SJW74系列TPN安全网关配置手册v51.doc

SJW74SJW74 系列系列 TPNTPN 安全网关配置手安全网关配置手 册册 V5 1V5 1 2008 年年 4 月月 SJW74 系列安全网关配置手册 V5 1 1 目目 录录 第第 1 章章TPN 安全网关简介安全网关简介 6 1 1功能简介 6 1 2硬件接口 6 1 3应用环境 7 1 4工作模式 7 1 5接入方式 8 第第 2 章章开始配置安全网关开始配置安全网关 9 2 1配置工具和配置方式 9 2 1 1配置工具 9 2 1 2配置途径 9 2 2对安全网关进行实时配置 9 2 2 1通过串行口对网关进行实时配置 10 2 2 2通过网络对网关进行实时配置 11 2 3实时保存配置信息 12 2 4导入导出配置文件 12 2 5清空安全网关配置 13 第第 3 章章初始化向导初始化向导 14 3 1设备初始化的步骤 14 第第 4 章章系统基本信息配置系统基本信息配置 19 4 1配置软件的基本结构 19 4 2系统维护 19 4 2 1设备信息 19 4 2 2日期与时间 20 4 2 3设备管理 21 4 2 4集中管理 22 4 2 5设备告警 23 4 2 6设备日志 25 4 3网络设置 27 4 3 1基本设置 27 4 3 2网络接口 29 4 3 3PPPOE拨号 31 4 3 4DHCP服务 32 4 3 5DNS 33 4 3 6DDNS 34 4 3 7网络路由 35 4 3 8ARP表 36 4 3 9VLAN TRUNK 36 4 4对象管理 38 4 4 1网络地址 38 SJW74 系列安全网关配置手册 V5 1 2 4 4 2网络协议 40 4 4 3网络服务 41 4 4 4时间表 44 第第 5 章章VPN 配置配置 46 5 1配置 VPN 的步骤 46 5 2VPN 的相关配置 47 5 2 1身份认证方式和缺省预共享密钥 47 5 2 2数字证书 48 5 2 3密钥生命周期 52 5 2 4NAT穿透功能 53 5 2 5隧道保持功能 54 5 2 6动态接入 55 5 3配置局域网到局域网的 VPN 56 5 3 1典型环境下的VPN配置 57 5 3 2局域网中有多个网段时的VPN配置 62 5 4VPN 向导 66 第第 6 章章防火墙配置防火墙配置 70 6 1地址映射 NAT 配置 70 6 1 1配置NAT的通常步骤 70 6 1 2添加NAT对象 70 6 1 3添加NAT策略 73 6 2状态检测配置 75 6 3快速过滤配置 76 6 4HTTP 检测配置 77 6 4 1非法URL检测设置 77 6 4 2URL过滤设置 78 6 4 3日志记录设置 80 6 4 4HTTP检测在策略中的设置 81 6 5用户认证配置 82 6 6攻击检测配置 84 6 7IDS 互动配置 87 6 8MAC 地址绑定配置 88 6 9网关 ARP 代理 89 6 10高级设置 90 第第 7 章章安全策略安全策略 91 7 1安全策略的匹配 91 7 1 1策略的匹配机制和快速匹配功能 91 7 1 2策略生效时间 92 7 2安全策略的顺序调整 92 7 3安全策略相关操作 93 第第 8 章章多链路配置多链路配置 94 SJW74 系列安全网关配置手册 V5 1 3 8 1链路备份 94 8 1 1工作原理 94 8 1 2配置方法 94 8 1 3配置实例 96 8 2负载均衡 101 8 2 1工作原理 101 8 2 2配置方法 101 8 3策略路由 105 第第 9 章章WEB 客户端客户端 108 9 1导入WEB客户端 108 9 2开启WEB服务 108 第第 10 章章TPN 配置配置 110 10 1角色 权限管理 110 10 1 1基本信息 110 10 1 2信任对象 112 10 1 3权限对象 115 10 1 4角色管理 125 10 2用户 认证管理 126 10 2 1用户管理 126 10 2 2在线用户 130 10 2 3禁用用户 131 10 2 4认证服务器 第三方服务器认证 131 10 2 5认证选项 132 10 3TPN 向导 133 10 4自定义进程特征库 136 10 5TPN 推荐配置顺序 137 第第 11 章章事件与报告事件与报告 139 11 1系统日志 139 11 2流量统计 141 11 3威胁报告 142 第第 12 章章其他功能其他功能 144 12 1流量控制 144 12 1 1基于策略的流量控制 144 12 1 2基于用户的流量控制 147 12 2移动加速 149 12 3双机热备 151 12 4调整 NAT 映射表项刷新时间 153 12 5辅助工具 154 12 5 1使用ping工具 154 12 5 2使用shell终端 155 12 5 3发送免费arp广播 156 SJW74 系列安全网关配置手册 V5 1 4 12 5 4License信息 157 12 5 5文件导入导出功能 158 12 6内核及LICENSE升级 158 12 6 1内核升级 159 12 6 2License升级 162 12 7远程重启 164 12 8恢复备份配置 164 12 9重新装载配置 165 附录附录 