《工業(yè)控制系統(tǒng)信息安全技術(shù)與實(shí)踐》課件 CH8-VPN技術(shù)

VPN技術(shù)目錄CONTENTS1VPN原理2IPsecVPN3利用菲尼克斯的mGuard實(shí)現(xiàn)VPN4本章實(shí)訓(xùn)PART1VPN原理1.1VPN概述企業(yè)在進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)連接時(shí)，通常采用以下兩種方式：（1）利用專用的廣域網(wǎng)（WAN）基礎(chǔ)設(shè)施，如點(diǎn)對(duì)點(diǎn)租用線路（即專線）、電路交換鏈路（PSTN或ISDN）和分組交換鏈路（以太網(wǎng)WAN、ATM或幀中繼）等，將多個(gè)遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行連接。（2）利用公共的廣域網(wǎng)（WAN）基礎(chǔ)設(shè)施，如數(shù)字用戶線路（DSL）、電纜、衛(wèi)星等寬帶接入技術(shù)，通過Internet進(jìn)行連接，通常用于小型辦公室或遠(yuǎn)程辦公的員工。在使用公共的廣域網(wǎng)（WAN）基礎(chǔ)設(shè)施進(jìn)行連接時(shí)，會(huì)帶來一定的安全風(fēng)險(xiǎn)，應(yīng)通過VPN保護(hù)傳輸?shù)臄?shù)據(jù)。1.1VPN概述1.VPN工作原理VPN網(wǎng)關(guān)一般采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公有IP地址接入Internet。1.1VPN概述2.VPN的優(yōu)點(diǎn)（1）節(jié)約成本：利用VPN，企業(yè)無需使用昂貴的專用WAN鏈路，就可以將遠(yuǎn)程辦公室和遠(yuǎn)程用戶通過經(jīng)濟(jì)高效的Internet安全地連接到企業(yè)內(nèi)部網(wǎng)絡(luò)?，F(xiàn)在普遍使用的高速寬帶技術(shù)（例如ADSL和有線電視寬帶），使企業(yè)可以在降低連接成本的同時(shí)增加遠(yuǎn)程連接的帶寬，為連接遠(yuǎn)程辦公室提供經(jīng)濟(jì)有效的解決方案。（2）可擴(kuò)展性：通過VPN和Internet，企業(yè)可以在不增加重大基礎(chǔ)設(shè)施的情況下輕松添加新用戶，進(jìn)行網(wǎng)絡(luò)擴(kuò)展。（3）安全性：通過使用先進(jìn)的加密和身份驗(yàn)證協(xié)議，VPN可以防止數(shù)據(jù)受到未經(jīng)授權(quán)的訪問，從而提供最高級(jí)別的安全性。1.2VPN分類1.按接入類型分類按VPN接入類型，可分為站點(diǎn)間VPN和遠(yuǎn)程訪問VPN兩種。1）站點(diǎn)間VPN1.2VPN分類1.按接入類型分類按VPN接入類型，可分為站點(diǎn)間VPN和遠(yuǎn)程訪問VPN兩種。2）遠(yuǎn)程訪問VPN：又稱撥號(hào)VPN、AccessVPN、VPDN1.2VPN分類2.按VPN隧道協(xié)議分類VPN的隧道協(xié)議主要有PPTP、L2TP和IPsec三種PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPsec是第三層隧道協(xié)議。1.2VPN分類3.按所用的設(shè)備類型分類網(wǎng)絡(luò)設(shè)備提供商針對(duì)不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡(luò)設(shè)備，主要有以下兩種：（1）路由器式VPN：這種VPN部署較容易，只要在路由器上添加VPN服務(wù)即可。（2）交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)。1.2VPN分類4.按照實(shí)現(xiàn)原理分類按照VPN的實(shí)現(xiàn)原理進(jìn)行分類，可以分為以下兩種：（1）重疊VPN：此VPN需要用戶自己建立端節(jié)點(diǎn)之間的VPN鏈路，主要包括GRE、L2TP、IPsec等眾多技術(shù)。（2）對(duì)等VPN：由網(wǎng)絡(luò)運(yùn)營商在主干網(wǎng)上完成VPN通道的建立，主要包括MPLS、VPN技術(shù)。1.2VPN分類5.按照VPN的實(shí)現(xiàn)方式分類按照VPN的實(shí)現(xiàn)方式進(jìn)行分類，可以分為以下四種：（1）VPN服務(wù)器：在大型局域網(wǎng)中，可以通過在網(wǎng)絡(luò)中心搭建VPN服務(wù)器的方法實(shí)現(xiàn)VPN。