SJW74系列TPN安全網關配置手冊V5.1QjADTAssuredData2008年4月TOC\o"1-5"\h\z\o"CurrentDocument"第1章TPN安全網關簡介 6\o"CurrentDocument"1.3 應用環境 7\o"CurrentDocument"1.5 接入方式 8\o"CurrentDocument"第2章 開始配置安全網關 9\o"CurrentDocument"2.! 配置工具和配置方式 9\o"CurrentDocument"配置工具 9\o"CurrentDocument"配置途徑 9\o"CurrentDocument"對安全網關進行實時配置 9\o"CurrentDocument"通過串行口對網關進行實時配置 10\o"CurrentDocument"通過網絡對網關進行實時配置 11\o"CurrentDocument"實時保存配置信息 12\o"CurrentDocument"導入導出配置文件 12\o"CurrentDocument"清仝安全網關配置 13\o"CurrentDocument"第3章初始化向導 14\o"CurrentDocument"3.1 設備初始化的步驟 14\o"CurrentDocument"第4章 系統基本信息配置 19\o"CurrentDocument"配置軟件的基本結構 19\o"CurrentDocument"系統維護 19\o"CurrentDocument"設備管理? 21\o"CurrentDocument"集中管理. 22\o"CurrentDocument"設備告警. 23\o"CurrentDocument"網絡設置 27\o"CurrentDocument"基本設置. 27\o"CurrentDocument"網絡接口 29\o"CurrentDocument"DHCP服務 32網協ト乂 40\o"CurrentDocument"網絡服務 41\o"CurrentDocument"第5章 VPN配置 46VPN的相美日し￡ 47\o"CurrentDocument"身份認證方式和缺省預共享密鑰 47\o"CurrentDocument"數字證書. 48\o"CurrentDocument"密鑰生命周期. 52\o"CurrentDocument"NAJ穿透功能 53動態1女人 55\o"CurrentDocument"配置局域網到局域網的VPN 56\o"CurrentDocument"典型環境下的VPN配置. 57\o"CurrentDocument"局域網中有多個網段時的VPN配置. 62\o"CurrentDocument"VPN向導 66\o"CurrentDocument"第6章 防火墻配置 70\o"CurrentDocument"地址映射（NAT）配置 70\o"CurrentDocument"配置NAT的通常步驟. 70\o"CurrentDocument"添加NA！對象 70\o"CurrentDocument"狀態檢測配置 75\o"CurrentDocument"快速過濾配置 76\o"CurrentDocument"HTTP檢測配置 77\o"CurrentDocument"非法URL檢測設置? 77\o"CurrentDocument"URL過濾以置? 78\o"CurrentDocument"HTTP檢測在策略中的設置. 81\o"CurrentDocument"用戶認證配置 82\o"CurrentDocument"攻擊檢測配置 84\o"CurrentDocument"IDS互動配置 87\o"CurrentDocument"MAC地址綁定配置 88\o"CurrentDocument"網關ARP代理 89\o"CurrentDocument"第7章安全策略 917.! 安全策略的匹配 91策略的匹配機制和快速匹配功能 91\o"CurrentDocument"策略生效時間. 92\o"CurrentDocument"安全策略的順序調整 92\o"CurrentDocument"安全策略相關操作 93\o"CurrentDocument"第8章多鏈路配置 94\o"CurrentDocument"] 工作原理. 94\o"CurrentDocument"配置方法 94\o"CurrentDocument"配置實例. 96\o"CurrentDocument"8.2.1 工作原理? 101\o"CurrentDocument"8.3 策略路由 105\o"CurrentDocument"第9章 WEB客戶端 1089.1 寸入WEB客ノ,セ而 108\o"CurrentDocument"第10章TPN配置 11010.1.1 基本イM底 110\o"CurrentDocument"10.1.3 權限對象 115\o"CurrentDocument"用戶/認證管理 126\o"CurrentDocument"用戶管理. 126\o"CurrentDocument"在線用戶 130\o"CurrentDocument"禁用用戶 131\o"CurrentDocument"認證服務器（第三方服務器認證） 131\o"CurrentDocument"認證選項. 132\o"CurrentDocument"TPN向導 133\o"CurrentDocument"自定義進程特征庫 136\o"CurrentDocument"TPN推薦配置順序 137\o"CurrentDocument"第11章 事件與報告 139\o"CurrentDocument"系統日志 139流量統計 141\o"CurrentDocument"威脅報告 142\o"CurrentDocument"第12章 其他功能 144\o"CurrentDocument"流量控制 144\o"CurrentDocument"基于策略的流量を制. 144\o"CurrentDocument"基于用戶的流量控制. 147\o"CurrentDocument"移動加速 149\o"CurrentDocument"調整NAT映射表項刷新時間 153\o"CurrentDocument"12.5.5文件導入導出功能 158\o"CurrentDocument"1內核升級 159義￡ネ王重ノロ 164\o"CurrentDocument"恢復備份配置 164聽新裝弐災酉ビ白 165\o"CurrentDocument"附錄 166\o"CurrentDocument"附錄A主要名詞術語解釋 166\o"CurrentDocument"附錄B安全網關配置常見問題 166\o"CurrentDocument"附錄C推薦配置順序 168感謝您購買ADTSJW74系列安全網關!本手冊將為您詳細介紹安達通SJW74TPN系列安全網關的使用方法。歡迎訪問安達通公司網站him:〃,及致電本公司400-880-1233。第1章TPN安全網關簡介功能簡介安全網關應用IKE技術和Ipsec技術對!P數據流進行端到端的加密保護,實現異地子網之間的安全互聯,以及移動用戶對固定網絡的安全接入,提供VPN服務;安全網關應用NAT技術使得企業內部私有地址能夠訪問外部互聯網,并且能將內網服務器的端口映射到公網上;安全網關應用包過濾和狀態檢測技術保護內網主機和服務器,提供防火墻的功能:安全網關具有鏈路備份和負載均衡的功能,支持在兩條線路接入下的鏈路備份功能,以及多條線路（2-3條）接入下的鏈路負載均衡功能安全網關具備隧道接カ、隧道嵌套、VPN后NAT、NAT后VPN等多種高級功能,能夠組建各種復雜的VPN網絡，滿足客戶的各種應用需求。安全網關和TPN主機端程序利用身份認證技術和主機檢測技術，實現進程檢測和接入安全功能。硬件接口以SJW74T-1000為例，安全網關外形如下圖所示:SJW74T-300、SJW74T-500、SJW74T-IOOO、安全網關帶有4個網口，其中一個LANロ,ー個WANロ,ー個EXTO口和一個EXTIロ（均為10/100M自適應,WAN/EXT0/EXT1均可做為公網出口）；SJW74T-I5OO、SJW74T-3000安全網關帶有4個網口,其中一個LANロ,ー個WANロ,一一個EXT0口和一個EXT1ロ（均為10/100M/1000M自適應,WAN/EXT0/EXT!均可做為公網出ロ）;各型號的網關還具備:兩個COMロ,COM1用于配置和故障恢復,COM2作為雙機熱備時“心跳線”的連接口;!個電源指示燈;4個網絡接口指示燈。應用環境SJW74安全網關的典型應用環境如下圖,總部采用兩條用戶可以參考該圖規劃自己的應用環境。工作模式安全網關支持在路由模式和透明模式兩種模式下工作,能夠滿足在各種網絡環境下的應用。在路由模式下，安全網關作為ー個三層設備工作,通常部署在內外網的邊界,為內外網提供路由、防火墻過濾、NAT和IPSEC加密等功能；在透明模式下,安全網關作為ー個透明網橋工作在二層,對通過安全網關的數據流進行包過濾或提供IPSEC加密服務。此時,可以任意設置LAN口和WANロ地址。使用透明模式可以不改變用戶原有的網絡結構和地址規劃，并且能使非IP的其他協議（比如IPX、NETBEUI等）順利透過安全網關；另外，ADT安全網關還具備ー個非常有用的特點,即在透明模式下還能正常提供路由模式下オ具備的路由轉發、NAT等功能,在ー些特殊場合下,該特性能實現“混和工作模式”（即透明和路由并存）。注意:支持多線路接入的鏈路備份和鏈路均衡功能只在路由模式下有效。接入方式SJW74系列安全網關支持以太網固定地址接入、DHCP自動獲取地址接入、PPPOE撥號接入（比如ADSL、CABLE）等幾種方式,多線路接入時,可以實現上述各種接入方式的組合,同時能支持多個PPPOE撥號鏈路，能適用于絕大部分的網絡環境。第2章開始配置安全網關配置工具和配置方式配置工具在安全網關能正常工作之前,必須經過正確的系統配置:對安全網關的各種配置操作都需要通過安全網關控制臺（SureConsole）軟件進行。配置途徑安全網關控制臺能通過網絡和COMロ兩種手段對安全網關進行配置。通常使用COMロ對安全網關進行初始化配置,使用網絡進行遠程管理和配置;通過網絡進行配置時，安全網關控制臺軟件使用SSL來保證與安全網關通信數據的安全;無論通過網絡還是串行口對安全網關進行配置，都需要進行用戶認證。對安全網關進行實時配置安全網關的出廠缺省配置;?根用戶:root〇根用戶缺省密碼:changeit（中文意思為“改掉它”）〇しANロ1P地址:,掩碼:〇其他接口IP地址均為空〇策略為空（默認全部阻斷）對一臺剛出廠的設備，建議通過“初始化向導”工具進行初始化配置,初始化配置可以通過網絡或串行口進行（詳見第三章《初始化向導》）。2.2.I通過串行口對網關進行實時配置安全網關的串行口配置線為兩頭都為九孔或RJ45的串行連接線（設備包裝附帶）如用戶自行制作該連接線,線序如下:口九孔的線兩頭2、3號線進行交叉;□RJ45的線3、6號線進行交叉。配置步驟如下:.在主機上安裝安全網關控制臺（SureConsole）軟件;.用串行口連接線將安全網關的COM口與配置主機的COMロ相連接（注意:如碰到有兩個串口的安全網關,均連接到C0M1）；.打開安全網關電源,等待網關完成啟動（根據設備的不同,這個過程需要時間約30秒?2分鐘）；.打開安全網關控制臺軟件,選擇“串口連接”，在‘‘本機串口”選擇本機與安全網關相連接的串口編號,輸入管理員用戶名和密碼，點擊’‘確定”;登錄界面如下:登登錄? a確定は) 取消(0.進入配置主界面;如下圖所示:ン安全網美平臺網關(5)両口Q)S?Y),一,七-連接保存ン安全網美平臺網關(5)両口Q)S?Y),一,七-連接保存0TB-?累如?妒,カ網增設??セ對象莒理>.i防火墻SみVPN?.安全策略i雙機，出&?ッ睡跪點?* -策略路由>：**WE8客戶?? !爲色/權M者過?，.用戸/認證管理わ。■事件月報青工具(I)相助(由ニ 〇W 關于ー控創臺系廁間:200831914:28:11系統已經運行了。天。小時23分?22秒定制?!勒模式:庠エ?]基本價?網關名稀: TB序列號: ADT-746P-06030053軟件版本: 5.1.001tb_l耍件版本: SJW74-T500工作模式: 路由模式幣び顔本:3.0,1資A使用CPU： 30.5%內存: 48.3%Sff： 0036%用用用用t*fiEeevi用用用用t*fiEeeviwan 45extO 45extl 0.0,0.0PPPoE(wan) 00.0.0益VPN向導ムTPN配益VPN向導就罐 目標網關!32,132.0.245 畫錄用戶root 逹接時間24秒2.2.2通過網絡對網關進行實時配置.在主機上安裝安全網關控制臺(SureConsole)軟件:.用ー根交叉線(反線)或通過Hub、交換機將安全網關的LAN口和配置主機進行連接,將配置主機的該接口1P地址改為?掩碼。.打開安全網關電源;.在配置主機上啟動安全網關控制臺,選擇“網口連接”,在目標網關輸入安全網關LANロ地址“192.168.11”,輸入密碼,點擊“確定”;登錄界面如下:.進入配置主界面。實時保存配置信息點擊安全網關控制臺主界面上的“保存”按鈕或者選擇“網關”菜單ド的“保存配置”,即將安全網關的當前配置保存到內部的存儲器中。注意:網關重新啟動過后按最后一次保存的配置運行。導入導出配置文件在實時配置模式下，選擇安全網關控制臺“網關”菜單下的“導出配置”項，在彈出的對話框中選擇存放路徑并輸入文件名，點擊“確定”按鈕，即保存配置文件到指定目錄。

