SJW74系列安全網(wǎng)關配置手冊V4.1PAGEPAGE142SJW74-NC系列安全網(wǎng)關配置手冊V4.42007年3月

目錄TOC\o"1-3"\u第1章 安全網(wǎng)關簡介 61.1 功能簡介 61.2 硬件接口 61.3 應用環(huán)境 71.4 工作模式 71.5 接入方式 8第2章 開始配置安全網(wǎng)關 92.1 配置工具和配置方式 92.1.1 配置工具 92.1.2 配置類型 92.1.3 配置途徑 92.2 對安全網(wǎng)關進行實時配置 92.2.1 通過串行口對網(wǎng)關進行實時配置 102.2.2 通過網(wǎng)絡對網(wǎng)關進行實時配置 112.3 編輯配置文件 122.4 實時保存配置信息 122.5 導入導出配置文件 132.6 實時清空安全網(wǎng)關配置 13第3章 初始化向導 143.1 設備初始化的步驟 14第4章 系統(tǒng)基本信息配置 194.1 配置軟件的基本結構 194.2 系統(tǒng)維護 194.2.1 設備信息 194.2.2 日期與時間 204.2.3 設備管理 214.2.4 集中管理 224.2.5 設備告警 234.2.6 設備日志 254.3 網(wǎng)絡設置 274.3.1 基本設置 274.3.2 網(wǎng)絡接口 294.3.3 PPPOE撥號 314.3.4 DHCP服務 324.3.5 DNS 334.3.6 DDNS 344.3.7 網(wǎng)絡路由 354.3.8 ARP表 364.3.9 VLANTRUNK 374.4 對象管理 394.4.1 網(wǎng)絡地址 394.4.2 網(wǎng)絡協(xié)議 404.4.3 網(wǎng)絡服務 414.4.4 時間表 44第5章 VPN配置 465.1 配置VPN的步驟 465.2 VPN的相關配置 475.2.1 身份認證方式和缺省預共享密鑰 475.2.2 數(shù)字證書 485.2.3 密鑰生命周期 525.2.4 NAT穿透功能 535.2.5 隧道保持功能 545.2.6 動態(tài)接入 555.3 配置局域網(wǎng)到局域網(wǎng)的VPN 565.3.1 典型環(huán)境下的VPN配置 575.3.2 局域網(wǎng)中有多個網(wǎng)段時的VPN配置 625.4 配置安全客戶端遠程接入 655.4.1 添加移動客戶組 655.4.2 添加客戶組成員 675.4.3 制作SureID或生成客戶端配置文件 695.4.4 客戶端從網(wǎng)關自動下載配置 735.5 配置WEB客戶端（NC功能） 735.5.1 打開和配置NC功能 735.5.2 配置資源展示 75第6章 多鏈路配置 776.1 鏈路備份 776.1.1 工作原理 776.1.2 配置方法 786.1.3 配置實例 796.2 負載均衡 856.2.1 工作原理 856.2.2 配置方法 856.3 策略路由 89第7章 VPN向導 927.1 VPN向導配置 92第8章 防火墻配置 958.1 地址映射（NAT）配置 958.1.1 配置NAT的通常步驟 958.1.2 添加NAT對象 958.1.3 添加NAT策略 988.2 狀態(tài)檢測配置 1008.3 快速過濾配置 1018.4 HTTP檢測配置 1028.4.1 非法URL檢測設置 1028.4.2 URL過濾設置 1038.4.3 日志記錄設置 1058.4.4 HTTP檢測在策略中的設置 1068.5 用戶認證配置 1078.6 攻擊檢測配置 1098.7 IDS互動配置 1128.8 MAC地址綁定配置 1138.9 網(wǎng)關ARP代理 1148.10 高級設置 115第9章 安全策略 1169.1 安全策略的匹配 1169.1.1 策略的匹配機制和快速匹配功能 1169.1.2 策略生效時間 1179.2 安全策略的順序調整 1179.3 安全策略相關操作 118第10章 安全日志與流量統(tǒng)計 11910.1 安全日志 11910.2 流量統(tǒng)計 121第11章 其他功能 12311.1 基于策略的流量控制 12311.2 雙機熱備 12511.3 調整NAT映射表項刷新時間 12711.4 輔助工具 12811.4.1 使用ping工具 12811.4.2 使用shell終端 12911.4.3 發(fā)送免費arp廣播 13011.4.4 License信息 13111.4.5 文件導入導出功能 13211.5 內核及l(fā)icense升級 13211.5.1 內核升級 13311.5.2 License升級 13611.6 遠程重啟 13811.7 恢復備份配置 13811.8 重新裝載配置 139附錄 139附錄A主要名詞術語解釋 139附錄B安全網(wǎng)關配置常見問題 140附錄C推薦配置順序 141

感謝您購買ADTSJW74-NC系列安全網(wǎng)關！本手冊將為您詳細介紹安達通ADTSJW74系列安全網(wǎng)關的使用方法。歡迎訪問安達通公司網(wǎng)站http://，及致電本公司86-21-68750563。

安全網(wǎng)關簡介功能簡介安全網(wǎng)關應用IKE技術和Ipsec技術對IP數(shù)據(jù)流進行端到端的加密保護，實現(xiàn)異地子網(wǎng)之間的安全互聯(lián)，以及移動用戶對固定網(wǎng)絡的安全接入，提供VPN服務；安全網(wǎng)關應用NAT-T技術和動態(tài)IP互聯(lián)技術保證在任何網(wǎng)絡環(huán)境下都能進行VPN互聯(lián)；安全網(wǎng)關應用包過濾和狀態(tài)檢測技術保護內網(wǎng)主機和服務器，提供防火墻的功能；安全網(wǎng)關應用NAT技術使得企業(yè)內部私有地址能夠訪問外部互聯(lián)網(wǎng)，并且能將位于DMZ的服務器的某些端口映射到公網(wǎng)上；安全網(wǎng)關具有鏈路備份和負載均衡的功能,支持在兩條線路接入下的鏈路備份功能,以及多條線路（2-3條）接入下的鏈路負載均衡功能安全網(wǎng)關具備隧道接力、隧道嵌套、VPN后NAT、NAT后VPN等多種高級功能，能夠組建各種復雜的VPN網(wǎng)絡，滿足客戶的各種應用需求。硬件接口以SJW74C-NCSJW-74B,SJW-74Bpro,SJW-74C安全網(wǎng)關帶有４個網(wǎng)口，其中一個LAN口，一個WAN口，一個EXT0口和一個EXT1口（均為10/100M自適應,WAN/EXT0/EXT1均可做為公網(wǎng)出口SJW-74D安全網(wǎng)關帶有4個網(wǎng)口，其中一個LAN口，一個WAN口，一個EXT0口和一個EXT1口（均為10/100M/1000M自適應,WAN/EXT0/EXT1均可做為公網(wǎng)出口）；各型號的網(wǎng)關還具備：兩個COM口，COM1用于配置和故障恢復，COM2作為雙機熱備時“心跳線”的連接口；１個電源指示燈；1個系統(tǒng)狀態(tài)指示燈：Work(SJW-74B和SJW-74BPro還有1個WARN燈）；４個網(wǎng)絡接口指示燈。應用環(huán)境SJW74安全網(wǎng)關的典型應用環(huán)境如下圖，總部采用兩條用戶可以參考該圖規(guī)劃自己的應用環(huán)境。工作模式安全網(wǎng)關支持在路由模式和透明模式兩種模式下工作，能夠滿足在各種網(wǎng)絡環(huán)境下的應用。在路由模式下，安全網(wǎng)關作為一個三層設備工作，通常部署在內外網(wǎng)的邊界，為內外網(wǎng)提供路由、防火墻過濾、NAT和IPSEC加密等功能；在透明模式下，安全網(wǎng)關作為一個透明網(wǎng)橋工作在二層，對通過安全網(wǎng)關的數(shù)據(jù)流進行包過濾或提供IPSEC加密服務。此時，可以任意設置LAN口和WAN口地址。使用透明模式可以不改變用戶原有的網(wǎng)絡結構和地址規(guī)劃，并且能使非IP的其他協(xié)議（比如IPX、NETBEUI等）順利透過安全網(wǎng)關；另外，ADT安全網(wǎng)關還具備一個非常有用的特點，即在透明模式下還能正常提供路由模式下才具備的路由轉發(fā)、NAT等功能，在一些特殊場合下，該特性能實現(xiàn)“混和工作模式”（即透明和路由并存）。注意：支持多線路接入的鏈路備份和鏈路均衡功能只在路由模式下有效。接入方式SJW74系列安全網(wǎng)關支持以太網(wǎng)固定地址接入、DHCP自動獲取地址接入、PPPOE撥號接入（比如ADSL、CABLE）等幾種方式，多線路接入時，可以實現(xiàn)上述各種接入方式的組合，同時能支持多個PPPOE撥號鏈路，能適用于絕大部分的網(wǎng)絡環(huán)境。

