安全客戶端用戶手冊(cè)安全接入客戶端用戶手冊(cè)

安全客戶端用戶手冊(cè)安全接入客戶端用戶手冊(cè)

vl.5

湖南天一銀河信息產(chǎn)業(yè)有限公司

目錄

1.系統(tǒng)簡(jiǎn)介....................................................................3

1.1構(gòu)成部分.................................................................3

1.2功能特點(diǎn)................................................................3

1.3系統(tǒng)限制................................................................4

2.軟件安裝....................................................................4

3.軟件使用....................................................................5

3.1用戶登錄.................................................................6

3.2主菜單..................................................................6

3.3安全連接................................................................7

3.3.1安全連接主界面....................................................7

3.3.2連接/斷開網(wǎng)關(guān)......................................................8

3.4啟用/禁用................................................................9

3.5用戶信息................................................................9

3.6日志.....................................................................9

3.7更換PIN碼.............................................................10

3.8策略服務(wù)器.............................................................10

3.9NAT穿透（NAFT）.....................................................12

3.10關(guān)于...................................................................12

4.ADSL接入下的使用........................................................12

1.系統(tǒng)簡(jiǎn)介

安全客戶端(SureClienl)是一套運(yùn)行于MSwindows98/2000/XP平臺(tái)上的產(chǎn)品，是安全網(wǎng)

關(guān)的客戶端配套產(chǎn)品。該套產(chǎn)品能夠使得企業(yè)的移動(dòng)辦公人員或者企業(yè)的合作伙伴能安全可

控地訪問(wèn)企業(yè)的內(nèi)部資源。由于數(shù)據(jù)在公網(wǎng)上傳輸，不需要專線，能夠大大降低用戶的通信

成本。

1.1構(gòu)成部分

該套產(chǎn)品包含3個(gè)構(gòu)成部分：

(1)安全客戶端管理軟件

系統(tǒng)管理員使用，用于對(duì)用戶的管理及個(gè)人身份鑰匙的制作。具體使用請(qǐng)參閱“安

全客戶端管理員手冊(cè)

(2)安全客戶端軟件

安裝在終端用戶主機(jī)上的軟件，目前支持的操作系統(tǒng)為Win98/2000/XP,與個(gè)人身

份鑰匙(SurelD)配合使用，完成企業(yè)內(nèi)網(wǎng)的安全接入。

(3)用戶身份鑰匙(SurelD)。

USB接口，外形小巧。由安全客戶端管理員制作，是用戶身份的標(biāo)識(shí)，與客戶端軟

件配套使用，完成對(duì)用戶的身份識(shí)別。

SurelD外形圖

1.2功能特點(diǎn)

?該套軟件在IP層對(duì)數(shù)據(jù)進(jìn)行加解密，對(duì)上層應(yīng)用軟件透明，一旦安裝了該軟件，

就能夠?qū)λ惺褂肨CP/IP協(xié)議通信的應(yīng)用實(shí)現(xiàn)對(duì)用戶透明的安全保護(hù)。

?個(gè)人身份信息存放于SurelD,用戶只需攜帶該鑰匙，就能夠在任何地方安全訪問(wèn)

企業(yè)內(nèi)部許可的資源。

?支持預(yù)共享密鑰與數(shù)字證書的認(rèn)證方式。

?同時(shí)支持以太網(wǎng)、ADSL撥號(hào)與Modem撥號(hào)接入Inlernet方式。

?支持策略服務(wù)器，能夠與使用動(dòng)態(tài)IP接入的安全網(wǎng)關(guān)進(jìn)行VPN安全連接。

?SurelD的訪問(wèn)受用戶口令保護(hù).

