SJW74系列TPN安全網(wǎng)關配置手冊V5.1QjADTAssuredData2008年4月目錄TOC\o"1-5"\h\z\o"CurrentDocument"第1章TPN安全網(wǎng)關簡介 6\o"CurrentDocument"1.3 應用環(huán)境 7\o"CurrentDocument"1.5 接入方式 8\o"CurrentDocument"第2章 開始配置安全網(wǎng)關 9\o"CurrentDocument"2.! 配置工具和配置方式 9\o"CurrentDocument"配置工具 9\o"CurrentDocument"配置途徑 9\o"CurrentDocument"對安全網(wǎng)關進行實時配置 9\o"CurrentDocument"通過串行口對網(wǎng)關進行實時配置 10\o"CurrentDocument"通過網(wǎng)絡對網(wǎng)關進行實時配置 11\o"CurrentDocument"實時保存配置信息 12\o"CurrentDocument"導入導出配置文件 12\o"CurrentDocument"清仝安全網(wǎng)關配置 13\o"CurrentDocument"第3章初始化向導 14\o"CurrentDocument"3.1 設備初始化的步驟 14\o"CurrentDocument"第4章 系統(tǒng)基本信息配置 19\o"CurrentDocument"配置軟件的基本結構 19\o"CurrentDocument"系統(tǒng)維護 19\o"CurrentDocument"設備管理? 21\o"CurrentDocument"集中管理. 22\o"CurrentDocument"設備告警. 23\o"CurrentDocument"網(wǎng)絡設置 27\o"CurrentDocument"基本設置. 27\o"CurrentDocument"網(wǎng)絡接口 29\o"CurrentDocument"DHCP服務 32\o"CurrentDocument"4.4.3 網(wǎng)絡服務 41\o"CurrentDocument"第5章 VPN配置 46\o"CurrentDocument"VPN的相關配置 47\o"CurrentDocument"身份認證方式和缺省預共享密鑰 47\o"CurrentDocument"數(shù)字證書. 48\o"CurrentDocument"密鑰生命周期. 52\o"CurrentDocument"NAJ穿透功能 53\o"CurrentDocument"配置局域網(wǎng)到局域網(wǎng)的VPN 56\o"CurrentDocument"典型環(huán)境下的VPN配置. 57\o"CurrentDocument"局域網(wǎng)中有多個網(wǎng)段時的VPN配置. 62\o"CurrentDocument"VPN向導 66\o"CurrentDocument"第6章 防火墻配置 70\o"CurrentDocument"地址映射（NAT）配置 70\o"CurrentDocument"配置NAT的通常步驟. 70\o"CurrentDocument"NAT 70\o"CurrentDocument"狀態(tài)檢測配置 75\o"CurrentDocument"快速過濾配置 76\o"CurrentDocument"HTTP檢測配置 77\o"CurrentDocument"非法URL檢測設置. 77\o"CurrentDocument"URL過濾以置. 78\o"CurrentDocument"HTTP檢測在策略中的設置. 81\o"CurrentDocument"用戶認證配置 82\o"CurrentDocument"攻擊檢測配置 84\o"CurrentDocument"IDS互動配置 87\o"CurrentDocument"MAC地址綁定配置 88\o"CurrentDocument"網(wǎng)關ARP代理 89\o"CurrentDocument"第7章安全策略 917.! 安全策略的匹配 91策略的匹配機制和快速匹配功能 91\o"CurrentDocument"策略生效時間. 92\o"CurrentDocument"安全策略的順序調整 92\o"CurrentDocument"安全策略相關操作 93\o"CurrentDocument"第8章多鏈路配置 94\o"CurrentDocument"] 工作原理. 94\o"CurrentDocument"配置方法 94\o"CurrentDocument"配置實例. 96\o"CurrentDocument"8.2.1 工作原理? 101\o"CurrentDocument"8.3 策略路由 105\o"CurrentDocument"第9章 WEB客戶端 1089.1 寸入WEB客ノ,セ而 108\o"CurrentDocument"第10章TPN配置 110\o"CurrentDocument"10.1.1 基本イM底 110\o"CurrentDocument"10.1.3 權限對象 115\o"CurrentDocument"用戶/認證管理 126用戶管理. 126\o"CurrentDocument"在線用戶 130\o"CurrentDocument"禁用用戶 131\o"CurrentDocument"認證服務器（第三方服務器認證） 131\o"CurrentDocument"認證選項. 132\o"CurrentDocument"TPN向導 133\o"CurrentDocument"自定義進程特征庫 136\o"CurrentDocument"TPN推薦配置順序 137\o"CurrentDocument"第11章 事件與報告 139\o"CurrentDocument"系統(tǒng)日志 139\o"CurrentDocument"流量統(tǒng)計 141\o"CurrentDocument"威脅報告 142\o"CurrentDocument"第12章 其他功能 144\o"CurrentDocument"流量控制 144\o"CurrentDocument"基于策略的流量を制. 144\o"CurrentDocument"基于用戶的流量控制. 147\o"CurrentDocument"移動加速 149\o"CurrentDocument"調整NAT映射表項刷新時間 15312.5.2 使用she〃交，而 155\o"CurrentDocument"12.5.5文件導入導出功能 158\o"CurrentDocument"12.6.1內(nèi)核升級 159\o"CurrentDocument"恢復備份配置 164雨^配自 165\o"CurrentDocument"附錄 166\o"CurrentDocument"附錄A主要名詞術語解釋 166\o"CurrentDocument"附錄B安全網(wǎng)關配置常見問題 166\o"CurrentDocument"附錄C推薦配置順序 168感謝您購買ADTSJW74系列安全網(wǎng)關!本手冊將為您詳細介紹安達通SJW74TPN系列安全網(wǎng)關的使用方法。歡迎訪問安達通公司網(wǎng)站him:〃,及致電本公司400-880-1233。