SJW系列TPN安全網(wǎng)關(guān)配置手冊(cè)

SJW74系列TPN安全網(wǎng)關(guān)配置手冊(cè)V5.1QjADTAssuredData2008年4月TOC\o"1-5"\h\z\o"CurrentDocument"第1章TPN安全網(wǎng)關(guān)簡(jiǎn)介 6\o"CurrentDocument"1.3 應(yīng)用環(huán)境 7\o"CurrentDocument"1.5 接入方式 8\o"CurrentDocument"第2章 開(kāi)始配置安全網(wǎng)關(guān) 9\o"CurrentDocument"2.! 配置工具和配置方式 9\o"CurrentDocument"配置工具 9\o"CurrentDocument"配置途徑 9\o"CurrentDocument"對(duì)安全網(wǎng)關(guān)進(jìn)行實(shí)時(shí)配置 9\o"CurrentDocument"通過(guò)串行口對(duì)網(wǎng)關(guān)進(jìn)行實(shí)時(shí)配置 10\o"CurrentDocument"通過(guò)網(wǎng)絡(luò)對(duì)網(wǎng)關(guān)進(jìn)行實(shí)時(shí)配置 11\o"CurrentDocument"實(shí)時(shí)保存配置信息 12\o"CurrentDocument"導(dǎo)入導(dǎo)出配置文件 12\o"CurrentDocument"清仝安全網(wǎng)關(guān)配置 13\o"CurrentDocument"第3章初始化向?qū)?14\o"CurrentDocument"3.1 設(shè)備初始化的步驟 14\o"CurrentDocument"第4章 系統(tǒng)基本信息配置 19\o"CurrentDocument"配置軟件的基本結(jié)構(gòu) 19\o"CurrentDocument"系統(tǒng)維護(hù) 19\o"CurrentDocument"設(shè)備管理? 21\o"CurrentDocument"集中管理. 22\o"CurrentDocument"設(shè)備告警. 23\o"CurrentDocument"網(wǎng)絡(luò)設(shè)置 27\o"CurrentDocument"基本設(shè)置. 27\o"CurrentDocument"網(wǎng)絡(luò)接口 29\o"CurrentDocument"DHCP服務(wù) 32網(wǎng)協(xié)ト乂 40\o"CurrentDocument"網(wǎng)絡(luò)服務(wù) 41\o"CurrentDocument"第5章 VPN配置 46VPN的相美日し￡ 47\o"CurrentDocument"身份認(rèn)證方式和缺省預(yù)共享密鑰 47\o"CurrentDocument"數(shù)字證書(shū). 48\o"CurrentDocument"密鑰生命周期. 52\o"CurrentDocument"NAJ穿透功能 53動(dòng)態(tài)1女人 55\o"CurrentDocument"配置局域網(wǎng)到局域網(wǎng)的VPN 56\o"CurrentDocument"典型環(huán)境下的VPN配置. 57\o"CurrentDocument"局域網(wǎng)中有多個(gè)網(wǎng)段時(shí)的VPN配置. 62\o"CurrentDocument"VPN向?qū)?66\o"CurrentDocument"第6章 防火墻配置 70\o"CurrentDocument"地址映射（NAT）配置 70\o"CurrentDocument"配置NAT的通常步驟. 70\o"CurrentDocument"添加NA！對(duì)象 70\o"CurrentDocument"狀態(tài)檢測(cè)配置 75\o"CurrentDocument"快速過(guò)濾配置 76\o"CurrentDocument"HTTP檢測(cè)配置 77\o"CurrentDocument"非法URL檢測(cè)設(shè)置? 77\o"CurrentDocument"URL過(guò)濾以置? 78\o"CurrentDocument"HTTP檢測(cè)在策略中的設(shè)置. 81\o"CurrentDocument"用戶(hù)認(rèn)證配置 82\o"CurrentDocument"攻擊檢測(cè)配置 84\o"CurrentDocument"IDS互動(dòng)配置 87\o"CurrentDocument"MAC地址綁定配置 88\o"CurrentDocument"網(wǎng)關(guān)ARP代理 89\o"CurrentDocument"第7章安全策略 917.! 安全策略的匹配 91策略的匹配機(jī)制和快速匹配功能 91\o"CurrentDocument"策略生效時(shí)間. 92\o"CurrentDocument"安全策略的順序調(diào)整 92\o"CurrentDocument"安全策略相關(guān)操作 93\o"CurrentDocument"第8章多鏈路配置 94\o"CurrentDocument"] 工作原理. 94\o"CurrentDocument"配置方法 94\o"CurrentDocument"配置實(shí)例. 96\o"CurrentDocument"8.2.1 工作原理? 101\o"CurrentDocument"8.3 策略路由 105\o"CurrentDocument"第9章 WEB客戶(hù)端 1089.1 寸入WEB客ノ,セ而 108\o"CurrentDocument"第10章TPN配置 11010.1.1 基本イM底 110\o"CurrentDocument"10.1.3 權(quán)限對(duì)象 115\o"CurrentDocument"用戶(hù)/認(rèn)證管理 126\o"CurrentDocument"用戶(hù)管理. 126\o"CurrentDocument"在線用戶(hù) 130\o"CurrentDocument"禁用用戶(hù) 131\o"CurrentDocument"認(rèn)證服務(wù)器（第三方服務(wù)器認(rèn)證） 131\o"CurrentDocument"認(rèn)證選項(xiàng). 132\o"CurrentDocument"TPN向?qū)?133\o"CurrentDocument"自定義進(jìn)程特征庫(kù) 136\o"CurrentDocument"TPN推薦配置順序 137\o"CurrentDocument"第11章 事件與報(bào)告 139\o"CurrentDocument"系統(tǒng)日志 139流量統(tǒng)計(jì) 141\o"CurrentDocument"威脅報(bào)告 142\o"CurrentDocument"第12章 其他功能 144\o"CurrentDocument"流量控制 144\o"CurrentDocument"基于策略的流量を制. 144\o"CurrentDocument"基于用戶(hù)的流量控制. 147\o"CurrentDocument"移動(dòng)加速 149\o"CurrentDocument"調(diào)整NAT映射表項(xiàng)刷新時(shí)間 153\o"CurrentDocument"12.5.5文件導(dǎo)入導(dǎo)出功能 158\o"CurrentDocument"1內(nèi)核升級(jí) 159義￡ネ王重ノロ 164\o"CurrentDocument"恢復(fù)備份配置 164聽(tīng)新裝弐災(zāi)酉ビ白 165\o"CurrentDocument"附錄 166\o"CurrentDocument"附錄A主要名詞術(shù)語(yǔ)解釋 166\o"CurrentDocument"附錄B安全網(wǎng)關(guān)配置常見(jiàn)問(wèn)題 166\o"CurrentDocument"附錄C推薦配置順序 168感謝您購(gòu)買(mǎi)ADTSJW74系列安全網(wǎng)關(guān)!本手冊(cè)將為您詳細(xì)介紹安達(dá)通SJW74TPN系列安全網(wǎng)關(guān)的使用方法。歡迎訪問(wèn)安達(dá)通公司網(wǎng)站him:〃,及致電本公司400-880-1233。第1章TPN安全網(wǎng)關(guān)簡(jiǎn)介功能簡(jiǎn)介安全網(wǎng)關(guān)應(yīng)用IKE技術(shù)和Ipsec技術(shù)對(duì)!P數(shù)據(jù)流進(jìn)行端到端的加密保護(hù),實(shí)現(xiàn)異地子網(wǎng)之間的安全互聯(lián),以及移動(dòng)用戶(hù)對(duì)固定網(wǎng)絡(luò)的安全接入,提供VPN服務(wù);安全網(wǎng)關(guān)應(yīng)用NAT技術(shù)使得企業(yè)內(nèi)部私有地址能夠訪問(wèn)外部互聯(lián)網(wǎng),并且能將內(nèi)網(wǎng)服務(wù)器的端口映射到公網(wǎng)上;安全網(wǎng)關(guān)應(yīng)用包過(guò)濾和狀態(tài)檢測(cè)技術(shù)保護(hù)內(nèi)網(wǎng)主機(jī)和服務(wù)器,提供防火墻的功能:安全網(wǎng)關(guān)具有鏈路備份和負(fù)載均衡的功能,支持在兩條線路接入下的鏈路備份功能,以及多條線路（2-3條）接入下的鏈路負(fù)載均衡功能安全網(wǎng)關(guān)具備隧道接カ、隧道嵌套、VPN后NAT、NAT后VPN等多種高級(jí)功能,能夠組建各種復(fù)雜的VPN網(wǎng)絡(luò)，滿(mǎn)足客戶(hù)的各種應(yīng)用需求。安全網(wǎng)關(guān)和TPN主機(jī)端程序利用身份認(rèn)證技術(shù)和主機(jī)檢測(cè)技術(shù)，實(shí)現(xiàn)進(jìn)程檢測(cè)和接入安全功能。硬件接口以SJW74T-1000為例，安全網(wǎng)關(guān)外形如下圖所示:SJW74T-300、SJW74T-500、SJW74T-IOOO、安全網(wǎng)關(guān)帶有4個(gè)網(wǎng)口，其中一個(gè)LANロ,ー個(gè)WANロ,ー個(gè)EXTO口和一個(gè)EXTIロ（均為10/100M自適應(yīng),WAN/EXT0/EXT1均可做為公網(wǎng)出口）；SJW74T-I5OO、SJW74T-3000安全網(wǎng)關(guān)帶有4個(gè)網(wǎng)口,其中一個(gè)LANロ,ー個(gè)WANロ,一一個(gè)EXT0口和一個(gè)EXT1ロ（均為10/100M/1000M自適應(yīng),WAN/EXT0/EXT!均可做為公網(wǎng)出ロ）;各型號(hào)的網(wǎng)關(guān)還具備:兩個(gè)COMロ,COM1用于配置和故障恢復(fù),COM2作為雙機(jī)熱備時(shí)“心跳線”的連接口;!個(gè)電源指示燈;4個(gè)網(wǎng)絡(luò)接口指示燈。應(yīng)用環(huán)境SJW74安全網(wǎng)關(guān)的典型應(yīng)用環(huán)境如下圖,總部采用兩條用戶(hù)可以參考該圖規(guī)劃自己的應(yīng)用環(huán)境。工作模式安全網(wǎng)關(guān)支持在路由模式和透明模式兩種模式下工作,能夠滿(mǎn)足在各種網(wǎng)絡(luò)環(huán)境下的應(yīng)用。在路由模式下，安全網(wǎng)關(guān)作為ー個(gè)三層設(shè)備工作,通常部署在內(nèi)外網(wǎng)的邊界,為內(nèi)外網(wǎng)提供路由、防火墻過(guò)濾、NAT和IPSEC加密等功能；在透明模式下,安全網(wǎng)關(guān)作為ー個(gè)透明網(wǎng)橋工作在二層,對(duì)通過(guò)安全網(wǎng)關(guān)的數(shù)據(jù)流進(jìn)行包過(guò)濾或提供IPSEC加密服務(wù)。此時(shí),可以任意設(shè)置LAN口和WANロ地址。使用透明模式可以不改變用戶(hù)原有的網(wǎng)絡(luò)結(jié)構(gòu)和地址規(guī)劃，并且能使非IP的其他協(xié)議（比如IPX、NETBEUI等）順利透過(guò)安全網(wǎng)關(guān)；另外，ADT安全網(wǎng)關(guān)還具備ー個(gè)非常有用的特點(diǎn),即在透明模式下還能正常提供路由模式下オ具備的路由轉(zhuǎn)發(fā)、NAT等功能,在ー些特殊場(chǎng)合下,該特性能實(shí)現(xiàn)“混和工作模式”（即透明和路由并存）。注意:支持多線路接入的鏈路備份和鏈路均衡功能只在路由模式下有效。接入方式SJW74系列安全網(wǎng)關(guān)支持以太網(wǎng)固定地址接入、DHCP自動(dòng)獲取地址接入、PPPOE撥號(hào)接入（比如ADSL、CABLE）等幾種方式,多線路接入時(shí),可以實(shí)現(xiàn)上述各種接入方式的組合,同時(shí)能支持多個(gè)PPPOE撥號(hào)鏈路，能適用于絕大部分的網(wǎng)絡(luò)環(huán)境。第2章開(kāi)始配置安全網(wǎng)關(guān)配置工具和配置方式配置工具在安全網(wǎng)關(guān)能正常工作之前,必須經(jīng)過(guò)正確的系統(tǒng)配置:對(duì)安全網(wǎng)關(guān)的各種配置操作都需要通過(guò)安全網(wǎng)關(guān)控制臺(tái)（SureConsole）軟件進(jìn)行。配置途徑安全網(wǎng)關(guān)控制臺(tái)能通過(guò)網(wǎng)絡(luò)和COMロ兩種手段對(duì)安全網(wǎng)關(guān)進(jìn)行配置。通常使用COMロ對(duì)安全網(wǎng)關(guān)進(jìn)行初始化配置,使用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理和配置;通過(guò)網(wǎng)絡(luò)進(jìn)行配置時(shí)，安全網(wǎng)關(guān)控制臺(tái)軟件使用SSL來(lái)保證與安全網(wǎng)關(guān)通信數(shù)據(jù)的安全;無(wú)論通過(guò)網(wǎng)絡(luò)還是串行口對(duì)安全網(wǎng)關(guān)進(jìn)行配置，都需要進(jìn)行用戶(hù)認(rèn)證。對(duì)安全網(wǎng)關(guān)進(jìn)行實(shí)時(shí)配置安全網(wǎng)關(guān)的出廠缺省配置;?根用戶(hù):root〇根用戶(hù)缺省密碼:changeit（中文意思為“改掉它”）〇しANロ1P地址:,掩碼:〇其他接口IP地址均為空〇策略為空（默認(rèn)全部阻斷）對(duì)一臺(tái)剛出廠的設(shè)備，建議通過(guò)“初始化向?qū)А惫ぞ哌M(jìn)行初始化配置,初始化配置可以通過(guò)網(wǎng)絡(luò)或串行口進(jìn)行（詳見(jiàn)第三章《初始化向?qū)А罚?.2.I通過(guò)串行口對(duì)網(wǎng)關(guān)進(jìn)行實(shí)時(shí)配置安全網(wǎng)關(guān)的串行口配置線為兩頭都為九孔或RJ45的串行連接線（設(shè)備包裝附帶）如用戶(hù)自行制作該連接線,線序如下:口九孔的線兩頭2、3號(hào)線進(jìn)行交叉;□RJ45的線3、6號(hào)線進(jìn)行交叉。配置步驟如下:.在主機(jī)上安裝安全網(wǎng)關(guān)控制臺(tái)（SureConsole）軟件;.用串行口連接線將安全網(wǎng)關(guān)的COM口與配置主機(jī)的COMロ相連接（注意:如碰到有兩個(gè)串口的安全網(wǎng)關(guān),均連接到C0M1）；.打開(kāi)安全網(wǎng)關(guān)電源,等待網(wǎng)關(guān)完成啟動(dòng)（根據(jù)設(shè)備的不同,這個(gè)過(guò)程需要時(shí)間約30秒?2分鐘）；.打開(kāi)安全網(wǎng)關(guān)控制臺(tái)軟件,選擇“串口連接”，在‘‘本機(jī)串口”選擇本機(jī)與安全網(wǎng)關(guān)相連接的串口編號(hào),輸入管理員用戶(hù)名和密碼，點(diǎn)擊’‘確定”;登錄界面如下:登登錄? a確定は) 取消(0.進(jìn)入配置主界面;如下圖所示:ン安全網(wǎng)美平臺(tái)網(wǎng)關(guān)(5)両口Q)S?Y),一,七-連接保存ン安全網(wǎng)美平臺(tái)網(wǎng)關(guān)(5)両口Q)S?Y),一,七-連接保存0TB-?累如?妒,カ網(wǎng)增設(shè)??セ對(duì)象莒理>.i防火墻SみVPN?.安全策略i雙機(jī)，出&?ッ睡跪點(diǎn)?* -策略路由>：**WE8客戶(hù)?? !爲(wèi)色/權(quán)M者過(guò)?，.用戸/認(rèn)證管理わ?！鍪录聢?bào)青工具(I)相助(由ニ 〇W 關(guān)于ー控創(chuàng)臺(tái)系廁間:200831914:28:11系統(tǒng)已經(jīng)運(yùn)行了。天。小時(shí)23分?22秒定制?!勒模式:庠エ?]基本價(jià)?網(wǎng)關(guān)名稀: TB序列號(hào): ADT-746P-06030053軟件版本: 5.1.001tb_l耍件版本: SJW74-T500工作模式: 路由模式幣び顔本:3.0,1資A使用CPU： 30.5%內(nèi)存: 48.3%Sff： 0036%用用用用t*fiEeevi用用用用t*fiEeeviwan 45extO 45extl 0.0,0.0PPPoE(wan) 00.0.0益VPN向?qū)Д郥PN配益VPN向?qū)Ь凸?目標(biāo)網(wǎng)關(guān)!32,132.0.245 畫(huà)錄用戶(hù)root 逹接時(shí)間24秒2.2.2通過(guò)網(wǎng)絡(luò)對(duì)網(wǎng)關(guān)進(jìn)行實(shí)時(shí)配置.在主機(jī)上安裝安全網(wǎng)關(guān)控制臺(tái)(SureConsole)軟件:.用ー根交叉線(反線)或通過(guò)Hub、交換機(jī)將安全網(wǎng)關(guān)的LAN口和配置主機(jī)進(jìn)行連接,將配置主機(jī)的該接口1P地址改為?掩碼。.打開(kāi)安全網(wǎng)關(guān)電源;.在配置主機(jī)上啟動(dòng)安全網(wǎng)關(guān)控制臺(tái),選擇“網(wǎng)口連接”,在目標(biāo)網(wǎng)關(guān)輸入安全網(wǎng)關(guān)LANロ地址“192.168.11”,輸入密碼,點(diǎn)擊“確定”;登錄界面如下:.進(jìn)入配置主界面。實(shí)時(shí)保存配置信息點(diǎn)擊安全網(wǎng)關(guān)控制臺(tái)主界面上的“保存”按鈕或者選擇“網(wǎng)關(guān)”菜單ド的“保存配置”,即將安全網(wǎng)關(guān)的當(dāng)前配置保存到內(nèi)部的存儲(chǔ)器中。注意:網(wǎng)關(guān)重新啟動(dòng)過(guò)后按最后一次保存的配置運(yùn)行。導(dǎo)入導(dǎo)出配置文件在實(shí)時(shí)配置模式下，選擇安全網(wǎng)關(guān)控制臺(tái)“網(wǎng)關(guān)”菜單下的“導(dǎo)出配置”項(xiàng)，在彈出的對(duì)話框中選擇存放路徑并輸入文件名，點(diǎn)擊“確定”按鈕，即保存配置文件到指定目錄。