開始配置安全網(wǎng)關配置工具和配置方式配置工具在安全網(wǎng)關能正常工作之前，必須經(jīng)過正確的系統(tǒng)配置；對安全網(wǎng)關的各種配置操作都需要通過安全網(wǎng)關控制臺（SureConsole）軟件進行。配置類型用戶可以通過安全網(wǎng)關控制臺對安全網(wǎng)關進行實時的配置，即配置的參數(shù)和信息實時生效；也可以通過編輯配置文件再一次性導入的方式進行離線配置。配置途徑安全網(wǎng)關控制臺能通過網(wǎng)絡和COM口兩種手段對安全網(wǎng)關進行配置。通常使用COM口對安全網(wǎng)關進行初始化配置，使用網(wǎng)絡進行遠程管理和配置；當通過網(wǎng)絡進行配置時，安全網(wǎng)關控制臺軟件使用SSL來保證與安全網(wǎng)關通信數(shù)據(jù)的安全；無論通過網(wǎng)絡還是串行口對安全網(wǎng)關進行配置，都需要進行用戶認證。對安全網(wǎng)關進行實時配置安全網(wǎng)關的出廠缺省配置：根用戶：root根用戶缺省密碼：changeit（中文意思為“改掉它”）LAN口IP地址：，掩碼：其他接口IP地址均為空策略為空（默認全部阻斷）對一臺剛出廠的設備，建議通過“初始化向導”工具進行初始化配置，初始化配置可以通過網(wǎng)絡或串行口進行（詳見第三章《初始化向導》）。通過串行口對網(wǎng)關進行實時配置安全網(wǎng)關的串行口配置線為兩頭都為九孔的串行連接線（設備包裝附帶），如用戶自行制作該連接線，注意將兩頭的2、3號線序進行交叉。配置步驟如下：在主機上安裝安全網(wǎng)關控制臺（SureConsole）軟件；用串行口連接線將安全網(wǎng)關的COM口與配置主機的COM口相連接（注意：SJW74C和SJW74BPRO有兩個串口，使用COM1打開安全網(wǎng)關電源，等待網(wǎng)關完成啟動（根據(jù)設備的不同，這個過程需要時間約30秒~2分鐘）；打開安全網(wǎng)關控制臺軟件，選擇“串口連接”，在“本機串口”選擇本機與安全網(wǎng)關相連接的串口編號，輸入管理員用戶名和密碼，點擊“確定”；登錄界面如下：進入配置主界面；如下圖所示：通過網(wǎng)絡對網(wǎng)關進行實時配置在主機上安裝安全網(wǎng)關控制臺（SureConsole）軟件；用一根交叉線（反線）或通過Hub、交換機將安全網(wǎng)關的LAN口和配置主機進行連接，將配置主機的該接口IP地址改為，掩碼。打開安全網(wǎng)關電源；在配置主機上啟動安全網(wǎng)關控制臺，選擇“網(wǎng)口連接”，在目標網(wǎng)關輸入安全網(wǎng)關LAN口地址“”，輸入密碼，點擊“確定”進入配置主界面。編輯配置文件在主機上安裝安全網(wǎng)關控制臺（SureConsole）軟件；打開安全網(wǎng)關控制臺軟件，選擇“編輯文件”，在彈出的對話框中選擇“新建配置文件”或編輯已有配置文件并選擇一個存放在本機的配置文件；進入配置主界面；配置結束后點擊“保存”按鈕或者在菜單中選擇“導出配置”將所做配置保存成文件；注意：當編輯配置文件時，系統(tǒng)時鐘、運行時間、日志等實時信息將不會顯示。實時保存配置信息點擊安全網(wǎng)關控制臺主界面上的“保存”按鈕或者選擇“網(wǎng)關”菜單下的“保存配置”，即將安全網(wǎng)關的當前配置保存到內部的存儲器中。注意：網(wǎng)關重新啟動過后按最后一次保存的配置運行。導入導出配置文件在實時配置模式下，點擊安全網(wǎng)關控制臺主界面上的“保存”按鈕右邊小按鈕，在下拉框中選擇“導出配置”，在彈出的對話框中選擇存放路徑并輸入文件名，點擊“確定”按鈕，即保存配置文件到指定目錄。在實時配置模式下，點擊安全網(wǎng)關控制臺主界面上的“保存”按鈕右邊小按鈕，在下拉框中選擇“導入配置”，或者在“網(wǎng)關”菜單下直接選擇“導入配置”，在彈出的對話框中選擇指定目錄下的配置，點擊“確定”按鈕，接著重新裝載配置或者重啟安全網(wǎng)關，即按配置文件中的配置運行；利用安全網(wǎng)關配置可導入導出的特性，可以進行安全網(wǎng)關的大批量離線配置，再統(tǒng)一導入；也可以通過分析配置文件進行離線的故障診斷等等；注意：在導入配置之后重新裝載配置或者重啟網(wǎng)關之前，不要保存當前配置。實時清空安全網(wǎng)關配置在安全網(wǎng)關控制臺“網(wǎng)關”菜單下選擇“清空配置”，接著重新啟動安全網(wǎng)關，安全網(wǎng)關的配置即恢復到出廠狀態(tài)。注意：在清空配置之后重啟網(wǎng)關之前，千萬不要保存配置，否則清空將失效。

初始化向導從一臺剛出廠的安全網(wǎng)關，到符合用戶的要求進行正常工作，通常要經(jīng)過各種配置。在剛開始配置時建議首先使用安全網(wǎng)關控制臺中的“初始化向導”工具對安全網(wǎng)關做初始化配置，通過初始化向導能夠設置網(wǎng)關的基本信息并實現(xiàn)一些基本功能。設備初始化的步驟打開初始化向導可以通過兩種途徑：在安全網(wǎng)關控制臺的“工具”菜單下選擇“初始化向導”或者直接選擇安全控制臺首界面下的初始化向導鏈接。打開初始化向導后的界面如下圖所示：點擊“下一步”，提示選擇網(wǎng)關型號并輸入網(wǎng)關名稱：點擊“下一步”，選擇接入方式，在初始化向導中默認為單線路接入，以固定地址接入為例：點擊“下一步”，選擇何種動態(tài)接入方式（PPPoE或DHCP），并輸入相關信息，以及接口是否允許ping和管理等等，以“PPPoE”為例：點擊“下一步”，配置網(wǎng)關的Lan口地址：點擊“下一步”，配置基本的防火墻策略：點擊“下一步”，配置VPN參數(shù)，要注意的是“VPN隧道端點”和“內部DNS”等參數(shù)都只用于客戶端，當用安全網(wǎng)關控制臺制作SureID（即部署客戶端）時才會用到這些參數(shù)：這一步設置VPN的參數(shù)在配置客戶端時使用。點擊“確定”，至此初始化向導的所有信息都輸入完畢，點擊“下一步”后，初始化向導即將初始化的信息傳送到安全網(wǎng)關，并將安全網(wǎng)關重啟。當初始化完成后，安全網(wǎng)關將自動重新啟動，啟動后安全網(wǎng)關就按向導中配置的信息運行。注意：初始化按照一條線路接入的配置，如要新增線路需另外配置。注意：建議將一臺網(wǎng)關應用到一個新的環(huán)境之前先使用初始化向導做一遍初始化。