第1章TPN安全網(wǎng)關簡介功能簡介安全網(wǎng)關應用IKE技術和Ipsec技術對!P數(shù)據(jù)流進行端到端的加密保護,實現(xiàn)異地子網(wǎng)之間的安全互聯(lián),以及移動用戶對固定網(wǎng)絡的安全接入,提供VPN服務;安全網(wǎng)關應用NAT技術使得企業(yè)內(nèi)部私有地址能夠訪問外部互聯(lián)網(wǎng),并且能將內(nèi)網(wǎng)服務器的端口映射到公網(wǎng)上;安全網(wǎng)關應用包過濾和狀態(tài)檢測技術保護內(nèi)網(wǎng)主機和服務器,提供防火墻的功能:安全網(wǎng)關具有鏈路備份和負載均衡的功能,支持在兩條線路接入下的鏈路備份功能,以及多條線路（2-3條）接入下的鏈路負載均衡功能安全網(wǎng)關具備隧道接カ、隧道嵌套、VPN后NAT、NAT后VPN等多種髙級功能,能夠組建各種復雜的VPN網(wǎng)絡，滿足客戶的各種應用需求。安全網(wǎng)關和TPN主機端程序利用身份認證技術和主機檢測技術，實現(xiàn)進程檢測和接入安全功能。硬件接口以SJW74T-1000為例，安全網(wǎng)關外形如下圖所示:SJW74T-300、SJW74T-500、SJW74T-IOOO、安全網(wǎng)關帶有4個網(wǎng)口，其中一個LANロ,ー個WANロ,ー個EXTO口和一個EXTIロ（均為10/100M自適應,WAN/EXT0/EXT1均可做為公網(wǎng)出口）；SJW74T-I5OO、SJW74T-3000安全網(wǎng)關帶有4個網(wǎng)口,其中一個LANロ,ー個WANロ,一一個EXT0口和一個EXT1ロ（均為10/100M/1000M自適應,WAN/EXT0/EXT!均可做為公網(wǎng)出ロ）;各型號的網(wǎng)關還具備:兩個COMロ,COM1用于配置和故障恢復,COM2作為雙機熱備時“心跳線”的連接口;!個電源指示燈;4個網(wǎng)絡接口指示燈。應用環(huán)境SJW74安全網(wǎng)關的典型應用環(huán)境如下圖,總部采用兩條用戶可以參考該圖規(guī)劃自己的應用環(huán)境。工作模式安全網(wǎng)關支持在路由模式和透明模式兩種模式下工作,能夠滿足在各種網(wǎng)絡環(huán)境下的應用。在路由模式下，安全網(wǎng)關作為ー個三層設備工作,通常部署在內(nèi)外網(wǎng)的邊界,為內(nèi)外網(wǎng)提供路由、防火墻過濾、NAT和IPSEC加密等功能；在透明模式下,安全網(wǎng)關作為ー個透明網(wǎng)橋工作在二層,對通過安全網(wǎng)關的數(shù)據(jù)流進行包過濾或提供IPSEC加密服務。此時,可以任意設置LAN口和WANロ地址。使用透明模式可以不改變用戶原有的網(wǎng)絡結構和地址規(guī)劃，并且能使非IP的其他協(xié)議（比如IPX、NETBEUI等）順利透過安全網(wǎng)關；另外,ADT安全網(wǎng)關還具備ー個非常有用的特點,即在透明模式下還能正常提供路由模式下オ具備的路由轉發(fā)、NAT等功能,在ー些特殊場合下,該特性能實現(xiàn)“混和工作模式”（即透明和路由并存）。注意:支持多線路接入的鏈路備份和鏈路均衡功能只在路由模式下有效。接入方式SJW74系列安全網(wǎng)關支持以太網(wǎng)固定地址接入、DHCP自動獲取地址接入、PPPOE撥號接入（比如ADSL、CABLE）等幾種方式,多線路接入時,可以實現(xiàn)上述各種接入方式的組合,同時能支持多個PPPOE撥號鏈路，能適用于絕大部分的網(wǎng)絡環(huán)境。第2章開始配置安全網(wǎng)關配置工具和配置方式配置工具在安全網(wǎng)關能正常工作之前,必須經(jīng)過正確的系統(tǒng)配置:對安全網(wǎng)關的各種配置操作都需要通過安全網(wǎng)關控制臺（SureConsole）軟件進行。配置途徑安全網(wǎng)關控制臺能通過網(wǎng)絡和COMロ兩種手段對安全網(wǎng)關進行配置。通常使用COMロ對安全網(wǎng)關進行初始化配置,使用網(wǎng)絡進行遠程管理和配置;通過網(wǎng)絡進行配置時，安全網(wǎng)關控制臺軟件使用SSL來保證與安全網(wǎng)關通信數(shù)據(jù)的安全;無論通過網(wǎng)絡還是串行口對安全網(wǎng)關進行配置，都需要進行用戶認證。對安全網(wǎng)關進行實時配置安全網(wǎng)關的出廠缺省配置;?根用戶:root〇根用戶缺省密碼:changeit（中文意思為“改掉它”）〇しANロ1P地址:,掩碼:〇其他接口IP地址均為空〇策略為空（默認全部阻斷）對一臺剛出廠的設備，建議通過“初始化向導”工具進行初始化配置,初始化配置可以通過網(wǎng)絡或串行口進行（詳見第三章《初始化向導》）。2.2.I通過串行口對網(wǎng)關進行實時配置安全網(wǎng)關的串行口配置線為兩頭都為九孔或RJ45的串行連接線（設備包裝附帶）如用戶自行制作該連接線,線序如下:口九孔的線兩頭2、3號線進行交叉;□RJ45的線3、6號線進行交叉。配置步驟如下:.在主機上安裝安全網(wǎng)關控制臺（SureConsole）軟件;.用串行口連接線將安全網(wǎng)關的COM口與配置主機的COMロ相連接（注意:如碰到有兩個串口的安全網(wǎng)關,均連接到C0M1）；.打開安全網(wǎng)關電源,等待網(wǎng)關完成啟動（根據(jù)設備的不同,這個過程需要時間約30秒?2分鐘）；.打開安全網(wǎng)關控制臺軟件,選擇“串口連接”，在‘‘本機串口”選擇本機與安全網(wǎng)關相連接的串口編號,輸入管理員用戶名和密碼，點擊’‘確定”;登錄界面如下:登錄確定は)取消?5.進入配置主界面;如下圖所示:ン安全網(wǎng)美平臺網(wǎng)關(5)両口Q)S?Y),一,七-連接保存0登錄確定は)取消?5.進入配置主界面;如下圖所示:ン安全網(wǎng)美平臺網(wǎng)關(5)両口Q)S?Y),一,七-連接保存0TB?ゴ累如?妒,カ網(wǎng)增設??セ對象莒理>.i防火墻SみVPN?.安全策略i雙機，出&?ッ睡跪點?* -策略路由>：**WE8客戶?? !爲色/權M者過?，.用戸/認證管理わ?！鍪录聢笄喙ぞ?I)相助(由ニ 〇W 關于ー控創(chuàng)臺系廁間:200831914:28:11系統(tǒng)已經(jīng)運行了。天。小時23分?22秒基本價?網(wǎng)關名稀: TB序列號: ADT-746P-06030053軟件版本: 5.1.001tb_l耍件版本: SJW74-T500工作模式: 路由模式幣び顔本:3.0,1定制?!勒模式:庠エ?]資A使用CPU： 30.5%內(nèi)存: 48.3%Sff： 0036%ー網(wǎng)絡接口接口 塩址 攤碼 狀る用用用用t*fiEeevi用用用用t*fiEeeviwan 45extO 45extl 0.0,0.0PPPoE(wan) 00.0.0益VPN向導ムTPN配益VPN向導耽罐 目標網(wǎng)關!32,132.0.245 置錄用戶root 逹接時間24秒2.2.2通過網(wǎng)絡對網(wǎng)關進行實時配置.在主機上安裝安全網(wǎng)關控制臺(SureConsole)軟件:.用ー根交叉線(反線)或通過Hub、交換機將安全網(wǎng)關的LAN口和配置主機進行連接,將配置主機的該接口1P地址改為?掩碼。.打開安全網(wǎng)關電源;.在配置主機上啟動安全網(wǎng)關控制臺,選擇“網(wǎng)口連接”,在目標網(wǎng)關輸入安全網(wǎng)關LAN口地址“192.168丄1”,輸入密碼,點擊“確定”;登錄界面如下:.進入配置主界面。實時保存配置信息點擊安全網(wǎng)關控制臺主界面上的“保存”按鈕或者選擇“網(wǎng)關”菜單ド的“保存配置”,即將安全網(wǎng)關的當前配置保存到內(nèi)部的存儲器中。注意:網(wǎng)關重新啟動過后按最后一次保存的配置運行。導入導出配置文件在實時配置模式下，選擇安全網(wǎng)關控制臺“網(wǎng)關”菜單下的“導出配置”項，在彈出的對話框中選擇存放路徑并輸入文件名，點擊“確定”按鈕，即保存配置文件到指定目錄。