（2）軟件VPN：可以通過專用的軟件實(shí)現(xiàn)VPN。（3）硬件VPN：可以通過專用的硬件實(shí)現(xiàn)VPN。（4）集成VPN：某些硬件設(shè)備，如路由器、防火墻等，都含有VPN功能，但是一般擁有VPN功能的硬件設(shè)備通常都比沒有這一功能的要貴。1.3VPN隧道技術(shù)要?jiǎng)?chuàng)建VPN連接，隧道技術(shù)（Tunneling）是關(guān)鍵。隧道技術(shù)是指利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，主要利用隧道協(xié)議來實(shí)現(xiàn)。隧道的雙方必須使用相同的隧道協(xié)議才能創(chuàng)建隧道。目前常用的網(wǎng)絡(luò)隧道協(xié)議有兩種：一種是第2層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，主要應(yīng)用于構(gòu)建遠(yuǎn)程訪問VPN；另一種是第3層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，主要應(yīng)用于構(gòu)建站點(diǎn)間VPN。1.3VPN隧道技術(shù)1.第2層隧道協(xié)議第2層隧道協(xié)議對(duì)應(yīng)數(shù)據(jù)鏈路層，使用數(shù)據(jù)幀（Frame）作為數(shù)據(jù)交換單位。第2層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP（PointtoPointProtocol，點(diǎn)對(duì)點(diǎn)協(xié)議）中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第2層協(xié)議進(jìn)行傳輸。PPTP（PointtoPointTunnelingProtocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議）L2TP（Layer2TunnelingProtocol，二層隧道協(xié)議）L2F（Layer2ForwardingProtocol，第二層轉(zhuǎn)發(fā)協(xié)議）1.3VPN隧道技術(shù)2.第3層隧道協(xié)議第3層隧道協(xié)議對(duì)應(yīng)于網(wǎng)絡(luò)層，使用數(shù)據(jù)包（Packet）作為數(shù)據(jù)交換單位。第3層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第3層協(xié)議進(jìn)行傳輸。第3層隧道技術(shù)通常假定所有配置問題已經(jīng)完成，這些協(xié)議不對(duì)隧道進(jìn)行維護(hù)。這與第2層隧道協(xié)議不同，第2層隧道協(xié)議（PPTP和L2TP）必須包括對(duì)隧道的創(chuàng)建、維護(hù)和終止。第3層隧道協(xié)議的主要代表是IPsec（InternetProtocolSecurity，互聯(lián)網(wǎng)安全協(xié)議）。PART2IPsecVPN2.1IPsec概述IPSec（IPSecurity）是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要（hash）等手段，來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私密性(Confidentiality)、完整性(DataIntegrity)和真實(shí)性(OriginAuthentication)。1.IPsec的特征不限于任何特定的加密、驗(yàn)證、安全算法或密鑰技術(shù)?？杀Ｗo(hù)網(wǎng)關(guān)與網(wǎng)關(guān)之間、主機(jī)與主機(jī)之間或網(wǎng)關(guān)與主機(jī)之間的路徑。工作在網(wǎng)絡(luò)層，保護(hù)和驗(yàn)證參與IPsec的設(shè)備之間的IP數(shù)據(jù)包?？蓪?duì)第

4層到第7層的數(shù)據(jù)實(shí)施保護(hù)，可以保護(hù)任何應(yīng)用流量。第