系統(tǒng)基本信息配置在本章中將介紹安全網(wǎng)關控制臺軟件的基本結構和系統(tǒng)基本信息的配置方法。系統(tǒng)基本信息包括安全網(wǎng)關的名字、管理員帳號、系統(tǒng)日期、在后面配置中要用到的對象等等。配置軟件的基本結構不論是實時配置模式或者還是編輯配置文件的形式，都將通過相同的配置界面來完成配置工作。安全網(wǎng)關控制臺的主界面分為兩大部分，左邊的樹形結構包括了所有的配置項目；右邊是具體的配置內容，以列表的形式為主；當選中左邊某個項目時，右邊會出現(xiàn)相應的已配置信息，通過在右邊列表中的操作，可以進行各種各樣的配置。當配置軟件與安全網(wǎng)關的通信出現(xiàn)錯誤或出現(xiàn)其他錯誤時，右邊的下面部分會出現(xiàn)一個顯示提示信息的列表框。配置界面的上部有一排導航欄按鈕，這些按鈕除了“連接”、“保存”、“刷新”幾個基本功能按鈕之外，其他的會根據(jù)左邊選中的配置選項不同而變化，用于對配置具體內容的操作：“連接”按鈕用于重新連接一個安全網(wǎng)關或重新編輯一個配置文件；“保存”按鈕用于保存配置信息或導入導出配置文件；“刷新”按鈕用于在實時模式下從安全網(wǎng)關刷新當前的配置，在編輯配置文件模式下從配置文件刷新當前配置。配置界面底部顯示了當前的安全網(wǎng)關狀態(tài)、用戶配置連接方式、登錄用戶名、連接時間等信息。系統(tǒng)維護系統(tǒng)維護是配置選項中的第一個大項，其中包括五個小項，下面分別介紹各自的功能。設備信息設備信息中包括“設備名稱”、“所有者”、“管理員”、“聯(lián)系方法”等內容，記錄這些信息僅僅是為了區(qū)分設備以及記錄管理員和聯(lián)系方式，這些信息與今后的配置無任何關聯(lián)；編輯設備信息的步驟如下：1．選中“設備信息”后，雙擊右邊的列表或者點擊導航欄上的“屬性”按鈕；2．在彈出的對話框上編輯設備信息，點擊“確定”；如下圖所示：日期與時間在該項中顯示并可更改安全網(wǎng)關當前的系統(tǒng)時間和日期。修改時間日期的步驟如下：雙擊右邊列表中“系統(tǒng)時間”一項或單擊該項并在導航欄按鈕中點擊屬性，彈出修改對話框，可以手工修改，也可以選擇“與本機保持一致”，如選擇“與本機保持一致”，配置軟件自動從配置主機上讀取日期時間并設置到安全網(wǎng)關上去；點擊“確定”；如下圖：設備管理設備管理選項顯示了當前所有用戶信息，以及目前登錄用戶信息等等。缺省設備只有一個root用戶，root用戶具有最高權限；在右邊列表中顯示出最后一個用戶連接的IP地址、當前每個用戶的當前連接數(shù)目等信息；用戶可以自行添加用戶，用戶添加的用戶分為兩個級別，分別為“管理用戶”和“瀏覽用戶”，管理用戶可以對安全網(wǎng)關進行各種配置，瀏覽用戶只能實時查看當前網(wǎng)關的配置信息，不能修改配置。添加用戶時，能夠對新加用戶進行IP限制，即限定該IP地址才能登錄網(wǎng)關進行配置查詢或修改。添加用戶界面如下：在設備管理下，點擊“選項”按鈕，可更改一些控制用戶登錄的參數(shù)，主要包括“空閑切斷時間”，“最大在線個數(shù)”和“禁止重復登錄”如下圖所示：集中管理集中管理功能是配合“安全網(wǎng)關網(wǎng)管系統(tǒng)”（SureManager）實現(xiàn)對網(wǎng)關的集中監(jiān)控和策略分發(fā)的功能。注意：使用該功能必須在已經(jīng)安裝了一臺“安全網(wǎng)關網(wǎng)管系統(tǒng)”的前提下。開啟集中管理的步驟如下：在左側樹形結構中選擇“系統(tǒng)維護”下的“集中管理”，點擊導航欄上的“屬性”按鈕，或者雙擊右側的“集中管理”項；在彈出的對話框中選中“啟用集中管理功能”，輸入服務器IP，即網(wǎng)管服務器的IP地址，端口默認為4600，輸入用戶名和密碼，點擊“確定”即可。注意：用戶名與密碼在網(wǎng)管服務器上設定。關于集中管理的詳細使用方法，可參考“安全網(wǎng)關網(wǎng)管系統(tǒng)”的相關手冊和資料。設備告警設備告警選項分兩個子選項，“告警服務器”和“告警郵件”，分別用來設置當設備產(chǎn)生緊急程度相當高的事件時立即將該告警信息發(fā)送到郵件服務器或ADT專用告警服務器。設置告警服務器選項的步驟如下：選中“告警服務器”，雙擊右邊的列表；在彈出的對話框中選中“啟用告警服務器”，接著在下面的文本框中輸入告警服務器的IP地址和端口，如需用戶認證，則還需輸入認證密碼；點擊“確定”按鈕；如下圖：設置告警郵件的步驟如下：選中“告警服務器”，雙擊右邊的列表；在彈出的對話框中選中“發(fā)送告警郵件”，接著在下面的文本框中輸入SMTP服務器的域名或IP地址，如需SMTP認證，則輸入認證密碼；點擊“確定”按鈕；如下圖：設備日志設備日志選項分三個子選項，“事件記錄”、“日志服務器”和“日志郵件”。“事件記錄”用來設置對哪些類型的日志進行記錄，達到一定的過濾效果，設置的步驟如下：選中“事件記錄”，雙擊右邊的列表或點擊導航欄上的“屬性”按鈕；在彈出的對話框中對需要記錄的日志類型進行打勾，“事件記錄”從日志緊急程度和日志產(chǎn)品模塊兩方面進行日志過濾；點擊“確定”按鈕；如下圖：“日志服務器”用來設置設備產(chǎn)生的日志同步發(fā)送到ADT專用日志服務器，設置步驟如下：選中“日志服務器”，雙擊右邊的列表或點擊導航欄上的“屬性”按鈕；在彈出的對話框中選中“發(fā)送日志到外部日志服務器”，選擇日志服務器的類型是ADT專用日志服務器或者標準syslog服務器，在下面的文本框中輸入服務器的IP地址和端口號，如果服務器需認證，則輸入認證密碼；點擊“確定”按鈕；如下圖：“日志郵件”用來設置或當日志達到一定數(shù)目以后通過郵件方式發(fā)送到指定郵箱，設置步驟如下：選中“日志郵件”，雙擊右邊的列表或點擊導航欄上的“屬性”按鈕；在彈出的對話框中選中“當日志存儲空間不夠時發(fā)送日志郵件”，接著在下面的文本框中輸入SMTP服務器的域名或IP地址，如需SMTP認證，則輸入認證密碼；點擊“確定”按鈕；如下圖：經(jīng)過如上設置后，通常情況下，當日志數(shù)量達到1024條以上時，會自動發(fā)送到指定郵箱中。注意：安全網(wǎng)關產(chǎn)生日志后首先保存在本地，當超過存放空間，安全網(wǎng)關會刪除所有本地日志，重新開始記錄日志。如果設置了日志服務器，則同步發(fā)送到日志服務器，如果設置了郵件服務器，當達到一定數(shù)目以后再發(fā)送到指定郵箱。網(wǎng)絡設置網(wǎng)絡設置中包括了與安全網(wǎng)關相關的所有相關網(wǎng)絡基本信息。基本設置基本設置中有三個選項，“工作模式”、“組播支持”以及“VPNTCPMMS”。“工作模式”決定了安全網(wǎng)關是工作在路由模式還是透明模式下，即是工作在三層還是二層；當工作在透明模式時，除了能透過二層以太網(wǎng)幀，安全網(wǎng)關的三層路由、地址映射等功能依舊有效，能做到兩者兼顧。雙擊“工作模式”表項或者選中該項點擊導航欄上的“屬性”按鈕，在彈出的對話框中即可設置工作模式，如下圖：在“組播支持”中設置是否允許組播報文透過安全網(wǎng)關。無論安全網(wǎng)關工作在路由模式還是透明模式下，該設置均有效。VPNTCPMMS選項是用于在VPN隧道穿越NAT時，讓網(wǎng)關或者客戶端能順利穿透對UDP分段報文丟棄的防火墻時使用，在正常以太網(wǎng)MTU值下，該參數(shù)默認值為1368。在某些主機或路由器MTU小于正常值時可以適當調低該參數(shù)。注意：該參數(shù)調得過低會導致TCP應用得通信效率降低。“組播支持”和“VPNTCPMMS”在同一個對話框中設置，雙擊“組播支持”或“VPNTCPMMS”表項或者選中該項點擊導航欄上的“屬性”按鈕，在彈出的對話框中即可設置是否允許支持組播報文透過，如下圖：網(wǎng)絡接口在“網(wǎng)絡接口”中可以設置設備各個接口的IP地址、接口速度以及雙工模式等參數(shù)，以及PPPOE撥號的用戶名密碼等參數(shù)。雙擊右側列表中的一個接口，或者選中該接口點擊導航欄上的“屬性”按鈕，在彈出的對話框中可以看到該接口的參數(shù)信息，并對其進行修改。LAN口的接口信息配置如下圖：最上面的是“啟用本接口”選項，如果不選這個選項則該接口處于關閉（即Down）狀態(tài)，下面的所有選項也都無效；在“接口地址”中可以指定改接口的IP地址和掩碼，并且可以看到該接口的MAC地址；在“管理”選項中可以設定是否允許通過該接口配置網(wǎng)關；在“工作特性”選項中可以設定該接口的工作速率和雙工模式、以及MTU等參數(shù)。