1.3系統(tǒng)限制

?目前只能在MSwindows98/2000/XP上安裝。

?系統(tǒng)上不能同時(shí)安裝使用其他IPSEC協(xié)議的VPN客戶端軟件，否則不能正常工

作。

?假如系統(tǒng)上安裝了其他利用中間層技術(shù)的底層軟件，可能會(huì)導(dǎo)致系統(tǒng)特殊，建議在

安裝安全客戶端之前將此類軟件卸載。

2.軟件安裝

軟件的安裝非常簡(jiǎn)單，運(yùn)行安裝光盤中的selup.exe,按照其缺省設(shè)置即可完成。

運(yùn)行setup.exe,彈出的安裝提示界面如下：

〈旦ackNext>Cancel

按照界面提示選擇“Yes"，通過(guò)license與目錄選擇界面，會(huì)出現(xiàn)如下的界面。如今執(zhí)

行驅(qū)動(dòng)程序文件的安裝，該過(guò)程將會(huì)要持續(xù)10多秒種，不要中途中斷。

C:\MZNTUPSecDriver\SZETCFGEXE-JnJx

PVJJU.IME-

上述窗口關(guān)閉后，重新啟動(dòng)計(jì)算機(jī)，安全客戶端（配合適當(dāng)?shù)腢SBKEY）就能正常運(yùn)

行了。

3.軟件使用

從“開始菜單欄今程序今天一銀河今安全客戶端”中，能夠啟動(dòng)安全客戶端。

3.1用戶登錄

用戶身份鑰匙受口令保護(hù)，用戶啟動(dòng)SureClieni時(shí)，務(wù)必通過(guò)口令校驗(yàn)方能讀取用戶身

份鑰匙中的信息。

在口令輸入框里輸入PIN碼（初始PIN碼為“00000000”），會(huì)彈出一個(gè)窗口（如下圖所

示）

SecurityClient

正在讀取配置信息，請(qǐng)等待…

如今正在讀取用戶的配置信息，此過(guò)程可能需要5~15秒。

登錄成功之后，會(huì)彈出安全連接對(duì)話框，同時(shí)在屏幕右下角的工具欄里會(huì)出現(xiàn)一個(gè)黑色

與紅色箭頭構(gòu)成的圖標(biāo)（見下圖），即為安全客戶端軟件。單擊右鍵則彈出程序。

S3-Q囤E36

3.2主菜單

右鍵單擊與左鍵雙擊程序圖標(biāo)，會(huì)彈出如下圖主菜單:

安全連接

高級(jí)…

更改口令

用尸信息

日志

關(guān)于…

禁用

退出

3.3安全連接

安全客戶端假如要訪問(wèn)某安全網(wǎng)關(guān)所保護(hù)的企業(yè)資源，務(wù)必先同該網(wǎng)關(guān)建立起安全連

接。

3.3.1安全連接主界面

單擊主菜單中的“安全連接”，可彈出安全連接對(duì)話框。安全連接對(duì)話框要緊由下列幾

個(gè)區(qū)域構(gòu)成：

網(wǎng)關(guān)列表顯示用戶能夠進(jìn)行安全通信的安全網(wǎng)關(guān)。紅色圖標(biāo)表示與該網(wǎng)關(guān)沒有連接，

綠色表示已經(jīng)連接。

網(wǎng)關(guān)信息區(qū)域顯示當(dāng)前所選的網(wǎng)關(guān)及其所保護(hù)資源的有關(guān)信息,

(I)目的地址：由IP地址與掩碼表示，表示該連接建立后，該主機(jī)能夠訪問(wèn)的IP地

址范圍。

(2)目的端口：該主機(jī)能夠訪問(wèn)的端口?！叭我狻北硎救我舛丝凇?/p>

(3)傳輸協(xié)議：表示IP上層協(xié)議，如TCP,UDP,ICMP等。

(4)隧道端點(diǎn)：表示安全隧道的終點(diǎn)，實(shí)際上是對(duì)等安全網(wǎng)關(guān)的外部IP地址。

狀態(tài)欄動(dòng)態(tài)顯示與網(wǎng)關(guān)安全連接的狀態(tài)。

3.3.2連接/斷開網(wǎng)關(guān)