2層協(xié)議的協(xié)議可以是以太網(wǎng)、ATM或幀中繼等。2.1IPsec概述2．IPsec的功能保密性完整性真實(shí)性反重播保護(hù)2.2IPsec的基本模塊IPSec安全協(xié)議保密性完整性DH算法組可選擇的算法IPSec框架AHDESESPMD5DH13DESSHADH2AESDH24……PSKRSA真實(shí)性2.2IPsec的基本模塊IPSec安全協(xié)議保密性完整性DH算法組可選擇的算法IPSec框架AHDESESPMD5DH13DESSHADH2AESDH24……PSKRSA真實(shí)性2.2IPsec的基本模塊IPSec安全協(xié)議保密性完整性DH算法組可選擇的算法IPSec框架AHDESESPMD5DH13DESSHADH2AESDH24……PSKRSA真實(shí)性2.2IPsec的基本模塊ESP（EncapsulatedSecurityPayload，封裝安全負(fù)載）提供身份驗(yàn)證提供數(shù)據(jù)完整性提供防重放保護(hù)提供數(shù)據(jù)加密兩種IPSec安全協(xié)議AH（AuthenticationHeader，驗(yàn)證頭部）提供身份驗(yàn)證提供數(shù)據(jù)完整性提供防重放保護(hù)不提供數(shù)據(jù)加密所有數(shù)據(jù)均為明文所有數(shù)據(jù)均已加密Internet2.3IPsec的封裝模式傳輸模式（TransportMode）不使用新的IP頭部，封裝模式相對(duì)簡單，傳輸效率較高通常用于主機(jī)與主機(jī)之間無法保護(hù)原來的IP包頭IP包頭有效載荷IP包頭VPN頭有效載荷VPN尾IP包頭VPN頭有效載荷VPN尾IP包頭VPN頭IP包頭有效載荷VPN尾IP包頭未被保護(hù)Internet2.3IPsec的封裝模式隧道模式（TunnelMode）增加新的IP頭通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信，適用于建立安全VPN隧道保護(hù)了原來的IP包頭新IP頭VPN頭IP包頭有效載荷VPN尾新IP頭VPN頭IP包頭有效載荷IP包頭被保護(hù)新IP頭VPN頭IP包頭有效載荷VPN尾VPN尾2.3IPsec的封裝模式數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH頭數(shù)據(jù)IP包頭AH頭新IP包頭傳輸模式隧道模式數(shù)據(jù)認(rèn)證/完整性數(shù)據(jù)認(rèn)證/完整性AH協(xié)議對(duì)除了TTL等變化值以外的整個(gè)IP包進(jìn)行認(rèn)證（hash運(yùn)算），以確保被修改過的數(shù)據(jù)包可以被檢查出來。數(shù)據(jù)IP包頭AH協(xié)議在兩種封裝模式下的處理過程2.3IPsec的封裝模式數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭ESP頭數(shù)據(jù)IP包頭ESP頭新IP包頭傳輸模式隧道模式數(shù)據(jù)認(rèn)證/完整性數(shù)據(jù)認(rèn)證/完整性ESP協(xié)議只是對(duì)整個(gè)內(nèi)部IP包進(jìn)行認(rèn)證（hash運(yùn)算）以確保被修改過的數(shù)據(jù)包可以被檢查出來。數(shù)據(jù)IP包頭ESP尾ESP驗(yàn)證數(shù)據(jù)加密ESP尾ESP驗(yàn)證數(shù)據(jù)加密ESP協(xié)議在兩種封裝模式下的處理過程2.4IPsecVPN身份驗(yàn)證真實(shí)性：數(shù)據(jù)確實(shí)是由特定的對(duì)端發(fā)出通過身份認(rèn)證可以保證數(shù)據(jù)的真實(shí)性。常用的身份認(rèn)證方式包括：Pre-sharedkey，預(yù)共享密鑰，簡稱PSKX.509證書2.4IPsecVPN身份驗(yàn)證預(yù)共享密鑰PSK預(yù)先協(xié)商密鑰；人工秘密交換密鑰；少數(shù)設(shè)備；直接，對(duì)稱的過程服務(wù)器I/O站控制器)

)

)

(

(