連接（り ?▼ク連接（り ?▼ク刷新重新啟動（B）網(wǎng)關升級（5特征庫導出（E）▲清空配置（C）保存配置（9導入配置（I）重新裝載（財導出配置（り恢復備份（め同步配置（り:設置接口6（動態(tài)DN!路由表NTRUNK退出Q）> 1 >?T<，f,ピ安全同美平臺網(wǎng)關（0操作（〇）查看（り工具（D幫助（ヒ在實時配置模式下,選擇安全網(wǎng)關控制臺“網(wǎng)關”菜單下的“導入配置”項,在彈出的對話框中選擇指定目錄下的配置文件,點擊“確定”按鈕,接著重新裝載配置或者重啟安全網(wǎng)關，即按配置文件中的配置運行;利用安全網(wǎng)關配置可導入導出的特性，可以進行安全網(wǎng)關的大批量離線編輯,再統(tǒng)ー導入;也可以通過分析配置文件進行離線的故障診斷等等;注意:在導入配置之后重新裝載配置或者重啟網(wǎng)關之前，不要點“保存”按鈕。清空安全網(wǎng)關配置在安全網(wǎng)關控制臺“網(wǎng)關”菜単下選擇“清空配置”，接著重新啟動安全網(wǎng)關,安全網(wǎng)關的配置即恢復到出廠狀態(tài)。注意:在清空配置之后重啟網(wǎng)關之前,千萬不要保存配置,否則清空將失效。第3章初始化向導從一臺剛出廠的安全網(wǎng)關,到符合用戶的要求進行正常工作,通常要經(jīng)過各種配置。在剛開始配置時建議首先使用安全網(wǎng)關控制臺中的“初始化向導”工具對安全網(wǎng)關做初始化配置,通過初始化向導能夠設置網(wǎng)關的基本信息并實現(xiàn)ー些基本功能。3.1設備初始化的步驟打開初始化向導可以通過兩種途徑:在安全網(wǎng)關控制臺的“工具”菜單下選擇“初始化向導”或者直接選擇安全控制臺首界面下的初始化向導鏈接。打開初始化向導后的界面如下圖所示:點擊“下ー步”，提示選擇網(wǎng)關型號并輸入網(wǎng)關名稱:

點擊“下ー步”,選擇接入方式,在初始化向導中默認為單線路接入,以固定地址接入為例:點擊“下ー步”,選擇何種動態(tài)接入方式（PPPoE或DHCP）,并輸入相關信息，以及接口是否允許ping和管理等等，以“PPPoE”為例:

點擊“下ー步'配置網(wǎng)關的Lan口地址:點擊’‘下一步”,配置VPN參數(shù),要注意的是“VPN隧道端點“和‘’內(nèi)部DNS”等參數(shù)都只用于客戶端,當用安全網(wǎng)關控制臺制作SurelD（即部署客戶端）時オ會用到這些參數(shù):

點擊“下ー步”,配置集中管理參數(shù),安全網(wǎng)關可以工作在“自主管理”和“集中管理”兩種模式下，“自主管理”可以選擇“接受監(jiān)控”。所謂“集中管理”，是指通過ADT網(wǎng)管服務器(SureManager)統(tǒng)一下發(fā)VPN參數(shù)(節(jié)點、隧道、策略)，從而達到快速部署VPN網(wǎng)絡的目的，并且網(wǎng)關統(tǒng)ー上報運行狀態(tài)，接受網(wǎng)管服務器的監(jiān)控。在安全網(wǎng)關上可以選擇“自主管理”和“集中管理”兩種方式,“自主管理”方式下可以選擇“接受監(jiān)控”,即只向網(wǎng)管服務器上報運行信息，不接受ド發(fā)VPN參數(shù)。一旦選擇“集中管理”或者“自主管理”下的“接受監(jiān)控”,都需要在下面“參數(shù)設置”里輸入服務器IP,用戶名、密碼等參數(shù)。點擊“下ー步”，至此初始化向導的所有信息都輸入完畢，初始化向導即將初始化的信息傳送到安全網(wǎng)關,并將安全網(wǎng)關重啟。當初始化完成后,安全網(wǎng)關將自動重新啟動,啟動后安全網(wǎng)關就按向導中配置的信息運行。注意:初始化按照一條線路接入的配置，如要新增線路需另外配置。注意:建議將一臺網(wǎng)關應用到ー個新的環(huán)境之前先使用初始化向導做一遍初始化。第4章系統(tǒng)基本信息配置在本章中將介紹安全網(wǎng)關控制臺軟件的基本結構和系統(tǒng)基本信息的配置方法。系統(tǒng)基本信息包括安全網(wǎng)關的名字、管理員帳號、系統(tǒng)II期、在后面配置中要用到的對象等等。配置軟件的基本結構不論是實時配置模式或者還是編輯配置文件的形式,都將通過相同的配置界面來完成配置工作。安全網(wǎng)關控制臺的主界面分為兩大部分,左邊的樹形結構包括了所有的配置項目:右邊是具體的配置內(nèi)容,以列表的形式為主:當選中左邊某個項目時,右邊會出現(xiàn)相應的已配置信息，通過在右邊列表中的操作,可以進行各種各樣的配置。當配置軟件與安全網(wǎng)關的通信出現(xiàn)錯誤或岀現(xiàn)其他錯誤時，右邊的下面部分會出現(xiàn)ー個顯示提示信息的列表框。配置界面的上部有一排導航欄按鈕，這些按鈕除了“連接”、“保存”、“刷新”幾個基本功能按鈕之外,其他的會根據(jù)左邊選中的配置選項不同而變化，用于對配置具體內(nèi)容的操作:“連接”按鈕用于重新連接ー個安全網(wǎng)關或重新編輯ー個配置文件;“保存”按鈕用于保存配置信息或導入導出配置文件;“刷新”按鈕用于在實時模式下從安全網(wǎng)關刷新當前的配置,在編輯配置文件模式下從配置文件刷新當前配置。配置界面底部顯示了當前的安全網(wǎng)關狀態(tài)、用戶配置連接方式、登錄用戶名、連接時間等信息。系統(tǒng)維護系統(tǒng)維護是配置選項中的第一個大項,其中包括五個小項，下面分別介紹各自的功能。設備信息設備信息中包括“設備名稱”、“所有者”、“管理員”、“聯(lián)系方法”等內(nèi)容，記錄這些信息僅僅是為了區(qū)分設備以及記錄管理員和聯(lián)系方式，這些信息與今后的配置無任何關聯(lián)；編輯設備信息的步驟如下:.選中“設備信息”后,雙擊右邊的列表或者點擊導航欄上的“屬性”按鈕;.在彈出的對話框上編輯設備信息,點擊“確定”；如下圖所示:4.2.2日期與時間在該項中顯示并可更改安全網(wǎng)關當前的系統(tǒng)時間和日期。修改時間日期的步驟如下:.雙擊右邊列表中“系統(tǒng)時間”ー項或單擊該項并在導航欄按鈕中點擊屬性,彈出修改對話框，可以手工修改，也可以選擇“與本機保持一致”，如選擇“與本機保持一致”,配置軟件自動從配置主機上讀取日期時間并設置到安全網(wǎng)關上去;.點擊“確定”；如下圖：