點擊“接口地址”邊上的“高級”按鈕可以在一個接口上添加多個IP地址，如下圖：SJW74CWAN口支持通過DHCP自動獲取IP地址，在WAN口的接口屬性中的“接口地址”選項下選擇“DHCP獲取”，點擊“確定”，稍候片刻，即可通過DHCP獲取IP地址，設置界面如下圖：PPPOE撥號SJW74系列安全網(wǎng)關支持多路的PPPOE撥號，除LAN口外的其他網(wǎng)口均可PPPOE撥號，以WAN口為例，設置PPPOE撥號的步驟如下：選擇左側樹形結構“網(wǎng)絡設置”下的“網(wǎng)絡接口”，雙擊右側表項中的WAN口，在彈出對話框中選擇“PPPoE撥號”頁簽，選擇“啟用PPPoE撥號”，輸入用戶名和密碼，如果一個網(wǎng)絡中存在多個PPPOE撥號服務，可以在服務名一項中手工指定服務名，使設備撥到指定的服務上去，可以通過點擊“Discover”按鈕來獲取當前網(wǎng)絡中的所有PPPoE服務，獲取的服務名會顯示在“服務名”的列表下，如果希望安全網(wǎng)關啟動和斷線后自動撥號，則在“斷線自動撥號”選項前打勾，如下圖：PPPOE撥號設置完成后，當選中WAN口時，導航欄上會出現(xiàn)一個“撥號”或“斷開”按鈕，用于進行手工的PPPOE撥號或斷開連接。注意：設置PPPOE撥號的網(wǎng)口僅僅作為物理接口，連接ADSLmodem等設備，在撥號的同時，改口本身的IP地址依然有效，相對于一個物理接口上綁定了兩個IP地址。DHCP服務安全網(wǎng)關能夠為局域網(wǎng)內的主機提供DHCP服務，配置步驟如下：在LAN口接口屬性對話框內，選中“在本接口啟用DHCP服務”，在下面的文本框中輸入DHCP服務的相關參數(shù)，其中租借時間若設置為0，則采用默認的租借時間，為5天。點擊“確定”按鈕。如下圖：注意：只有LAN口能提供DHCP服務。DNSDNS選項中指定一個主DNS服務器地址和一個備用DNS服務器地址，用于網(wǎng)關本身對域名進行解析；當安全網(wǎng)關對局域網(wǎng)內其他主機提供DNSrelay服務時，也通過這些設定的DNS服務器進行域名解析。選中“DNS”選項，雙擊右側列表或點擊導航欄上的“屬性”按鈕，在彈出的對話框中輸入主和備DNS服務器的IP地址，點擊“確定”即可，如下圖：DDNSDDNS即動態(tài)域名服務，為設備在只有動態(tài)IP的情況下（比如ADSL撥號、DHCP獲取地址）提供一個固定的域名，其它用戶或者設備可以通過該固定域名直接訪問安全網(wǎng)關設備。在配置DDNS之前，需要用戶預先為安全網(wǎng)關注冊一個域名，支持的DDNS服務商包括花生殼、希網(wǎng)等等。啟用DDNS選項功能，可以令安全網(wǎng)關通過動態(tài)域名作為VPN隧道的端點，提供解決動態(tài)IP地址下VPN互聯(lián)的另一種手段。雙擊DDNS選項下的右側列表，在彈出的對話框中輸入DDNS注冊的相關信息，選中“啟用DDNS服務”點擊確定即完成DDNS的配置。如下圖：注意：花生殼的服務器有三個域名可以使用：、、。網(wǎng)絡路由在該選項下可以查看、添加、刪除安全網(wǎng)關中的路由表項；路由表中有目的地址類型、網(wǎng)關地址類型和路由表項類型三個可選項，在通常情況下，手工添加的靜態(tài)路由的目的地址類型、網(wǎng)關地址類型都選擇為“靜態(tài)IP地址”，路由表項類型為“靜態(tài)配置”，而系統(tǒng)自動生成的路由表項類型為“動態(tài)地址”。手工添加靜態(tài)路由的步驟為：點擊導航欄按鈕上的“添加”按鈕，在彈出的對話框中輸入目的地址名稱、掩碼和網(wǎng)關地址名稱，其他的均為默認選擇，即完成一條路由的添加，如下圖：點擊導航欄按鈕上的“刪除”按鈕，則刪除當前選中路由表項；注意：當安全網(wǎng)關進行PPPOE撥號或DHCP自動獲取地址時，默認路由自動添加，如原來已有默認路由，則會被刪除。注意：當啟用鏈路均衡時，默認路由只會顯示其中的一條；注意：當安全網(wǎng)關工作在透明模式下時，網(wǎng)絡路由的接口可能不能真實反映實際數(shù)據(jù)包的走向。注意：路由表里的“接口”項由網(wǎng)關根據(jù)接口地址自動生成；在編輯配置文件時，由于配置不是針對具體的網(wǎng)關設備，“接口”項將顯示為“n/a”。ARP表在該選項下可以查看、添加、刪除、清空安全網(wǎng)關中的arp表項；點擊導航欄按鈕上的“添加”按鈕，在彈出的對話框中選擇接口，輸入IP地址、MAC地址點擊確定即完成一個arp表項的添加，如下圖：點擊導航欄按鈕上的“刪除”按鈕，則刪除當前選中arp表項，點擊導航欄按鈕上的“清空”按鈕，則清空arp表中的所有表項；注意：除了一些特殊的應用，在極少的情況下添加arp表項；注意：在arp表項上點擊右鍵，可以直接將當前表項添加到MAC地址綁定表項中。VLANTRUNKVLANTRUNK作為一項高級功能，能夠使安全網(wǎng)關接在TRUNK口上，并且對TRUNK線路中的其中一個VLAN的IP數(shù)據(jù)流進行加密或防火墻過濾操作。要開啟TRUNK功能的步驟如下：在VLANTRUNK選項下，點擊導航欄上的“選項”按鈕，在彈出的對話框中的“TRUNK控制”欄下在要開啟TRUNK的接口前打勾；點擊“確定”如下圖所示：當安全網(wǎng)關需要與位于其它VLAN的安全網(wǎng)關進行IKE協(xié)商，或者需要與位于其它VLAN的主機進行通信時，需要指定對方安全網(wǎng)關或主機所在VLAN的ID，因此需要輸入對方IP地址與VLANID的對應表，在該項下點擊導航欄上的“添加”按鈕，在彈出的對話框中輸入對方IP與VLANID的對應表，如下圖：VLAN協(xié)議支持802.1Q和ISL。點擊“刪除”按鈕刪除當前選中的IP-VLANID對應表項。注意：VLANTRUNK功能只有當安全網(wǎng)關工作在透明模式下才有效；注意：安全網(wǎng)關啟用VLANTRUNK功能后并不融入原有的VLAN體系，只是將原有TRUNK以太網(wǎng)幀的二層信息原封拷貝到加密后或做其它處理后的新數(shù)據(jù)包上。對象管理在安全網(wǎng)關的配置中，安全策略、VPN隧道、地址映射等對IP地址、服務、協(xié)議、事件表等元素的引用都采用對象的方式，從而使配置的思路更加清晰，在復雜環(huán)境下大大減小了配置的復雜度。在“對象管理”大項中有四個小項，分別提供對“網(wǎng)絡地址”、“網(wǎng)絡協(xié)議”、“網(wǎng)絡服務”和“時間表”這四種類型對象的增、刪、改功能，下面分別介紹。網(wǎng)絡地址網(wǎng)絡地址中有“地址”和“地址組”兩個選項，地址組是指包含了多個地址對象的一個地址集合。地址對象有三種類型，分別為“子網(wǎng)”、“主機”和“范圍”，用戶可以根據(jù)自己的需求來選擇地址對象的類型，當選擇“子網(wǎng)”時，需要指定子網(wǎng)掩碼。每個對象都有一個名稱，用戶可以根據(jù)自己的喜好對名稱進行定義，除此之外，還有一項描述信息供用戶使用，該項可以為空。添加一個地址對象的步驟如下：在樹形結構中選中“地址”一項，在導航欄上點擊“添加”按鈕；在彈出的對話框中輸入相關信息，點擊“確定”即可；如下圖：添加一個地址組對象的步驟如下：在樹形結構中選中“地址組”一項，在導航欄上點擊“添加”按鈕；在彈出的對話框中輸入地址組名稱，并在左側列表中選擇屬于該地址組的地址對象到右側，點擊“確定”即可；如下圖：注意：地址對象和地址組對象的名字不能重復；除了在對象管理選項中添加地址、地址組對象，還可以在添加策略和VPN網(wǎng)關時臨時添加地址、地址組對象。網(wǎng)絡協(xié)議網(wǎng)絡協(xié)議對象指IP的上層協(xié)議，通過指定協(xié)議號來確定協(xié)議類型，用于在網(wǎng)絡服務中被引用。添加一個網(wǎng)絡協(xié)議對象的步驟如下：在樹形結構中選中“網(wǎng)絡協(xié)議”一項，在導航欄上點擊“添加”按鈕；在彈出的對話框中輸入?yún)f(xié)議名稱和協(xié)議號，點擊“確定”即可；添加EGP協(xié)議如下圖所示：注意：此處配置的網(wǎng)絡協(xié)議指的是IP的上層協(xié)議，具體的協(xié)議規(guī)范詳見RFC。網(wǎng)絡服務網(wǎng)絡服務選項中包含“服務”和“服務組”兩個小項，服務組是指包含了多個服務對象一個服務集合。網(wǎng)絡服務對象描述了一個五元組中的三項信息，即源端口、目的端口和協(xié)議，用于在策略中被引用。