166 附录 A 主要名词术语解释 166 附录 B 安全网关配置常见问题 166 附录 C 推荐配置顺序 168 SJW74 系列安全网关配置手册 V5 1 5 感谢您购买 ADT SJW74 系列安全网关 本手册将为您详细介绍安达通 SJW74 TPN 系列安全网关的使用方法 欢迎访问安达通公司网站 及致电本公司 400 880 1233 SJW74 系列安全网关配置手册 V5 1 6 第第 1 章章TPN 安全网关简介安全网关简介 1 1 功能简介功能简介 安全网关应用 IKE 技术和 Ipsec 技术对 IP 数据流进行端到端的加密保护 实现异 地子网之间的安全互联 以及移动用户对固定网络的安全接入 提供 VPN 服务 安全网关应用 NAT 技术使得企业内部私有地址能够访问外部互联网 并且能将 内网服务器的端口映射到公网上 安全网关应用包过滤和状态检测技术保护内网主机和服务器 提供防火墙的功能 安全网关具有链路备份和负载均衡的功能 支持在两条线路接入下的链路备份功能 以及多条线路 2 3 条 接入下的链路负载均衡功能 安全网关具备隧道接力 隧道嵌套 VPN 后 NAT NAT 后 VPN 等多种高级功能 能够组建各种复杂的 VPN 网络 满足客户的各种应用需求 安全网关和 TPN 主机端程序利用身份认证技术和主机检测技术 实现进程检测和 接入安全功能 1 2 硬件接口硬件接口 以 SJW74T 1000 为例 安全网关外形如下图所示 SJW74 T 300 SJW74 T 500 SJW74 T 1000 安全网关带有 个网口 其中一个 LAN 口 一个 WAN 口 一个 EXT0 口和一个 EXT1 口 均为 10 100M 自适应 WAN EXT0 EXT1 均可 做为公网出口 SJW74 T 1500 SJW74 T 3000 安全网关带有 4 个网口 其中一个 LAN 口 一个 WAN 口 一个 EXT0 口和一个 EXT1 口 均为 10 100M 1000M 自适应 WAN EXT0 EXT1 均可做为公网 出口 SJW74 系列安全网关配置手册 V5 1 7 各型号的网关还具备 两个 COM 口 COM1 用于配置和故障恢复 COM2 作为双机热备时 心跳线 的连接口 个电源指示灯 个网络接口指示灯 1 3 应用环境应用环境 SJW74 安全网关的典型应用环境如下图 总部采用两条用户可以参考该图规划自己的 应用环境 Internet 总部子网 PC 光纤 安全网关 ADSL 安全网关 分支机构1 PCPC PCPC 安全网关 ADSL 分支机构2 PCPC PCPC 红色虚线代表安全隧道 服务器群 PC 领导 外地出差员工 Sure ID ADSL 宽带拨号 1 4 工作模式工作模式 安全网关支持在路由模式和透明模式两种模式下工作 能够满足在各种网络环境下的 应用 在路由模式路由模式下 安全网关作为一个三层设备工作 通常部署在内外网的边界 为内外 网提供路由 防火墙过滤 NAT 和 IPSEC 加密等功能 在透明模式透明模式下 安全网关作为一个透明网桥工作在二层 对通过安全网关的数据流进 行包过滤或提供 IPSEC 加密服务 此时 可以任意设置 LAN 口和 WAN 口地址 使用透 明模式可以不改变用户原有的网络结构和地址规划 并且能使非 IP 的其他协议 比如 IPX NETBEUI 等 顺利透过安全网关 另外 ADT 安全网关还具备一个非常有用的特点 即在透明模式下还能正常提供路由 SJW74 系列安全网关配置手册 V5 1 8 模式下才具备的路由转发 NAT 等功能 在一些特殊场合下 该特性能实现 混和工作模 式 即透明和路由并存 注意 支持多线路接入的链路备份和链路均衡功能只在路由模式下有效 注意 支持多线路接入的链路备份和链路均衡功能只在路由模式下有效 1 5 接入方式接入方式 SJW74 系列安全网关支持以太网固定地址接入 DHCP 自动获取地址接入 PPPOE 拨 号接入 比如 ADSL CABLE 等几种方式 多线路接入时 可以实现上述各种接入方式 的组合 同时能支持多个 PPPOE 拨号链路 能适用于绝大部分的网络环境 SJW74 系列安全网关配置手册 V5 1 9 第第 2 章章开始配置安全网关开始配置安全网关 2 1 配置配置工具和配置方式工具和配置方式 2 1 1 配置工具配置工具 在安全网关能正常工作之前 必须经过正确的系统配置 对安全网关的各种配置操作 都需要通过安全网关控制台安全网关控制台 SureConsole 软件进行 2 1 2 配置途径配置途径 安全网关控制台安全网关控制台能通过网络和 COM 口两种手段对安全网关进行配置 通常使用 COM 口对安全网关进行初始化配置 使用网络进行远程管理和配置 通过网络进行配置时 安全网关控制台安全网关控制台软件使用 SSL 来保证与安全网关通信数据的安 全 无论通过网络还是串行口对安全网关进行配置 都需要进行用户认证 2 2 对安全网关进行实时配置对安全网关进行实时配置 安全网关的出厂缺省配置 根用户 root 根用户缺省密码 changeit 中文意思为 改掉它 LAN 口 IP 地址 192 168 1 1 掩码 255 255 255 0 其他接口 IP 地址均为空 策略为空 默认全部阻断 对一台刚出厂的设备 