ピ安全同美平臺(tái)網(wǎng)關(guān)（0操作（〇）查看（り工具（D幫助（ヒ連接M重新啟動(dòng)（B）連接M重新啟動(dòng)（B）網(wǎng)關(guān)升級(jí)（5特征庫(kù)導(dǎo)出（日清空配置（0保存配置（5）導(dǎo)入配置（I）重新裝載（叱）導(dǎo)出配置（り恢復(fù)備份（め同步配置（り:設(shè)置接口6（動(dòng)態(tài)DN!，路由表NTRUNK退出兇クI刷新在實(shí)時(shí)配置模式下,選擇安全網(wǎng)關(guān)控制臺(tái)“網(wǎng)關(guān)”菜單下的“導(dǎo)入配置”項(xiàng),在彈出的對(duì)話框中選擇指定目錄下的配置文件,點(diǎn)擊“確定”按鈕,接著重新裝載配置或者重啟安全網(wǎng)關(guān)，即按配置文件中的配置運(yùn)行;利用安全網(wǎng)關(guān)配置可導(dǎo)入導(dǎo)出的特性，可以進(jìn)行安全網(wǎng)關(guān)的大批量離線編輯,再統(tǒng)ー導(dǎo)入;也可以通過(guò)分析配置文件進(jìn)行離線的故障診斷等等;注意:在導(dǎo)入配置之后重新裝載配置或者重啟網(wǎng)關(guān)之前，不要點(diǎn)“保存”按鈕。清空安全網(wǎng)關(guān)配置在安全網(wǎng)關(guān)控制臺(tái)“網(wǎng)關(guān)”菜単下選擇“清空配置”，接著重新啟動(dòng)安全網(wǎng)關(guān),安全網(wǎng)關(guān)的配置即恢復(fù)到出廠狀態(tài)。注意:在清空配置之后重啟網(wǎng)關(guān)之前，千萬(wàn)不要保存配置,否則清空將失效。第3章初始化向?qū)囊慌_(tái)剛岀廠的安全網(wǎng)關(guān),到符合用戶(hù)的要求進(jìn)行正常工作,通常要經(jīng)過(guò)各種配置。在剛開(kāi)始配置時(shí)建議首先使用安全網(wǎng)關(guān)控制臺(tái)中的“初始化向?qū)А惫ぞ邔?duì)安全網(wǎng)關(guān)做初始化配置,通過(guò)初始化向?qū)軌蛟O(shè)置網(wǎng)關(guān)的基本信息并實(shí)現(xiàn)ー些基本功能。3.1設(shè)備初始化的步驟打開(kāi)初始化向?qū)Э梢酝ㄟ^(guò)兩種途徑:在安全網(wǎng)關(guān)控制臺(tái)的“工具”菜單下選擇“初始化向?qū)А被蛘咧苯舆x擇安全控制臺(tái)首界面下的初始化向?qū)ф溄?。打開(kāi)初始化向?qū)Ш蟮慕缑嫒缦聢D所示:點(diǎn)擊“下ー步”，提示選擇網(wǎng)關(guān)型號(hào)并輸入網(wǎng)關(guān)名稱(chēng):選擇網(wǎng)關(guān)的設(shè)備型號(hào)并指定網(wǎng)關(guān)的名稱(chēng)網(wǎng)關(guān)名稱(chēng)用來(lái)在網(wǎng)絡(luò)中唯一地標(biāo)識(shí)網(wǎng)關(guān)設(shè)備網(wǎng)關(guān)型號(hào)（エ）：|SJW74c系列 工］描述SJW74C系列是ー款中高性能的安全網(wǎng)關(guān),適合部署在大型企業(yè)中心節(jié)點(diǎn).網(wǎng)關(guān)名稱(chēng)（N）: |SJW74c系列<_上一步（旦）斤ー步（N）>| 取消|點(diǎn)擊“下ー步”,選擇接入方式,在初始化向?qū)е心J(rèn)為單線路接入,以固定地址接入為例:點(diǎn)擊“下ー步”，選擇何種動(dòng)態(tài)接入方式（PPPoE或DHCP）,并輸入相關(guān)信息，以及接口是否允許ping和管理等等,以“PPPoE"為例:

配置網(wǎng)關(guān)的wan接口wan接口用來(lái)連接不可信網(wǎng)絡(luò),如Internet地址 IP地址Q(chēng)）： |子網(wǎng)渣碼Q）： |默ス網(wǎng)關(guān)（2）： |218,1.1,254DNS服務(wù)器処）：|53管理“允許Ping本接口但）“先百通迎云接で迸行送移密獻(xiàn)亜<_上一步（旦）斤ー步（N）>| 取消|點(diǎn)擊“下ー步'配置網(wǎng)關(guān)的Lan口地址:點(diǎn)擊’‘下一步”,配置VPN參數(shù),要注意的是“VPN隧道端點(diǎn)“和‘’內(nèi)部DNS”等參數(shù)都只用于客戶(hù)端,當(dāng)用安全網(wǎng)關(guān)控制臺(tái)制作SurelD（即部署客戶(hù)端）時(shí)オ會(huì)用到這些參數(shù):