當所選協(xié)議非TCP或UDP時，服務僅僅指協(xié)議。添加一個網(wǎng)絡服務對象的步驟如下：在樹形結構中選中“服務”一項，在導航欄上點擊“添加”按鈕；在彈出的對話框中輸入該服務的協(xié)議、源端口和目的端口信息，點擊“確定”即可；添加一個向外訪問的HTTP服務如下圖所示：安全網(wǎng)關控制臺軟件為用戶總結了一些常用的服務，在選中樹形結構中的“服務”選項后，點擊“導航欄”上的“模板導入”按鈕，即從模板文件中把一些常用服務導入到網(wǎng)關中，導入后如下圖：注意：網(wǎng)絡服務有方向之分，即外出和進入，從模板導入的所有服務都指外出的服務，進入的服務需自行定義，只需將源端口和目的端口調換即可。添加一個服務組對象的步驟如下：在樹形結構中選中“服務組”一項，在導航欄上點擊“添加”按鈕；在彈出的對話框中輸入服務組名稱，并從左邊列表選擇屬于該服務組的服務對象到右邊列表，點擊“確定”即可；如下圖：時間表時間表描述了一個個時間段的集合，在添加安全策略時被引用，用于指定該策略的生效時間。添加一個時間對象的步驟如下：在樹形結構中選中“時間表”一項，在導航欄上點擊“添加”按鈕；在彈出的對話框中點擊“添加”按鈕添加時間段，重復操作直至添加了所有的時間段，點擊“確定”即可；如下圖：注意：一個時間表中最多引用兩個時間段。

VPN配置配置VPN的步驟通常配置安全網(wǎng)關的VPN功能之前需要確定以下幾點：IKE的身份認證的方式，安全網(wǎng)關支持預共享密鑰和數(shù)字證書兩種身份認證方式；有哪些本地子網(wǎng)（或主機）和對方網(wǎng)關保護的子網(wǎng)（或主機），需要通過安全網(wǎng)關進行VPN互聯(lián)；安全網(wǎng)關通過公有地址還是私有IP地址（通常是指WAN口地址或PPPOE撥號地址）與其他安全網(wǎng)關進行VPN互聯(lián)；若安全網(wǎng)關使用公有地址，該地址是固定的還是動態(tài)的（比如ADSL撥號）；若安全網(wǎng)關使用私有地址，是通過動態(tài)映射訪問公網(wǎng)，還是通過靜態(tài)映射能夠被公網(wǎng)中其他主機訪問某個端口；如果需要安全客戶端接入本網(wǎng)關，需要為安全客戶端規(guī)劃一段私有IP地址；以上確定后，通常依照如下步驟來配置一個VPN網(wǎng)關：配置一些VPN的參數(shù)，包括IKE身份認證的方式，如果采用證書認證則需要依次導入一系列證書；是否處于NAT設備后；是否采用動態(tài)地址接入，如果是動態(tài)接入則需要提供動態(tài)接入的類型和地址服務器的帳號和密碼；添加VPN節(jié)點對象，其中需要提供對方網(wǎng)關的WAN口地址（如果是固定地址接入）和LAN口地址，預共享密鑰（如果是預共享密鑰方式認證）等信息，通過添加VPN節(jié)點，指定了和當前配置網(wǎng)關建立VPN隧道的對端網(wǎng)關的相關信息；添加VPN隧道對象，需要指定隧道的類型（靜態(tài)指定密鑰信息還是動態(tài)協(xié)商），確定隧道的安全等級，選擇隧道的對端VPN節(jié)點。在安全策略中添加VPN策略，選擇VPN隧道；添加安全客戶組信息，包括安全客戶端的私有IP地址范圍，能訪問的子網(wǎng)，加密強度等信息；生成安全客戶端；針對每個安全客戶端制作SureID；關于安全網(wǎng)關通過何種IP地址與公網(wǎng)相連對于VPN配置有著至關重要的關系。通常情況下，在一個VPN網(wǎng)絡中，至少需要一個結點有公網(wǎng)地址或者被靜態(tài)映射（包括靜態(tài)端口映射）到一個固定公網(wǎng)地址（某些端口）；在全動態(tài)IP地址接入的情況下，需要使用ADT地址服務器或動態(tài)域名的方式來實現(xiàn)動態(tài)VPN互聯(lián)。VPN的相關配置VPN的相關配置主要包含在左側樹形結構“VPN”大項下的“密鑰協(xié)商”和“動態(tài)接入”中，下面分別介紹。身份認證方式和缺省預共享密鑰安全網(wǎng)關支持預共享密鑰和數(shù)字證書兩種身份認證方式。設置身份認證方式的步驟為：在左側樹形結構中選中“密鑰協(xié)商”，在右側的列表中雙擊“身份認證方式”，或選中該項點擊導航欄上的“屬性”按鈕；在彈出的對話框中選擇任何一種身份認證方式或兩者皆可（當證書模塊未啟用時，無法選擇證書認證模式）；必要時，可以在該對話框中輸入缺省預共享密鑰；點擊“確定”按鈕。如下圖：注意：缺省密鑰是不指定VPN節(jié)點的密鑰，即對所有的節(jié)點和客戶端成員都有效的密鑰，使用缺省密鑰會降低系統(tǒng)的安全性，只有在特殊情況下使用缺省密鑰，通常不推薦使用。數(shù)字證書當安全網(wǎng)關采用數(shù)字證書作為IKE的身份認證方式時，需要將CA根證書、設備證書、私鑰等PKI相關元素導入到網(wǎng)關，另外根據(jù)需求，可配置CRL、OCSP等相關參數(shù)。在安全網(wǎng)關上導入數(shù)字證書可采用三種方式：在安全網(wǎng)關上生成PKCS10證書請求，用該請求到證書服務器上申請證書，再以文件形式導入PKCS12格式的證書；直接在證書服務器上申請證書，以文件形式導入PKCS12格式的證書；分別導入CA根證書、設備證書、設備私鑰（非標準格式）。注意：安全網(wǎng)關使用的數(shù)字證書中主體名，即commomname（cn）選項必須為安全網(wǎng)關的LAN口IP地址，以此將證書與安全網(wǎng)關綁定。采用何種方式生成并導入數(shù)字證書，用戶可根據(jù)CA系統(tǒng)支持的標準以及具體需求來決定。下面分別說明在每種方式下的證書導入方式。先生成證書請求的方式首先導入根證書，選中左側樹形結構“VPN”大項下的“數(shù)字證書”小項，雙擊右側“CA根證書”表項，在對話框中選擇存放根證書的目錄，如下圖：點擊“確定”按鈕，完成根證書的導入。右鍵點擊右側的列表，選擇“證書請求”－》“生成”，如下圖所示：在彈出的對話框中輸入，證書名稱、機構名、國家等信息，如下圖：點擊“確定”，彈出是否導出的對話框，如下圖：點擊“確定”，選擇導出請求文件的存放目錄，導出證書請求文件。利用證書請求申請數(shù)字證書的過程參考數(shù)字證書系統(tǒng)的說明書。生成數(shù)字證書后，右鍵點擊右側的列表，選擇“導入PKCS12文件”，在彈出的對話框中選擇證書文件所在目錄，并輸入密碼，點擊“確定”即可。直接導入的方式直接導入方式即省略掉上一種方式中生成證書請求的步驟，其他步驟與上一種方式相同。分別導入的方式首先導入根證書，選中左側樹形結構“VPN”大項下的“數(shù)字證書”小項，雙擊右側“CA根證書”表項，在對話框中選擇存放根證書的目錄，如下圖：點擊“確定”按鈕；雙擊右側下部的列表的“設備證書”選項，在彈出的對話框中選擇設備證書文件，如下圖：點擊“確定”按鈕；雙擊右側下部的列表的“設備私鑰”選項，在彈出的對話框中選擇設備私鑰文件，如下圖：點擊“確定”按鈕；注意：在導設備證書之前，需要首先導入CA根證書。導入和清空CRL右鍵點擊右側的列表，選擇“CRL－》導入“，即導入CRL列表，在彈出的對話框中選擇一個擴展名為crl的文件，點擊確定即可。相反，選擇“清空”，即清空當前的CRL列表，如下圖：啟用證書模塊點擊導航欄上的“選項”按鈕，在彈出的對話框中選中“啟用證書功能模塊”復選框，如果不啟用OCSP（在線證書檢查），則直接點擊“確定”按鈕；如果啟用OCSP，選中“啟用在線證書檢查功能”復選框，輸入服務器IP地址、端口、超時時間和CRL更新時間等參數(shù)，點擊“確定”按鈕。密鑰生命周期安全網(wǎng)關為了應對可能的各種網(wǎng)絡攻擊，保護網(wǎng)絡通信的各種密鑰需要定時更新，以確保在給定的時間內，攻擊者無法對密文進行破解。對生命周期的描述由兩個因素構成：時間和流量，只要其中一個因素超過設定值，安全網(wǎng)關之間就會協(xié)商新的密鑰，并使用新的密鑰來進行加密。