ピ安全同美平臺網關（0操作（〇）查看（り工具（D幫助（ヒ連接M重新啟動（B）連接M重新啟動（B）網關升級（5特征庫導出（日清空配置（0保存配置（5）導入配置（I）重新裝載（叱）導出配置（り恢復備份（め同步配置（り:設置接口6（動態DN!，路由表NTRUNK退出兇クI刷新在實時配置模式下,選擇安全網關控制臺“網關”菜單下的“導入配置”項,在彈出的對話框中選擇指定目錄下的配置文件,點擊“確定”按鈕,接著重新裝載配置或者重啟安全網關，即按配置文件中的配置運行;利用安全網關配置可導入導出的特性，可以進行安全網關的大批量離線編輯,再統ー導入;也可以通過分析配置文件進行離線的故障診斷等等;注意:在導入配置之后重新裝載配置或者重啟網關之前，不要點“保存”按鈕。清空安全網關配置在安全網關控制臺“網關”菜単下選擇“清空配置”，接著重新啟動安全網關,安全網關的配置即恢復到出廠狀態。注意:在清空配置之后重啟網關之前，千萬不要保存配置,否則清空將失效。第3章初始化向導從一臺剛岀廠的安全網關,到符合用戶的要求進行正常工作,通常要經過各種配置。在剛開始配置時建議首先使用安全網關控制臺中的“初始化向導”工具對安全網關做初始化配置,通過初始化向導能夠設置網關的基本信息并實現ー些基本功能。3.1設備初始化的步驟打開初始化向導可以通過兩種途徑:在安全網關控制臺的“工具”菜單下選擇“初始化向導”或者直接選擇安全控制臺首界面下的初始化向導鏈接。打開初始化向導后的界面如下圖所示:點擊“下ー步”，提示選擇網關型號并輸入網關名稱:選擇網關的設備型號并指定網關的名稱網關名稱用來在網絡中唯一地標識網關設備網關型號（エ）：|SJW74c系列 工］描述SJW74C系列是ー款中高性能的安全網關,適合部署在大型企業中心節點.網關名稱（N）: |SJW74c系列<_上一步（旦）斤ー步（N）>| 取消|點擊“下ー步”,選擇接入方式,在初始化向導中默認為單線路接入,以固定地址接入為例:點擊“下ー步”，選擇何種動態接入方式（PPPoE或DHCP）,并輸入相關信息，以及接口是否允許ping和管理等等,以“PPPoE"為例:

配置網關的wan接口wan接口用來連接不可信網絡,如Internet地址 IP地址Q）： |子網渣碼Q）： |默ス網關（2）： |218,1.1,254DNS服務器処）：|53管理“允許Ping本接口但）“先百通迎云接で迸行送移密獻亜<_上一步（旦）斤ー步（N）>| 取消|點擊“下ー步'配置網關的Lan口地址:點擊’‘下一步”,配置VPN參數,要注意的是“VPN隧道端點“和‘’內部DNS”等參數都只用于客戶端,當用安全網關控制臺制作SurelD（即部署客戶端）時オ會用到這些參數:

設査VPN參數設査VPN參數網關通過VPN來實現安全可靠的網絡通信（上一步（叫下一歩?可取消」點擊“下ー步”,配置集中管理參數,安全網關可以工作在“自主管理”和“集中管理”兩種模式下，“自主管理”可以選擇“接受監控”。所謂“集中管理”，是指通過ADT網管服務器（SureManager）統一下發VPN參數（節點、隧道、策略），從而達到快速部署VPN網絡的目的，并且網關統ー上報運行狀態，接受網管服務器的監控。在安全網關上可以選擇“自主管理”和“集中管理”兩種方式,“自主管理”方式下可以選擇“接受監控”，即只向網管服務器上報運行信息，不接受ド發VPN參數。一旦選擇“集中管理”或者“自主管理”下的“接受監控”,都需耍在下面“參數設置”里輸入服務器IP,用戶名、密碼等參數。點擊“下ー步”，至此初始化向導的所有信息都輸入完畢，初始化向導即將初始化的信息傳送到安全網關,并將安全網關重啟。當初始化完成后,安全網關將自動重新啟動,啟動后安全網關就按向導中配置的信息運行。注意:初始化按照一條線路接入的配置，如要新增線路需另外配置。注意:建議將一臺網關應用到ー個新的環境之前先使用初始化向導做一遍初始化。第4章系統基本信息配置在本章中將介紹安全網關控制臺軟件的基本結構和系統基本信息的配置方法。系統基本信息包括安全網關的名字、管理員帳號、系統II期、在后面配置中要用到的對象等等。配置軟件的基本結構不論是實時配置模式或者還是編輯配置文件的形式,都將通過相同的配置界面來完成配置工作。安全網關控制臺的主界面分為兩大部分,左邊的樹形結構包括了所有的配置項目:右邊是具體的配置內容,以列表的形式為主:當選中左邊某個項目時,右邊會出現相應的已配置信息，通過在右邊列表中的操作,可以進行各種各樣的配置。當配置軟件與安全網關的通信出現錯誤或岀現其他錯誤時，右邊的下面部分會出現ー個顯示提示信息的列表框。配置界面的上部有一排導航欄按鈕，這些按鈕除了“連接”、“保存”、“刷新”幾個基本功能按鈕之外,其他的會根據左邊選中的配置選項不同而變化，用于對配置具體內容的操作:“連接”按鈕用于重新連接ー個安全網關或重新編輯ー個配置文件;“保存”按鈕用于保存配置信息或導入導出配置文件;“刷新”按鈕用于在實時模式下從安全網關刷新當前的配置,在編輯配置文件模式下從配置文件刷新當前配置。配置界面底部顯示了當前的安全網關狀態、用戶配置連接方式、登錄用戶名、連接時間等信息。系統維護系統維護是配置選項中的第一個大項,其中包括五個小項，下面分別介紹各自的功能。設備信息設備信息中包括“設備名稱”、“所有者”、“管理員”、“聯系方法”等內容，記錄這些信息僅僅是為了區分設備以及記錄管理員和聯系方式，這些信息與今后的配置無任何關聯；編輯設備信息的步驟如下:.選中“設備信息”后,雙擊右邊的列表或者點擊導航欄上的“屬性”按鈕;.在彈出的對話框上編輯設備信息,點擊“確定”；如下圖所示:日期與時間在該項中顯示并可更改安全網關當前的系統時間和日期。修改時間日期的步驟如下:.雙擊右邊列表中“系統時間”ー項或單擊該項并在導航欄按鈕中點擊屬性,彈出修改對話框，可以手工修改，也可以選擇“與本機保持一致”，如選擇“與本機保持一致”，配置軟件自動從配置主機上讀取日期時間并設置到安全網關上去;.點擊“確定”;如下圖:

設備管理設備管理選項顯示了當前所有用戶信息,以及目前登錄用戶信息等等。缺省設備只有ー個root用戶,root用戶具有最高權限:在右邊列表中顯示出最后一個用戶連接的IP地址、當前每個用戶的當前連接數目等信息;用戶可以自行添加用戶,用戶添加的用戶分為兩個級別,分別為’‘管理用戶”和‘‘瀏覽用戶”，管理用戶可以對安全網關進行各種配置，瀏覽用戶只能實時查看當前網關的配置信息，不能修改配置。添加用戶時，能夠對新加用戶進行IP限制,即限定該IP地址オ能登錄網關進行配置査詢或修改。添加用戶界面如下:

在設備管理下,點擊“選項”按鈕,可更改ー些控制用戶登錄的參數,主要包括‘‘空閑切斷時間”，“最大在線個數”和“禁止重変登錄”如下圖所示:集中管理集中管理功能是配合“安全網關網管系統"(SureManager)實現對網關的集中監控和策略分發的功能。注意:使用該功能必須在已經安裝了一臺“安全網關網管系統”的前提下。開啟集中管理的步驟如下：.在左側樹形結構中選擇“系統維護”下的“集中管理”,點擊導航欄上的“屬性”按鈕,或者雙擊右側的“集中管理”項;.在彈出的對話框中選中“啟用集中管理功能”,輸入服務器IP,即網管服務器的IP地址,端口默認為4600,輸入用戶名和密碼，點擊“確定”即可。注意:用戶名與密碼在網管服務器上設定。關于集中管理的詳細使用方法,可參考“安全網關網管系統”的相關手冊和資料。4.2.5設備告警設備告警選項分兩個子選項，“告警服務器”和“告警郵件”，分別用來設置當設備產生緊急程度相當高的事件時立即將該告警信息發送到郵件服務器或ADT專用告警服務器。設置告警服務器選項的步驟如下:.選中“告警服務器”，雙擊右邊的列表;.在彈出的對話框中選中“啟用告警服務器”，接著在下面的文本框中輸入告警服務器的IP地址和端口，如需用戶認證,則還需輸入認證密碼;.點擊“確定”按鈕;如下圖:

設置告警郵件的步驟如F：.選中“告警服務器”,雙擊右邊的列表;.在彈出的對話框中選中“發送告警郵件”,接著在下面的文本框中輸入SMTP服務器的域名或IP地址，如需SMTP認證，則輸入認證密碼;.點擊“確定”按鈕;如下圖:4.2.6設備日志設備日志選項分三個子選項,“事件記錄”、“日志服務器”和“日志郵件”。“事件記錄”用來設置對哪些類型的日志進行記錄,達到一定的過濾效果,設置的步驟如下:.選中“事件記錄”，雙擊右邊的列表或點擊導航欄上的“屬性”按鈕;.在彈出的對話框中對需要記錄的日志類型進行打勾，“事件記錄”從日志緊急程度和II志產品模塊兩方面進行日志過濾;.點擊“確定”按鈕:如下圖:“日志服務器”用來設置設備產生的11志同步發送到ADT專用日志服務器,設置步驟如下:.選中“日志服務器”,雙擊右邊的列表或點擊導航欄上的“屬性”按鈕;.在彈出的對話框中選中“發送日志到外部日志服務器”，選擇日志服務器的類型是ADT專用II志服務器或者標準syslog服務器,在下面的文本框中輸入服務器的IP地址和端口號，如果服務器需認證，則輸入認證密碼:.點擊“確定”按鈕：如下圖:

“日志郵件”用來設置或當日志達到ー定數目以后通過郵件方式發送到指定郵箱,設置步驟如下:.選中“日志郵件”,雙擊右邊的列表或點擊導航欄上的“屬性”按鈕;.在彈出的對話框中選中’‘當日志存儲空間不夠時發送日志郵件”，接著在下面的文本框中輸入SMTP服務器的域名或IP地址，如需SMTP認證，則輸入認證密碼:.點擊“確定”按鈕;如下圖:經過如上設置后,通常情況下,當日志數量達到1024條以上時,會自動發送到指定郵箱中。注意:安全網關產生日志后首先保存在本地，當超過存放空間，安全網關會刪除所有本地日志,重新開始記錄日志。如果設置了日志服務器，則同步發送到日志服務器,如果設置了郵件服務器，當達到ー定數目以后再發送到指定郵箱。4.3網絡設置網絡設置中包括了與安全網關相關的所有相關網絡基本信息。基本設置基本設置中有三個選項，“工作模式”、“組播支持”以及“VPNTCPMMS”。“工作模式”決定了安全網關是工作在路由模式還是透明模式下,即是工作在三層還是二層;當工作在透明模式時，除了能透過二層以太網幀,安全網關的三層路由、地址映射等功能依舊有效,能做到兩者兼顧。雙擊“工作模式”表項或者選中該項點擊導航欄上的“屬性”按鈕,在彈出的對話框中即可設置工作模式，如下圖:

在“組播支持”中設置是否允許組播報文透過安全網關。無論安全網關工作在路由模式還是透明模式下,該設置均有效。VPNTCPMMS選項是用于在VPN隧道穿越NAT時,讓網關或者客戶端能順利穿透對UDP分段報文丟棄的防火墻時使用,在正常以太網MTU值下，該參數默認值為1368。在某些主機或路由器MTU小于正常值時可以適當調低該參數。注意:該參數調得過低會導致TCP應用通信效率降低。“組播支持”和“VPNTCPMMS”在同一個對話框中設置，雙擊“組播支持”或“VPNTCPMMS”表項或者選中該項點擊導航欄上的“屬性”按鈕，在彈出的對話框中即可設置是否允許支持組播報文透過，如下圖:

網絡接口在“網絡接口”中可以設置設備各個接U的ip地址、接U速度以及雙工模式等參數,以及PPPOE撥號的用戶名密碼等參數。雙擊右側列表中的一個接口,或者選中該接口點擊導航欄上的“屬性”按鈕,在彈出的對話框中可以看到該接口的參數信息，并對其進行修改。LANロ的接口信息配置如下圖:最上面的是“啟用本接口”選項，如果不選這個選項則該接口處于關閉（即Down）狀態，下面的所有選項也都無效:在“接口地址”中可以指定改接口的IP地址和掩碼，并且可以看到該接口的MAC地址:在“管理”選項中可以設定是否允許通過該接口配置網關;在“工作特性”選項中可以設定該接口的工作速率和雙工模式、以及MTU等參數。“接入方式”選項用于TPN用戶從該接口打開登錄界面時，采用的登錄方式。“本地接入”通常用于上網，VPN接入通常用于遠程接入內網:通常在LAN口選擇“本地接入''，

在WAN口選擇“VPN接入”,ー個接口只能選擇ー種接入方式。點擊“接口地址”邊上的“高級”按鈕可以在ー個接口上添加多個IP地址,如下圖:SJW74C-4的DMZロ、EXT口配置與LAN口的配置類似，WAN口上不支持綁定多個IP地址。WAN口支持通過DHCP自動獲取IP地址,在WAN口的接口屬性中的“接口地址”選項下選擇“DHCP獲取”，點擊“確定”，稍候片刻,即可通過DHCP獲取IP地址,設置界面如下圖:

PPPOE撥號SJW74系列安全網關支持多路的PPPOE撥號,除LAN口外的其他網口均可PPPOE撥號,以WAN口為例，設置PPPOE撥號的步驟如下:選擇左側樹形結構“網絡設置”下的“網絡接口”，雙擊右側表項中的WANロ，在彈出對話框中選擇“PPPoE撥號”頁簽，選擇“啟用PPPoE撥號”,輸入用戶名和密碼，如果ー個網絡中存在多個PPPOE撥號服務,可以在服務名ー項中手工指定服務名,使設備撥到指定的服務上去,可以通過點擊“Discover”按鈕來獲取當前網絡中的所有PPPoE服務,獲取的服務名會顯示在“服務名”的列表下,如果希望安全網關啟動和斷線后自動撥號,則在“斷線自動撥號”選項前打勾，如下圖:

PPPOE撥號設置完成后,當選中WANロ時,導航欄上會出現一個“撥號”或“斷開”按鈕,用于進行手工的PPPOE撥號或斷開連接。注意:設置PPPOE撥號的網口僅僅作為物理接口,連接ADSLmodem等設備，在撥號的同時,該接口本身的IP地址依然有效,相對于ー個物理接口上綁定了兩個IP地址。DHCP月艮務安全網關能夠為局域網內的主機提供DHCP服務,配置步驟如下:.在LAN口接口屬性對話框內,選中“在本接口啟用DHCP服務”,在下面的文本框中輸入DHCP服務的相關參數,其中租借時間若設置為0,則采用默認的租借時間,為5天。.點擊“確定”按鈕。如下!?!：

注意:除WAN口外的接口均能提供DHCP服務,但同時只有一個生效。4.3.5DNSDNS選項中指定一個主DNS服務器地址和一個備用DNS服務器地址,用于網關本身對域名進行解析;當安全網關對局域網內其他主機提供DNSrelay服務時,也通過這些設定的DNS服務器進行域名解析。選中“DNS”選項，雙擊右側列表或點擊導航欄上的“屬性”按鈕,在彈出的対話框中輸入主和備DNS服務器的IP地址，點擊“確定”即可，如ド圖:4.3.6DDNSDDNS即動態域名服務,為設備在只有動態IP的情況下（比如ADSL撥號、DHCP獲取地址）提供一個固定的域名,其它用戶或者設備可以通過該固定域名直接訪問安全網關設備。在配置DDNS之前,需要用戶預先為安全網關注冊ー個域名,安全網關支持花生殼動態域名。安達通公司提供專業級花生殼DDNS域名。啟用DDNS選項功能,可以令安全網關通過動態域名作為VPN隧道的端點,提供解決動態!P地址下VPN互聯的另ー種手段。雙擊DDNS選項卜.的右側列表，在彈出的對話框中輸入DDNS注冊的相關信息，選中“啟用DDNS服務”點擊確定即完成DDNS的配置。如下圖:

注意:花生殼的服務器使用15;端口使用606〇。4.3.7網絡路由在該選項下可以查看、添加、刪除安全網關中的路由表項;網絡設置一＞網絡路由目的地址名稱 目的地址類型 淹碼 網關地址名稱 網關地址類型 路由表項類型00.0.0 -靜態i譏址 132J32.100254裾態i讖址 靜態配置132132.。,0 靜態IP地址 255255。0 132.132100.200 靜態IPtft批 動態9強 靜態IP地址 255.255.25... 靜態IP地址 動態配置路由表中有H的地址類型、網關地址類型和路由表項類型三個可選項,在通常情況下,手工添加的靜態路由的目的地址類型、網關地址類型都選擇為“靜態IP地址”,路由表項類型為“靜態配置”，而系統自動生成的路由表項類型為“動態地址”。手工添加靜態路由的步驟為:點擊導航欄按鈕上的“添加”按鈕，在彈出的對話框中輸入目的地址名稱、掩碼和網關地址名稱，其他的均為默認選擇,即完成一條路由的添加,如下圖:點擊導航欄按鈕上的“刪除”按鈕,則刪除當前選中路由表項;注意:當安全網關進行PPPOE撥號或DHCP自動獲取地址時,默認路由自動添加,如原來已有默認路由,則會被刪除。注意:當啟用鏈路均衡時,默認路由只會顯示其中的一條;注意:當安全網關工作在透明模式下時，網絡路由的接口可能不能真實反映實際數據包的走向。ARP表在該選項下可以查看、添加、刪除、清空安全網關中的叼表項;點擊導航欄按鈕上的“刪除”按鈕,則刪除當前選中arp表項,點擊導航欄按鈕上的“清空”按鈕,則清空arp表中的所有表項;注意：除了一些特殊的應用,在極少的情況下添加arp表項:注意：在arp表項上點擊右鍵,可以直接將當前表項添加到MAC地址綁定表項中。VLANTRUNKVLANTRUNK作為??項高級功能，能夠使安全網關接在TRUNK口上，并且對TRUNK線路中的其中一個VLAN的IP數據流進行加密或防火墻過濾操作。要開啟TRUNK功能的步驟如下:

I.在VLANTRUNK選項下,點擊導航欄上的“選項”按鈕,在彈出的對話框中的“TRUNK控制”欄下在要開啟TRUNK的接口前打勾;2.點擊“確定”如下圖所示:當安全網關需要與位于其它VLAN的安全網關進行IKE協商,或者需要與位于其它VLAN的主機進行通信時，需要指定對方安全網關或主機所在VLAN的ID,因此需要輸入對方IP地址與VLANID的對應表,在該項下點擊導航欄上的‘‘添加”按鈕,在彈出的對話框中輸入對方IP與VLANID的對應表,如下圖:VLAN協議支持802.1Q和ISL。點擊“刪除”按鈕刪除當前選中的!P-VLANID對應表項。注意:VLANTRUNK功能只有當安全網關工作在透明模式下オ有效;注意:安全網關啟用VLANTRUNK功能后并不融入原有的VLAN體系,只是將原有TRUNK以太網幀的二層信息原封拷貝到加密后或做其它處理后的新數據包上。4.4對象管理在安全網關的配置中,安全策略、VPN隧道、地址映射等對IP地址、服務、協議、事件表等元素的引用都采用對象的方式,從而使配置的思路更加清晰,在復雜環境下大大減小了配置的復雜度。在“對象管理”大項中有四個小項,分別提供對“網絡地址”、“網絡協議”、“網絡服務”和“時間表”這四種類型對象的增、刪、改功能，下面分別介紹。網絡地址網絡地址中有“地址”和“地址組”兩個選項，地址組是指包含了多個地址對象的ー個地址集合。地址對象有三種類型，分別為“子網”、“主機”和“范圍”，用戶可以根據自己的需求來選擇地址對象的類型,當選擇“子網”時，需要指定子網掩碼。每個對象都有一個名稱，用戶可以根據自己的喜好對名稱進行定義，除此之外,還有一項描述信息供用戶使用，該項可以為空。添加一個地址對象的步驟如下:.在樹形結構中選中“地址”ー項,在導航欄上點擊“添加”按鈕:.在彈出的對話框中輸入相關信息，點擊“確定”即可;如下圖:

添加一個地址組對象的步驟如下:.在樹形結構中選中“地址組”ー項,在導航欄上點擊“添加”按鈕;.在彈出的對話框中輸入地址組名稱,并在左側列表中選擇屬于該地址組的地址對象到右側,點擊“確定”即可;如下圖:添加地址如地址組由一個或多個地址對象妲成，這樣,反用相同策略的地址對象便可組成一俎，方便管理.確定（エ）I 取消（0注意:地址對象和地址組對象的名字不能重復;除了在對象管理選項中添加地址、地址組對象,還可以在添加策略和VPN網關時臨時添加地址、地址組對象。4.4.2網絡協議網絡協議對象指ip的上層協議,通過指定協議號來確定協議類型,用于在網絡服務中被引用。添加一個網絡協議對象的步驟如下:.在樹形結構中選中“網絡協議”ー項,在導航欄上點擊“添加”按鈕;.在彈出的對話框中輸入協議名稱和協議號，點擊“確定”即可;添加EGP協議如ド圖所示:

注意:此處配置的網絡協議指的是IP的上層協議,具體的協議規范詳見RFC。4.4.3網絡服務網絡服務選項中包含“服務”和“服務組”兩個小項,服務組是指包含了多個服務對象一個服務集合。網絡服務對象描述了一個五元組中的三項信息,即源端口、目的端口和協議,用于在策略中被引用。當所選協議非TCP或UDP時,服務僅僅指協議。添加一個網絡服務對象的步驟如下:.在樹形結構中選中“服務”ー項，在導航欄上點擊“添加”按鈕;.在彈出的對話框中輸入該服務的協議、源端口和目的端口信息,點擊“確定”即可;添加一個向外訪問的HTTP服務如下圖所示:

安全網關控制臺軟件為用戶總結了一些常用的服務,在選中樹形結構中的“服務”選項后,點擊“導航欄”上的“模板導入”按鈕,即從模板文件中把ー些常用服務導入到網關中,導入后如下圖:

注意:網絡服務有方向之分,即外出和進入,從模板導入的所有服務都指外出的服務,進入的服務需自行定義,只需將源端口和目的端口調換即可。添加一個服務組對象的步驟如下:.在樹形結構中選中“服務組”一項,在導航欄上點擊’’添加"按鈕;.在彈出的對話框中輸入服務組名稱，并從左邊列表選擇屬于該服務組的服務對象到右邊列表，點擊“確定”即可;如下圖:

4.4.4時間表時間表描述了一個個時間段的集合,在添加安全策略時被引用,用于指定該策略的生效時間。添加一個時間對象的步驟如下:.在樹形結構中選中“時間表”ー項，在導航欄上點擊“添加”按鈕:.在彈出的對話框中點擊“添加”按鈕添加時間段，重復操作直至添加了所有的時間段，點擊“確定”即可:如下圖:注意:ー個時間表中最多引用兩個時間段。第5章VPN配置配置VPN的步驟通常配置安全網關的VPN功能之前需要確定以下幾點:.IKE的身份認證的方式,安全網關支持預共享密鑰和數字證書兩種身份認證方式;.有哪些本地子網（或主機）和対方網關保護的子網（或主機）,需要通過安全網關進行VPN互聯;.安全網關通過公有地址還是私有!P地址（通常是指WAN口地址或PPPOE撥號地址）與其他安全網關進行VPN互聯;.若安全網關使用公有地址，該地址是固定的還是動態的（比如ADSL撥號）；.若安全網關使用私有地址，是通過動態映射訪問公網,還是通過靜態映射能夠被公網中其他主機訪問某個端口;.如果需要安全客戶端接入本網關,需要為安全客戶端規劃?段私有IP地址;以上確定后，通常依照如下步驟來配置ー個VPN網關:.配置ー些VPN的參數，包括IKE身份認證的方式，如果采用證書認證則需要依次導入一系列證書;是否處于NAT設備后;是否采用動態地址接入,如果是動態接入則需要提供動態接入的類型和地址服務器的帳號和密碼;.添加VPN節點對象,其中需要提供對方網關的WANロ地址（如果是固定地址接入）和LANU地址，預共享密鑰（如果是預共享密鑰方式認證）等信息，通過添加VPN節點，指定了和當前配置網關建立VPN隧道的對端網關的相關信息;.添加VPN隧道對象,需要指定隧道的類型（靜態指定密鑰信息還是動態協商），確定隧道的安全等級,選擇隧道的對端VPN節點。.在安全策略中添加VPN策略，選擇VPN隧道;.添加安全客戶組信息,包括安全客戶端的私有!P地址范圍,能訪問的子網,加密強度等信息:生成安全客戶端;針對每個安全客戶端制作SurelD：關于安全網關通過何種IP地址與公網相連對于VPN配置有著至關重要的關系。通常情況下，在ー個VPN網絡中，至少需要一個結點有公網地址或者被靜態映射（包括靜態端口映射）到ー個固定公網地址（某些端口）;在全動態IP地址接入的情況下,需要使用ADT地址服務器或動態域名的方式來實現動態VPN互聯。5.2VPN的相關配置VPN的相關配置主要包含在左側樹形結構“VPN”大項下的“密鑰協商”和“動態接入”中,下面分別介紹。身份認證方式和缺省預共享密鑰安全網關支持預共享密鑰和數字證書兩種身份認證方式。設置身份認證方式的步驟為:在左側樹形結構中選中“密鑰協商”,在右側的列表中雙擊”身份認證方式”，或選中該項點擊導航欄上的“屬性”按鈕;在彈出的對話框中選擇任何ー種身份認證方式或兩者皆可（當證書模塊未啟用時,無法選擇證書認證模式）；必要時，可以在該對話框中輸入缺省預共享密鑰;點擊“確定”按鈕。如下圖;注意；缺省密鑰是不指定VPN節點的密鑰，即對所有的節點和客戶端成員都有效的密鑰,使用缺省密鑰會降低系統的安全性,只有在特殊情況下使用缺省密鑰,通常不推薦使用。數字證書當安全網關采用數字證書作為!KE的身份認證方式時,需要將CA根證書、設備證書、私鑰等PKI相關元素導入到網關，另外根據需求，可配置CRL、OCSP等相關參數。在安全網關上導入數字證書可采用三種方式:在安全網關上生成PKCS10證書請求,用該請求到證書服務器上申請證書,再以文件形式導入PKCS12格式的證書;直接在證書服務器上申請證書，以文件形式導入PKCS12格式的證書;分別導入CA根證書、設備證書、設備私鑰(非標準格式)。注意:安全網關使用的數字證書中主體名,即commomname(cn)選項必須為安全網關的LANロIP地址,以此將證書與安全網關綁定。采用何種方式生成并導入數字證書,用戶可根據CA系統支持的標準以及具體需求來決定。下面分別說明在每種方式下的證書導入方式。先生成證書請求的方式首先導入根證書,選中左側樹形結構“VPN”大項下的“數字證書”小項，雙擊右側“CA根證書”表項，在對話框中選擇存放根證書的目錄，如下圖:點擊“確定”按鈕，完成根證書的導入。

右鍵點擊た側的列表,選擇“證書請求”ー》“生成”,如下圖所示:在彈出的對話框中輸入，證書名稱、機構名、國家等信息，如下圖:點擊“確定”,彈出是否導出的對話框，如卜ー圖:點擊“確定”,選擇導出請求文件的存放目錄，導出證書請求文件。利用證書請求申請數字證書的過程參考數字證書系統的說明書。生成數字證書后，右鍵點擊右側的列表，選擇“導入PKCS12文件”，在彈出的對話框中選擇證書文件所在目錄，并輸入密碼,點擊“確定”即可。522.2直接導入的方式直接導入方式即省略掉上一種方式中生成證書請求的步驟,其他步驟與上一種方式相同。分別導入的方式首先導入根證書,選中左側樹形結構“VPN”大項下的“數字證書”小項,雙擊右側“CA根證書”表項,在對話框中選擇存放根證書的目錄,如下圖:點擊“確定”按鈕;雙擊右側下部的列表的“設備證書”選項,在彈出的對話框中選擇設備證書文件,如下圖:點擊“確定”按鈕;雙擊右側ド部的列表的“設備私鑰”選項,在彈出的對話框中選擇設備私鑰文件,如

下圖:點擊“確定”按鈕;注意:在導設備證書之前,需要首先導入CA根證書。導入和清空CRL右鍵點擊右側的列表,選擇“CRL—》導入“，即導入CRL列表,在彈出的對話框中選擇ー個擴展名為crl的文件，點擊確定即可。相反,選擇“清空”，即清空當前的CRL列表,如下圖:522.5啟用證書模塊點擊導航欄上的“選項”按鈕,在彈出的對話框屮選屮“啟用證書功能模塊”復選框,