設(shè)査VPN參數(shù)設(shè)査VPN參數(shù)網(wǎng)關(guān)通過(guò)VPN來(lái)實(shí)現(xiàn)安全可靠的網(wǎng)絡(luò)通信（上一步（叫下一歩?可取消」點(diǎn)擊“下ー步”,配置集中管理參數(shù),安全網(wǎng)關(guān)可以工作在“自主管理”和“集中管理”兩種模式下，“自主管理”可以選擇“接受監(jiān)控”。所謂“集中管理”，是指通過(guò)ADT網(wǎng)管服務(wù)器（SureManager）統(tǒng)一下發(fā)VPN參數(shù)（節(jié)點(diǎn)、隧道、策略），從而達(dá)到快速部署VPN網(wǎng)絡(luò)的目的，并且網(wǎng)關(guān)統(tǒng)ー上報(bào)運(yùn)行狀態(tài)，接受網(wǎng)管服務(wù)器的監(jiān)控。在安全網(wǎng)關(guān)上可以選擇“自主管理”和“集中管理”兩種方式,“自主管理”方式下可以選擇“接受監(jiān)控”，即只向網(wǎng)管服務(wù)器上報(bào)運(yùn)行信息，不接受ド發(fā)VPN參數(shù)。一旦選擇“集中管理”或者“自主管理”下的“接受監(jiān)控”,都需耍在下面“參數(shù)設(shè)置”里輸入服務(wù)器IP,用戶(hù)名、密碼等參數(shù)。點(diǎn)擊“下ー步”，至此初始化向?qū)У乃行畔⒍驾斎胪戤叄跏蓟驅(qū)Ъ磳⒊跏蓟男畔魉偷桨踩W(wǎng)關(guān),并將安全網(wǎng)關(guān)重啟。當(dāng)初始化完成后,安全網(wǎng)關(guān)將自動(dòng)重新啟動(dòng),啟動(dòng)后安全網(wǎng)關(guān)就按向?qū)е信渲玫男畔⑦\(yùn)行。注意:初始化按照一條線路接入的配置，如要新增線路需另外配置。注意:建議將一臺(tái)網(wǎng)關(guān)應(yīng)用到ー個(gè)新的環(huán)境之前先使用初始化向?qū)ё鲆槐槌跏蓟?。?章系統(tǒng)基本信息配置在本章中將介紹安全網(wǎng)關(guān)控制臺(tái)軟件的基本結(jié)構(gòu)和系統(tǒng)基本信息的配置方法。系統(tǒng)基本信息包括安全網(wǎng)關(guān)的名字、管理員帳號(hào)、系統(tǒng)II期、在后面配置中要用到的對(duì)象等等。配置軟件的基本結(jié)構(gòu)不論是實(shí)時(shí)配置模式或者還是編輯配置文件的形式,都將通過(guò)相同的配置界面來(lái)完成配置工作。安全網(wǎng)關(guān)控制臺(tái)的主界面分為兩大部分,左邊的樹(shù)形結(jié)構(gòu)包括了所有的配置項(xiàng)目:右邊是具體的配置內(nèi)容,以列表的形式為主:當(dāng)選中左邊某個(gè)項(xiàng)目時(shí),右邊會(huì)出現(xiàn)相應(yīng)的已配置信息，通過(guò)在右邊列表中的操作,可以進(jìn)行各種各樣的配置。當(dāng)配置軟件與安全網(wǎng)關(guān)的通信出現(xiàn)錯(cuò)誤或?qū)绗F(xiàn)其他錯(cuò)誤時(shí)，右邊的下面部分會(huì)出現(xiàn)ー個(gè)顯示提示信息的列表框。配置界面的上部有一排導(dǎo)航欄按鈕，這些按鈕除了“連接”、“保存”、“刷新”幾個(gè)基本功能按鈕之外,其他的會(huì)根據(jù)左邊選中的配置選項(xiàng)不同而變化，用于對(duì)配置具體內(nèi)容的操作:“連接”按鈕用于重新連接ー個(gè)安全網(wǎng)關(guān)或重新編輯ー個(gè)配置文件;“保存”按鈕用于保存配置信息或?qū)雽?dǎo)出配置文件;“刷新”按鈕用于在實(shí)時(shí)模式下從安全網(wǎng)關(guān)刷新當(dāng)前的配置,在編輯配置文件模式下從配置文件刷新當(dāng)前配置。配置界面底部顯示了當(dāng)前的安全網(wǎng)關(guān)狀態(tài)、用戶(hù)配置連接方式、登錄用戶(hù)名、連接時(shí)間等信息。系統(tǒng)維護(hù)系統(tǒng)維護(hù)是配置選項(xiàng)中的第一個(gè)大項(xiàng),其中包括五個(gè)小項(xiàng)，下面分別介紹各自的功能。設(shè)備信息設(shè)備信息中包括“設(shè)備名稱(chēng)”、“所有者”、“管理員”、“聯(lián)系方法”等內(nèi)容，記錄這些信息僅僅是為了區(qū)分設(shè)備以及記錄管理員和聯(lián)系方式，這些信息與今后的配置無(wú)任何關(guān)聯(lián)；編輯設(shè)備信息的步驟如下:.選中“設(shè)備信息”后,雙擊右邊的列表或者點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕;.在彈出的對(duì)話框上編輯設(shè)備信息,點(diǎn)擊“確定”；如下圖所示:日期與時(shí)間在該項(xiàng)中顯示并可更改安全網(wǎng)關(guān)當(dāng)前的系統(tǒng)時(shí)間和日期。修改時(shí)間日期的步驟如下:.雙擊右邊列表中“系統(tǒng)時(shí)間”ー項(xiàng)或單擊該項(xiàng)并在導(dǎo)航欄按鈕中點(diǎn)擊屬性,彈出修改對(duì)話框，可以手工修改，也可以選擇“與本機(jī)保持一致”，如選擇“與本機(jī)保持一致”，配置軟件自動(dòng)從配置主機(jī)上讀取日期時(shí)間并設(shè)置到安全網(wǎng)關(guān)上去;.點(diǎn)擊“確定”;如下圖:

設(shè)備管理設(shè)備管理選項(xiàng)顯示了當(dāng)前所有用戶(hù)信息,以及目前登錄用戶(hù)信息等等。缺省設(shè)備只有ー個(gè)root用戶(hù),root用戶(hù)具有最高權(quán)限:在右邊列表中顯示出最后一個(gè)用戶(hù)連接的IP地址、當(dāng)前每個(gè)用戶(hù)的當(dāng)前連接數(shù)目等信息;用戶(hù)可以自行添加用戶(hù),用戶(hù)添加的用戶(hù)分為兩個(gè)級(jí)別,分別為’‘管理用戶(hù)”和‘‘瀏覽用戶(hù)”，管理用戶(hù)可以對(duì)安全網(wǎng)關(guān)進(jìn)行各種配置，瀏覽用戶(hù)只能實(shí)時(shí)查看當(dāng)前網(wǎng)關(guān)的配置信息，不能修改配置。添加用戶(hù)時(shí)，能夠?qū)π录佑脩?hù)進(jìn)行IP限制,即限定該IP地址オ能登錄網(wǎng)關(guān)進(jìn)行配置査詢(xún)或修改。添加用戶(hù)界面如下:

在設(shè)備管理下,點(diǎn)擊“選項(xiàng)”按鈕,可更改ー些控制用戶(hù)登錄的參數(shù),主要包括‘‘空閑切斷時(shí)間”，“最大在線個(gè)數(shù)”和“禁止重変登錄”如下圖所示:集中管理集中管理功能是配合“安全網(wǎng)關(guān)網(wǎng)管系統(tǒng)"(SureManager)實(shí)現(xiàn)對(duì)網(wǎng)關(guān)的集中監(jiān)控和策略分發(fā)的功能。注意:使用該功能必須在已經(jīng)安裝了一臺(tái)“安全網(wǎng)關(guān)網(wǎng)管系統(tǒng)”的前提下。開(kāi)啟集中管理的步驟如下：.在左側(cè)樹(shù)形結(jié)構(gòu)中選擇“系統(tǒng)維護(hù)”下的“集中管理”,點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕,或者雙擊右側(cè)的“集中管理”項(xiàng);.在彈出的對(duì)話框中選中“啟用集中管理功能”,輸入服務(wù)器IP,即網(wǎng)管服務(wù)器的IP地址,端口默認(rèn)為4600,輸入用戶(hù)名和密碼，點(diǎn)擊“確定”即可。注意:用戶(hù)名與密碼在網(wǎng)管服務(wù)器上設(shè)定。關(guān)于集中管理的詳細(xì)使用方法,可參考“安全網(wǎng)關(guān)網(wǎng)管系統(tǒng)”的相關(guān)手冊(cè)和資料。4.2.5設(shè)備告警設(shè)備告警選項(xiàng)分兩個(gè)子選項(xiàng)，“告警服務(wù)器”和“告警郵件”，分別用來(lái)設(shè)置當(dāng)設(shè)備產(chǎn)生緊急程度相當(dāng)高的事件時(shí)立即將該告警信息發(fā)送到郵件服務(wù)器或ADT專(zhuān)用告警服務(wù)器。設(shè)置告警服務(wù)器選項(xiàng)的步驟如下:.選中“告警服務(wù)器”，雙擊右邊的列表;.在彈出的對(duì)話框中選中“啟用告警服務(wù)器”，接著在下面的文本框中輸入告警服務(wù)器的IP地址和端口，如需用戶(hù)認(rèn)證,則還需輸入認(rèn)證密碼;.點(diǎn)擊“確定”按鈕;如下圖:

設(shè)置告警郵件的步驟如F：.選中“告警服務(wù)器”,雙擊右邊的列表;.在彈出的對(duì)話框中選中“發(fā)送告警郵件”,接著在下面的文本框中輸入SMTP服務(wù)器的域名或IP地址，如需SMTP認(rèn)證，則輸入認(rèn)證密碼;.點(diǎn)擊“確定”按鈕;如下圖:4.2.6設(shè)備日志設(shè)備日志選項(xiàng)分三個(gè)子選項(xiàng),“事件記錄”、“日志服務(wù)器”和“日志郵件”?！笆录涗洝庇脕?lái)設(shè)置對(duì)哪些類(lèi)型的日志進(jìn)行記錄,達(dá)到一定的過(guò)濾效果,設(shè)置的步驟如下:.選中“事件記錄”，雙擊右邊的列表或點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕;.在彈出的對(duì)話框中對(duì)需要記錄的日志類(lèi)型進(jìn)行打勾，“事件記錄”從日志緊急程度和II志產(chǎn)品模塊兩方面進(jìn)行日志過(guò)濾;.點(diǎn)擊“確定”按鈕:如下圖:“日志服務(wù)器”用來(lái)設(shè)置設(shè)備產(chǎn)生的11志同步發(fā)送到ADT專(zhuān)用日志服務(wù)器,設(shè)置步驟如下:.選中“日志服務(wù)器”,雙擊右邊的列表或點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕;.在彈出的對(duì)話框中選中“發(fā)送日志到外部日志服務(wù)器”，選擇日志服務(wù)器的類(lèi)型是ADT專(zhuān)用II志服務(wù)器或者標(biāo)準(zhǔn)syslog服務(wù)器,在下面的文本框中輸入服務(wù)器的IP地址和端口號(hào)，如果服務(wù)器需認(rèn)證，則輸入認(rèn)證密碼:.點(diǎn)擊“確定”按鈕：如下圖:

“日志郵件”用來(lái)設(shè)置或當(dāng)日志達(dá)到ー定數(shù)目以后通過(guò)郵件方式發(fā)送到指定郵箱,設(shè)置步驟如下:.選中“日志郵件”,雙擊右邊的列表或點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕;.在彈出的對(duì)話框中選中’‘當(dāng)日志存儲(chǔ)空間不夠時(shí)發(fā)送日志郵件”，接著在下面的文本框中輸入SMTP服務(wù)器的域名或IP地址，如需SMTP認(rèn)證，則輸入認(rèn)證密碼:.點(diǎn)擊“確定”按鈕;如下圖:經(jīng)過(guò)如上設(shè)置后,通常情況下,當(dāng)日志數(shù)量達(dá)到1024條以上時(shí),會(huì)自動(dòng)發(fā)送到指定郵箱中。注意:安全網(wǎng)關(guān)產(chǎn)生日志后首先保存在本地，當(dāng)超過(guò)存放空間，安全網(wǎng)關(guān)會(huì)刪除所有本地日志,重新開(kāi)始記錄日志。如果設(shè)置了日志服務(wù)器，則同步發(fā)送到日志服務(wù)器,如果設(shè)置了郵件服務(wù)器，當(dāng)達(dá)到ー定數(shù)目以后再發(fā)送到指定郵箱。4.3網(wǎng)絡(luò)設(shè)置網(wǎng)絡(luò)設(shè)置中包括了與安全網(wǎng)關(guān)相關(guān)的所有相關(guān)網(wǎng)絡(luò)基本信息。基本設(shè)置基本設(shè)置中有三個(gè)選項(xiàng)，“工作模式”、“組播支持”以及“VPNTCPMMS”?！肮ぷ髂Ｊ健睕Q定了安全網(wǎng)關(guān)是工作在路由模式還是透明模式下,即是工作在三層還是二層;當(dāng)工作在透明模式時(shí)，除了能透過(guò)二層以太網(wǎng)幀,安全網(wǎng)關(guān)的三層路由、地址映射等功能依舊有效,能做到兩者兼顧。雙擊“工作模式”表項(xiàng)或者選中該項(xiàng)點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕,在彈出的對(duì)話框中即可設(shè)置工作模式，如下圖:

在“組播支持”中設(shè)置是否允許組播報(bào)文透過(guò)安全網(wǎng)關(guān)。無(wú)論安全網(wǎng)關(guān)工作在路由模式還是透明模式下,該設(shè)置均有效。VPNTCPMMS選項(xiàng)是用于在VPN隧道穿越NAT時(shí),讓網(wǎng)關(guān)或者客戶(hù)端能順利穿透對(duì)UDP分段報(bào)文丟棄的防火墻時(shí)使用,在正常以太網(wǎng)MTU值下，該參數(shù)默認(rèn)值為1368。在某些主機(jī)或路由器MTU小于正常值時(shí)可以適當(dāng)調(diào)低該參數(shù)。注意:該參數(shù)調(diào)得過(guò)低會(huì)導(dǎo)致TCP應(yīng)用通信效率降低?！敖M播支持”和“VPNTCPMMS”在同一個(gè)對(duì)話框中設(shè)置，雙擊“組播支持”或“VPNTCPMMS”表項(xiàng)或者選中該項(xiàng)點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕，在彈出的對(duì)話框中即可設(shè)置是否允許支持組播報(bào)文透過(guò)，如下圖:

網(wǎng)絡(luò)接口在“網(wǎng)絡(luò)接口”中可以設(shè)置設(shè)備各個(gè)接U的ip地址、接U速度以及雙工模式等參數(shù),以及PPPOE撥號(hào)的用戶(hù)名密碼等參數(shù)。雙擊右側(cè)列表中的一個(gè)接口,或者選中該接口點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕,在彈出的對(duì)話框中可以看到該接口的參數(shù)信息，并對(duì)其進(jìn)行修改。LANロ的接口信息配置如下圖:最上面的是“啟用本接口”選項(xiàng)，如果不選這個(gè)選項(xiàng)則該接口處于關(guān)閉（即Down）狀態(tài)，下面的所有選項(xiàng)也都無(wú)效:在“接口地址”中可以指定改接口的IP地址和掩碼，并且可以看到該接口的MAC地址:在“管理”選項(xiàng)中可以設(shè)定是否允許通過(guò)該接口配置網(wǎng)關(guān);在“工作特性”選項(xiàng)中可以設(shè)定該接口的工作速率和雙工模式、以及MTU等參數(shù)。“接入方式”選項(xiàng)用于TPN用戶(hù)從該接口打開(kāi)登錄界面時(shí)，采用的登錄方式?！氨镜亟尤搿蓖ǔＳ糜谏暇W(wǎng)，VPN接入通常用于遠(yuǎn)程接入內(nèi)網(wǎng):通常在LAN口選擇“本地接入''，

在WAN口選擇“VPN接入”,ー個(gè)接口只能選擇ー種接入方式。點(diǎn)擊“接口地址”邊上的“高級(jí)”按鈕可以在ー個(gè)接口上添加多個(gè)IP地址,如下圖:SJW74C-4的DMZロ、EXT口配置與LAN口的配置類(lèi)似，WAN口上不支持綁定多個(gè)IP地址。WAN口支持通過(guò)DHCP自動(dòng)獲取IP地址,在WAN口的接口屬性中的“接口地址”選項(xiàng)下選擇“DHCP獲取”，點(diǎn)擊“確定”，稍候片刻,即可通過(guò)DHCP獲取IP地址,設(shè)置界面如下圖:

PPPOE撥號(hào)SJW74系列安全網(wǎng)關(guān)支持多路的PPPOE撥號(hào),除LAN口外的其他網(wǎng)口均可PPPOE撥號(hào),以WAN口為例，設(shè)置PPPOE撥號(hào)的步驟如下:選擇左側(cè)樹(shù)形結(jié)構(gòu)“網(wǎng)絡(luò)設(shè)置”下的“網(wǎng)絡(luò)接口”，雙擊右側(cè)表項(xiàng)中的WANロ，在彈出對(duì)話框中選擇“PPPoE撥號(hào)”頁(yè)簽，選擇“啟用PPPoE撥號(hào)”,輸入用戶(hù)名和密碼，如果ー個(gè)網(wǎng)絡(luò)中存在多個(gè)PPPOE撥號(hào)服務(wù),可以在服務(wù)名ー項(xiàng)中手工指定服務(wù)名,使設(shè)備撥到指定的服務(wù)上去,可以通過(guò)點(diǎn)擊“Discover”按鈕來(lái)獲取當(dāng)前網(wǎng)絡(luò)中的所有PPPoE服務(wù),獲取的服務(wù)名會(huì)顯示在“服務(wù)名”的列表下,如果希望安全網(wǎng)關(guān)啟動(dòng)和斷線后自動(dòng)撥號(hào),則在“斷線自動(dòng)撥號(hào)”選項(xiàng)前打勾，如下圖:

PPPOE撥號(hào)設(shè)置完成后,當(dāng)選中WANロ時(shí),導(dǎo)航欄上會(huì)出現(xiàn)一個(gè)“撥號(hào)”或“斷開(kāi)”按鈕,用于進(jìn)行手工的PPPOE撥號(hào)或斷開(kāi)連接。注意:設(shè)置PPPOE撥號(hào)的網(wǎng)口僅僅作為物理接口,連接ADSLmodem等設(shè)備，在撥號(hào)的同時(shí),該接口本身的IP地址依然有效,相對(duì)于ー個(gè)物理接口上綁定了兩個(gè)IP地址。DHCP月艮務(wù)安全網(wǎng)關(guān)能夠?yàn)榫钟蚓W(wǎng)內(nèi)的主機(jī)提供DHCP服務(wù),配置步驟如下:.在LAN口接口屬性對(duì)話框內(nèi),選中“在本接口啟用DHCP服務(wù)”,在下面的文本框中輸入DHCP服務(wù)的相關(guān)參數(shù),其中租借時(shí)間若設(shè)置為0,則采用默認(rèn)的租借時(shí)間,為5天。.點(diǎn)擊“確定”按鈕。如下!?!：

注意:除WAN口外的接口均能提供DHCP服務(wù),但同時(shí)只有一個(gè)生效。4.3.5DNSDNS選項(xiàng)中指定一個(gè)主DNS服務(wù)器地址和一個(gè)備用DNS服務(wù)器地址,用于網(wǎng)關(guān)本身對(duì)域名進(jìn)行解析;當(dāng)安全網(wǎng)關(guān)對(duì)局域網(wǎng)內(nèi)其他主機(jī)提供DNSrelay服務(wù)時(shí),也通過(guò)這些設(shè)定的DNS服務(wù)器進(jìn)行域名解析。選中“DNS”選項(xiàng)，雙擊右側(cè)列表或點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕,在彈出的対話框中輸入主和備DNS服務(wù)器的IP地址，點(diǎn)擊“確定”即可，如ド圖:4.3.6DDNSDDNS即動(dòng)態(tài)域名服務(wù),為設(shè)備在只有動(dòng)態(tài)IP的情況下（比如ADSL撥號(hào)、DHCP獲取地址）提供一個(gè)固定的域名,其它用戶(hù)或者設(shè)備可以通過(guò)該固定域名直接訪問(wèn)安全網(wǎng)關(guān)設(shè)備。在配置DDNS之前,需要用戶(hù)預(yù)先為安全網(wǎng)關(guān)注冊(cè)ー個(gè)域名,安全網(wǎng)關(guān)支持花生殼動(dòng)態(tài)域名。安達(dá)通公司提供專(zhuān)業(yè)級(jí)花生殼DDNS域名。啟用DDNS選項(xiàng)功能,可以令安全網(wǎng)關(guān)通過(guò)動(dòng)態(tài)域名作為VPN隧道的端點(diǎn),提供解決動(dòng)態(tài)!P地址下VPN互聯(lián)的另ー種手段。雙擊DDNS選項(xiàng)卜.的右側(cè)列表，在彈出的對(duì)話框中輸入DDNS注冊(cè)的相關(guān)信息，選中“啟用DDNS服務(wù)”點(diǎn)擊確定即完成DDNS的配置。如下圖:

注意:花生殼的服務(wù)器使用15;端口使用606〇。4.3.7網(wǎng)絡(luò)路由在該選項(xiàng)下可以查看、添加、刪除安全網(wǎng)關(guān)中的路由表項(xiàng);網(wǎng)絡(luò)設(shè)置一＞網(wǎng)絡(luò)路由目的地址名稱(chēng) 目的地址類(lèi)型 淹碼 網(wǎng)關(guān)地址名稱(chēng) 網(wǎng)關(guān)地址類(lèi)型 路由表項(xiàng)類(lèi)型00.0.0 -靜態(tài)i譏址 132J32.100254裾態(tài)i讖址 靜態(tài)配置132132.。,0 靜態(tài)IP地址 255255。0 132.132100.200 靜態(tài)IPtft批 動(dòng)態(tài)9強(qiáng) 靜態(tài)IP地址 255.255.25... 靜態(tài)IP地址 動(dòng)態(tài)配置路由表中有H的地址類(lèi)型、網(wǎng)關(guān)地址類(lèi)型和路由表項(xiàng)類(lèi)型三個(gè)可選項(xiàng),在通常情況下,手工添加的靜態(tài)路由的目的地址類(lèi)型、網(wǎng)關(guān)地址類(lèi)型都選擇為“靜態(tài)IP地址”,路由表項(xiàng)類(lèi)型為“靜態(tài)配置”，而系統(tǒng)自動(dòng)生成的路由表項(xiàng)類(lèi)型為“動(dòng)態(tài)地址”。手工添加靜態(tài)路由的步驟為:點(diǎn)擊導(dǎo)航欄按鈕上的“添加”按鈕，在彈出的對(duì)話框中輸入目的地址名稱(chēng)、掩碼和網(wǎng)關(guān)地址名稱(chēng)，其他的均為默認(rèn)選擇,即完成一條路由的添加,如下圖:點(diǎn)擊導(dǎo)航欄按鈕上的“刪除”按鈕,則刪除當(dāng)前選中路由表項(xiàng);注意:當(dāng)安全網(wǎng)關(guān)進(jìn)行PPPOE撥號(hào)或DHCP自動(dòng)獲取地址時(shí),默認(rèn)路由自動(dòng)添加,如原來(lái)已有默認(rèn)路由,則會(huì)被刪除。注意:當(dāng)啟用鏈路均衡時(shí),默認(rèn)路由只會(huì)顯示其中的一條;注意:當(dāng)安全網(wǎng)關(guān)工作在透明模式下時(shí)，網(wǎng)絡(luò)路由的接口可能不能真實(shí)反映實(shí)際數(shù)據(jù)包的走向。ARP表在該選項(xiàng)下可以查看、添加、刪除、清空安全網(wǎng)關(guān)中的叼表項(xiàng);點(diǎn)擊導(dǎo)航欄按鈕上的“刪除”按鈕,則刪除當(dāng)前選中arp表項(xiàng),點(diǎn)擊導(dǎo)航欄按鈕上的“清空”按鈕,則清空arp表中的所有表項(xiàng);注意：除了一些特殊的應(yīng)用,在極少的情況下添加arp表項(xiàng):注意：在arp表項(xiàng)上點(diǎn)擊右鍵,可以直接將當(dāng)前表項(xiàng)添加到MAC地址綁定表項(xiàng)中。VLANTRUNKVLANTRUNK作為??項(xiàng)高級(jí)功能，能夠使安全網(wǎng)關(guān)接在TRUNK口上，并且對(duì)TRUNK線路中的其中一個(gè)VLAN的IP數(shù)據(jù)流進(jìn)行加密或防火墻過(guò)濾操作。要開(kāi)啟TRUNK功能的步驟如下:

I.在VLANTRUNK選項(xiàng)下,點(diǎn)擊導(dǎo)航欄上的“選項(xiàng)”按鈕,在彈出的對(duì)話框中的“TRUNK控制”欄下在要開(kāi)啟TRUNK的接口前打勾;2.點(diǎn)擊“確定”如下圖所示:當(dāng)安全網(wǎng)關(guān)需要與位于其它VLAN的安全網(wǎng)關(guān)進(jìn)行IKE協(xié)商,或者需要與位于其它VLAN的主機(jī)進(jìn)行通信時(shí)，需要指定對(duì)方安全網(wǎng)關(guān)或主機(jī)所在VLAN的ID,因此需要輸入對(duì)方IP地址與VLANID的對(duì)應(yīng)表,在該項(xiàng)下點(diǎn)擊導(dǎo)航欄上的‘‘添加”按鈕,在彈出的對(duì)話框中輸入對(duì)方IP與VLANID的對(duì)應(yīng)表,如下圖:VLAN協(xié)議支持802.1Q和ISL。點(diǎn)擊“刪除”按鈕刪除當(dāng)前選中的!P-VLANID對(duì)應(yīng)表項(xiàng)。注意:VLANTRUNK功能只有當(dāng)安全網(wǎng)關(guān)工作在透明模式下オ有效;注意:安全網(wǎng)關(guān)啟用VLANTRUNK功能后并不融入原有的VLAN體系,只是將原有TRUNK以太網(wǎng)幀的二層信息原封拷貝到加密后或做其它處理后的新數(shù)據(jù)包上。4.4對(duì)象管理在安全網(wǎng)關(guān)的配置中,安全策略、VPN隧道、地址映射等對(duì)IP地址、服務(wù)、協(xié)議、事件表等元素的引用都采用對(duì)象的方式,從而使配置的思路更加清晰,在復(fù)雜環(huán)境下大大減小了配置的復(fù)雜度。在“對(duì)象管理”大項(xiàng)中有四個(gè)小項(xiàng),分別提供對(duì)“網(wǎng)絡(luò)地址”、“網(wǎng)絡(luò)協(xié)議”、“網(wǎng)絡(luò)服務(wù)”和“時(shí)間表”這四種類(lèi)型對(duì)象的增、刪、改功能，下面分別介紹。網(wǎng)絡(luò)地址網(wǎng)絡(luò)地址中有“地址”和“地址組”兩個(gè)選項(xiàng)，地址組是指包含了多個(gè)地址對(duì)象的ー個(gè)地址集合。地址對(duì)象有三種類(lèi)型，分別為“子網(wǎng)”、“主機(jī)”和“范圍”，用戶(hù)可以根據(jù)自己的需求來(lái)選擇地址對(duì)象的類(lèi)型,當(dāng)選擇“子網(wǎng)”時(shí)，需要指定子網(wǎng)掩碼。每個(gè)對(duì)象都有一個(gè)名稱(chēng)，用戶(hù)可以根據(jù)自己的喜好對(duì)名稱(chēng)進(jìn)行定義，除此之外,還有一項(xiàng)描述信息供用戶(hù)使用，該項(xiàng)可以為空。添加一個(gè)地址對(duì)象的步驟如下:.在樹(shù)形結(jié)構(gòu)中選中“地址”ー項(xiàng),在導(dǎo)航欄上點(diǎn)擊“添加”按鈕:.在彈出的對(duì)話框中輸入相關(guān)信息，點(diǎn)擊“確定”即可;如下圖:

添加一個(gè)地址組對(duì)象的步驟如下:.在樹(shù)形結(jié)構(gòu)中選中“地址組”ー項(xiàng),在導(dǎo)航欄上點(diǎn)擊“添加”按鈕;.在彈出的對(duì)話框中輸入地址組名稱(chēng),并在左側(cè)列表中選擇屬于該地址組的地址對(duì)象到右側(cè),點(diǎn)擊“確定”即可;如下圖:添加地址如地址組由一個(gè)或多個(gè)地址對(duì)象妲成，這樣,反用相同策略的地址對(duì)象便可組成一俎，方便管理.確定（エ）I 取消（0注意:地址對(duì)象和地址組對(duì)象的名字不能重復(fù);除了在對(duì)象管理選項(xiàng)中添加地址、地址組對(duì)象,還可以在添加策略和VPN網(wǎng)關(guān)時(shí)臨時(shí)添加地址、地址組對(duì)象。4.4.2網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)協(xié)議對(duì)象指ip的上層協(xié)議,通過(guò)指定協(xié)議號(hào)來(lái)確定協(xié)議類(lèi)型,用于在網(wǎng)絡(luò)服務(wù)中被引用。添加一個(gè)網(wǎng)絡(luò)協(xié)議對(duì)象的步驟如下:.在樹(shù)形結(jié)構(gòu)中選中“網(wǎng)絡(luò)協(xié)議”ー項(xiàng),在導(dǎo)航欄上點(diǎn)擊“添加”按鈕;.在彈出的對(duì)話框中輸入?yún)f(xié)議名稱(chēng)和協(xié)議號(hào)，點(diǎn)擊“確定”即可;添加EGP協(xié)議如ド圖所示:

注意:此處配置的網(wǎng)絡(luò)協(xié)議指的是IP的上層協(xié)議,具體的協(xié)議規(guī)范詳見(jiàn)RFC。4.4.3網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù)選項(xiàng)中包含“服務(wù)”和“服務(wù)組”兩個(gè)小項(xiàng),服務(wù)組是指包含了多個(gè)服務(wù)對(duì)象一個(gè)服務(wù)集合。網(wǎng)絡(luò)服務(wù)對(duì)象描述了一個(gè)五元組中的三項(xiàng)信息,即源端口、目的端口和協(xié)議,用于在策略中被引用。當(dāng)所選協(xié)議非TCP或UDP時(shí),服務(wù)僅僅指協(xié)議。添加一個(gè)網(wǎng)絡(luò)服務(wù)對(duì)象的步驟如下:.在樹(shù)形結(jié)構(gòu)中選中“服務(wù)”ー項(xiàng)，在導(dǎo)航欄上點(diǎn)擊“添加”按鈕;.在彈出的對(duì)話框中輸入該服務(wù)的協(xié)議、源端口和目的端口信息,點(diǎn)擊“確定”即可;添加一個(gè)向外訪問(wèn)的HTTP服務(wù)如下圖所示:

安全網(wǎng)關(guān)控制臺(tái)軟件為用戶(hù)總結(jié)了一些常用的服務(wù),在選中樹(shù)形結(jié)構(gòu)中的“服務(wù)”選項(xiàng)后,點(diǎn)擊“導(dǎo)航欄”上的“模板導(dǎo)入”按鈕,即從模板文件中把ー些常用服務(wù)導(dǎo)入到網(wǎng)關(guān)中,導(dǎo)入后如下圖:

注意:網(wǎng)絡(luò)服務(wù)有方向之分,即外出和進(jìn)入,從模板導(dǎo)入的所有服務(wù)都指外出的服務(wù),進(jìn)入的服務(wù)需自行定義,只需將源端口和目的端口調(diào)換即可。添加一個(gè)服務(wù)組對(duì)象的步驟如下:.在樹(shù)形結(jié)構(gòu)中選中“服務(wù)組”一項(xiàng),在導(dǎo)航欄上點(diǎn)擊’’添加"按鈕;.在彈出的對(duì)話框中輸入服務(wù)組名稱(chēng)，并從左邊列表選擇屬于該服務(wù)組的服務(wù)對(duì)象到右邊列表，點(diǎn)擊“確定”即可;如下圖:

4.4.4時(shí)間表時(shí)間表描述了一個(gè)個(gè)時(shí)間段的集合,在添加安全策略時(shí)被引用,用于指定該策略的生效時(shí)間。添加一個(gè)時(shí)間對(duì)象的步驟如下:.在樹(shù)形結(jié)構(gòu)中選中“時(shí)間表”ー項(xiàng)，在導(dǎo)航欄上點(diǎn)擊“添加”按鈕:.在彈出的對(duì)話框中點(diǎn)擊“添加”按鈕添加時(shí)間段，重復(fù)操作直至添加了所有的時(shí)間段，點(diǎn)擊“確定”即可:如下圖:注意:ー個(gè)時(shí)間表中最多引用兩個(gè)時(shí)間段。第5章VPN配置配置VPN的步驟通常配置安全網(wǎng)關(guān)的VPN功能之前需要確定以下幾點(diǎn):.IKE的身份認(rèn)證的方式,安全網(wǎng)關(guān)支持預(yù)共享密鑰和數(shù)字證書(shū)兩種身份認(rèn)證方式;.有哪些本地子網(wǎng)（或主機(jī)）和対方網(wǎng)關(guān)保護(hù)的子網(wǎng)（或主機(jī)）,需要通過(guò)安全網(wǎng)關(guān)進(jìn)行VPN互聯(lián);.安全網(wǎng)關(guān)通過(guò)公有地址還是私有!P地址（通常是指WAN口地址或PPPOE撥號(hào)地址）與其他安全網(wǎng)關(guān)進(jìn)行VPN互聯(lián);.若安全網(wǎng)關(guān)使用公有地址，該地址是固定的還是動(dòng)態(tài)的（比如ADSL撥號(hào)）；.若安全網(wǎng)關(guān)使用私有地址，是通過(guò)動(dòng)態(tài)映射訪問(wèn)公網(wǎng),還是通過(guò)靜態(tài)映射能夠被公網(wǎng)中其他主機(jī)訪問(wèn)某個(gè)端口;.如果需要安全客戶(hù)端接入本網(wǎng)關(guān),需要為安全客戶(hù)端規(guī)劃?段私有IP地址;以上確定后，通常依照如下步驟來(lái)配置ー個(gè)VPN網(wǎng)關(guān):.配置ー些VPN的參數(shù)，包括IKE身份認(rèn)證的方式，如果采用證書(shū)認(rèn)證則需要依次導(dǎo)入一系列證書(shū);是否處于NAT設(shè)備后;是否采用動(dòng)態(tài)地址接入,如果是動(dòng)態(tài)接入則需要提供動(dòng)態(tài)接入的類(lèi)型和地址服務(wù)器的帳號(hào)和密碼;.添加VPN節(jié)點(diǎn)對(duì)象,其中需要提供對(duì)方網(wǎng)關(guān)的WANロ地址（如果是固定地址接入）和LANU地址，預(yù)共享密鑰（如果是預(yù)共享密鑰方式認(rèn)證）等信息，通過(guò)添加VPN節(jié)點(diǎn)，指定了和當(dāng)前配置網(wǎng)關(guān)建立VPN隧道的對(duì)端網(wǎng)關(guān)的相關(guān)信息;.添加VPN隧道對(duì)象,需要指定隧道的類(lèi)型（靜態(tài)指定密鑰信息還是動(dòng)態(tài)協(xié)商），確定隧道的安全等級(jí),選擇隧道的對(duì)端VPN節(jié)點(diǎn)。.在安全策略中添加VPN策略，選擇VPN隧道;.添加安全客戶(hù)組信息,包括安全客戶(hù)端的私有!P地址范圍,能訪問(wèn)的子網(wǎng),加密強(qiáng)度等信息:生成安全客戶(hù)端;針對(duì)每個(gè)安全客戶(hù)端制作SurelD：關(guān)于安全網(wǎng)關(guān)通過(guò)何種IP地址與公網(wǎng)相連對(duì)于VPN配置有著至關(guān)重要的關(guān)系。通常情況下，在ー個(gè)VPN網(wǎng)絡(luò)中，至少需要一個(gè)結(jié)點(diǎn)有公網(wǎng)地址或者被靜態(tài)映射（包括靜態(tài)端口映射）到ー個(gè)固定公網(wǎng)地址（某些端口）;在全動(dòng)態(tài)IP地址接入的情況下,需要使用ADT地址服務(wù)器或動(dòng)態(tài)域名的方式來(lái)實(shí)現(xiàn)動(dòng)態(tài)VPN互聯(lián)。5.2VPN的相關(guān)配置VPN的相關(guān)配置主要包含在左側(cè)樹(shù)形結(jié)構(gòu)“VPN”大項(xiàng)下的“密鑰協(xié)商”和“動(dòng)態(tài)接入”中,下面分別介紹。身份認(rèn)證方式和缺省預(yù)共享密鑰安全網(wǎng)關(guān)支持預(yù)共享密鑰和數(shù)字證書(shū)兩種身份認(rèn)證方式。設(shè)置身份認(rèn)證方式的步驟為:在左側(cè)樹(shù)形結(jié)構(gòu)中選中“密鑰協(xié)商”,在右側(cè)的列表中雙擊”身份認(rèn)證方式”，或選中該項(xiàng)點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕;在彈出的對(duì)話框中選擇任何ー種身份認(rèn)證方式或兩者皆可（當(dāng)證書(shū)模塊未啟用時(shí),無(wú)法選擇證書(shū)認(rèn)證模式）；必要時(shí)，可以在該對(duì)話框中輸入缺省預(yù)共享密鑰;點(diǎn)擊“確定”按鈕。如下圖;注意；缺省密鑰是不指定VPN節(jié)點(diǎn)的密鑰，即對(duì)所有的節(jié)點(diǎn)和客戶(hù)端成員都有效的密鑰,使用缺省密鑰會(huì)降低系統(tǒng)的安全性,只有在特殊情況下使用缺省密鑰,通常不推薦使用。數(shù)字證書(shū)當(dāng)安全網(wǎng)關(guān)采用數(shù)字證書(shū)作為!KE的身份認(rèn)證方式時(shí),需要將CA根證書(shū)、設(shè)備證書(shū)、私鑰等PKI相關(guān)元素導(dǎo)入到網(wǎng)關(guān)，另外根據(jù)需求，可配置CRL、OCSP等相關(guān)參數(shù)。在安全網(wǎng)關(guān)上導(dǎo)入數(shù)字證書(shū)可采用三種方式:在安全網(wǎng)關(guān)上生成PKCS10證書(shū)請(qǐng)求,用該請(qǐng)求到證書(shū)服務(wù)器上申請(qǐng)證書(shū),再以文件形式導(dǎo)入PKCS12格式的證書(shū);直接在證書(shū)服務(wù)器上申請(qǐng)證書(shū)，以文件形式導(dǎo)入PKCS12格式的證書(shū);分別導(dǎo)入CA根證書(shū)、設(shè)備證書(shū)、設(shè)備私鑰(非標(biāo)準(zhǔn)格式)。注意:安全網(wǎng)關(guān)使用的數(shù)字證書(shū)中主體名,即commomname(cn)選項(xiàng)必須為安全網(wǎng)關(guān)的LANロIP地址,以此將證書(shū)與安全網(wǎng)關(guān)綁定。采用何種方式生成并導(dǎo)入數(shù)字證書(shū),用戶(hù)可根據(jù)CA系統(tǒng)支持的標(biāo)準(zhǔn)以及具體需求來(lái)決定。下面分別說(shuō)明在每種方式下的證書(shū)導(dǎo)入方式。先生成證書(shū)請(qǐng)求的方式首先導(dǎo)入根證書(shū),選中左側(cè)樹(shù)形結(jié)構(gòu)“VPN”大項(xiàng)下的“數(shù)字證書(shū)”小項(xiàng)，雙擊右側(cè)“CA根證書(shū)”表項(xiàng)，在對(duì)話框中選擇存放根證書(shū)的目錄，如下圖:點(diǎn)擊“確定”按鈕，完成根證書(shū)的導(dǎo)入。

右鍵點(diǎn)擊た側(cè)的列表,選擇“證書(shū)請(qǐng)求”ー》“生成”,如下圖所示:在彈出的對(duì)話框中輸入，證書(shū)名稱(chēng)、機(jī)構(gòu)名、國(guó)家等信息，如下圖:點(diǎn)擊“確定”,彈出是否導(dǎo)出的對(duì)話框，如卜ー圖:點(diǎn)擊“確定”,選擇導(dǎo)出請(qǐng)求文件的存放目錄，導(dǎo)出證書(shū)請(qǐng)求文件。利用證書(shū)請(qǐng)求申請(qǐng)數(shù)字證書(shū)的過(guò)程參考數(shù)字證書(shū)系統(tǒng)的說(shuō)明書(shū)。生成數(shù)字證書(shū)后，右鍵點(diǎn)擊右側(cè)的列表，選擇“導(dǎo)入PKCS12文件”，在彈出的對(duì)話框中選擇證書(shū)文件所在目錄，并輸入密碼,點(diǎn)擊“確定”即可。522.2直接導(dǎo)入的方式直接導(dǎo)入方式即省略掉上一種方式中生成證書(shū)請(qǐng)求的步驟,其他步驟與上一種方式相同。分別導(dǎo)入的方式首先導(dǎo)入根證書(shū),選中左側(cè)樹(shù)形結(jié)構(gòu)“VPN”大項(xiàng)下的“數(shù)字證書(shū)”小項(xiàng),雙擊右側(cè)“CA根證書(shū)”表項(xiàng),在對(duì)話框中選擇存放根證書(shū)的目錄,如下圖:點(diǎn)擊“確定”按鈕;雙擊右側(cè)下部的列表的“設(shè)備證書(shū)”選項(xiàng),在彈出的對(duì)話框中選擇設(shè)備證書(shū)文件,如下圖:點(diǎn)擊“確定”按鈕;雙擊右側(cè)ド部的列表的“設(shè)備私鑰”選項(xiàng),在彈出的對(duì)話框中選擇設(shè)備私鑰文件,如

下圖:點(diǎn)擊“確定”按鈕;注意:在導(dǎo)設(shè)備證書(shū)之前,需要首先導(dǎo)入CA根證書(shū)。導(dǎo)入和清空CRL右鍵點(diǎn)擊右側(cè)的列表,選擇“CRL—》導(dǎo)入“，即導(dǎo)入CRL列表,在彈出的對(duì)話框中選擇ー個(gè)擴(kuò)展名為crl的文件，點(diǎn)擊確定即可。相反,選擇“清空”，即清空當(dāng)前的CRL列表,如下圖:522.5啟用證書(shū)模塊點(diǎn)擊導(dǎo)航欄上的“選項(xiàng)”按鈕,在彈出的對(duì)話框屮選屮“啟用證書(shū)功能模塊”復(fù)選框,