在安全網(wǎng)關中，用SA（安全聯(lián)盟）來描述一個VPN隧道，在一個正常的安全隧道中，存在兩種SA：IKESA（第一階段SA）和IPSECSA（第二階段SA），第一階段SA用于保護第二階段SA密鑰協(xié)商時的通信，第二階段SA才真正用來加密數(shù)據(jù)，他們分別具有不同的生命周期。以下是推薦的生命周期設置值：IKESA（第一階段）生命周期時間生命周期：推薦時間為12小時，不小于6小時。流量生命周期：以K字節(jié)為單位，推薦值為10240KBIPSECSA（第二階段）生命周期時間生命周期：推薦時間為6小時，不小于1小時。流量生命周期：以K字節(jié)為單位，推薦值為104800KB安全網(wǎng)關上按照上述的推薦值設置了默認的生命周期值。通常情況下，第一階段的時間生命周期是第二階段時間生命周期的兩倍，修改IKE生命周期的步驟如下：選中左側樹形結構中“VPN”大項下的“密鑰協(xié)商”小項，雙擊右側“IKE密鑰生命周期”或“IPSEC密鑰生命周期”，或選中列表中該選項并點導航欄上的“屬性”按鈕；在彈出的對話框中輸入要設定的生命周期數(shù)值，點擊“確定”按鈕。如下圖：NAT穿透功能由于NAT在制定標準時只考慮了為TCP、UDP和ICMP三種協(xié)議做動態(tài)NAT（當時還沒有提出Ipsec協(xié)議），因此先天就決定了Ipsec協(xié)議的報文是無法穿越NAT的，即當VPN設備（或客戶端）之前有NAT設備時，就無法與其他的VPN設備建立安全隧道，這給VPN的實際應用帶來了很大的局限性，ADT系列安全網(wǎng)關和安全客戶端采用先進的NAT-T技術解決了VPN穿越NAT的問題，即通信雙方有一臺安全網(wǎng)關或安全客戶端在NAT設備的后面時，也可以建立起VPN隧道，進行安全通信。設置NAT穿透的功能的步驟如下：選中左側樹形結構中“VPN”大項下的“密鑰協(xié)商”小項，雙擊右側列表中“NAT穿透功能模塊”項，或選中該選項，并點導航欄上的“屬性”按鈕；在彈出的對話框中“網(wǎng)關在NAT設備后面”選項前打勾，點擊“確定”按鈕。如下圖：當該選項選中后，安全網(wǎng)關就可在NAT設備后與其他安全網(wǎng)關建立安全隧道。注意：由于動態(tài)NAT的單向特性，在NAT后的安全網(wǎng)關必須主動發(fā)起協(xié)商才能成功協(xié)商隧道，因此該功能常常與隧道保持功能配合使用；注意：使用NAT穿透功能需保證與之通信的對方安全網(wǎng)關有公網(wǎng)IP地址，如果要實現(xiàn)兩臺都在NAT后的安全網(wǎng)關VPN通信，則需通過一臺有公網(wǎng)IP地址的安全網(wǎng)關做隧道接力；注意：使用NAT穿透功能后，VPN的安全等級不能為“低”。隧道保持功能由于安全網(wǎng)關間加密密鑰定期更新的特性，當SA生命周期到期而又沒有通信流量的時候，安全網(wǎng)關在刪除舊的SA之后不會再協(xié)商新的SA，這給一些應用帶來了不便，隧道保持功能就是針對解決這個問題而設計。當啟用該選項后，安全網(wǎng)關會根據(jù)安全策略定期檢查定期SA是否存在，當檢查到?jīng)]有SA的時候會立即對對方安全網(wǎng)關發(fā)起協(xié)商，直到SA存在為止。可以設置定期檢查的周期，建議將該周期設置成120秒。設置隧道保持功能的步驟如下：選中左側樹形結構中“VPN”大項下的“密鑰協(xié)商”小項，雙擊右側列表中“隧道保持功能模塊”項，或選中該選項，并點導航欄上的“屬性”按鈕；在彈出的對話框中“啟動隧道保持功能模塊”選項前打勾，并再掃描間隔文本框中輸入定期檢查SA的周期，默認為120秒，點擊“確定”按鈕。如下圖：注意：對于一些協(xié)商總是單邊發(fā)起的（比如對方安全網(wǎng)關在NAT設備后）情況，在接受方網(wǎng)關則無需啟用該功能，因為在這些情況下，本網(wǎng)關無法主動發(fā)起協(xié)商，而相反在發(fā)起方的安全網(wǎng)關（動態(tài)或在NAT設備后）上應啟用該功能。動態(tài)接入該功能用于解決動態(tài)VPN地址下的VPN互聯(lián)，通過“ADT地址服務器”，同一個域中的安全網(wǎng)關可以相互知道對方的公網(wǎng)IP地址，從而建立安全隧道。當用戶使用該功能時，ADT公司會提供一個安全域的號碼和密碼，用戶可以通過WEB界面在“ADT策略服務器”上添加安全網(wǎng)關的帳號。使用動態(tài)接入的步驟如下：選中左側樹形結構中“VPN”大項下的“動態(tài)接入”小項，雙擊右側列表中的第一項，或點擊導航欄上的“屬性”按鈕；在彈出的對話框中“啟動策略服務器”選項前打勾，輸入各項的具體內容，ADT公司提供的策略服務器IP地址為0，點擊“確定”按鈕。如下圖：注意：網(wǎng)關ID的前四位數(shù)字為域號碼，中間的字母G代表安全網(wǎng)關，后三位數(shù)字代表同一個域中的安全網(wǎng)關序號，添加安全網(wǎng)關ID后的初始密碼為changeit；客戶端ID的前四位數(shù)字為域號碼，中間的字母C代表安全客戶端，后三位數(shù)字代表同一個域中的安全客戶端序號，安全客戶端ID的初始密碼為changeit；在此配置客戶端ID和密碼是為了制作SureID時能把這些信息寫入SureID中，通常多個客戶端共用一個客戶端ID和密碼。配置局域網(wǎng)到局域網(wǎng)的VPN理解了上述的VPN相關概念，配置VPN就相當簡單了。通常情況下，配置VPN有如下三個步驟：設置VPN的相關參數(shù)，比如NAT穿透選項、隧道保持或動態(tài)接入等等；添加VPN節(jié)點對象；添加安全隧道對象；添加VPN策略；典型環(huán)境下的VPN配置本節(jié)用一個具體案例來說明在典型環(huán)境下的VPN配置。在這個環(huán)境中，VPN兩端都只有一個局域網(wǎng)，局域網(wǎng)中主機默認網(wǎng)關都指向安全網(wǎng)關的LAN口，假設總部采用固定地址接入，固定地址假設為，分部采用ADSL撥號接入（動態(tài)公有IP地址）；總部安全網(wǎng)關LAN口地址為/24，分部安全網(wǎng)關LAN口地址為/24。首先應該在兩端的安全網(wǎng)關中設置雙方安全網(wǎng)關的相關信息和接口地址，接著在“對象管理”==>“網(wǎng)絡地址”==>“地址”中分別添加雙方局域網(wǎng)的IP地址對象。考慮到這是一個一端固定地址、一端動態(tài)地址的情況，可以采用以下兩種方式進行VPN互聯(lián)：不使用策略服務器，由分部單邊發(fā)起密鑰協(xié)商，使用隧道保持功能，保證隧道一直存在；使用策略服務器，雙方都可以發(fā)起協(xié)商；根據(jù)用戶自己的網(wǎng)絡環(huán)境選擇隧道保持功能或設置動態(tài)接入選項，在下面的實際案例中將不進行此項配置。接著點擊“VPN”大項下的“VPN節(jié)點”選項，點擊導航欄上的“添加”按鈕，在雙方安全網(wǎng)關上分別添加對方VPN節(jié)點對象，指定對端網(wǎng)關的相關信息。“名稱”通常輸入對方安全網(wǎng)關的名字或相關描述信息，“地址”可選擇動態(tài)、DNS或靜態(tài)IP，是指對方安全網(wǎng)關的接入方式，如果是靜態(tài)IP，則需輸入具體的IP地址“身份標識”通常選擇“IP地址”，如果在上方的地址類型選項中選擇了“靜態(tài)地址”，輸入對方安全網(wǎng)關的靜態(tài)地址；如果地址類型選擇了“動態(tài)地址”，則輸入對方網(wǎng)關的LAN口IP地址，“認證密鑰”在采用預共享密鑰認證方式下使用，需輸入與對方安全網(wǎng)關協(xié)商的預共享密鑰（雙方的預共享密鑰必須一致）。在總部安全網(wǎng)關上添加分部VPN節(jié)點對象的界面如下：在分部安全網(wǎng)關上添加總部VPN節(jié)點對象的界面如下：其次，在雙方網(wǎng)關上添加VPN隧道，指定建立隧道的VPN節(jié)點、隧道類型和安全等級。