如果不啟用OCSP（在線證書檢查）,則直接點擊“確定”按鈕;如果啟用OCSP,選中‘‘啟用在線證書檢查功能”復選框,輸入服務器IP地址、端口、超時時間和CRL更新時間等參數,點擊“確定”按鈕。5.2.3密鑰生命周期安全網關為了應對可能的各種網絡攻擊，保護網絡通信的各種密鑰需要定時更新，以確保在給定的時間內，攻擊者無法對密文進行破解。對生命周期的描述由兩個因素構成:時間和流量，只要其中一個因素超過設定值，安全網關之間就會協商新的密鑰，并使用新的密鑰來進行加密。在安全網關中,用SA（安全聯盟）來描述一個VPN隧道,在ー個正常的安全隧道中，存在兩種SA：IKESA（第一階段SA）和IPSECSA（第二階段SA）,第?階段SA用于保護第二階段SA密鑰協商時的通信，第二階段SAオ真正用來加密數據,他們分別具有不同的生命周期。以下是推薦的生命周期設置值:IKESA（第一階段）生命周期時間生命周期:推薦時間為12小時,不小于6小時。流量生命周期:以K字節為單位,推薦值為10240KBIPSECSA（第二階段）生命周期時間生命周期：推薦時間為6小時，不小于1小時。流量生命周期:以K字節為單位，推薦值為104800KB安全網關上按照上述的推薦值設置了默認的生命周期值。通常情況下,第一階段的時間生命周期是第二階段時間生命周期的兩倍，修改IKE生命周期的步驟如下:選中左側樹形結構中“VPN”大項下的“密鑰協商”小項，雙擊右側“IKE密鑰生命周期"或"IPSEC密鑰生命周期”，或選中列表中該選項并點導航欄上的“屬性”按鈕;在彈出的對話框中輸入要設定的生命周期數值，點擊“確定”按鈕。如下圖:NAT穿透功能由于NAT在制定標準時只考慮了為TCP、UDP和ICMP三種協議做動態NAT（當時還沒有提出Ipsec協議），因此先天就決定了!psec協議的報文是無法穿越NAT的，即當VPN設備（或客戶端）之前有NAT設備時,就無法與其他的VPN設備建立安全隧道,這給VPN的實際應用帶來了很大的局限性,ADT系列安全網關和安全客戶端采用先進的NAT-T技術解決了VPN穿越NAT的問題，即通信雙方有一臺安全網關或安全客戶端在NAT設備的后面時,也可以建立起VPN隧道,進行安全通信。設置NAT穿透的功能的步驟如下:選中左側樹形結構中“VPN”大項下的“密鑰協商”小項,雙擊右側列表中“NAT穿透功能模塊”項,或選中該選項,并點導航欄上的“屬性”按鈕;在彈出的對話框中“網關在NAT設備后面”選項前打勾，點擊“確定”按鈕。如下圖:當該選項選中后,安全網關就可在NAT設備后與其他安全網關建立安全隧道。注意:由于動態NAT的單向特性，在NAT后的安全網關必須主動發起協商才能成功協商隧道,因此該功能常常與隧道保持功能配合使用;注意:使用NAT穿透功能需保證與之通信的對方安全網關有公網!P地址,如果要實現兩臺都在NAT后的安全網關VPN通信,則需通過一臺有公網IP地址的安全網關做隧道接カ;注意:使用NAT穿透功能后,VPN的安全等級不能為“低”。隧道保持功能由于安全網關間加密密鑰定期更新的特性,當SA生命周期到期而又沒有通信流量的時候,安全網關在刪除舊的SA之后不會再協商新的SA,這給ー些應用帶來了不便,隧道保持功能就是針對解決這個問題而設計。當啟用該選項后，安全網關會根據安全策略定期檢查定期SA是否存在，當檢查到沒有SA的時候會立即對對方安全網關發起協商，直到SA存在為止。可以設置定期檢查的周期，建議將該周期設置成120秒。設置隧道保持功能的步驟如下:選中左側樹形結構中“VPN”大項下的“密鑰協商”小項，雙擊右側列表中“隧道保持功能模塊”項,或選中該選項，并點導航欄上的“屬性”按鈕;在彈出的對話框中“啟動隧道保持功能模塊”選項前打勾，并再掃描間隔文本框中輸入定期檢查SA的周期，默認為120秒，點擊“確定”按鈕。如下圖:注意:對于ー些協商總是單邊發起的（比如對方安全網關在NAT設備后）情況,在接受方網關則無需啟用該功能,因為在這些情況下,本網關無法主動發起協商,而相反在發起方的安全網關（動態或在NAT設備后）上應啟用該功能。動態接入該功能用于解決動態VPN地址卜一的VPN互聯，通過“ADT地址服務器”，同一個域中的安全網關可以相互知道對方的公網1P地址，從而建立安全隧道。當用戶使用該功能時，ADT公司會提供ー個安全域的號碼和密碼，用戶可以通過WEB界面在“ADT策略服務器”上添加安全網關的帳號。使用動態接入的步驟如下:選中左側樹形結構中“VPN”大項下的“動態接入”小項,雙擊右側列表中的第一項,或點擊導航欄上的“屬性”按鈕:在彈出的對話框中“啟動策略服務器”選項前打勾,輸入各項的具體內容,ADT公司提供的策略服務器IP地址為0,點擊“確定”按鈕。如下圖:注意:網關ID的前四位數字為域號碼，中間的字母G代表安全網關,后三位數字代表同一個域中的安全網關序號,添加安全網關ID后的初始密碼為changeit:客戶端!D的前四位數字為域號碼,中間的字母C代表安全客戶端,后三位數字代表同一個域中的安全客戶端序號,安全客戶端ID的初始密碼為changeit:在此配置客戶端ID和密碼是為了制作SurelD時能把這些信息寫入SurelD中，通常多個客戶端共用一個客戶端ID和密碼。5.3配置局域網到局域網的VPN理解了上述的VPN相關概念,配置VPN就相當簡單了。通常情況下，配置VPN有如下三個步驟：.設置VPN的相關參數，比如NAT穿透選項、隧道保持或動態接入等等:.添加VPN節點對象;.添加安全隧道對象;.添加VPN策略;典型環境下的VPN配置本節用ー個具體案例來說明在典型環境下的VPN配置。在這個環境中,VPN兩端都只有一個局域網,局域網中主機默認網關都指向安全網關的LANロ,假設總部采用固定地址接入,固定地址假設為,分部采用ADSL撥號接入（動態公有IP地址）;總部安全網關LAN口地址為!/24,分部安全網關LAN口地址為/24〇首先應該在兩端的安全網關中設置雙方安全網關的相關信息和接口地址,接著在“對象管理”==>“網絡地址”==>“地址”中分別添加雙方局域網的IP地址對象。考慮到這是ー個ー?端固定地址、一端動態地址的情況,可以采用以下兩種方式進行VPN互聯:不使用策略服務器,由分部單邊發起密鑰協商,使用隧道保持功能,保證隧道一直存在;使用策略服務器，雙方都可以發起協商;根據用戶自己的網絡環境選擇隧道保持功能或設置動態接入選項,在下面的實際案例中將不進行此項配置。接著點擊“VPN”大項下的“VPN節點”選項，點擊導航欄上的“添加”按鈕，在雙方安全網關上分別添加對方VPN節點對象,指定對端網關的相關信息。?“名稱”通常輸入對方安全網關的名字或相關描述信息，?“地址”可選擇動態、DNS或靜態IP,是指對方安全網關的接入方式，如果是靜態IP,則需輸入具體的IP地址〇“身份標識”通常選擇“IP地址”,如果在上方的地址類型選項中選擇了“靜態地址”,輸入對方安全網關的靜態地址;如果地址類型選擇了“動態地址”，則輸入對方網關的LANロIP地址,〇“認證密鑰”在采用預共享密鑰認證方式下使用，需輸入與對方安全網關協商的預共享密鑰（雙方的預共享密鑰必須一致）。在總部安全網關上添加分部VPN節點對象的界面如下:在分部安全網關上添加總部VPN節點對象的界面如下:其次,在雙方網關上添加VPN隧道,指定建立隧道的VPN節點、隧道類型和安全等級。安全隧道是從4.1版本開始增加的VPN対象,將原來的VPN隧道進行抽象并通過外在的表現形式表示出來，使用戶能對每ー個VPN隧道的狀態（是否活動），流經隧道的流量進行監控，能隨時清除每ー個隧道相關的動態信息，使動態信息重新協商。通過安全隧道的獨立，使不同的策略都可以使用同一條安全隧道,增加了VPN配置的靈活性,降低多個網段進行VPN互聯時的復雜程度。在總部安全網關上添加分部隧道對象的界面如F：