(采用PSK的WPA采用PSK的VPN傳輸2.4IPsecVPN身份驗(yàn)證PSK的邊界條件靜態(tài)IP地址或者DynDNS；動(dòng)態(tài)IP地址僅用于主動(dòng)模式；在經(jīng)NAT路由器連接時(shí)，PSK是不行的。2.4IPsecVPN身份驗(yàn)證X.509證書每個(gè)證書包含一對(duì)密鑰：一個(gè)是可以向大家公開的公鑰，另一個(gè)是只有自己知道的私鑰。用公鑰加密過的數(shù)據(jù)只有對(duì)應(yīng)的私鑰才能解開，反之亦然。證書由共同信任的CA發(fā)布、分發(fā)和驗(yàn)證。X.509證書里含有公鑰、身份信息(比如網(wǎng)絡(luò)主機(jī)名，組織的名稱或個(gè)體名稱等)和簽名信息（可以是證書簽發(fā)機(jī)構(gòu)CA的簽名，也可以是自簽名）。X.509有證書吊銷列表和證書合法性驗(yàn)證算法。2.4IPsecVPN身份驗(yàn)證如何獲得證書商業(yè)證書頒發(fā)機(jī)構(gòu)，如VeriSignMicrosoftCA服務(wù)器使用軟件的自簽名證書OpenSSL–XCA–2.4IPsecVPN身份驗(yàn)證兩種不同的證書格式PEM格式僅包含公鑰必須將其導(dǎo)入到所有嘗試與證書所屬的設(shè)備建立VPN連接的每個(gè)設(shè)備中。PKCS＃12格式包含公共密鑰和對(duì)應(yīng)的私鑰機(jī)器證書設(shè)備的身份證明文件作為某設(shè)備的唯一機(jī)器證書，導(dǎo)入到特定設(shè)備中。2.5VPN安全通道協(xié)商過程當(dāng)需要保護(hù)的流量流經(jīng)VPN網(wǎng)關(guān)時(shí)，就會(huì)觸發(fā)VPN網(wǎng)關(guān)啟動(dòng)IPsecVPN相關(guān)的協(xié)商過程啟動(dòng)IKE（InternetKeyExchange，Internet密鑰交換）階段1，對(duì)通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道；啟動(dòng)IKE階段2，在上述安全通道上協(xié)商IPsec參數(shù)，并按協(xié)商好的IPsec參數(shù)對(duì)數(shù)據(jù)流進(jìn)行加密、Hash等保護(hù)。2.5VPN安全通道協(xié)商過程1.IKE（Internet密鑰交換）IKE（Internet密鑰交換）解決了在不安全的網(wǎng)絡(luò)環(huán)境（如Internet）中安全地建立、更新或共享密鑰的問題。IKE是非常通用的協(xié)議，不僅可為IPsec協(xié)商SA（安全關(guān)聯(lián)，SecurityAssociation），也可以為SNMPv3、RIPv2、OSPFv2等任何要求保密的協(xié)議協(xié)商安全參數(shù)。1）IKE的作用當(dāng)應(yīng)用環(huán)境的規(guī)模較小時(shí)，可以用手工配置SA；當(dāng)應(yīng)用環(huán)境規(guī)模較大、參與的節(jié)點(diǎn)位置不固定時(shí)，IKE可自動(dòng)為參與通信的實(shí)體協(xié)商SA，并對(duì)安全關(guān)聯(lián)庫（SAD）進(jìn)行維護(hù)，保障通信安全。2）IKE的機(jī)制IKE是一種混合型協(xié)議，由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）和兩種密鑰交換協(xié)議OAKLEY與SKEME組成。IKE創(chuàng)建在由ISAKMP定義的框架上，沿用了OAKLEY的密鑰交換模式以及SKEME的共享和密鑰更新技術(shù)，還定義了它自己的密鑰交換方式。2.5VPN安全通道協(xié)商過程2.兩個(gè)階段的安全關(guān)聯(lián)IKE使用了兩個(gè)階段的安全關(guān)聯(lián)，這一階段也叫ISAKMPSA密鑰交換階段，協(xié)商創(chuàng)建一個(gè)通信信道，并對(duì)該信道進(jìn)行身份驗(yàn)證，為雙方進(jìn)一步的IKE通信提供機(jī)密性、消息完整性以及消息源驗(yàn)證服務(wù)；第二階段也叫IPsec-SA數(shù)據(jù)交換階段，使用第一階段創(chuàng)建的安全通道建立IPsecSA。PART3利用菲尼克斯的mGuard實(shí)現(xiàn)VPN利用菲尼克斯的mGuard實(shí)現(xiàn)VPN菲尼克斯的安全路由器與防火墻產(chǎn)品mGuard有多達(dá)250個(gè)IPsec加密的VPN通道，安全裝置功能全面，為可用性要求高的場合和復(fù)雜的安全架構(gòu)提供較高的安全性。要實(shí)現(xiàn)IPsecVPN的配置，需要滿足以下前提條件：（1）兩個(gè)固件版本在8.6.1以上的mGuard設(shè)備。（2）每個(gè)mGuard設(shè)備都有內(nèi)部和外部IP地址。（3）這兩個(gè)mGuard設(shè)備之間已經(jīng)實(shí)現(xiàn)網(wǎng)絡(luò)連接（IP連接），可以通過Internet、WAN或LAN。（4）IPsecVPN連接兩側(cè)的防火墻需要打開UDP端口500和4500。