安全隧道是從4.1版本開始增加的VPN對象，將原來的VPN隧道進行抽象并通過外在的表現(xiàn)形式表示出來，使用戶能對每一個VPN隧道的狀態(tài)（是否活動），流經(jīng)隧道的流量進行監(jiān)控，能隨時清除每一個隧道相關的動態(tài)信息，使動態(tài)信息重新協(xié)商。通過安全隧道的獨立，使不同的策略都可以使用同一條安全隧道，增加了VPN配置的靈活性，降低多個網(wǎng)段進行VPN互聯(lián)時的復雜程度。在總部安全網(wǎng)關上添加分部隧道對象的界面如下：在分部安全網(wǎng)關上添加總部隧道對象的界面如下：注意：添加安全隧道對象時，可以添加備份端點來實現(xiàn)隧道的備份，工作原理為：當與主端點協(xié)商三次不成功后，網(wǎng)關自動與備份端點進行IKE協(xié)商，同理當備份端點不通時，將再次與主節(jié)點協(xié)商，以輪循的方式實現(xiàn)隧道的備份。配置中，要注意雙方的安全等級必須一致，“端點”必須選擇對方的VPN節(jié)點對象。最后在雙方的安全網(wǎng)關上分別添加安全策略，為了保證雙方能夠相互訪問，在添加VPN策略時選擇“創(chuàng)建反向策略”的復選框。在總部和分部各需添加一條VPN策略。策略添加的基本方法為：VPN策略的源地址通常是本網(wǎng)關保護的子網(wǎng)或IP地址范圍（通常是LAN口所接網(wǎng)段），目的地址是對方VPN網(wǎng)關所保護的子網(wǎng)或IP地址范圍，從數(shù)據(jù)流向來看是從本地子網(wǎng)流向對方子網(wǎng)；而反向的防火墻策略與VPN策略五元組正好顛倒，從數(shù)據(jù)流向來看是從對方子網(wǎng)流向本地子網(wǎng)。需要注意的是，雙方的VPN策略必須是完全鏡像的，即總部的源地址、源端口必須是分部的目的地址、目的端口，相反總部的目的地址、目的端口必須是分部的源地址、源端口，在分部安全網(wǎng)關上添加到總部的VPN策略如下圖：在總部安全網(wǎng)關上添加到分部的VPN策略如下圖：至此雙方的VPN配置已經(jīng)完成，只要有流量觸發(fā)或選中了“隧道保持”選項，雙方就能建立起安全隧道，進行VPN通信。補充說明：選中“創(chuàng)建反向策略”是為了能夠讓對方子網(wǎng)能主動訪問本地子網(wǎng)，如果在一個VPN網(wǎng)絡中只允許單向訪問，則主動訪問方無需添加反向防火墻放行策略。比如只允許總部子網(wǎng)訪問分部子網(wǎng)，不允許分部子網(wǎng)訪問總部子網(wǎng)，則在總部網(wǎng)關上無需添加反向防火墻策略。但無論如何，VPN通信雙方至少有一方需添加反向的防火墻策略。局域網(wǎng)中有多個網(wǎng)段時的VPN配置當VPN通信雙方的內網(wǎng)中有三層交換機或路由，即VPN通信雙方不僅僅是與安全網(wǎng)關LAN口同一網(wǎng)段的子網(wǎng)時，此時需要在安全網(wǎng)關和三層交換機或路由器上添加靜態(tài)路由，而VPN的配置則與上述的典型環(huán)境下的配置并無區(qū)別。下面舉例來說明。假設一個大型企業(yè)總部通過三層交換機劃分了3個VLAN，分別為/24、/24和/24；分部也同樣用三層交換機劃分了3個VLAN，分別為/24、/24和/24；而雙方安全網(wǎng)關的LAN口地址分別為和，雙方三層交換機的IP地址分別為54和54（與安全網(wǎng)關LAN口同一網(wǎng)段的接口地址），要通過VPN實現(xiàn)總部和分部各個子網(wǎng)之間的互通。此時VPN有兩種配置方法：其一，因為總部和分部地址規(guī)劃時隔離度比較好，可以將總部和分部的地址分別歸納到一個16位掩碼的IP地址段中，因此雙方可以只添加一條策略，對總部來說，源地址為/16、目的地址為/16；對分部來說，源地址為/16、目的地址為/16，網(wǎng)關對象設置與典型情況下的一致。這種配置方法的優(yōu)點是簡單，缺點是控制粒度不夠。其二，為每個網(wǎng)段分別來添加VPN策略，比如總部分別配置/24到/24加密、/24到/24加密……依次類推，在這種方式下，如果要實現(xiàn)各個網(wǎng)段的兩兩互通，則總部和分部安全網(wǎng)關上分別需要配置9條策略，當VLAN數(shù)目更多，網(wǎng)絡結點更多的情況下，策略數(shù)目還將增加。這種配置方法的優(yōu)先是控制粒度細，缺點是策略舒服繁多，配置復雜。用戶可以根據(jù)自己的安全性需求等具體情況來選擇上述兩種策略配置方法。除了VPN策略，在這種情況下還需要在三層交換機和安全網(wǎng)關上分別添加靜態(tài)路由，以保證發(fā)到對方的IP報文能到達安全網(wǎng)關的LAN口，添加靜態(tài)路由也有歸納添加和分別添加兩種方式：首先介紹歸納添加，在總部的三層交換機上添加如下路由：iproute，在分部的三層交換機上添加如下路由：iproute，在總部的安全網(wǎng)關上添加如下路由：在分部安全網(wǎng)關上添加如下路由：分別添加路由的方法，在總部三層交換機上添加如下三條路由：iproute；iproute……依次類推；在分部三層交換機上添加如下三條路由：iproute；iproute……依次類推。在總部安全網(wǎng)關上添加如下兩條路由：……依次類推；在分部安全網(wǎng)關上添加如下兩條路由：……依次類推；廠家建議：在這種情況下，在配置安全策略時可以采用歸納的辦法，以減輕配置策略的工作量和復雜度，而在配置路由時采用分別添加的辦法，來控制VPN的訪問控制粒度。注意：當安全網(wǎng)關和防火墻并行配置時，也可利用上述的添加靜態(tài)路由的方法來解決局域網(wǎng)中主機把默認網(wǎng)關指向防火墻的問題。配置安全客戶端遠程接入SJW74系列安全網(wǎng)關支持“安全網(wǎng)關客戶端”軟件，安裝了該軟件的用戶只要和網(wǎng)關所在的網(wǎng)絡互通，就能夠通過與安全網(wǎng)關建立安全隧道與受其保護的子網(wǎng)進行安全通信。軟件的使用方法詳見安全客戶端軟件的使用說明書，這里主要介紹如何在安全網(wǎng)關上作相應的配置。通常配置安全客戶端的步驟如下：添加“客戶組”；添加客戶組成員；制作SureID；添加移動客戶組添加客戶組的步驟如下：在左側樹形結構中選中“VPN”大項下的“客戶組”，點擊導航欄上的“添加”按鈕；在彈出的對話框中，輸入客戶組的名稱，選擇客戶組成員地址（即客戶端的私有地址，寫入SureID中）、客戶組可訪問的本子子網(wǎng)地址、安全等級，輸入組密鑰；點擊“確定”；如下圖：添加了客戶組后，在安全策略中會自動生成兩條策略，名稱為移動客戶組名稱＋“-VPN”和移動客戶組名稱＋“-ByPass”。這兩條安全策略將安全客戶組當作一個不確定外網(wǎng)IP的遠程訪問子網(wǎng)。無法修改該兩條策略的五元組信息和VPN信息，只能編輯高級選項中的內容。注意：安全客戶組的成員地址作為客戶端訪問內網(wǎng)的身份標識，不能與VPN網(wǎng)絡中各個子網(wǎng)的私有IP相重復；注意：“成員地址”對象的類型建議使用“范圍”，因為“子網(wǎng)”的起始和結束地址為網(wǎng)絡地址和廣播地址，而這兩個地址用在客戶端上是無效的。注意：由于絕大部分安全客戶端會穿NAT使用，因此安全等級必須采用“中”以上。添加客戶組成員添加客戶組成員的步驟如下：選中已經(jīng)添加的客戶組，點擊導航欄上的“成員控制”按鈕；在彈出的對話框中點擊“添加”按鈕；在彈出的對話框中選擇一個客戶端成員私有IP地址，輸入客戶端名稱，如有需要，可輸入備注內容；點擊“確定”；重復2－4步操作依次添加允許接入的安全客戶端用戶；如下圖：缺省情況下，每個安全客戶端都使用在添加“客戶組”時輸入的缺省組密鑰；在“成員控制”對話框中，點擊“編輯”、“刪除”按鈕可以編輯和刪除已經(jīng)添加的安全客戶端用戶。如果對某一個用戶選中“禁止接入”選項，則可切斷其當前的連接，并令其無法再次接入，直至取消這個選項。如果在客戶組的屬性對話框中，選中“禁止屬于本組的客戶端接入”選項，則該客戶組的所有客戶端用戶都無法接入該安全網(wǎng)關。