如果不啟用OCSP（在線證書(shū)檢查）,則直接點(diǎn)擊“確定”按鈕;如果啟用OCSP,選中‘‘啟用在線證書(shū)檢查功能”復(fù)選框,輸入服務(wù)器IP地址、端口、超時(shí)時(shí)間和CRL更新時(shí)間等參數(shù),點(diǎn)擊“確定”按鈕。5.2.3密鑰生命周期安全網(wǎng)關(guān)為了應(yīng)對(duì)可能的各種網(wǎng)絡(luò)攻擊，保護(hù)網(wǎng)絡(luò)通信的各種密鑰需要定時(shí)更新，以確保在給定的時(shí)間內(nèi)，攻擊者無(wú)法對(duì)密文進(jìn)行破解。對(duì)生命周期的描述由兩個(gè)因素構(gòu)成:時(shí)間和流量，只要其中一個(gè)因素超過(guò)設(shè)定值，安全網(wǎng)關(guān)之間就會(huì)協(xié)商新的密鑰，并使用新的密鑰來(lái)進(jìn)行加密。在安全網(wǎng)關(guān)中,用SA（安全聯(lián)盟）來(lái)描述一個(gè)VPN隧道,在ー個(gè)正常的安全隧道中，存在兩種SA：IKESA（第一階段SA）和IPSECSA（第二階段SA）,第?階段SA用于保護(hù)第二階段SA密鑰協(xié)商時(shí)的通信，第二階段SAオ真正用來(lái)加密數(shù)據(jù),他們分別具有不同的生命周期。以下是推薦的生命周期設(shè)置值:IKESA（第一階段）生命周期時(shí)間生命周期:推薦時(shí)間為12小時(shí),不小于6小時(shí)。流量生命周期:以K字節(jié)為單位,推薦值為10240KBIPSECSA（第二階段）生命周期時(shí)間生命周期：推薦時(shí)間為6小時(shí)，不小于1小時(shí)。流量生命周期:以K字節(jié)為單位，推薦值為104800KB安全網(wǎng)關(guān)上按照上述的推薦值設(shè)置了默認(rèn)的生命周期值。通常情況下,第一階段的時(shí)間生命周期是第二階段時(shí)間生命周期的兩倍，修改IKE生命周期的步驟如下:選中左側(cè)樹(shù)形結(jié)構(gòu)中“VPN”大項(xiàng)下的“密鑰協(xié)商”小項(xiàng)，雙擊右側(cè)“IKE密鑰生命周期"或"IPSEC密鑰生命周期”，或選中列表中該選項(xiàng)并點(diǎn)導(dǎo)航欄上的“屬性”按鈕;在彈出的對(duì)話框中輸入要設(shè)定的生命周期數(shù)值，點(diǎn)擊“確定”按鈕。如下圖:NAT穿透功能由于NAT在制定標(biāo)準(zhǔn)時(shí)只考慮了為T(mén)CP、UDP和ICMP三種協(xié)議做動(dòng)態(tài)NAT（當(dāng)時(shí)還沒(méi)有提出Ipsec協(xié)議），因此先天就決定了!psec協(xié)議的報(bào)文是無(wú)法穿越NAT的，即當(dāng)VPN設(shè)備（或客戶(hù)端）之前有NAT設(shè)備時(shí),就無(wú)法與其他的VPN設(shè)備建立安全隧道,這給VPN的實(shí)際應(yīng)用帶來(lái)了很大的局限性,ADT系列安全網(wǎng)關(guān)和安全客戶(hù)端采用先進(jìn)的NAT-T技術(shù)解決了VPN穿越NAT的問(wèn)題，即通信雙方有一臺(tái)安全網(wǎng)關(guān)或安全客戶(hù)端在NAT設(shè)備的后面時(shí),也可以建立起VPN隧道,進(jìn)行安全通信。設(shè)置NAT穿透的功能的步驟如下:選中左側(cè)樹(shù)形結(jié)構(gòu)中“VPN”大項(xiàng)下的“密鑰協(xié)商”小項(xiàng),雙擊右側(cè)列表中“NAT穿透功能模塊”項(xiàng),或選中該選項(xiàng),并點(diǎn)導(dǎo)航欄上的“屬性”按鈕;在彈出的對(duì)話框中“網(wǎng)關(guān)在NAT設(shè)備后面”選項(xiàng)前打勾，點(diǎn)擊“確定”按鈕。如下圖:當(dāng)該選項(xiàng)選中后,安全網(wǎng)關(guān)就可在NAT設(shè)備后與其他安全網(wǎng)關(guān)建立安全隧道。注意:由于動(dòng)態(tài)NAT的單向特性，在NAT后的安全網(wǎng)關(guān)必須主動(dòng)發(fā)起協(xié)商才能成功協(xié)商隧道,因此該功能常常與隧道保持功能配合使用;注意:使用NAT穿透功能需保證與之通信的對(duì)方安全網(wǎng)關(guān)有公網(wǎng)!P地址,如果要實(shí)現(xiàn)兩臺(tái)都在NAT后的安全網(wǎng)關(guān)VPN通信,則需通過(guò)一臺(tái)有公網(wǎng)IP地址的安全網(wǎng)關(guān)做隧道接カ;注意:使用NAT穿透功能后,VPN的安全等級(jí)不能為“低”。隧道保持功能由于安全網(wǎng)關(guān)間加密密鑰定期更新的特性,當(dāng)SA生命周期到期而又沒(méi)有通信流量的時(shí)候,安全網(wǎng)關(guān)在刪除舊的SA之后不會(huì)再協(xié)商新的SA,這給ー些應(yīng)用帶來(lái)了不便,隧道保持功能就是針對(duì)解決這個(gè)問(wèn)題而設(shè)計(jì)。當(dāng)啟用該選項(xiàng)后，安全網(wǎng)關(guān)會(huì)根據(jù)安全策略定期檢查定期SA是否存在，當(dāng)檢查到?jīng)]有SA的時(shí)候會(huì)立即對(duì)對(duì)方安全網(wǎng)關(guān)發(fā)起協(xié)商，直到SA存在為止?？梢栽O(shè)置定期檢查的周期，建議將該周期設(shè)置成120秒。設(shè)置隧道保持功能的步驟如下:選中左側(cè)樹(shù)形結(jié)構(gòu)中“VPN”大項(xiàng)下的“密鑰協(xié)商”小項(xiàng)，雙擊右側(cè)列表中“隧道保持功能模塊”項(xiàng),或選中該選項(xiàng)，并點(diǎn)導(dǎo)航欄上的“屬性”按鈕;在彈出的對(duì)話框中“啟動(dòng)隧道保持功能模塊”選項(xiàng)前打勾，并再掃描間隔文本框中輸入定期檢查SA的周期，默認(rèn)為120秒，點(diǎn)擊“確定”按鈕。如下圖:注意:對(duì)于ー些協(xié)商總是單邊發(fā)起的（比如對(duì)方安全網(wǎng)關(guān)在NAT設(shè)備后）情況,在接受方網(wǎng)關(guān)則無(wú)需啟用該功能,因?yàn)樵谶@些情況下,本網(wǎng)關(guān)無(wú)法主動(dòng)發(fā)起協(xié)商,而相反在發(fā)起方的安全網(wǎng)關(guān)（動(dòng)態(tài)或在NAT設(shè)備后）上應(yīng)啟用該功能。動(dòng)態(tài)接入該功能用于解決動(dòng)態(tài)VPN地址卜一的VPN互聯(lián)，通過(guò)“ADT地址服務(wù)器”，同一個(gè)域中的安全網(wǎng)關(guān)可以相互知道對(duì)方的公網(wǎng)1P地址，從而建立安全隧道。當(dāng)用戶(hù)使用該功能時(shí)，ADT公司會(huì)提供ー個(gè)安全域的號(hào)碼和密碼，用戶(hù)可以通過(guò)WEB界面在“ADT策略服務(wù)器”上添加安全網(wǎng)關(guān)的帳號(hào)。使用動(dòng)態(tài)接入的步驟如下:選中左側(cè)樹(shù)形結(jié)構(gòu)中“VPN”大項(xiàng)下的“動(dòng)態(tài)接入”小項(xiàng),雙擊右側(cè)列表中的第一項(xiàng),或點(diǎn)擊導(dǎo)航欄上的“屬性”按鈕:在彈出的對(duì)話框中“啟動(dòng)策略服務(wù)器”選項(xiàng)前打勾,輸入各項(xiàng)的具體內(nèi)容,ADT公司提供的策略服務(wù)器IP地址為0,點(diǎn)擊“確定”按鈕。如下圖:注意:網(wǎng)關(guān)ID的前四位數(shù)字為域號(hào)碼，中間的字母G代表安全網(wǎng)關(guān),后三位數(shù)字代表同一個(gè)域中的安全網(wǎng)關(guān)序號(hào),添加安全網(wǎng)關(guān)ID后的初始密碼為changeit:客戶(hù)端!D的前四位數(shù)字為域號(hào)碼,中間的字母C代表安全客戶(hù)端,后三位數(shù)字代表同一個(gè)域中的安全客戶(hù)端序號(hào),安全客戶(hù)端ID的初始密碼為changeit:在此配置客戶(hù)端ID和密碼是為了制作SurelD時(shí)能把這些信息寫(xiě)入SurelD中，通常多個(gè)客戶(hù)端共用一個(gè)客戶(hù)端ID和密碼。5.3配置局域網(wǎng)到局域網(wǎng)的VPN理解了上述的VPN相關(guān)概念,配置VPN就相當(dāng)簡(jiǎn)單了。通常情況下，配置VPN有如下三個(gè)步驟：.設(shè)置VPN的相關(guān)參數(shù)，比如NAT穿透選項(xiàng)、隧道保持或動(dòng)態(tài)接入等等:.添加VPN節(jié)點(diǎn)對(duì)象;.添加安全隧道對(duì)象;.添加VPN策略;典型環(huán)境下的VPN配置本節(jié)用ー個(gè)具體案例來(lái)說(shuō)明在典型環(huán)境下的VPN配置。在這個(gè)環(huán)境中,VPN兩端都只有一個(gè)局域網(wǎng),局域網(wǎng)中主機(jī)默認(rèn)網(wǎng)關(guān)都指向安全網(wǎng)關(guān)的LANロ,假設(shè)總部采用固定地址接入,固定地址假設(shè)為,分部采用ADSL撥號(hào)接入（動(dòng)態(tài)公有IP地址）;總部安全網(wǎng)關(guān)LAN口地址為!/24,分部安全網(wǎng)關(guān)LAN口地址為/24〇首先應(yīng)該在兩端的安全網(wǎng)關(guān)中設(shè)置雙方安全網(wǎng)關(guān)的相關(guān)信息和接口地址,接著在“對(duì)象管理”==>“網(wǎng)絡(luò)地址”==>“地址”中分別添加雙方局域網(wǎng)的IP地址對(duì)象?？紤]到這是ー個(gè)ー?端固定地址、一端動(dòng)態(tài)地址的情況,可以采用以下兩種方式進(jìn)行VPN互聯(lián):不使用策略服務(wù)器,由分部單邊發(fā)起密鑰協(xié)商,使用隧道保持功能,保證隧道一直存在;使用策略服務(wù)器，雙方都可以發(fā)起協(xié)商;根據(jù)用戶(hù)自己的網(wǎng)絡(luò)環(huán)境選擇隧道保持功能或設(shè)置動(dòng)態(tài)接入選項(xiàng),在下面的實(shí)際案例中將不進(jìn)行此項(xiàng)配置。接著點(diǎn)擊“VPN”大項(xiàng)下的“VPN節(jié)點(diǎn)”選項(xiàng)，點(diǎn)擊導(dǎo)航欄上的“添加”按鈕，在雙方安全網(wǎng)關(guān)上分別添加對(duì)方VPN節(jié)點(diǎn)對(duì)象,指定對(duì)端網(wǎng)關(guān)的相關(guān)信息。?“名稱(chēng)”通常輸入對(duì)方安全網(wǎng)關(guān)的名字或相關(guān)描述信息，?“地址”可選擇動(dòng)態(tài)、DNS或靜態(tài)IP,是指對(duì)方安全網(wǎng)關(guān)的接入方式，如果是靜態(tài)IP,則需輸入具體的IP地址〇“身份標(biāo)識(shí)”通常選擇“IP地址”,如果在上方的地址類(lèi)型選項(xiàng)中選擇了“靜態(tài)地址”,輸入對(duì)方安全網(wǎng)關(guān)的靜態(tài)地址;如果地址類(lèi)型選擇了“動(dòng)態(tài)地址”，則輸入對(duì)方網(wǎng)關(guān)的LANロIP地址,〇“認(rèn)證密鑰”在采用預(yù)共享密鑰認(rèn)證方式下使用，需輸入與對(duì)方安全網(wǎng)關(guān)協(xié)商的預(yù)共享密鑰（雙方的預(yù)共享密鑰必須一致）。在總部安全網(wǎng)關(guān)上添加分部VPN節(jié)點(diǎn)對(duì)象的界面如下:在分部安全網(wǎng)關(guān)上添加總部VPN節(jié)點(diǎn)對(duì)象的界面如下:其次,在雙方網(wǎng)關(guān)上添加VPN隧道,指定建立隧道的VPN節(jié)點(diǎn)、隧道類(lèi)型和安全等級(jí)。安全隧道是從4.1版本開(kāi)始增加的VPN対象,將原來(lái)的VPN隧道進(jìn)行抽象并通過(guò)外在的表現(xiàn)形式表示出來(lái)，使用戶(hù)能對(duì)每ー個(gè)VPN隧道的狀態(tài)（是否活動(dòng)），流經(jīng)隧道的流量進(jìn)行監(jiān)控，能隨時(shí)清除每ー個(gè)隧道相關(guān)的動(dòng)態(tài)信息，使動(dòng)態(tài)信息重新協(xié)商。通過(guò)安全隧道的獨(dú)立，使不同的策略都可以使用同一條安全隧道,增加了VPN配置的靈活性,降低多個(gè)網(wǎng)段進(jìn)行VPN互聯(lián)時(shí)的復(fù)雜程度。在總部安全網(wǎng)關(guān)上添加分部隧道對(duì)象的界面如F：