建议通过对一台刚出厂的设备 建议通过 初始化向导初始化向导 工具进行初始化配置 工具进行初始化配置 初始化配置可 以通过网络或串行口进行 详见第三章 初始化向导 SJW74 系列安全网关配置手册 V5 1 10 2 2 1 通过串行口对网关进行实时配置通过串行口对网关进行实时配置 安全网关的串行口配置线为两头都为九孔或 RJ45 的串行连接线 设备包装附带 如用户自行制作该连接线 线序如下 九孔的线两头九孔的线两头 2 3 号线进行交叉号线进行交叉 RJ45 的线的线 3 6 号线进行交叉号线进行交叉 配置步骤如下 1 在主机上安装安全网关控制台安全网关控制台 SureConsole 软件 2 用串行口连接线将安全网关的 COM 口与配置主机的 COM 口相连接 注意 如碰 到有两个串口的安全网关 均连接到 COM1 3 打开安全网关电源 等待网关完成启动 根据设备的不同 这个过程需要时间约 30 秒 2 分钟 4 打开安全网关控制台安全网关控制台软件 选择 串口连接 在 本机串口 选择本机与安全网 关相连接的串口编号 输入管理员用户名和密码 点击 确定 登录界面如下 SJW74 系列安全网关配置手册 V5 1 11 5 进入配置主界面 如下图所示 2 2 2 通过网络对网关进行实时配置通过网络对网关进行实时配置 1 在主机上安装安全网关控制台安全网关控制台 SureConsole 软件 2 用一根交叉线 反线 或通过 Hub 交换机将安全网关的 LAN 口和配置主机进行 连接 将配置主机的该接口 IP 地址改为 192 168 1 2 掩码 255 255 255 0 3 打开安全网关电源 SJW74 系列安全网关配置手册 V5 1 12 4 在配置主机上启动安全网关控制台安全网关控制台 选择 网口连接 在目标网关输入安全网关 LAN 口地址 192 168 1 1 输入密码 点击 确定 登录界面如下 5 进入配置主界面 2 3 实时保存配置信息实时保存配置信息 点击安全网关控制台安全网关控制台主界面上的 保存 按钮或者选择 网关 菜单下的 保存配置 即将安全网关的当前配置保存到内部的存储器中 注意 网关重新启动过后按最后一次保注意 网关重新启动过后按最后一次保 存的配置运行 存的配置运行 2 4 导入导出配置文件导入导出配置文件 在实时配置模式下 选择安全网关控制台安全网关控制台 网关 菜单下的 导出配置 项 在弹出 的对话框中选择存放路径并输入文件名 点击 确定 按钮 即保存配置文件到指定目录 SJW74 系列安全网关配置手册 V5 1 13 在实时配置模式下 选择安全网关控制台安全网关控制台 网关 菜单下的 导入配置 项 在弹出 的对话框中选择指定目录下的配置文件 点击 确定 按钮 接着重新装载配置或者重启接着重新装载配置或者重启 安全网关安全网关 即按配置文件中的配置运行 利用安全网关配置可导入导出的特性 可以进行安全网关的大批量离线编辑 再统一 导入 也可以通过分析配置文件进行离线的故障诊断等等 注意 在导入配置之后重新装载配置或者重启网关之前 不要点注意 在导入配置之后重新装载配置或者重启网关之前 不要点 保存保存 按钮 按钮 2 5 清空安全网关配置清空安全网关配置 在安全网关控制台安全网关控制台 网关 菜单下选择 清空配置 接着重新启动安全网关 安全网 关的配置即恢复到出厂状态 注意 在清空配置之后重启网关之前 千万不要保存配置 否则清空将失效 注意 在清空配置之后重启网关之前 千万不要保存配置 否则清空将失效 SJW74 系列安全网关配置手册 V5 1 14 第第 3 章章初始化向导初始化向导 从一台刚出厂的安全网关 到符合用户的要求进行正常工作 通常要经过各种配置 在刚开始配置时建议首先使用安全网关控制台中的刚开始配置时建议首先使用安全网关控制台中的 初始化向导初始化向导 工具对安全网关做初始工具对安全网关做初始 化配置化配置 通过初始化向导能够设置网关的基本信息并实现一些基本功能 3 1 设备初始化的步骤设备初始化的步骤 打开初始化向导可以通过两种途径 在安全网关控制台安全网关控制台的 工具 菜单下选择 初始 化向导 或者直接选择安全控制台首界面下的初始化向导链接 打开初始化向导后的界面 如下图所示 点击 下一步 提示选择网关型号并输入网关名称 SJW74 系列安全网关配置手册 V5 1 15 点击 下一步 选择接入方式 在初始化向导中默认为单线路接入 以固定地址接入 为例 点击 下一步 选择何种动态接入方式 PPPoE 或 DHCP 并输入相关信息 以及 接口是否允许 ping 和管理等等 以 PPPoE 为例 SJW74 系列安全网关配置手册 V5 1 16 点击 下一步 配置网关的 Lan 口地址 点击 下一步 配置 VPN 参数 要注意的是 VPN 隧道端点 和 内部 DNS 等参 数都只用于客户端 当用安全网关控制台安全网关控制台制作 SureID 即部署客户端 时才会用到这些参 数 SJW74 系列安全网关配置手册 V5 1 17 点击 下一步 配置集中管理参数 安全网关可以工作在 自主管理 和 集中管 理 两种模式下 自主管理 可以选择 接受监控 所谓 集中管理 点击 下一步 至此初始化向导的所有信息都输入完毕 初始化向导即将初始化的 信息传送到安全网关 并将安全网关重启 SJW74 系列安全网关配置手册 