制作SureID或生成客戶端配置文件當“安全客戶端”只接入到一臺安全網(wǎng)關時，可用“VPN客戶端部署向導”來為客戶端用戶制作SureID或生成客戶端配置文件；但是當“安全客戶端”需要同時接入多臺安全網(wǎng)關時，則需要“安全客戶端控制臺”軟件為其制作SureID（詳見《安全客戶端控制臺使用手冊》）。使用“VPN客戶端部署向導”制作SureID要通過的步驟如下：選中已經(jīng)添加的客戶組，點擊導航欄上的“成員部署”按鈕或在“成員控制”對話框中點擊“成員部署”按鈕；彈出“VPN客戶端部署向導”對話框：點擊“下一步”，選擇要制作的客戶端所屬的客戶組：點擊“下一步”，選擇是使用SureID還是使用文件，如果是使用SureID，則輸入PIN碼（缺省為8個0），如下圖：如果是使用文件（即制作成客戶端配置文件），需要插入許可制作文件的licensekey（類似SureID），選擇文件的存放目錄，輸入密碼（使用該文件時需要輸入的密碼）：注意：使用文件方式可以“選擇為SureID更新文件方式”，選中該選項后，制作出來的文件不能直接在客戶端上使用，而是用于更新原來制作的SureID（更新方法參考《安全客戶端使用手冊》）。注意：使用SureID時配置版本有V1和V2兩個版本，V1是兼容以前的版本；V2是遠程下載客戶端配置的版本，只有在客戶端軟件1.8.0之后版本才支持，另外使用V2版本具備改變客戶端信息后無需重新制作SureID的特性。點擊“下一步”，選擇需要制作的客戶端用戶，當用戶多時，可以使用“全選”、“反選”等功能按鈕來選擇需要的用戶：點擊“下一步”，等待“VPN客戶端部署向導”分析、生成數(shù)據(jù)：如果是使用SureID，根據(jù)對話框的提示，依次插入相應的SureID，直到所有選擇的客戶端都制作完成，如果是使用文件，則直接生成文件：客戶端從網(wǎng)關自動下載配置在4.1版本中，安全網(wǎng)關支持客戶端使用用戶名、口令，通過SSL通道安全的從網(wǎng)關自動獲取客戶端配置并建立VPN隧道，減少客戶端配置管理和維護的工作量，對網(wǎng)關上客戶端配置的修改能立即生效，無需客戶端重新制作SureID或者配置文件。客戶端認證使用的用戶名為客戶組“成員控制”中添加的客戶端名，初始密碼為“成員控制”中添加的密鑰。注意：支持此項功能需要VPN客戶端軟件1.8.0及以上版本。配置WEB客戶端（NC功能）打開和配置NC功能NC（NoClient）功能能夠提供用戶在不事先安裝客戶端軟件的條件下支持遠程移動接入。打開NC功能的步驟如下：選擇左側樹形結構下“WEB客戶端”下的“WEB服務”選項；點擊導航欄上的“選項”按鈕，在彈出的對話框中輸入端口號和并發(fā)連接數(shù)（缺省的端口為80，最大的并發(fā)數(shù)為100），如下圖所示：在WebServer前的復選框上打勾，如下圖所示：注意：如果需要修改端口號和并發(fā)連接數(shù)，必須先關閉WebServer，修改完后再開啟。當使用WEB客戶端（NC）功能時，網(wǎng)關上相當于開啟了一個WEB服務器，當需要對WEB服務器的文件進行升級更新時，就需要向網(wǎng)關上傳文件，上傳WEB文件的步驟如下：選擇左側樹形結構下“WEB客戶端”下的“WEB服務”選項，關閉WebServer服務，即去掉在WebServer前的復選框，；點擊導航欄上的“清空”按鈕，清空當前的WEB目錄文件；點擊導航欄上的“文件導入”按鈕，在彈出的對話框中，選擇相應的WEB目錄，如下圖所示：如果需要導入指定的個別文件，選擇“導入制定文件”，并選中需要導入的文件，點擊“開始傳輸”，稍候片刻，文件傳完后會提示“傳輸完成”。配置資源展示用戶登錄后，如果需要在WEB界面上出現(xiàn)該用戶需要訪問的資源，就需要對資源展示進行配置，具體步驟如下：選擇左側樹形結構下“VPN”下的“客戶組”選項，選擇一個需要資源展示的客戶組，點擊右鍵，選擇資源瀏覽，如下圖所示：在彈出的對話框中點擊“添加”按鈕，在彈出的對話框中輸入需要展示資源的URL鏈接和名稱，如下圖：點擊“確定”按鈕。

多鏈路配置鏈路備份工作原理ADT安全網(wǎng)關SJW74系列的鏈路備份功能，提供了鏈路級別的冗余備份功能。在網(wǎng)關出口上，在兩個出口分別屬于兩個網(wǎng)絡的情況下，一個出口的鏈路能為另一個做備份，在其線路中斷時接替做為備份出口。這種需求經(jīng)常出現(xiàn)于政府諸如電力，金融和石化等行業(yè)用戶的專線網(wǎng)絡中。如下圖所示：主用線路為專線網(wǎng)絡，而Internet做為專線的備用接入方式。在SJW74網(wǎng)關上配置鏈路備份，線路2作為主用鏈路，線路1作為備用鏈路，工作模式設為搶占。這時，所有數(shù)據(jù)都通過線路2運行，線路1處于等待狀態(tài)。當線路2出現(xiàn)故障時，線路1自動切換成工作狀態(tài)，所有數(shù)據(jù)在幾秒種內轉而通過線路1運行，而線路2切換成等待狀態(tài)。當線路2恢復工作后，數(shù)據(jù)流又將自動切換回線路2，線路1切換成等待狀態(tài)。注意：鏈路備份最佳工作在VPN兩端設備都有鏈路備份功能時。注意：如有兩條Internet線路，那么建議采用負載均衡功能，達到兩條鏈路相互備份和均衡負載的功能。配置方法全局配置在“鏈路備份”的全局選項中有如下選項：工作模式：搶占模式指當主鏈路恢復時，將主動搶占備鏈路占據(jù)的主用鏈路權；輪轉模式指當主鏈路恢復時，不會搶占主用鏈路權，直到備鏈路失效為止；時間間隔：默認每隔10秒發(fā)送一次數(shù)據(jù)包檢測首選/次選檢測站點的的相應端口是否有響應失效次數(shù)：默認3次收不到檢測站點的響應數(shù)據(jù)包則認為該站點失效檢測時間間隔：默認每次搶占數(shù)據(jù)包發(fā)送間隔60秒搶占時間間隔：默認鏈路恢復后5分鐘開始進行搶占成功確認次數(shù)：默認搶占確認數(shù)據(jù)包收到3次為成功搶占。鏈路設置設置鏈路的步驟如下：選擇左側樹形結構“鏈路設置”下的“鏈路備份”，在右側下方的“鏈路備份”列表中雙擊某條鏈路，在彈出的對話框中選擇鏈路接口名，輸入該接口的“下一跳路由”，選擇“關聯(lián)策略”，如下圖：點擊“確定”按鈕；注意：關聯(lián)策略的作用是將鏈路狀態(tài)與策略掛鉤，即當該鏈路生效的時候、與之關聯(lián)的策略也生效；當鏈路失效的時候，關聯(lián)的策略相應的禁用。開啟鏈路備份在完成上述的設置之后，最后需開啟鏈路備份功能，才能使設置生效。點擊鏈路導航欄上的“開啟”按鈕，即可開啟鏈路均衡，如圖：配置實例下面給出了最典型的鏈路備份配置方法，拓撲如圖：圖中紅線代表VPN數(shù)據(jù)加密的路徑圖中紅線代表VPN數(shù)據(jù)加密的路徑這是某證券專網(wǎng)的示意圖，平時分部與總部通過專網(wǎng)進行數(shù)據(jù)通訊，由于是極重要的金融數(shù)據(jù)所以在專網(wǎng)內通過SJW74C進行VPN加密通信；另外兩地各有一條Internet通道，平時不使用，在專網(wǎng)不通時，原專網(wǎng)數(shù)據(jù)即被鏈路備份至Internet線路進行傳輸。配置步驟如下：總部和分部各自設備初始化，配置WAN、LAN和EXT口的IP，默認網(wǎng)關指向專網(wǎng)的路由器（總部指向，分部指向）總部和分部各自配置兩條VPN隧道，相對應與專網(wǎng)鏈路與Internet鏈路（兩條隧道節(jié)點不同，其他屬性可以設置相同）

總部：策略名稱源地址目的地址服務動作VPN節(jié)點VPN身份標識NAT地址VPN到分部（專網(wǎng)）_VPNPASSANY放行N/AN/AN/AVPN到分部（專網(wǎng)）ANYVPN加密N/AVPN到分部（公網(wǎng)）_VPNPASSANY放行N/AN/AN/AVPN到分部（公網(wǎng)）ANYVPN加密N/ADEFAULTANYANYNATN/AN/ASYS_DYN_POOL分部：策略名稱源地址目的地址服務動作VPN節(jié)點VPN身份標識NAT地址VPN到總部（專網(wǎng)）_VPNPASSANY放行N/AN/AN/AVP