4.2.3設備管理設備管理選項顯示了當前所有用戶信息,以及目前登錄用戶信息等等。缺省設備只有ー個root用戶,root用戶具有最高權限:在右邊列表中顯示出最后一個用戶連接的IP地址、當前每個用戶的當前連接數(shù)目等信息;系統(tǒng)維護ー＞設備管理名稱角色控制臺當前連接最近連接[1.根用戶無限制12005-12-1916:52:54從132,132.100.15 .用戶可以自行添加用戶,用戶添加的用戶分為兩個級別,分別為’‘管理用戶”和‘‘瀏覽用戶”，管理用戶可以對安全網(wǎng)關進行各種配置，瀏覽用戶只能實時查看當前網(wǎng)關的配置信息，不能修改配置。添加用戶時，能夠對新加用戶進行IP限制,即限定該IP地址オ能登錄網(wǎng)關進行配置査詢或修改。添加用戶界面如下:

在設備管理下,點擊“選項”按鈕,可更改ー些控制用戶登錄的參數(shù),主要包括‘‘空閑切斷時間”，“最大在線個數(shù)”和“禁止重変登錄”如下圖所示:4.2.4集中管理集中管理功能是配合“安全網(wǎng)關網(wǎng)管系統(tǒng)"(SureManager)實現(xiàn)對網(wǎng)關的集中監(jiān)控和策略分發(fā)的功能。注意:使用該功能必須在已經(jīng)安裝了一臺“安全網(wǎng)關網(wǎng)管系統(tǒng)”的前提下。開啟集中管理的步驟如下：.在左側樹形結構中選擇“系統(tǒng)維護”下的“集中管理”,點擊導航欄上的“屬性”按鈕,或者雙擊右側的“集中管理”項;.在彈出的對話框中選中“啟用集中管理功能”,輸入服務器IP,即網(wǎng)管服務器的IP地址,端口默認為4600,輸入用戶名和密碼，點擊“確定”即可。注意:用戶名與密碼在網(wǎng)管服務器上設定。關于集中管理的詳細使用方法,可參考“安全網(wǎng)關網(wǎng)管系統(tǒng)”的相關手冊和資料。4.2.5設備告警設備告警選項分兩個子選項，“告警服務器”和“告警郵件”，分別用來設置當設備產(chǎn)生緊急程度相當高的事件時立即將該告警信息發(fā)送到郵件服務器或ADT專用告警服務器。設置告警服務器選項的步驟如下:.選中“告警服務器”，雙擊右邊的列表;.在彈出的對話框中選中“啟用告警服務器”，接著在下面的文本框中輸入告警服務器的IP地址和端口，如需用戶認證,則還需輸入認證密碼;.點擊“確定”按鈕;如下圖：

設置告警郵件的步驟如F：.選中“告警服務器”,雙擊右邊的列表;.在彈出的對話框中選中“發(fā)送告警郵件”,接著在下面的文本框中輸入SMTP服務器的域名或IP地址，如需SMTP認證，則輸入認證密碼;.點擊“確定”按鈕;如下圖:4.2.6設備日志設備日志選項分三個子選項,“事件記錄”、“日志服務器”和“日志郵件”?！笆录涗洝庇脕碓O置對哪些類型的日志進行記錄,達到一定的過濾效果,設置的步驟如下:.選中“事件記錄”，雙擊右邊的列表或點擊導航欄上的“屬性”按鈕;.在彈出的對話框中對需要記錄的日志類型進行打勾，“事件記錄”從日志緊急程度和II志產(chǎn)品模塊兩方面進行日志過濾;.點擊“確定”按鈕:如下圖:“日志服務器”用來設置設備產(chǎn)生的11志同步發(fā)送到ADT專用日志服務器,設置步驟如下:.選中“日志服務器”,雙擊右邊的列表或點擊導航欄上的“屬性”按鈕;.在彈出的對話框中選中“發(fā)送日志到外部日志服務器”，選擇日志服務器的類型是ADT專用II志服務器或者標準syslog服務器,在下面的文本框中輸入服務器的IP地址和端口號，如果服務器需認證，則輸入認證密碼:.點擊“確定”按鈕：如下圖:

“日志郵件”用來設置或當日志達到ー定數(shù)目以后通過郵件方式發(fā)送到指定郵箱,設置步驟如下:.選中“日志郵件”,雙擊右邊的列表或點擊導航欄上的“屬性”按鈕;.在彈出的對話框中選中’‘當日志存儲空間不夠時發(fā)送日志郵件”，接著在下面的文本框中輸入SMTP服務器的域名或IP地址，如需SMTP認證，則輸入認證密碼:.點擊“確定”按鈕;如下圖:經(jīng)過如上設置后,通常情況下,當日志數(shù)量達到1024條以上時,會自動發(fā)送到指定郵箱中。注意:安全網(wǎng)關產(chǎn)生日志后首先保存在本地，當超過存放空間，安全網(wǎng)關會刪除所有本地日志,重新開始記錄日志。如果設置了日志服務器，則同步發(fā)送到日志服務器,如果設置了郵件服務器，當達到ー定數(shù)目以后再發(fā)送到指定郵箱。4.3網(wǎng)絡設置網(wǎng)絡設置中包括了與安全網(wǎng)關相關的所有相關網(wǎng)絡基本信息。基本設置基本設置中有三個選項，“工作模式”、“組播支持”以及“VPNTCPMMS”?！肮ぷ髂Ｊ健睕Q定了安全網(wǎng)關是工作在路由模式還是透明模式下,即是工作在三層還是二層;當工作在透明模式時，除了能透過二層以太網(wǎng)幀,安全網(wǎng)關的三層路由、地址映射等功能依舊有效,能做到兩者兼顧。雙擊“工作模式”表項或者選中該項點擊導航欄上的“屬性”按鈕,在彈出的對話框中即可設置工作模式，如下圖:

在“組播支持”中設置是否允許組播報文透過安全網(wǎng)關。無論安全網(wǎng)關工作在路由模式還是透明模式下,該設置均有效。VPNTCPMMS選項是用于在VPN隧道穿越NAT時,讓網(wǎng)關或者客戶端能順利穿透對UDP分段報文丟棄的防火墻時使用,在正常以太網(wǎng)MTU值下，該參數(shù)默認值為1368。在某些主機或路由器MTU小于正常值時可以適當調低該參數(shù)。注意:該參數(shù)調得過低會導致TCP應用通信效率降低?！敖M播支持”和“VPNTCPMMS”在同一個對話框中設置，雙擊“組播支持”或“VPNTCPMMS”表項或者選中該項點擊導航欄上的“屬性”按鈕，在彈出的對話框中即可設置是否允許支持組播報文透過，如下圖:

網(wǎng)絡接口在“網(wǎng)絡接口”中可以設置設備各個接U的ip地址、接U速度以及雙工模式等參數(shù),以及PPPOE撥號的用戶名密碼等參數(shù)。雙擊右側列表中的一個接口,或者選中該接口點擊導航欄上的“屬性”按鈕,在彈出的對話框中可以看到該接口的參數(shù)信息，并對其進行修改。LANロ的接口信息配置如下圖:最上面的是“啟用本接口”選項，如果不選這個選項則該接口處于關閉（即Down）狀態(tài)，下面的所有選項也都無效:在“接口地址”中可以指定改接口的IP地址和掩碼，并且可以看到該接口的MAC地址:在“管理”選項中可以設定是否允許通過該接口配置網(wǎng)關;在“工作特性”選項中可以設定該接口的工作速率和雙工模式、以及MTU等參數(shù)?！敖尤敕绞健边x項用于TPN用戶從該接口打開登錄界面時，采用的登錄方式?！氨镜亟尤搿蓖ǔＳ糜谏暇W(wǎng)，VPN接入通常用于遠程接入內(nèi)網(wǎng):通常在LAN口選擇“本地接入''，

在WAN口選擇“VPN接入”,ー個接口只能選擇ー種接入方式。點擊“接口地址”邊上的“髙級”按鈕可以在ー個接口上添加多個IP地址,如下圖:SJW74C-4的DMZロ、EXT口配置與LAN口的配置類似,WAN口上不支持綁定多個IP地址。WAN口支持通過DHCP自動獲取IP地址,在WAN口的接口屬性中的“接口地址”選項下選擇“DHCP獲取”，點擊“確定”，稍候片刻,即可通過DHCP獲取IP地址,設置界面如下圖:

PPPOE撥號SJW74系列安全網(wǎng)關支持多路的PPPOE撥號,除LAN口外的其他網(wǎng)口均可PPPOE撥號,以WAN口為例，設置PPPOE撥號的步驟如下:選擇左側樹形結構“網(wǎng)絡設置”下的“網(wǎng)絡接口”，雙擊右側表項中的WANロ，在彈出對話框中選擇“PPPoE撥號”頁簽，選擇“啟用PPPoE撥號”,輸入用戶名和密碼，如果ー個網(wǎng)絡中存在多個PPPOE撥號服務,可以在服務名ー項中手工指定服務名,使設備撥到指定的服務上去,可以通過點擊“Discover”按鈕來獲取當前網(wǎng)絡中的所有PPPoE服務,獲取的服務名會顯示在“服務名”的列表下,如果希望安全網(wǎng)關啟動和斷線后自動撥號,則在“斷線自動撥號”選項前打勾，如下圖:

PPPOE撥號設置完成后,當選中WANロ時,導航欄上會出現(xiàn)一個“撥號”或“斷開”按鈕,用于進行手工的PPPOE撥號或斷開連接。注意:設置PPPOE撥號的網(wǎng)口僅僅作為物理接口,連接ADSLmodem等設備，在撥號的同時,該接口本身的IP地址依然有效,相對于ー個物理接口上綁定了兩個IP地址。DHCP月艮務安全網(wǎng)關能夠為局域網(wǎng)內(nèi)的主機提供DHCP服務,配置步驟如下:.在LAN口接口屬性對話框內(nèi),選中“在本接口啟用DHCP服務”,在下面的文本框中輸入DHCP服務的相關參數(shù),其中租借時間若設置為0,則采用默認的租借時間,為5天。.點擊“確定”按鈕。如下圖：