V5 1 18 当初始化完成后 安全网关将自动重新启动 启动后安全网关就按向导中配置的信息 运行 注意 初始化按照一条线路接入的配置 如要新增线路需另外配置 注意 初始化按照一条线路接入的配置 如要新增线路需另外配置 注意 建议将一台网关应用到一个新的环境之前先使用初始化向导做一遍初始化 注意 建议将一台网关应用到一个新的环境之前先使用初始化向导做一遍初始化 SJW74 系列安全网关配置手册 V5 1 19 第第 4 章章系统基本信息配置系统基本信息配置 在本章中将介绍安全网关控制台安全网关控制台软件的基本结构和系统基本信息的配置方法 系统基 本信息包括安全网关的名字 管理员帐号 系统日期 在后面配置中要用到的对象等等 4 1 配置软件的基本结构配置软件的基本结构 不论是实时配置模式或者还是编辑配置文件的形式 都将通过相同的配置界面来完成 配置工作 安全网关控制台安全网关控制台的主界面分为两大部分 左边的树形结构包括了所有的配置项 目 右边是具体的配置内容 以列表的形式为主 当选中左边某个项目时 右边会出现相 应的已配置信息 通过在右边列表中的操作 可以进行各种各样的配置 当配置软件与安全网关的通信出现错误或出现其他错误时 右边的下面部分会出现一 个显示提示信息的列表框 配置界面的上部有一排导航栏按钮 这些按钮除了 连接 保存 刷新 几个基 本功能按钮之外 其他的会根据左边选中的配置选项不同而变化 用于对配置具体内容的 操作 连接 按钮用于重新连接一个安全网关或重新编辑一个配置文件 保存 按钮 用于保存配置信息或导入导出配置文件 刷新 按钮用于在实时模式下从安全网关刷新 当前的配置 在编辑配置文件模式下从配置文件刷新当前配置 配置界面底部显示了当前的安全网关状态 用户配置连接方式 登录用户名 连接时 间等信息 4 2 系统维护系统维护 系统维护是配置选项中的第一个大项 其中包括五个小项 下面分别介绍各自的功能 4 2 1 设备信息设备信息 设备信息中包括 设备名称 所有者 管理员 联系方法 等内容 记录这些 信息仅仅是为了区分设备以及记录管理员和联系方式 这些信息与今后的配置无任何关联 SJW74 系列安全网关配置手册 V5 1 20 编辑设备信息的步骤如下 1 选中 设备信息 后 双击右边的列表或者点击导航栏上的 属性 按钮 2 在弹出的对话框上编辑设备信息 点击 确定 如下图所示 4 2 2 日期与时间日期与时间 在该项中显示并可更改安全网关当前的系统时间和日期 修改时间日期的步骤如下 1 双击右边列表中 系统时间 一项或单击该项并在导航栏按钮中点击属性 弹出 修改对话框 可以手工修改 也可以选择 与本机保持一致 如选择 与本机保 持一致 配置软件自动从配置主机上读取日期时间并设置到安全网关上去 2 点击 确定 如下图 SJW74 系列安全网关配置手册 V5 1 21 4 2 3 设备管理设备管理 设备管理选项显示了当前所有用户信息 以及目前登录用户信息等等 缺省设备只有 一个 root 用户 root 用户具有最高权限 在右边列表中显示出最后一个用户连接的 IP 地址 当前每个用户的当前连接数目等信息 用户可以自行添加用户 用户添加的用户分为两个级别 分别为 管理用户 和 浏 览用户 管理用户可以对安全网关进行各种配置 浏览用户只能实时查看当前网关的配置 信息 不能修改配置 添加用户时 能够对新加用户进行 IP 限制 即限定该 IP 地址才能 登录网关进行配置查询或修改 添加用户界面如下 SJW74 系列安全网关配置手册 V5 1 22 在设备管理下 点击 选项 按钮 可更改一些控制用户登录的参数 主要包括 空 闲切断时间 最大在线个数 和 禁止重复登录 如下图所示 4 2 4 集中管理集中管理 集中管理功能是配合 安全网关网管系统 SureManager 实现对网关的集中监控和 策略分发的功能 注意 使用该功能必须在已经安装了一台注意 使用该功能必须在已经安装了一台 安全网关网管系统安全网关网管系统 的前提下 的前提下 开启集中管理的步骤如下 SJW74 系列安全网关配置手册 V5 1 23 1 在左侧树形结构中选择 系统维护 下的 集中管理 点击导航栏上的 属性 按钮 或者双击右侧的 集中管理 项 2 在弹出的对话框中选中 启用集中管理功能 输入服务器 IP 即网管服务器的 IP 地址 端口默认为 4600 输入用户名和密码 点击 确定 即可 注意 用户名与密码在网管服务器上设定 注意 用户名与密码在网管服务器上设定 关于集中管理的详细使用方法 可参考 安全网关网管系统 的相关手册和资料 4 2 5 设备告警设备告警 设备告警选项分两个子选项 告警服务器 和 告警邮件 分别用来设置当设备产 生紧急程度相当高的事件时立即将该告警信息发送到邮件服务器或 ADT 专用告警服务器 设置告警服务器选项的步骤如下 1 选中 告警服务器 双击右边的列表 2 在弹出的对话框中选中 启用告警服务器 接着在下面的文本框中输入告警服务 器的 IP 地址和端口 如需用户认证 则还需输入认证密码 3 点击 确定 按钮 如下图 SJW74 系列安全网关配置手册 V5 1 24 设置告警邮件的步骤如下 1 选中 告警服务器 双击右边的列表 2 在弹出的对话框中选中 发送告警邮件 接着在下面的文本框中输入 SMTP 服务 器的域名或 