安全客户端用户手册安全接入客户端用户手册

安全客户端用户手册安全接入客户端用户手册

vl.5

湖南天一银河信息产业有限公司

目录

1.系统简介..................................................................3

1.1构成部分..................................................................3

1.2功能特点.................................................................3

1.3系统限制..................................................................4

2.软件安装..................................................................4

3・软件使用...................................................................5

3.1用户登录..................................................................6

3.2主菜单....................................................................6

3.3安全连接..................................................................7

3.3.1安全连接主界面......................................................7

3.3.2连接/断开网关.......................................................8

3.4启用/禁用.................................................................9

3.5用户信息..................................................................9

3.6日志......................................................................9

3.7更换PIN码..............................................................10

3.8策略服务器...............................................................10

3.9NAT穿透(NAT-T).............................................................................................................12

3.10关于....................................................................12

4.ADSL接入下的使用........................................................-...12

1.系统简介

安全客户端(SureClienl)是一套运行于MSwindows98/2000/XP平台上的产品，是安全I阿

关的客户端配套产品。该套产品能够使得企业的移动办公人员或者企业的合作伙伴能安全可

控地访问企业的内部资源。由于数据在公网上传输，不需要专线，能够大大降低用户的通信

成本。

1.1构成部分

该套产品包含3个构成部分：

(I)安全客户端管理软件

系统管理员使用，用于对用户的管理及个人身份钥匙的制作。具体使用请参阅“安

全客户端管理员手册”。

(2)安全客尸端软件

安装在终端用户主机上的软件，目前支持的操作系统为Win98/2000/XP,与个人身

份钥匙(SurelD)配合使用，完成企业内网的安全接入。

(3)用户身份钥匙(SurelD)。

USB接口，外形小巧。由安全客户端管理员制作，是用户身份的标识，与客户端软

件配套使用，完成对用户的身份识别。

SurelD外形图

1.2功能特点

•该套软件在IP层对数据进行加解密，对上层应用软件透明，一旦安装了该软件，

就能够对所有使用TCP/IP协议通信的应用实现对用户透明的安全保护。

•个人身份信息存放于SurelD。用户只需携带该钥匙，就能够在任何地方安全访问

企业内部许可的资源。

•支持预共享密钥与数字证书的认证方式。

•同时支持以太网、ADSL拨号与Modem拨号接入Internet方式。

•支持策略服务器，能够与使用动态IP接入的安全网关进行VPN安全连接。

•SurelD的访问受用户口令保护。

1.3系统限制

•目前只能在MSwindows98/2000/XP上安装。

•系统上不能同时安装使用其他IPSEC协议的VPN客户端软件，否则不能正常工

作。

•假如系统上安装了其他利用中间层技术的底层软件，可能会导致系统特殊，建议在

安装安全客户端之前将此类软件卸载。

2.软件安装

软件的安装非常简单，运行安装光盘中的selup.exe,按照其缺省设置即可完成。

运行setup.exe,弹出的安装提示界面如下：

按照界面提示选择“Yes"，通过license与目录选择界面，会出现如下的界面。圻今执

行驱动程序文件的安装，该过程将会要持续10多秒种，不要中途中断。

C:\WINNT\IPSecDriver\SZETCFGEXE|g|x

PYJ川.IME半:bd

上述窗口关闭后，重新启动计算机，安全客户端（配合适当的USBKEY）就能正常运

行了。

3.软件使用

从“开始菜单栏》程序今天•银河今安全客户端”中，能够启动安全客户端。

3.1用户登录

用户身份钥匙受口令保护，用户启动SureClienl时，务必通过口令校验方能读取用户身

份钥匙中的信息。

登录

9

^

请输入USB钥匙密码：|

，确定X取消

在口令输入框里输入PIN码（初始PIN码为“00000000”），会弹出一个窗口（如下图所

示）

SecurityClient

正在读取配置信息，请等待…

如今正在读取用户的配置信息，此过程可能需要5~15秒。

登录成功之后，会弹出安全连接对话框，同时在屏幕右下角的工具栏里会出现一个黑色

与红色箭头构成的图标（见下图），即为安全客户端软件。单击右键则弹出程序。

标

9:23

3.2主菜单

右键单击与左键双击程序图标，会弹出如下图主菜单:

安全连接

高级…

更改口令

用户信息

日志

关于…

禁用

退出

3.3安全连接

安全客户端假如要访问某安全网关所保护的企业资源，务必先同该网关建立起安全连

接。

331安全连接主界面

单击主菜单中的“安全连接”，可弹出安全连接对话框。安全连接对话框要紧由卜•列几

个区域构成：

网关列表显示用户能够进行安全通信的安全网关。红色图标表示与该网关没有连接，

绿色表示己经连接。

网关信息区域显示当前所选的网关及其所保护资源的有关信息。

(I)目的地址：由IP地址与掩码表示，表示该连接建立后，该主机能够访问的IP地

址范围。

(2)目的端U：该主机能够访问的端口。“任意”表示任意端口。

(3)传输协议：表示IP上层协议，如TCP,UDP,ICMP等。

(4)隧道端点：表示安全隧道的终点，实际上是对等安全网关的外部IP地址。

状态栏动态显示与网关安全连接的状态。

332连接/断开网关

连接在网关列表中选中所想连接的网关，点击“连接”按钮，即可发起连接请求。假

如配置正确，对方网关也配置正确，通过几秒种后，安全连接建立成功，就能够与该网关保

护的内网的主机进行安全通信了。如今安全连接主界面就变为如下图所示：

断开在列表中选择要断开连接的网关，单击“断开”，可断开与该网关的安全连接。

返回假如要关闭该窗口，鼠标单击“返回”。

3.4启用/禁用

假如用户暂时不需要提供安全连接时（如：在企业的内网），能够使用禁用功能（如下

图所示）。禁用后，软件对本机发起的数据通信不做任何操作，用户能够忽略此软件的存在。

当重新“启用”安全客户端的加密与安全通信功能时，不再需要输入用户PIN码。

禁用单击主菜单中的''禁用"，可实现禁用。

启用禁用后，假如想重新启用，点击主菜单中的“启用”。

该软件启动后，缺省状态是“启用”。

3.5用户信息

用户信息提供了关于用户自身的有关的信息（由管理员统一规划确定，用户只能查看）

在主菜单中选择“用户信息”，会弹出用户信息窗口:

用户名标识不一致用户。

•用户类别由系统管理员定义的用F区分不一致用户的级别。

•私有ip分配给此用户的在内部网中的网络IP地址。

•认证方式客户端软件同网关认证时采取的认证方式，预共享密钥认证或者证书

认证。

•OCSP服务器地址假如是证书认证方式，该项表示在线证书认证服务器的地

址。

•OCSP端口要去访问的OCSP服务器的端口。

3.6日志

用户能够在需要时查看日志，当出现问题时，也能够按日志中内容的描述给管理员，以

便分析故障。当口志文件太大，系统会自动删除。口志的内容按照时间顺序排列。

日志格式月/日/年时：分：秒日志信息

导出日志用户能够导出日志信息，如今所有的日志条目将以文本格式储存在用户指

定的位置。

清除日志删除所有的日志信息，此过程不可恢复。

返回关闭日志窗口。

日^_________________X

03/25/0215:53:40尝试连接网关：132.132.100.211±|

03/25/0215:53:44协商成功:建立一条热132.132.100.211）阶段-

03/25/0215:54:07协商成功:创建安全通道，目的IP：192.168.1.0,1

03/25/0216:25:27退出

03/25/0216:25:33登录

03/25/0216:26:06毒武连接网关：132.132.100.211

03/25/0216:26:09例商成功:建立一条到［132.132.100.211）阶段-

03/25/0216:26:11协商成功创建安全通道，目的IP：192.168.1.0月

03/25/0216:28:58尝法连接网关：132.132.100.211

03/25/0216:29:01协商成功:建立一条到［132.132.100.211］阶段一

03/25/0216:29:04协商成功创建安全通道，目的尸：192.168.1.0,1

1J|2J

■/返回四清除日志幻导出日志

3.7更换PIN码

SureClient提供了更换PIN码功能，用户能够随时根据需要更换PIN码，更换成功后在

下次启动时生效。

在主菜单中选择“更换口令”栏，会弹出如下图对话框：

更改口令-lr|x|

U口

c

O

口

口

VPN通道口

INTER

呻八

输入原有口令及新口令（最大长度为8）即可。

3.8策略服务器

假如安全客户端访问的网关是使用策略服务器，那么安全客户端也务必使用策略服务器

才能与网关实现安全通讯,操作方法如下：

点击主菜单中的“高级…”，能够弹出如下对话框:

在“策略服务配置”栏中选择“使用”,同时输入服务器地址,客户端ID及口令,如下:

育级设置...2<J

客户端所在域信息

「不使用60连接状态，己连接一

服务器地址：|211.152.185.4UVPN社区：adtsec

VPN®：testSvd

客户端ID：kanghao

网关数：

口令：AAAAAAA

动态IP网关信息列表:

网关ID1网关名称子网地址子网掩码公网IP▲

suresec济南确信255.255.255.255255.255.255.255255.255.2

adtgatewayADT132.132.100.254255.255.0.0218.80.87

capital首创网络10.15.2.87255.0.0.010.15.2.8(

hengdun恒敦通信172.16.88.1255.255.255.0211.152.1

chwinchwin192.168.191.1255.255.255.0218.80.84

sgwOOOOOOO7硕源科技192.168.0.1255.255.255.0218.72.21—

▼

・1______________|2r

NAT-T设置

厂本机在NAT设备后面

品惭列表确定

然后点击“刷新列表”。“客户端所在域信息”栏中会显示客户端当前的基本信息，包含

连接状态，VPN社区，客户端所在的VPN域与该域中的网关数。“动态网关信息”栏中会

显示VPN域中当前网关的基本信息，包含网关ID,网美名称，子网地址，子网掩码，公网

IP及其是否在线（将拉动条向右拉能够看到该条目）。

设置完以上策略服务信息后，安全客户端就能够与该域中在线的网关保护的子网实现安

全通讯，操作方法前面已介绍，这里不再赘述。

注意:假如与安全客户端通讯的安全网关公网地址发生变化,安全客户端务必聿新连接,

同时假如“安全连接”中的“隧道端点”没有更新，请点击“策略服务器”中的“刷新列表”

按钮

3.9NAT穿透（NAT-T）

正常的IPSec协议（VPN的关键协议），不能穿透NAT设备，导致“公有IP一—私有IP”

间不能建立VPN连接。

当安全客户端处于NAT设备后面（如：在某公司的内网中，通过ADSL/CableModem

等设备共享上网）。这时，假如安全客户端要与远端部署的安全网关相连，需要将“NAT・T

设置”的可选项“本机在NAT设备后面”选中。这样，安全客户端将使用NAT穿透技术

（NATT）,与远端的安全网关进行VPN连接。

3.10关于

菜单中选择“关于…”，弹出下面的窗口。

|安全客尸端SureClient1.4.1版,2003.5f……福定

版权所有（C）2002-2005

4.ADSL接入下的使用

假如移动用户的网络接入方式为ADSL（使用普通电话modem拨号上网则不需要进行

任何处理），同时使用ADSL拨号软件（如：Enternet）进行PPPoE拨号，则在运行安全客

户端软件之前务必取消本地网卡上绑定的“ADTIPSec”协议；而保留安装PPPoE拨号软件

时生成的“虚拟网卡”上绑定的“ADTIPSec”协议。否则，安全客户端不能够正常工作。

如下图，在Windows系统中“网络与拨号连接”窗口中：

-Pl网络和拨号连接-1□1x|

文件（E）编辑⑥查看（D收藏（与工具（I）高级（由帮助（由

，后退▼•▼虫|a搜索乃文件夹爹用听x今।霆!▼

地址（9|网络和拨号连接

£3F转到

酣

□3L性