（5）（可選）通過DynDNS，為每個(gè)mGuard設(shè)備設(shè)置主機(jī)名，例如mG和mG。這兩個(gè)mGuard設(shè)備，一個(gè)作為發(fā)起方（Initiate），即客戶端，另一個(gè)作為等待方（Wait），即服務(wù)器。VPN連接通常由客戶端發(fā)起，而服務(wù)器則等待來自客戶端的連接請(qǐng)求，一旦客戶端發(fā)起VPN連接請(qǐng)求，則可以建立IPsecVPN隧道。利用菲尼克斯的mGuard實(shí)現(xiàn)VPN配置過程可以分為如下幾個(gè)步驟（若身份驗(yàn)證方式是預(yù)共享密鑰PSK，前兩個(gè)步驟可省略）：（1）生成X.509證書和密鑰（2）導(dǎo)入X.509機(jī)器證書（3）配置IPsecVPN連接（4）查看IPsecVPN連接狀態(tài)PART4本章實(shí)訓(xùn)4.1實(shí)訓(xùn)任務(wù)分解工業(yè)現(xiàn)場的一臺(tái)PLC需要進(jìn)行遠(yuǎn)程配置，同時(shí)要保證傳輸?shù)臄?shù)據(jù)的安全性，此時(shí)可利用mGuard的VPN功能實(shí)現(xiàn)，將編寫好的程序通過安全的VPN通道遠(yuǎn)程下載到PLC中。4.1實(shí)訓(xùn)任務(wù)分解可將此實(shí)訓(xùn)分解成如下幾個(gè)任務(wù)：（1）按照拓?fù)鋵?duì)各個(gè)設(shè)備進(jìn)行配置，實(shí)現(xiàn)網(wǎng)絡(luò)的連通性；（2）為mGuard1和mGuard2生成X.509證書和密鑰；（3）為mGuard1和mGuard2導(dǎo)入X.509證書和密鑰；（4）為mGuard1和mGuard2配置IPsecVPN連接；（5）測試VPN連接；（6）在PC3上用抓包軟件驗(yàn)證VPN連接；（7）在PC2中將PLC程序通過VPN連接遠(yuǎn)程下載到PLC中并運(yùn)行。4.2實(shí)現(xiàn)網(wǎng)絡(luò)連通性按照拓?fù)鋱D進(jìn)行網(wǎng)絡(luò)連接，并分別對(duì)每個(gè)設(shè)備進(jìn)行必要的配置，實(shí)現(xiàn)網(wǎng)絡(luò)的連通性，使PC2可以與PC1及PLC進(jìn)行通訊。具體實(shí)訓(xùn)步驟如下：步驟1按照拓?fù)鋱D進(jìn)行網(wǎng)絡(luò)連接。步驟2在PC1上，打開控制面板>>網(wǎng)絡(luò)和Internet>>網(wǎng)絡(luò)連接，禁用無線網(wǎng)卡，并將以太網(wǎng)的IP地址設(shè)置為，子網(wǎng)掩碼為，網(wǎng)關(guān)為；打開控制面板>>系統(tǒng)和安全，點(diǎn)擊“啟用或關(guān)閉WindowsDefender防火墻”，關(guān)閉Windows防火墻。步驟3利用PLCNextEngineer軟件將PLC的IP地址設(shè)置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為。4.2實(shí)現(xiàn)網(wǎng)絡(luò)連通性步驟4在PC2上，打開控制面板>>網(wǎng)絡(luò)和Internet>>網(wǎng)絡(luò)連接，禁用無線網(wǎng)卡，并將以太網(wǎng)的IP地址設(shè)置為，子網(wǎng)掩碼為，網(wǎng)關(guān)為；打開控制面板>>系統(tǒng)和安全，點(diǎn)擊“啟用或關(guān)閉WindowsDefender防火墻”，關(guān)閉Windows防火墻。步驟5對(duì)mGuard1進(jìn)行復(fù)位操作，復(fù)位之后mGuard的NetworkMode為Router，連接到mGuard1，按照拓?fù)鋱D將mGuard1的LAN口地址配置為，子網(wǎng)掩碼為，將WAN口地址配置為，子網(wǎng)掩碼為，DefaultGateway為，同時(shí)將mGuard1的IncomingRules和OutgoingRules防火墻規(guī)則設(shè)置為“Acceptallconnections”，在Advanced標(biāo)簽設(shè)置“AllowallICMPS”，允許接受所有的PING數(shù)據(jù)包。