IP 地址 如需 SMTP 认证 则输入认证密码 3 点击 确定 按钮 如下图 SJW74 系列安全网关配置手册 V5 1 25 4 2 6 设备日志设备日志 设备日志选项分三个子选项 事件记录 日志服务器 和 日志邮件 事件记录 用来设置对哪些类型的日志进行记录 达到一定的过滤效果 设置的步 骤如下 1 选中 事件记录 双击右边的列表或点击导航栏上的 属性 按钮 2 在弹出的对话框中对需要记录的日志类型进行打勾 事件记录 从日志紧急程度 和日志产品模块两方面进行日志过滤 3 点击 确定 按钮 如下图 日志服务器 用来设置设备产生的日志同步发送到 ADT 专用日志服务器 设置步 骤如下 1 选中 日志服务器 双击右边的列表或点击导航栏上的 属性 按钮 2 在弹出的对话框中选中 发送日志到外部日志服务器 选择日志服务器的类型是 ADT 专用日志服务器或者标准 syslog 服务器 在下面的文本框中输入服务器的 IP 地址和端口号 如果服务器需认证 则输入认证密码 3 点击 确定 按钮 如下图 SJW74 系列安全网关配置手册 V5 1 26 日志邮件 用来设置或当日志达到一定数目以后通过邮件方式发送到指定邮箱 设 置步骤如下 1 选中 日志邮件 双击右边的列表或点击导航栏上的 属性 按钮 2 在弹出的对话框中选中 当日志存储空间不够时发送日志邮件 接着在下面的文 本框中输入 SMTP 服务器的域名或 IP 地址 如需 SMTP 认证 则输入认证密码 3 点击 确定 按钮 如下图 SJW74 系列安全网关配置手册 V5 1 27 经过如上设置后 通常情况下 当日志数量达到 1024 条以上时 会自动发送到指定 邮箱中 注意 安全网关产生日志后首先保存在本地 当超过存放空间 安全网关会删除所有注意 安全网关产生日志后首先保存在本地 当超过存放空间 安全网关会删除所有 本地日志 重新开始记录日志 如果设置了日志服务器 则同步发送到日志服务器 如果本地日志 重新开始记录日志 如果设置了日志服务器 则同步发送到日志服务器 如果 设置了邮件服务器 当达到一定数目以后再发送到指定邮箱 设置了邮件服务器 当达到一定数目以后再发送到指定邮箱 4 3 网络设置网络设置 网络设置中包括了与安全网关相关的所有相关网络基本信息 4 3 1 基本设置基本设置 基本设置中有三个选项 工作模式 组播支持 以及 VPN TCP MMS 工作模式 决定了安全网关是工作在路由模式还是透明模式下 即是工作在三层还 是二层 当工作在透明模式时 除了能透过二层以太网帧 安全网关的三层路由 地址映 射等功能依旧有效 能做到两者兼顾 双击 工作模式 表项或者选中该项点击导航栏上的 属性 按钮 在弹出的对话框 中即可设置工作模式 如下图 SJW74 系列安全网关配置手册 V5 1 28 在 组播支持 中设置是否允许组播报文透过安全网关 无论安全网关工作在路由模 式还是透明模式下 该设置均有效 VPN TCP MMS 选项是用于在 VPN 隧道穿越 NAT 时 让网关或者客户端能顺利穿透对 UDP 分段报文丢弃的防火墙时使用 在正常以太网 MTU 值下 该参数默认值为 1368 在某些主机或路由器 MTU 小于正常值时可以适当调低该参 数 注意 该参数调得过低会导致注意 该参数调得过低会导致 TCP 应用通信效率降低 应用通信效率降低 组播支持 和 VPN TCP MMS 在同一个对话框中设置 双击 组播支持 或 VPN TCP MMS 表项或者选中该项点击导航栏上的 属性 按钮 在弹出的对话框中 即可设置是否允许支持组播报文透过 如下图 SJW74 系列安全网关配置手册 V5 1 29 4 3 2 网络接口网络接口 在 网络接口 中可以设置设备各个接口的 IP 地址 接口速度以及双工模式等参数 以及 PPPOE 拨号的用户名密码等参数 双击右侧列表中的一个接口 或者选中该接口点击导航栏上的 属性 按钮 在弹出 的对话框中可以看到该接口的参数信息 并对其进行修改 LAN 口的接口信息配置如下图 最上面的是 启用本接口 选项 如果不选这个选项则该接口处于关闭 即 Down 状态 下面的所有选项也都无效 在 接口地址 中可以指定改接口的 IP 地址和掩码 并 且可以看到该接口的 MAC 地址 在 管理 选项中可以设定是否允许通过该接口配置网 关 在 工作特性 选项中可以设定该接口的工作速率和双工模式 以及 MTU 等参数 接入方式 选项用于 TPN 用户从该接口打开登录界面时 采用的登录方式 本地 SJW74 系列安全网关配置手册 V5 1 30 接入 通常用于上网 VPN 接入通常用于远程接入内网 通常在通常在 LAN 口选择口选择 本地接入本地接入 在在 WAN 口选择口选择 VPN 接入接入 一个接口只能选择一种接入方式 一个接口只能选择一种接入方式 点击 接口地址 边上的 高级 按钮可以在一个接口上添加多个 IP 地址 如下图 SJW74C 4 的 DMZ 口 EXT 口配置与 LAN 口的配置类似 WAN 口上不支持绑定多 个 IP 地址 WAN 口支持通过 DHCP 自动获取 IP 地址 在 WAN 口的接口属性中的 接口地址 选项下选择 DHCP 获取 点击 确定 稍候片刻 即可通过 DHCP 获取 IP 地址 设置 界面如下图 SJW74 系列安全网关配置手册 V5 