連接在網(wǎng)關(guān)列表中選中所想連接的網(wǎng)關(guān)，點(diǎn)擊“連接”按鈕，即可發(fā)起連接請(qǐng)求。假

如配置正確，對(duì)方網(wǎng)關(guān)也配置正確，通過(guò)幾秒種后，安全連接建立成功，就能夠與該網(wǎng)關(guān)保

護(hù)的內(nèi)網(wǎng)的主機(jī)進(jìn)行安全通信了。如今安全連接主界面就變?yōu)槿缦聢D所示：

斷開在列表中選擇要斷開連接的網(wǎng)關(guān)，單擊“斷開”，可斷開與該網(wǎng)關(guān)的安全連接。

返回假如要關(guān)閉該窗口，鼠標(biāo)單擊“返回”。

3.4啟用/禁用

假如用戶暫時(shí)不需要提供安全連接時(shí)（如：在企業(yè)的內(nèi)網(wǎng)），能夠使用禁用功能（如下

圖所示）。禁用后，軟件對(duì)本機(jī)發(fā)起的數(shù)據(jù)通信不做任何操作，用戶能夠忽略此軟件的存在。

當(dāng)重新“啟用”安全客戶端的加密與安全通信功能時(shí)，不再需要輸入用戶PIN碼。

禁用單擊主菜單中的“禁用”，可實(shí)現(xiàn)禁用。

啟用禁用后，假如想重新啟用，點(diǎn)擊主菜單中的“啟用”。

該軟件啟動(dòng)后，缺省狀態(tài)是“啟用”。

3.5用戶信息

用戶信息提供了關(guān)于用戶自身的有關(guān)的信息（由管理員統(tǒng)一規(guī)劃確定，用戶只能查看）

在主菜單中選擇“用戶信息”，會(huì)彈出用戶信息窗口:

?用戶名標(biāo)識(shí)不一致用戶。

?用戶類別由系統(tǒng)管理員定義的用于區(qū)分不一致用戶的級(jí)別。

?私有ip分配給此用戶的在內(nèi)部網(wǎng)中的網(wǎng)絡(luò)IP地址。

?認(rèn)證方式客戶端軟件同網(wǎng)關(guān)認(rèn)證時(shí)采取的認(rèn)證方式，預(yù)共享密鑰認(rèn)證或者證書

認(rèn)證。

?OCSP服務(wù)器地址假如是證書認(rèn)證方式，該項(xiàng)表示在線證書認(rèn)證服務(wù)器的地

址。

?OCSP端口要去訪問(wèn)的OCSP服務(wù)器的端口。

3.6日志

用戶能夠在需要時(shí)查看日志，當(dāng)出現(xiàn)問(wèn)題時(shí)，也能夠按日志中內(nèi)容的描述給管理員，以

便分析故障。當(dāng)日志文件太大，系統(tǒng)會(huì)自動(dòng)刪除。日志的內(nèi)容按照時(shí)間順序排列。

日志格式月/日/年時(shí)：分：秒日志信息

導(dǎo)出日志用戶能夠?qū)С鋈罩拘畔?如今所有的日志條目將以文本格式儲(chǔ)存在用戶指

定的位置。

清除日志刪除所有的日志信息，此過(guò)程不可恢復(fù)。

返回關(guān)閉日志窗口。

日志X

03/25/0215:53:40善試連接網(wǎng)關(guān)：132.132.100.2112

03/25/0215:53:44協(xié)商成功:建立一條到（132.132.100.211）階段-

03/25/0215：54：07協(xié)商成功:創(chuàng)建安全通道,目的92.168.1.0J

03/25/0216:25:27

03/25/0216:25:33

03/25/0216:26:06:連接網(wǎng)關(guān)：132.132.100.211

03/25/0216:26:09成功:建立一條部132.132.100.211）階段-

03/25/0216:26:11成功創(chuàng)建安全通道，目的IP：192.168.1.0J

03/25/0216:28:58連接網(wǎng)關(guān)：132.132.100.211

03/25/0216:29:01:建寺一條到［132.132.100.211］階段-

03/25和216:29:04協(xié)安全通道,目的尸：192.168.1.0月

±12J

?返回虜清除日志勿導(dǎo)出日志

3.7更換PIN碼

SureClient提供了更換PIN碼功能，用戶能夠隨時(shí)根據(jù)需要更換PIN碼，更換成功后在

下次啟動(dòng)時(shí)生效。

在主菜單中選擇“更換口令”欄，會(huì)彈出如下圖對(duì)話框：

輸入原有口令及新口令（最大長(zhǎng)度為8）即可。

3.8策略服務(wù)器

假如安全客戶端訪問(wèn)的網(wǎng)關(guān)是使用策略服務(wù)器，那么安全客戶端乜務(wù)必使用策略服務(wù)器

才能與網(wǎng)關(guān)實(shí)現(xiàn)安全通訊，操作方法如下：

點(diǎn)擊主菜單中的“高級(jí)…”，能夠彈出如下對(duì)話框:

在“策略服務(wù)配置”欄中選擇“使用”，同時(shí)輸入服務(wù)器地址，客戶端ID及口令，如下:

高級(jí)設(shè)置...兇

策略服務(wù)配置客戶端所在域信息

r不使用rEHJ連接狀態(tài)：己連接

服務(wù)器地址：211.152.185.40VPN社區(qū)：adtsec

客戶端ID：kanghaoVPN域:testSvd

網(wǎng)關(guān)數(shù)：

口令：AAAAAAA

動(dòng)態(tài)IP網(wǎng)關(guān)信息列表:

網(wǎng)關(guān)IDI網(wǎng)關(guān)名稱I子網(wǎng)地址子網(wǎng)掩碼1公網(wǎng)IP▲

suresec濟(jì)南確信255.255.255.255255.255.255.255255.255.2

adtgatewayADT132.132.100.254255.255.0.0218.80.87

capital首創(chuàng)網(wǎng)絡(luò)10.15.2.87255.0.0.010.15.2.8E

hengdun恒敦通信172.16.88.1255.255.255.0211.152.1

chwinchwin192.168.191.1255.255.255.0218.80.84

sgwOOOOOOO7碩源科技192.168.0.1255.255.255.0218.72.21_

▼

d1li

NATT設(shè)置

B本機(jī)在NAT設(shè)備后面

確定取消

然后點(diǎn)擊“刷新列表“客戶端所在域信息”欄中會(huì)顯示客戶端當(dāng)前的基本信息，包含

連接狀態(tài)，VPN社區(qū)，客戶端所在的VPN域與該域中的網(wǎng)關(guān)數(shù)?！皠?dòng)態(tài)網(wǎng)關(guān)信息”欄中會(huì)

顯示VPN域中當(dāng)前網(wǎng)關(guān)的基本信息，包含網(wǎng)關(guān)ID,網(wǎng)關(guān)名稱，子網(wǎng)地址，子網(wǎng)掩碼，公網(wǎng)

IP及其是否在線（將拉動(dòng)條向右拉能夠看到該條目）。

設(shè)置完以上策略服務(wù)信息后，安全客戶端就能夠與該域中在線的網(wǎng)關(guān)保護(hù)的子網(wǎng)實(shí)現(xiàn)安

全通訊，操作方法前面已介紹，這里不再贅述。

注意:假如與安全客戶端通訊的安全網(wǎng)關(guān)公網(wǎng)地址發(fā)生變化,安全客戶端務(wù)必里新連接,

同時(shí)假如“安全連接”中的“隧道端點(diǎn)”沒有更新，請(qǐng)點(diǎn)擊“策略服務(wù)器”中的“刷新列表”

按鈕

3.9NAT穿透（NAT-T）

正常的IPSec協(xié)議（VPN的關(guān)鍵協(xié)議），不能穿透NAT設(shè)備，導(dǎo)致“公有IP一