4.2實(shí)現(xiàn)網(wǎng)絡(luò)連通性步驟6對(duì)mGuard2進(jìn)行復(fù)位操作，復(fù)位之后mGuard的NetworkMode為Router，連接到mGuard2，按照拓?fù)鋱D將mGuard2的LAN口地址配置為，子網(wǎng)掩碼為，將WAN口地址配置為，子網(wǎng)掩碼為，DefaultGateway為，同時(shí)將mGuard2的IncomingRules和OutgoingRules防火墻規(guī)則設(shè)置為“Acceptallconnections”，在Advanced標(biāo)簽設(shè)置“AllowallICMPS”，允許接受所有的PING數(shù)據(jù)包。步驟7將PC3的IP地址設(shè)置為00，子網(wǎng)掩碼為。步驟8將交換機(jī)復(fù)位，恢復(fù)到出廠設(shè)置，并在PC3上用IPAssign軟件設(shè)置交換機(jī)的管理IP地址為，子網(wǎng)掩碼為。步驟9在PC2上輸入“CMD”，打開命令提示符窗口，用PING命令驗(yàn)證網(wǎng)絡(luò)的連通性。如果不能連通，則需查找錯(cuò)誤原因，連通之后才能進(jìn)行后續(xù)的步驟。4.3生成并導(dǎo)入X.509證書和密鑰1.為mGuard1和mGuard2生成X.509證書和密鑰用XCA軟件分別為mGuard1和mGuard2生成X.509證書和密鑰，并導(dǎo)出成“.p12”和“.pem”格式，具體操作步驟見上章實(shí)訓(xùn)。4.3生成并導(dǎo)入X.509證書和密鑰2.為mGuard1和mGuard2導(dǎo)入X.509證書和密鑰分別為mGuard1和mGuard2導(dǎo)入X.509證書和密鑰4.4配置并測試IPsecVPN連接1.為mGuard1和mGuard2配置IPsecVPN連接分別為mGuard1和mGuard2配置VPN連接，將mGuard1配置為server，mGuard2配置為client，并分別導(dǎo)入對(duì)方的安全證書，具體步驟如下：1）在mGuard1配置IPsecVPN連接步驟1登錄到mGuard1，進(jìn)入IPsecVPN>>Connections，點(diǎn)擊Seq.后面的“加號(hào)”創(chuàng)建一個(gè)VPN連接，點(diǎn)擊??（EditRow）圖標(biāo)進(jìn)入設(shè)置頁面4.4配置并測試IPsecVPN連接步驟2在General選項(xiàng)卡中，確認(rèn)Connectionstartup為“Wait”，即server模式，將Local設(shè)置為“/24”，即mGuard1的LAN口連接的網(wǎng)段，將Remote設(shè)置為“/24”，即mGuard2的LAN口連接的網(wǎng)段4.4配置并測試IPsecVPN連接步驟3在Authentication選項(xiàng)卡中，在LocalX.509certificate后選擇本地證書mguard1（即前面導(dǎo)入機(jī)器證書使設(shè)置的Shortname），點(diǎn)擊Remotecertificate后面的文件夾圖標(biāo)，導(dǎo)入對(duì)方（即mGuard2）的安全證書CJSYmGuard2.pem，點(diǎn)擊“Upload”4.4配置并測試IPsecVPN連接2）在mGuard2配置IPsecVPN連接步驟1登錄到mGuard2，進(jìn)入IPsecVPN>>Connections，點(diǎn)擊Seq.后面的“加號(hào)”創(chuàng)建一個(gè)VPN連接，點(diǎn)擊??（EditRow）圖標(biāo)進(jìn)入設(shè)置頁面。步驟2在General選項(xiàng)卡中，設(shè)置Addressoftheremotesite’sVPNgateway為，即mGuard1的WAN口地址，將Connectionstartup設(shè)置為“Initiate”，即client模式，將Local設(shè)置為“/24”，即mGuard2的LAN口連接的網(wǎng)段，將Remote設(shè)置為“/24”，即mGuard1的LAN口連接的網(wǎng)段4.4配置并測試IPsecVPN連接步驟3在Authentication選項(xiàng)卡中，在LocalX.509certificate后選擇本地證書mguard2（即前面導(dǎo)入機(jī)器證書使設(shè)置的Shortname），點(diǎn)擊Remotecertificate后面的文件夾圖標(biāo)，導(dǎo)入對(duì)方（即mGuard1）的安全證書CJSYmGuard1.pem，點(diǎn)擊“Upload”。步驟4在mGuard1和mGuard2上保存所做的所有的修改。4.4配置并測試IPsecVPN連接2.測試VPN連接；在PC2上輸入“CMD”，打開命令提示符窗口，輸入ping驗(yàn)證能否建立V