1 31 4 3 3 PPPOE 拨号拨号 SJW74 系列安全网关支持多路的 PPPOE 拨号 除 LAN 口外的其他网口均可 PPPOE 拨号 以 WAN 口为例 设置 PPPOE 拨号的步骤如下 选择左侧树形结构 网络设置 下的 网络接口 双击右侧表项中的 WAN 口 在弹 出对话框中选择 PPPoE 拨号 页签 选择 启用 PPPoE 拨号 输入用户名和密码 如 果一个网络中存在多个 PPPOE 拨号服务 可以在服务名一项中手工指定服务名 使设备拨 到指定的服务上去 可以通过点击可以通过点击 Discover 按钮来获取当前网络中的所有按钮来获取当前网络中的所有 PPPoE 服务 服务 获取的服务名会显示在获取的服务名会显示在 服务名服务名 的列表下的列表下 如果希望安全网关启动和断线后自动拨号 则在 断线自动拨号 选项前打勾 如下图 SJW74 系列安全网关配置手册 V5 1 32 PPPOE 拨号设置完成后 当选中 WAN 口时 导航栏上会出现一个 拨号 或 断开 按钮 用于进行手工的 PPPOE 拨号或断开连接 注意 设置注意 设置 PPPOE 拨号的网口仅仅作为物理接口 连接拨号的网口仅仅作为物理接口 连接 ADSL modem 等设备 在拨等设备 在拨 号的同时 改口本身的号的同时 改口本身的 IP 地址依然有效 相对于一个物理接口上绑定了两个地址依然有效 相对于一个物理接口上绑定了两个 IP 地址 地址 4 3 4 DHCP 服务服务 安全网关能够为局域网内的主机提供 DHCP 服务 配置步骤如下 1 在 LAN 口接口属性对话框内 选中 在本接口启用 DHCP 服务 在下面的文本 框中输入 DHCP 服务的相关参数 其中租借时间若设置为 0 则采用默认的租借 时间 为 5 天 2 点击 确定 按钮 如下图 SJW74 系列安全网关配置手册 V5 1 33 注意 除注意 除 WAN 口外的接口均能提供口外的接口均能提供 DHCP 服务 但同时只有一个生效 服务 但同时只有一个生效 4 3 5 DNS DNS 选项中指定一个主 DNS 服务器地址和一个备用 DNS 服务器地址 用于网关本身 对域名进行解析 当安全网关对局域网内其他主机提供 DNS relay 服务时 也通过这些设 定的 DNS 服务器进行域名解析 选中 DNS 选项 双击右侧列表或点击导航栏上的 属性 按钮 在弹出的对话框 中输入主和备 DNS 服务器的 IP 地址 点击 确定 即可 如下图 SJW74 系列安全网关配置手册 V5 1 34 4 3 6 DDNS DDNS 即动态域名服务 为设备在只有动态 IP 的情况下 比如 ADSL 拨号 DHCP 获 取地址 提供一个固定的域名 其它用户或者设备可以通过该固定域名直接访问安全网关 设备 在配置 DDNS 之前 需要用户预先为安全网关注册一个域名 安全网关支持花生壳动 态域名 安达通公司提供专业级花生壳 DDNS 域名 启用 DDNS 选项功能 可以令安全网关通过动态域名作为 VPN 隧道的端点 提供解 决动态 IP 地址下 VPN 互联的另一种手段 双击 DDNS 选项下的右侧列表 在弹出的对话框中输入 DDNS 注册的相关信息 选中 启用 DDNS 服务 点击确定即完成 DDNS 的配置 如下图 SJW74 系列安全网关配置手册 V5 1 35 注意 花生壳的服务器使用注意 花生壳的服务器使用 61 152 96 115 端口使用 端口使用 6060 4 3 7 网络路由网络路由 在该选项下可以查看 添加 删除安全网关中的路由表项 路由表中有目的地址类型 网关地址类型和路由表项类型三个可选项 在通常情况下 手工添加的静态路由的目的地址类型 网关地址类型都选择为 静态 IP 地址 路由表项 类型为 静态配置 而系统自动生成的路由表项类型为 动态地址 手工添加静态路由的步骤为 点击导航栏按钮上的 添加 按钮 在弹出的对话框中 输入目的地址名称 掩码和网关地址名称 其他的均为默认选择 即完成一条路由的添加 如下图 SJW74 系列安全网关配置手册 V5 1 36 点击导航栏按钮上的 删除 按钮 则删除当前选中路由表项 注意 当安全网关进行注意 当安全网关进行 PPPOE 拨号或拨号或 DHCP 自动获取地址时 默认路由自动添加 自动获取地址时 默认路由自动添加 如原来已有默认路由 则会被删除 如原来已有默认路由 则会被删除 注意 当启用链路均衡时 默认路由只会显示其中的一条 注意 当启用链路均衡时 默认路由只会显示其中的一条 注意 当安全网关工作在透明模式下时 网络路由的接口可能不能真实反映实际数据注意 当安全网关工作在透明模式下时 网络路由的接口可能不能真实反映实际数据 包的走向 包的走向 4 3 8 ARP 表表 在该选项下可以查看 添加 删除 清空安全网关中的 arp 表项 点击导航栏按钮上的 删除 按钮 则删除当前选中 arp 表项 点击导航栏按钮上的 清空 按钮 则清空 arp 表中的所有表项 注意 除了一些特殊的应用 在极少的情况下添加注意 除了一些特殊的应用 在极少的情况下添加 arp 表项 表项 注意 在注意 在 arp 表项上点击右键 可以直接将当前表项添加到表项上点击右键 可以直接将当前表项添加到 MAC 地址绑定表项中 地址绑定表项中 4 3 9 VLAN TRUNK