在分部安全網關上添加總部隧道對象的界面如下:注意:添加安全隧道對象時,可以添加備份端點來實現隧道的備份,工作原理為:當與主端點協商三次不成功后，網關自動與備份端點進行IKE協商,同理當備份端點不通時,將再次與主節點協商,以輪循的方式實現隧道的備份。配置中,要注意雙方的安全等級必須一致,“端點”必須選擇對方的VPN節點對象。最后在雙方的安全網關上分別添加安全策略,為了保證雙方能夠相互訪問,在添加VPN策略時選擇“創建反向策略”的復選框。在總部和分部各需添加一條VPN策略。策略添加的基本方法為:VPN策略的源地址通常是本網關保護的子網或IP地址范圍（通常是LAN口所接網段）,目的地址是對方VPN網關所保護的子網或!P地址范圍,從數據流向來看是從本地子網流向對方子網;而反向的防火墻策略與VPN策略五元組正好顛倒,從數據流向來看是從對方子網流向本地子網。需要注意的是,雙方的VPN策略必須是完全鏡像的，即總部的源地址、源端口必須是分部的目的地址、目的端口，相反總部的目的地址、目的端口必須是分部的源地址、源端口，在分部安全網關上添加到總部的VPN策略如下圖:在總部安全網關上添加到分部的VPN策略如ド圖:至此雙方的VPN配置已經完成,只要有流量觸發或選中了“隧道保持”選項,雙方就能建立起安全隧道,進行VPN通信。補充說明:選中“創建反向策略”是為了能夠讓對方子網能主動訪問本地子網,如果在ー個VPN網絡中只允許單向訪問,則主動訪問方無需添加反向防火墻放行策略。比如只允許總部子網訪問分部子網,不允許分部子網訪問總部子網,則在總部網關上無需添加反向防火墻策略。但無論如何,VPN通信雙方至少有一方需添加反向的防火墻策略。5.3.2局域網中有多個網段時的VPN配置當VPN通信雙方的內網中有三層交換機或路由,即VPN通信雙方不僅僅是與安全網關LAN口同一網段的子網時,此時需要在安全網關和三層交換機或路由器上添加靜態路由,而VPN的配置則與上述的典型環境下的配置并無區別。下面舉例來說明。假設ー個大型企業總部通過三層交換機劃分了3個VLAN,分別為/24、/24和/24:分部也同樣用三層交換機劃分了3個VLAN,分別為/24、/24和/24;而雙方安全網關的LAN口地址分別為和,雙方三層交換機的1P地址分別為54和54（與安全網關LANロ同一網段的接口地址）,要通過VPN實現總部和分部各個子網之間的互通。此時VPN有兩種配置方法:其ー,因為總部和分部地址規劃時隔離度比較好,可以將總部和分部的地址分別歸納到ー個16位掩碼的IP地址段中,因此雙方可以只添加一條策略,對總部來說,源地址為/16、目的地址為/16!對分部來說,源地址為/16、目的地址為/16,網關對象設置與典型情況下的一致。這種配置方法的優點是簡單，缺點是控制粒度不夠。其二，為每個網段分別來添加VPN策略,比如總部分別配置/24到/24加密、/24到/24加密依次類推,在這種方式下,如果要實現各個網段的兩兩互通,則總部和分部安全網關上分別需要配置9條策略,當VLAN數H更多，網絡結點更多的情況下,策略數目還將增加。這種配置方法的優先是控制粒度細,缺點是策略舒服繁多，配置復雜。用戶可以根據自己的安全性需求等具體情況來選擇上述兩種策略配置方法。除了VPN策略，在這種情況下還需要在三層交換機和安全網關上分別添加靜態路由，以保證發到對方的IP報文能到達安全網關的LANロ，添加靜態路由也有歸納添加和分別添加兩種方式:首先介紹歸納添加,在總部的三層交換機上添加如下路由:iproute,在分部的三層交換機上添加如下路由:iproute,在總部的安全網關上添加如下路由：在分部安全網關上添加如下路由:

分別添加路由的方法,在總部三層交換機上添加如下三條路由:iproute；iproute 依次類推;在分部三層交換機上添加如下三條路由:iproute；iproute依次類推。在總部安全網關卜.添加如下兩條路由;依次類推;在分部安全網關上添加如ド兩條路由:

廠家建議:在這種情況下,在配置安全策略時可以采用歸納的辦法,以減輕配置策略的工作量和復雜度,而在配置路由時采用分別添加的辦法，來控制VPN的訪問控制粒度。注意:當安全網關和防火墻并行配置時,也可利用上述的添加靜態路由的方法來解決局域網中主機把默認網關指向防火墻的問題。5.4VPN向導為了減少用戶初次配置的復雜性,可以使用VPN向導進行配置,根據向導的提示進行每ー步的操作，輕松的建立VPN。打開VPN向導可以通過兩種途徑:在安全網關控制臺的“工具”菜單下選擇“VPN向導”或直接選擇安全控制臺首界面下的VPN向導鏈接。打開VPN向導后的界面如ド圖所示:點擊“下ー步”，選擇客戶端接入還是網關對網關的VPN互通:

點擊“下ー步”,進行安全隧道的選擇或者是創建,如果是第一次建立隧道,選擇創建,如果希望使用已有隧道，則從隧道列表中選取隧道，在“對端網關信息”中，填入對方網關的WAN地址，如果是DNS為DNS域名，如果是動態地址為,設置LAN地址和掩碼，如下圖:點擊“下ー步”,選擇使用VPN隧道的本地網絡，如果已有地址對象,點擊“選擇”按鈕從地址列表中選擇，如果沒有,點擊“新建”按鈕創建地址対象,如下圖:

點擊“下ー步”,選擇VPN隧道連接的對端網絡,如果已有地址對象,點擊“選擇”按鈕從地址列表中選擇,如果沒有,點擊“新建”按鈕創建地址對象,如ド圖點擊“ドー步”，進行VPN高級設置，偽裝地址選項用于控制對端網絡通過VPN訪問本地網絡時是否使用偽裝后的地址進行，即VPN解密后再進行地址映射。“高級”按鈕用于設置VPN的安全等級、預共享密鑰等信息,?般情況下不進行修改。點擊“下ー步”，點擊“開始”，進行VPN相關配置的自動生成。

由向導向導自動生成的節點、隧道、策略如下:名稱」類型1身份標識客戶偏!網關石戶?o.o.o.oO.O.O.O網美劃聯_俯＜206網關名稱1類型1安全警級1VPN節點 1備份節點1カを1進入流量1外出直量IKE中客戶?網關0.624KBytes1.779KBytesIKE快速險道xpawxO.OOOKBvtesO.OOOKBytes網關到網關—TbNNB.IKE中同關到阿關ーVP… -O.OOOKBytesO.OOOKBytes名稱目的地址 ?務動作 時值表用戸U證快速四開啟關閉美匍關閉anyanyVPNJJDff放行anyany0?到網關一VPN□f岡關到網關—VPNPASS第6章防火墻配置地址映射（NAT）配置地址映射（NAT）是安全網關具備的一個基本功能,安全網關提供三種NAT功能,即地址池映射（動態NAPT映射）、靜態映射（靜態NAT）和靜態端U映射（靜態NAPT）。這三種NAT分別起以下作用:地址池映射:只有一個或少數幾個公有地址，提供內網的私有地址轉換成該公有地址，提供上網功能;靜態映射:將內網的一臺或若干臺主機完全映射成一個公網IP地址，向外提供服務;靜態端口映射：將內網的主機的某ー個或幾個端口映射到公網IP的某個端口±,通常用于向外提供某些服務。在以上幾種NAT中,地址池映射和靜態端口映射最為常用。配置NAT的通常步驟配置NAT通常要經過以下兩個步驟:.添加NAT對象,如果是地址池映射，則添加地址池對象:.添加NAT策略，并選擇ー個NAT對象（或地址池對象）綁定到策略;添加NAT對象配置上述的三種NAT,分別需添加三種不同的NAT對象或地址池對象，配置NAT對象或地址池對象在“防火墻”大項下的“地址映射”小項下。〇地址池對象的添加如果安全網關通過動態IP地址接入互聯網（比如PPPoE撥號或DHCP自動獲得地址）,就無需去手工添加一個地址池對象，則安全網關會自動生成一個名稱為“一SYS一DYN.POOL”的地址池對象,在添加NAT策略時直接引用即可。在使用靜態IP地址（直接設置WAN口地址）的情況下,添加地址池対象的步驟如下:選中左側“防火墻”大項下的“地址映射”小項下的“地址池”子項,點擊導航欄上的“添加”按鈕;在彈出的對話框中輸入地址池的名稱和地址池的地址范圍,通常情況下起始地址與結束地址為同一個地址:點擊“確定”按鈕。如下圖:?靜態NAT對象的添加添加靜態NAT對象的步驟如下:選中左側“防火墻”大項下的“地址映射”小項下的“靜態NAT”子項,點擊導航欄上的“添加”按鈕:在彈出的對話框中輸入靜態NAT對象的名稱,映射前的IP地址和映射后的IP地址：點擊“確定”按鈕。如下圖:

注意:不允許將WANロIP地址或動態獲得（PPPoE撥號、DHCP獲得）的IP地址作為映射后IP地址去映射一個內網主機,否則會導致錯誤的狀態。〇靜態NAPT對象的添加添加靜態NAPT対象的步驟如下:選中