在分部安全網(wǎng)關(guān)上添加總部隧道對(duì)象的界面如下:注意:添加安全隧道對(duì)象時(shí),可以添加備份端點(diǎn)來(lái)實(shí)現(xiàn)隧道的備份,工作原理為:當(dāng)與主端點(diǎn)協(xié)商三次不成功后，網(wǎng)關(guān)自動(dòng)與備份端點(diǎn)進(jìn)行IKE協(xié)商,同理當(dāng)備份端點(diǎn)不通時(shí),將再次與主節(jié)點(diǎn)協(xié)商,以輪循的方式實(shí)現(xiàn)隧道的備份。配置中,要注意雙方的安全等級(jí)必須一致,“端點(diǎn)”必須選擇對(duì)方的VPN節(jié)點(diǎn)對(duì)象。最后在雙方的安全網(wǎng)關(guān)上分別添加安全策略,為了保證雙方能夠相互訪問(wèn),在添加VPN策略時(shí)選擇“創(chuàng)建反向策略”的復(fù)選框。在總部和分部各需添加一條VPN策略。策略添加的基本方法為:VPN策略的源地址通常是本網(wǎng)關(guān)保護(hù)的子網(wǎng)或IP地址范圍（通常是LAN口所接網(wǎng)段）,目的地址是對(duì)方VPN網(wǎng)關(guān)所保護(hù)的子網(wǎng)或!P地址范圍,從數(shù)據(jù)流向來(lái)看是從本地子網(wǎng)流向?qū)Ψ阶泳W(wǎng);而反向的防火墻策略與VPN策略五元組正好顛倒,從數(shù)據(jù)流向來(lái)看是從對(duì)方子網(wǎng)流向本地子網(wǎng)。需要注意的是,雙方的VPN策略必須是完全鏡像的，即總部的源地址、源端口必須是分部的目的地址、目的端口，相反總部的目的地址、目的端口必須是分部的源地址、源端口，在分部安全網(wǎng)關(guān)上添加到總部的VPN策略如下圖:在總部安全網(wǎng)關(guān)上添加到分部的VPN策略如ド圖:至此雙方的VPN配置已經(jīng)完成,只要有流量觸發(fā)或選中了“隧道保持”選項(xiàng),雙方就能建立起安全隧道,進(jìn)行VPN通信。補(bǔ)充說(shuō)明:選中“創(chuàng)建反向策略”是為了能夠讓對(duì)方子網(wǎng)能主動(dòng)訪問(wèn)本地子網(wǎng),如果在ー個(gè)VPN網(wǎng)絡(luò)中只允許單向訪問(wèn),則主動(dòng)訪問(wèn)方無(wú)需添加反向防火墻放行策略。比如只允許總部子網(wǎng)訪問(wèn)分部子網(wǎng),不允許分部子網(wǎng)訪問(wèn)總部子網(wǎng),則在總部網(wǎng)關(guān)上無(wú)需添加反向防火墻策略。但無(wú)論如何,VPN通信雙方至少有一方需添加反向的防火墻策略。5.3.2局域網(wǎng)中有多個(gè)網(wǎng)段時(shí)的VPN配置當(dāng)VPN通信雙方的內(nèi)網(wǎng)中有三層交換機(jī)或路由,即VPN通信雙方不僅僅是與安全網(wǎng)關(guān)LAN口同一網(wǎng)段的子網(wǎng)時(shí),此時(shí)需要在安全網(wǎng)關(guān)和三層交換機(jī)或路由器上添加靜態(tài)路由,而VPN的配置則與上述的典型環(huán)境下的配置并無(wú)區(qū)別。下面舉例來(lái)說(shuō)明。假設(shè)ー個(gè)大型企業(yè)總部通過(guò)三層交換機(jī)劃分了3個(gè)VLAN,分別為/24、/24和/24:分部也同樣用三層交換機(jī)劃分了3個(gè)VLAN,分別為/24、/24和/24;而雙方安全網(wǎng)關(guān)的LAN口地址分別為和,雙方三層交換機(jī)的1P地址分別為54和54（與安全網(wǎng)關(guān)LANロ同一網(wǎng)段的接口地址）,要通過(guò)VPN實(shí)現(xiàn)總部和分部各個(gè)子網(wǎng)之間的互通。此時(shí)VPN有兩種配置方法:其ー,因?yàn)榭偛亢头植康刂芬?guī)劃時(shí)隔離度比較好,可以將總部和分部的地址分別歸納到ー個(gè)16位掩碼的IP地址段中,因此雙方可以只添加一條策略,對(duì)總部來(lái)說(shuō),源地址為/16、目的地址為/16!對(duì)分部來(lái)說(shuō),源地址為/16、目的地址為/16,網(wǎng)關(guān)對(duì)象設(shè)置與典型情況下的一致。這種配置方法的優(yōu)點(diǎn)是簡(jiǎn)單，缺點(diǎn)是控制粒度不夠。其二，為每個(gè)網(wǎng)段分別來(lái)添加VPN策略,比如總部分別配置/24到/24加密、/24到/24加密依次類(lèi)推,在這種方式下,如果要實(shí)現(xiàn)各個(gè)網(wǎng)段的兩兩互通,則總部和分部安全網(wǎng)關(guān)上分別需要配置9條策略,當(dāng)VLAN數(shù)H更多，網(wǎng)絡(luò)結(jié)點(diǎn)更多的情況下,策略數(shù)目還將增加。這種配置方法的優(yōu)先是控制粒度細(xì),缺點(diǎn)是策略舒服繁多，配置復(fù)雜。用戶(hù)可以根據(jù)自己的安全性需求等具體情況來(lái)選擇上述兩種策略配置方法。除了VPN策略，在這種情況下還需要在三層交換機(jī)和安全網(wǎng)關(guān)上分別添加靜態(tài)路由，以保證發(fā)到對(duì)方的IP報(bào)文能到達(dá)安全網(wǎng)關(guān)的LANロ，添加靜態(tài)路由也有歸納添加和分別添加兩種方式:首先介紹歸納添加,在總部的三層交換機(jī)上添加如下路由:iproute,在分部的三層交換機(jī)上添加如下路由:iproute,在總部的安全網(wǎng)關(guān)上添加如下路由：在分部安全網(wǎng)關(guān)上添加如下路由:

分別添加路由的方法,在總部三層交換機(jī)上添加如下三條路由:iproute；iproute 依次類(lèi)推;在分部三層交換機(jī)上添加如下三條路由:iproute；iproute依次類(lèi)推。在總部安全網(wǎng)關(guān)卜.添加如下兩條路由;依次類(lèi)推;在分部安全網(wǎng)關(guān)上添加如ド兩條路由:

廠家建議:在這種情況下,在配置安全策略時(shí)可以采用歸納的辦法,以減輕配置策略的工作量和復(fù)雜度,而在配置路由時(shí)采用分別添加的辦法，來(lái)控制VPN的訪問(wèn)控制粒度。注意:當(dāng)安全網(wǎng)關(guān)和防火墻并行配置時(shí),也可利用上述的添加靜態(tài)路由的方法來(lái)解決局域網(wǎng)中主機(jī)把默認(rèn)網(wǎng)關(guān)指向防火墻的問(wèn)題。5.4VPN向?qū)榱藴p少用戶(hù)初次配置的復(fù)雜性,可以使用VPN向?qū)нM(jìn)行配置,根據(jù)向?qū)У奶崾具M(jìn)行每ー步的操作，輕松的建立VPN。打開(kāi)VPN向?qū)Э梢酝ㄟ^(guò)兩種途徑:在安全網(wǎng)關(guān)控制臺(tái)的“工具”菜單下選擇“VPN向?qū)А被蛑苯舆x擇安全控制臺(tái)首界面下的VPN向?qū)ф溄?。打開(kāi)VPN向?qū)Ш蟮慕缑嫒绁蓤D所示:點(diǎn)擊“下ー步”，選擇客戶(hù)端接入還是網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的VPN互通:

點(diǎn)擊“下ー步”,進(jìn)行安全隧道的選擇或者是創(chuàng)建,如果是第一次建立隧道,選擇創(chuàng)建,如果希望使用已有隧道，則從隧道列表中選取隧道，在“對(duì)端網(wǎng)關(guān)信息”中，填入對(duì)方網(wǎng)關(guān)的WAN地址，如果是DNS為DNS域名，如果是動(dòng)態(tài)地址為,設(shè)置LAN地址和掩碼，如下圖:點(diǎn)擊“下ー步”,選擇使用VPN隧道的本地網(wǎng)絡(luò)，如果已有地址對(duì)象,點(diǎn)擊“選擇”按鈕從地址列表中選擇，如果沒(méi)有,點(diǎn)擊“新建”按鈕創(chuàng)建地址対象,如下圖:

點(diǎn)擊“下ー步”,選擇VPN隧道連接的對(duì)端網(wǎng)絡(luò),如果已有地址對(duì)象,點(diǎn)擊“選擇”按鈕從地址列表中選擇,如果沒(méi)有,點(diǎn)擊“新建”按鈕創(chuàng)建地址對(duì)象,如ド圖點(diǎn)擊“ドー步”，進(jìn)行VPN高級(jí)設(shè)置，偽裝地址選項(xiàng)用于控制對(duì)端網(wǎng)絡(luò)通過(guò)VPN訪問(wèn)本地網(wǎng)絡(luò)時(shí)是否使用偽裝后的地址進(jìn)行，即VPN解密后再進(jìn)行地址映射?！案呒?jí)”按鈕用于設(shè)置VPN的安全等級(jí)、預(yù)共享密鑰等信息,?般情況下不進(jìn)行修改。點(diǎn)擊“下ー步”，點(diǎn)擊“開(kāi)始”，進(jìn)行VPN相關(guān)配置的自動(dòng)生成。

由向?qū)驅(qū)ё詣?dòng)生成的節(jié)點(diǎn)、隧道、策略如下:名稱(chēng)」類(lèi)型1身份標(biāo)識(shí)客戶(hù)偏!網(wǎng)關(guān)石戶(hù)?o.o.o.oO.O.O.O網(wǎng)美劃聯(lián)_俯＜206網(wǎng)關(guān)名稱(chēng)1類(lèi)型1安全警級(jí)1VPN節(jié)點(diǎn) 1備份節(jié)點(diǎn)1カを1進(jìn)入流量1外出直量IKE中客戶(hù)?網(wǎng)關(guān)0.624KBytes1.779KBytesIKE快速險(xiǎn)道xpawxO.OOOKBvtesO.OOOKBytes網(wǎng)關(guān)到網(wǎng)關(guān)—TbNNB.IKE中同關(guān)到阿關(guān)ーVP… -O.OOOKBytesO.OOOKBytes名稱(chēng)目的地址 ?務(wù)動(dòng)作 時(shí)值表用戸U證快速四開(kāi)啟關(guān)閉美匍關(guān)閉anyanyVPNJJDff放行anyany0?到網(wǎng)關(guān)一VPN□f岡關(guān)到網(wǎng)關(guān)—VPNPASS第6章防火墻配置地址映射（NAT）配置地址映射（NAT）是安全網(wǎng)關(guān)具備的一個(gè)基本功能,安全網(wǎng)關(guān)提供三種NAT功能,即地址池映射（動(dòng)態(tài)NAPT映射）、靜態(tài)映射（靜態(tài)NAT）和靜態(tài)端U映射（靜態(tài)NAPT）。這三種NAT分別起以下作用:地址池映射:只有一個(gè)或少數(shù)幾個(gè)公有地址，提供內(nèi)網(wǎng)的私有地址轉(zhuǎn)換成該公有地址，提供上網(wǎng)功能;靜態(tài)映射:將內(nèi)網(wǎng)的一臺(tái)或若干臺(tái)主機(jī)完全映射成一個(gè)公網(wǎng)IP地址，向外提供服務(wù);靜態(tài)端口映射：將內(nèi)網(wǎng)的主機(jī)的某ー個(gè)或幾個(gè)端口映射到公網(wǎng)IP的某個(gè)端口±,通常用于向外提供某些服務(wù)。在以上幾種NAT中,地址池映射和靜態(tài)端口映射最為常用。配置NAT的通常步驟配置NAT通常要經(jīng)過(guò)以下兩個(gè)步驟:.添加NAT對(duì)象,如果是地址池映射，則添加地址池對(duì)象:.添加NAT策略，并選擇ー個(gè)NAT對(duì)象（或地址池對(duì)象）綁定到策略;添加NAT對(duì)象配置上述的三種NAT,分別需添加三種不同的NAT對(duì)象或地址池對(duì)象，配置NAT對(duì)象或地址池對(duì)象在“防火墻”大項(xiàng)下的“地址映射”小項(xiàng)下。〇地址池對(duì)象的添加如果安全網(wǎng)關(guān)通過(guò)動(dòng)態(tài)IP地址接入互聯(lián)網(wǎng)（比如PPPoE撥號(hào)或DHCP自動(dòng)獲得地址）,就無(wú)需去手工添加一個(gè)地址池對(duì)象，則安全網(wǎng)關(guān)會(huì)自動(dòng)生成一個(gè)名稱(chēng)為“一SYS一DYN.POOL”的地址池對(duì)象,在添加NAT策略時(shí)直接引用即可。在使用靜態(tài)IP地址（直接設(shè)置WAN口地址）的情況下,添加地址池対象的步驟如下:選中左側(cè)“防火墻”大項(xiàng)下的“地址映射”小項(xiàng)下的“地址池”子項(xiàng),點(diǎn)擊導(dǎo)航欄上的“添加”按鈕;在彈出的對(duì)話框中輸入地址池的名稱(chēng)和地址池的地址范圍,通常情況下起始地址與結(jié)束地址為同一個(gè)地址:點(diǎn)擊“確定”按鈕。如下圖:?靜態(tài)NAT對(duì)象的添加添加靜態(tài)NAT對(duì)象的步驟如下:選中左側(cè)“防火墻”大項(xiàng)下的“地址映射”小項(xiàng)下的“靜態(tài)NAT”子項(xiàng),點(diǎn)擊導(dǎo)航欄上的“添加”按鈕:在彈出的對(duì)話框中輸入靜態(tài)NAT對(duì)象的名稱(chēng),映射前的IP地址和映射后的IP地址：點(diǎn)擊“確定”按鈕。如下圖:

注意:不允許將WANロIP地址或動(dòng)態(tài)獲得（PPPoE撥號(hào)、DHCP獲得）的IP地址作為映射后IP地址去映射一個(gè)內(nèi)網(wǎng)主機(jī),否則會(huì)導(dǎo)致錯(cuò)誤的狀態(tài)。〇靜態(tài)NAPT對(duì)象的添加添加靜態(tài)NAPT対象的步驟如下:選中