VLAN TRUNK 作为一项高级功能 能够使安全网关接在 TRUNK 口上 并且对 TRUNK 线路中的其中一个 VLAN 的 IP 数据流进行加密或防火墙过滤操作 要开启 TRUNK 功能的步骤如下 SJW74 系列安全网关配置手册 V5 1 37 1 在 VLAN TRUNK 选项下 点击导航栏上的 选项 按钮 在弹出的对话框中的 TRUNK 控制 栏下在要开启 TRUNK 的接口前打勾 2 点击 确定 如下图所示 当安全网关需要与位于其它 VLAN 的安全网关进行 IKE 协商 或者需要与位于其它 VLAN 的主机进行通信时 需要指定对方安全网关或主机所在 VLAN 的 ID 因此需要输 入对方 IP 地址与 VLAN ID 的对应表 在该项下点击导航栏上的 添加 按钮 在弹出的 对话框中输入对方 IP 与 VLAN ID 的对应表 如下图 VLAN 协议支持 802 1Q 和 ISL SJW74 系列安全网关配置手册 V5 1 38 点击 删除 按钮删除当前选中的 IP VLAN ID 对应表项 注意 注意 VLAN TRUNK 功能只有当安全网关工作在透明模式下才有效 功能只有当安全网关工作在透明模式下才有效 注意 安全网关启用注意 安全网关启用 VLAN TRUNK 功能后并不融入原有的功能后并不融入原有的 VLAN 体系 只是将原有体系 只是将原有 TRUNK 以太网帧的二层信息原封拷贝到加密后或做其它处理后的新数据包上 以太网帧的二层信息原封拷贝到加密后或做其它处理后的新数据包上 4 4 对象管理对象管理 在安全网关的配置中 安全策略 VPN 隧道 地址映射等对 IP 地址 服务 协议 事件表等元素的引用都采用对象的方式 从而使配置的思路更加清晰 在复杂环境下大大 减小了配置的复杂度 在 对象管理 大项中有四个小项 分别提供对 网络地址 网络协议 网络服 务 和 时间表 这四种类型对象的增 删 改功能 下面分别介绍 4 4 1 网络地址网络地址 网络地址中有 地址 和 地址组 两个选项 地址组是指包含了多个地址对象的一 个地址集合 地址对象有三种类型 分别为 子网 主机 和 范围 用户可以根据自 己的需求来选择地址对象的类型 当选择 子网 时 需要指定子网掩码 每个对象都有 一个名称 用户可以根据自己的喜好对名称进行定义 除此之外 还有一项描述信息供用 户使用 该项可以为空 添加一个地址对象的步骤如下 1 在树形结构中选中 地址 一项 在导航栏上点击 添加 按钮 2 在弹出的对话框中输入相关信息 点击 确定 即可 如下图 SJW74 系列安全网关配置手册 V5 1 39 添加一个地址组对象的步骤如下 1 在树形结构中选中 地址组 一项 在导航栏上点击 添加 按钮 2 在弹出的对话框中输入地址组名称 并在左侧列表中选择属于该地址组的地 址对象到右侧 点击 确定 即可 如下图 SJW74 系列安全网关配置手册 V5 1 40 注意 地址对象和地址组对象的名字不能重复 注意 地址对象和地址组对象的名字不能重复 除了在对象管理选项中添加地址 地址组对象 还可以在添加策略和除了在对象管理选项中添加地址 地址组对象 还可以在添加策略和 VPN 网网 关时临时添加地址 地址组对象 关时临时添加地址 地址组对象 4 4 2 网络协议网络协议 网络协议对象指 IP 的上层协议 通过指定协议号来确定协议类型 用于在网络服务中 被引用 添加一个网络协议对象的步骤如下 1 在树形结构中选中 网络协议 一项 在导航栏上点击 添加 按钮 2 在弹出的对话框中输入协议名称和协议号 点击 确定 即可 添加 EGP 协议如下图所示 SJW74 系列安全网关配置手册 V5 1 41 注意 此处配置的网络协议指的是注意 此处配置的网络协议指的是 IP 的上层协议 具体的协议规范详见的上层协议 具体的协议规范详见 RFC 4 4 3 网络服务网络服务 网络服务选项中包含 服务 和 服务组 两个小项 服务组是指包含了多个服务对 象一个服务集合 网络服务对象描述了一个五元组中的三项信息 即源端口 目的端口和 协议 用于在策略中被引用 当所选协议非 TCP 或 UDP 时 服务仅仅指协议 添加一个网络服务对象的步骤如下 1 在树形结构中选中 服务 一项 在导航栏上点击 添加 按钮 2 在弹出的对话框中输入该服务的协议 源端口和目的端口信息 点击 确定 即 可 添加一个向外访问的 HTTP 服务如下图所示 SJW74 系列安全网关配置手册 V5 1 42 安全网关控制台安全网关控制台软件为用户总结了一些常用的服务 在选中树形结构中的 服务 选 项后 点击 导航栏 上的 模板导入 按钮 即从模板文件中把一些常用服务导入到网 关中 导入后如下图 SJW74 系列安全网关配置手册 V5 1 43 注意 网络服务有方向之分 即外出和进入 从模板导入的所有服务都指外出的服务 注意 网络服务有方向之分 即外出和进入 从模板导入的所有服务都指外出的服务 进入的服务需自行定义 只需将源端口和目的端口调换即可 进入的服务需自行定义 只需将源端口和目的端口调换即可 添加一个服务组对象的步骤如下 1 在树形结构中选中 服务组 一项 在导航栏上点击 添加 按钮 2 在弹出的对话框中输入服务组名称 并从左边列表选择属于该服务组的服务 对象到右边列表 点击 确定 即可 如下图 