默认:
28800
表6IPSec设置参数说明
显示名
含义
可能值
备注
封装协议
对数据包采用的封装协议
AH
ESP
默认:
ESP
必选
认证算法
IPSec处理采用
NULL
MD5
SHA1
默认:
MD5
若封装协议为AH,则认证算法不能为NULL
加密算法
IPSec处理采用
NULL
DES
3DES
AES128
AES192
AES256
默认:
3DES
若封装协议为ESP,则认证算法和加密算法不能同时为NULL
支持PFS
IPSec处理采用
DH1(768)
DH2(1024)
DH5(1536)
DH14(2048)
默认:
不支持
若支持,则默认为:
DH2(1024)
密钥周期
IPSec处理周期
在600到86400之间
默认:
28800
表7断线侦测参数说明
显示名
含义
可能值
备注
检查间隔
检查是否断线
任意
默认:
15秒
重试次数
检查是否断线
任意
默认:
5次
重试时延
检查是否断线
任意
默认:
30秒
表8连接模式参数说明
显示名
含义
备注
手动连接
仅手动操作连接隧道
默认:
手动连接
自动连接
IPSec客户端运行时自动连接隧道
插key连接
插入USBKey时连接隧道
在程序启动并且当前无“已连接”的隧道时有效。
3.3新建隧道向导
点击文件>新建隧道,或点击
进入“新建隧道向导”界面,能够建立新的虚拟隧道,但是隧道名必须不重复。
在利用向导新建隧道过程中,用户随时都可以点击“取消”按钮来退出。
3.3.1第一步:
配置隧道名
隧道名是隧道的唯一标识,请输入一个新的隧道名(不能与已存在隧道同名)。
图17新建向导-配置隧道名
3.3.2第二步:
配置网络参数
输入远程网关和远端子网;本地接口只能从列表中选择,不能手动输入。
当选中“指定虚拟IP地址”,则必须输入虚拟网络参数,虚拟网卡的设置参数以用户指定的IP为主。
默认为不选择,也即虚拟网卡参数由服务器端设置。
选中“指定虚拟IP地址”,则必须输入虚拟IP地址、DNS服务器和WINS服务器。
图18新建向导-配置网络参数
3.3.3第三步:
配置认证方式
默认的认证方式为“共享密钥”,另外还有“数字证书”和“智能卡证书”方式。
图19-1至图19-4分别说明了在IKE协商阶段选择使用“预共享密钥”、“本地文件型数字证书”和“USBKEY证书”三种协商认证方式。
后两者的区别在于证书文件的存储位置不同,分别是存储在本地硬盘和USBKEY当中。
另外,如图19-3所示,选择CA验证时,需要往IPSec客户端导入有效的根CA证书或证书链,用来验证IPSec网关发过来的p12证书的有效性,此项为可选。
扩展认证用于认证IPSecVPN客户端的使用者,由服务器端在IKE协商过程中验证,若是正确的使用者才提供服务,否则拒绝服务。
图19-1新建向导-配置共享密钥认证方式
图19-2新建向导-选择数字证书认证方式
图19-3新建向导-选择导入数字证书
图19-4新建向导-选择USBKEY数字证书
说明:
上述提到的本地或USBKEY数字证书格式均为P12/PFX,即个人信息交换。
关于数字证书部分详细介绍请参考《天清汉马USG_Web管理用户手册》的“CA中心”部分。
3.3.4第四步:
配置IKE参数
配置IKE协商过程中的第一阶段协商模式为“主模式”还是“野蛮模式”,第二阶段协商模式固定为“快速模式”;配置协商过程中的认证算法、加密算法、密钥DH组和密钥周期。
其中密钥周期必须在600-86400之间。
图20新建向导-配置IKE参数
3.3.5第五步:
配置IPSec参数
配置IPSec处理时使用的封装协议、认证算法、加密算法、是否支持PFS和密钥周期。
其中密钥周期必须在600-86400之间。
图21新建向导-配置IPSec参数
3.3.6第六步:
断线侦测和启动模式
配置断线侦测参数检查间隔、重试次数和重试时延。
三种连接模式中,一般默认为“仅手动操作连接该隧道”,另外两种为特殊情况下的操作。
图22新建向导-配置断线侦测和启动模式
3.4隧道属性编辑
利用“新建隧道向导”创建隧道后,程序如图23所示。
其他隧道可以再利用向导创建得到,也可以复制已有隧道并修改相应参数得到。
如图23中的“复件Tunnel_Name”隧道是“Tunnel_Name”复制得到。
图23建立隧道后界面
3.4.1修改隧道名
连续两次点击隧道名来修改(注意:
不是双击)。
例如:
如连续两次单击隧道名“复件Tunnel_Name”,该隧道的隧道名称为可编辑状态,如图24所示。
图24修改隧道名
输入新的隧道名,并按回车键或单击其他地方,就修改了隧道名。
如图25所示。
图25修改隧道名后
3.4.2修改基本设置
鼠标右击选中隧道“Tunnel_2”,在弹出的菜单中选中“属性”。
则弹出如图26所示的“Tunnel_2属性”界面。
用户可以根据自己的需要修改界面上的任何参数。
图26隧道基本设置
3.4.3修改扩展认证
选中“Tunnel_2属性”界面上的复选框“支持扩展认证”,则该隧道支持扩展认证。
点击该复选框对应的“设置…”按钮,则弹出如图27所示的“Tunnel_2扩展认证设置”界面。
图27扩展认证设置
3.4.4修改本地网络
选中“Tunnel_2属性”界面上的复选框“指定虚拟IP地址”,则该隧道虚拟网络参数以用户设置为准。
点击该复选框对应的“设置…”按钮,则弹出如图27所示的“Tunnel_2本地网络设置”界面。
图28本地虚拟网络设置
3.4.5修改高级设置
选中“Tunnel_2属性”界面上的“高级…”按钮,则弹出如图29所示的“Tunnel_2高级设置”界面。
图29隧道高级设置
第4章
4
界面操作
4.1基本操作
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 天清汉马 USG 防火墙 IPSecVPN 客户端 用户手册