SJW74 系列安全网关配置手册 V5 1 44 4 4 4 时间表时间表 时间表描述了一个个时间段的集合 在添加安全策略时被引用 用于指定该策略 的生效时间 添加一个时间对象的步骤如下 1 在树形结构中选中 时间表 一项 在导航栏上点击 添加 按钮 2 在弹出的对话框中点击 添加 按钮添加时间段 重复操作直至添加了所有的时 间段 点击 确定 即可 如下图 SJW74 系列安全网关配置手册 V5 1 45 注意 一个时间表中最多引用两个时间段 注意 一个时间表中最多引用两个时间段 SJW74 系列安全网关配置手册 V5 1 46 第第 5 章章VPN 配置配置 5 1 配置配置 VPN 的步骤的步骤 通常配置安全网关的 VPN 功能之前需要确定以下几点 3 IKE 的身份认证的方式 安全网关支持预共享密钥预共享密钥和数字证书数字证书两种身份认证方式 4 有哪些本地子网 或主机 和对方网关保护的子网 或主机 需要通过安全网关 进行 VPN 互联 5 安全网关通过公有地址还是私有 IP 地址 通常是指 WAN 口地址或 PPPOE 拨号地 址 与其他安全网关进行 VPN 互联 6 若安全网关使用公有地址 该地址是固定的还是动态的 比如 ADSL 拨号 7 若安全网关使用私有地址 是通过动态映射访问公网 还是通过静态映射能够被 公网中其他主机访问某个端口 8 如果需要安全客户端接入本网关 需要为安全客户端规划一段私有 IP 地址 以上确定后 通常依照如下步骤来配置一个 VPN 网关 1 配置一些 VPN 的参数 包括 IKE 身份认证的方式 如果采用证书认证则需要依次 导入一系列证书 是否处于 NAT 设备后 是否采用动态地址接入 如果是动态接 入则需要提供动态接入的类型和地址服务器的帐号和密码 2 添加 VPN 节点对象 其中需要提供对方网关的 WAN 口地址 如果是固定地址接 入 和 LAN 口地址 预共享密钥 如果是预共享密钥方式认证 等信息 通过添 加 VPN 节点 指定了和当前配置网关建立 VPN 隧道的对端网关的相关信息 3 添加 VPN 隧道对象 需要指定隧道的类型 静态指定密钥信息还是动态协商 确定隧道的安全等级 选择隧道的对端 VPN 节点 4 在安全策略中添加 VPN 策略 选择 VPN 隧道 5 添加安全客户组信息 包括安全客户端的私有 IP 地址范围 能访问的子网 加密 强度等信息 生成安全客户端 针对每个安全客户端制作 SureID 关于安全网关通过何种 IP 地址与公网相连对于 VPN 配置有着至关重要的关系 通常 情况下 在一个 VPN 网络中 至少需要一个结点有公网地址或者被静态映射 包括静态端 SJW74 系列安全网关配置手册 V5 1 47 口映射 到一个固定公网地址 某些端口 在全动态 IP 地址接入的情况下 需要使用 ADT 地址服务器或动态域名的方式来实现动态 VPN 互联 5 2 VPN 的相关配置的相关配置 VPN 的相关配置主要包含在左侧树形结构 VPN 大项下的 密钥协商 和 动态接 入 中 下面分别介绍 5 2 1 身份认证方式和缺省预共享密钥身份认证方式和缺省预共享密钥 安全网关支持预共享密钥和数字证书两种身份认证方式 设置身份认证方式的步骤为 1 在左侧树形结构中选中 密钥协商 在右侧的列表中双击 身份认证方式 或选中该项点击导航栏上的 属性 按钮 2 在弹出的对话框中选择任何一种身份认证方式或两者皆可 当证书模块未启 用时 无法选择证书认证模式 3 必要时 可以在该对话框中输入缺省预共享密钥 4 点击 确定 按钮 如下图 注意 缺省密钥是不指定注意 缺省密钥是不指定 VPN 节点的密钥 即对所有的节点和客户端成员都有效的节点的密钥 即对所有的节点和客户端成员都有效的 SJW74 系列安全网关配置手册 V5 1 48 密钥 使用缺省密钥会降低系统的安全性 只有在特殊情况下使用缺省密钥 通常不推荐密钥 使用缺省密钥会降低系统的安全性 只有在特殊情况下使用缺省密钥 通常不推荐 使用 使用 5 2 2 数字证书数字证书 当安全网关采用数字证书作为 IKE 的身份认证方式时 需要将 CA 根证书 设备证书 私钥等 PKI 相关元素导入到网关 另外根据需求 可配置 CRL OCSP 等相关参数 在安全网关上导入数字证书可采用三种方式 1 在安全网关上生成 PKCS10 证书请求 用该请求到证书服务器上申请证书 再以文件形式导入 PKCS12 格式的证书 2 直接在证书服务器上申请证书 以文件形式导入 PKCS12 格式的证书 3 分别导入 CA 根证书 设备证书 设备私钥 非标准格式 注意 安全网关使用的数字证书中主体名 即注意 安全网关使用的数字证书中主体名 即 commom name cn 选项必须为安全 选项必须为安全 网关的网关的 LAN 口口 IP 地址 以此将证书与安全网关绑定 地址 以此将证书与安全网关绑定 采用何种方式生成并导入数字证书 用户可根据采用何种方式生成并导入数字证书 用户可根据 CA 系统支持的标准以及具体需求来系统支持的标准以及具体需求来 决定 决定 下面分别说明在每种方式下的证书导入方式 5 2 2 1先生成证书请求的方式先生成证书请求的方式 首先导入根证书 选中左侧树形结构 VPN 大项下的 数字证书 小项 双击右侧 CA 根证书 表项 在对话框中选