注意:除WAN口外的接口均能提供DHCP服務,但同時只有一個生效。4.3.5DNSDNS選項中指定一個主DNS服務器地址和一個備用DNS服務器地址,用于網(wǎng)關本身對域名進行解析;當安全網(wǎng)關對局域網(wǎng)內(nèi)其他主機提供DNSrelay服務時,也通過這些設定的DNS服務器進行域名解析。選中“DNS”選項，雙擊右側列表或點擊導航欄上的“屬性”按鈕,在彈出的対話框中輸入主和備DNS服務器的IP地址,點擊“確定”即可,如下圖:4.3.6DDNSDDNS即動態(tài)域名服務,為設備在只有動態(tài)IP的情況下（比如ADSL撥號、DHCP獲取地址）提供一個固定的域名,其它用戶或者設備可以通過該固定域名直接訪問安全網(wǎng)關設備。在配置DDNS之前,需要用戶預先為安全網(wǎng)關注冊ー個域名,安全網(wǎng)關支持花生殼動態(tài)域名。安達通公司提供專業(yè)級花生殼DDNS域名。啟用DDNS選項功能,可以令安全網(wǎng)關通過動態(tài)域名作為VPN隧道的端點,提供解決動態(tài)!P地址下VPN互聯(lián)的另ー種手段。雙擊DDNS選項卜.的右側列表，在彈出的對話框中輸入DDNS注冊的相關信息，選中“啟用DDNS服務”點擊確定即完成DDNS的配置。如下圖:

注意:花生殼的服務器使用15;端口使用606〇。4.3.7網(wǎng)絡路由在該選項下可以查看、添加、刪除安全網(wǎng)關中的路由表項;網(wǎng)絡設置ー＞廚格路由目的地址名稱 目的地址類型 淹碼 網(wǎng)關地址名稱 網(wǎng)關地址類型 路由表項類型〇:〇〇〇 …靜態(tài)I網(wǎng)址 000.0 i32：i32.i(B；254 靜態(tài)配置. 靜態(tài)IP地址 255.255.25... 靜態(tài)IP地址 動態(tài)配置路由表中有目的地址類型、網(wǎng)關地址類型和路由表項類型三個可選項,在通常情況下,手工添加的靜態(tài)路由的目的地址類型、網(wǎng)關地址類型都選擇為“靜態(tài)IP地址”,路由表項類型為“靜態(tài)配置”，而系統(tǒng)自動生成的路由表項類型為“動態(tài)地址”。手工添加靜態(tài)路由的步驟為:點擊導航欄按鈕上的“添加”按鈕，在彈出的對話框中輸入目的地址名稱、掩碼和網(wǎng)關地址名稱，其他的均為默認選擇,即完成一條路由的添加，如下圖:點擊導航欄按鈕上的“刪除”按鈕,則刪除當前選中路由表項;注意:當安全網(wǎng)關進行PPPOE撥號或DHCP自動獲取地址時,默認路由自動添加,如原來已有默認路由,則會被刪除。注意:當啟用鏈路均衡時,默認路由只會顯示其中的一條;注意:當安全網(wǎng)關工作在透明模式下時，網(wǎng)絡路由的接口可能不能真實反映實際數(shù)據(jù)包的走向。ARP表在該選項下可以查看、添加、刪除、清空安全網(wǎng)關中的叼表項;點擊導航欄按鈕上的“刪除”按鈕,則刪除當前選中arp表項,點擊導航欄按鈕上的“清空”按鈕,則清空arp表中的所有表項;注意：除了一些特殊的應用,在極少的情況下添加arp表項:注意：在arp表項上點擊右鍵,可以直接將當前表項添加到MAC地址綁定表項中。VLANTRUNKVLANTRUNK作為??項高級功能，能夠使安全網(wǎng)關接在TRUNK口上，并且對TRUNK線路中的其中一個VLAN的IP數(shù)據(jù)流進行加密或防火墻過濾操作。要開啟TRUNK功能的步驟如下:

.在VLANTRUNK選項下,點擊導航欄上的“選項”按鈕,在彈出的對話框中的“TRUNK控制”欄下在要開啟TRUNK的接口前打勾;.點擊“確定”如下圖所示:當安全網(wǎng)關需要與位于其它VLAN的安全網(wǎng)關進行IKE協(xié)商,或者需要與位于其它VLAN的主機進行通信時，需要指定對方安全網(wǎng)關或主機所在VLAN的ID,因此需要輸入對方IP地址與VLANID的對應表,在該項下點擊導航欄上的‘‘添加”按鈕,在彈出的對話框中輸入對方IP與VLANID的對應表,如下圖:VLAN協(xié)議支持802.1Q和ISL。點擊“刪除”按鈕刪除當前選中的!P-VLANID對應表項。注意:VLANTRUNK功能只有當安全網(wǎng)關工作在透明模式下オ有效;注意:安全網(wǎng)關啟用VLANTRUNK功能后并不融入原有的VLAN體系,只是將原有TRUNK以太網(wǎng)幀的二層信息原封拷貝到加密后或做其它處理后的新數(shù)據(jù)包上。4.4對象管理在安全網(wǎng)關的配置中,安全策略、VPN隧道、地址映射等對IP地址、服務、協(xié)議、事件表等元素的引用都采用對象的方式,從而使配置的思路更加清晰,在復雜環(huán)境下大大減小了配置的復雜度。在“對象管理”大項中有四個小項,分別提供對“網(wǎng)絡地址”、“網(wǎng)絡協(xié)議”、“網(wǎng)絡服務”和“時間表”這四種類型對象的增、刪、改功能，下面分別介紹。網(wǎng)絡地址網(wǎng)絡地址中有“地址”和“地址組”兩個選項，地址組是指包含了多個地址對象的ー個地址集合。地址對象有三種類型，分別為“子網(wǎng)”、“主機”和“范圍”，用戶可以根據(jù)自己的需求來選擇地址對象的類型,當選擇“子網(wǎng)”時，需要指定子網(wǎng)掩碼。每個對象都有一個名稱，用戶可以根據(jù)自己的喜好對名稱進行定義，除此之外,還有一項描述信息供用戶使用，該項可以為空。添加一個地址對象的步驟如下:.在樹形結構中選中“地址”ー項,在導航欄上點擊“添加”按鈕:.在彈出的對話框中輸入相關信息，點擊“確定”即可;如下圖:

添加一個地址組對象的步驟如下:.在樹形結構中選中“地址組”ー項,在導航欄上點擊“添加”按鈕;.在彈出的對話框中輸入地址組名稱,并在左側列表中選擇屬于該地址組的地址對象到右側,點擊“確定”即可;如下圖:

注意:地址對象和地址組對象的名字不能重復;除了在對象管理選項中添加地址、地址組對象,還可以在添加策略和VPN網(wǎng)關時臨時添加地址、地址組對象。4.4.2網(wǎng)絡協(xié)議網(wǎng)絡協(xié)議對象指ip的上層協(xié)議,通過指定協(xié)議號來確定協(xié)議類型,用于在網(wǎng)絡服務中被引用。添加一個網(wǎng)絡協(xié)議對象的步驟如下:.在樹形結構中選中“網(wǎng)絡協(xié)議”ー項,在導航欄上點擊“添加”按鈕;.在彈出的對話框中輸入?yún)f(xié)議名稱和協(xié)議號，點擊“確定”即可;添加EGP協(xié)議如ド圖所示:注意:此處配置的網(wǎng)絡協(xié)議指的是IP的上層協(xié)議,具體的協(xié)議規(guī)范詳見RFC。4.4.3網(wǎng)絡服務網(wǎng)絡服務選項中包含“服務”和“服務組”兩個小項,服務組是指包含了多個服務對象一個服務集合。網(wǎng)絡服務對象描述了一個五元組中的三項信息,即源端口、目的端口和協(xié)議,用于在策略中被引用。當所選協(xié)議非TCP或UDP時,服務僅僅指協(xié)議。添加一個網(wǎng)絡服務對象的步驟如下:.在樹形結構中選中“服務”ー項，在導航欄上點擊“添加”按鈕;.在彈出的對話框中輸入該服務的協(xié)議、源端口和目的端口信息,點擊“確定”即可;添加一個向外訪問的HTTP服務如下圖所示:

安全網(wǎng)關控制臺軟件為用戶總結了一些常用的服務,在選中樹形結構中的“服務”選項后,點擊“導航欄”上的“模板導入”按鈕,即從模板文件中把ー些常用服務導入到網(wǎng)關中,導入后如下圖:

注意:網(wǎng)絡服務有方向之分,即外出和進入,從模板導入的所有服務都指外出的服務,進入的服務需自行定義,只需將源端口和目的端口調換即可。添加一個服務組對象的步驟如下:.在樹形結構中選中“服務組”一項，在導航欄上點擊“添加”按鈕;.在彈出的對話框中輸入服務組名稱，并從左邊列表選擇屬于該服務組的服務對象到右邊列表，點擊“確定”即可;如下圖：

4.4.4時間表時間表描述了一個個時間段的集合,在添加安全策略時被引用,用于指定該策略的生效時間。添加一個時間對象的步驟如下:.在樹形結構中選中“時間表”ー項，在導航欄上點擊“添加”按鈕:.在彈出的對話框中點擊“添加”按鈕添加時間段，重復操作直至添加了所有的時間段，點擊“確定”即可:如下圖:注意:ー個時間表中最多引用兩個時間段。第5章VPN配置配置VPN的步驟通常配置安全網(wǎng)關的VPN功能之前需要確定以下幾點:.IKE的身份認證的方式,安全網(wǎng)關支持預共享密鑰和數(shù)字證書兩種身份認證方式;.有哪些本地子網(wǎng)（或主機）和対方網(wǎng)關保護的子網(wǎng)（或主機）,需要通過安全網(wǎng)關進行VPN互聯(lián);.安全網(wǎng)關通過公有地址還是私有!P地址（通常是指WAN口地址或PPPOE撥號地址）與其他安全網(wǎng)關進行VPN互聯(lián);.若安全網(wǎng)關使用公有地址，該地址是固定的還是動態(tài)的（比如ADSL撥號）；.若安全網(wǎng)關使用私有地址，是通過動態(tài)映射訪問公網(wǎng),還是通過靜態(tài)映射能夠被公網(wǎng)中其他主機訪問某個端口;.如果需要安全客戶端接入本網(wǎng)關,需要為安全客戶端規(guī)劃?段私有IP地址;以上確定后，通常依照如下步驟來配置ー個VPN網(wǎng)關:.配置ー些VPN的參數(shù)，包括IKE身份認證的方式，如果采用證書認證則需要依次導入一系列證書;是否處于NAT設備后;是否采用動態(tài)地址接入,如果是動態(tài)接入則需要提供動態(tài)接入的類型和地址服務器的帳號和密碼;.添加VPN節(jié)點對象,其中需要提供對方網(wǎng)關的WANロ地址（如果是固定地址接入）和LANU地址，預共享密鑰（如果是預共享密鑰方式認證）等信息，通過添加VPN節(jié)點，指定了和當前配置網(wǎng)關建立VPN隧道的對端網(wǎng)關的相關信息;.添加VPN隧道對象,需要指定隧道的類型（靜態(tài)指定密鑰信息還是動態(tài)協(xié)商），確定隧道的安全等級,選擇隧道的對端VPN節(jié)點。.在安全策略中添加VPN策略，選擇VPN隧道;.添加安全客戶組信息,包括安全客戶端的私有!P地址范圍,能訪問的子網(wǎng),加密強度等信息:生成安全客戶端;針對每個安全客戶端制作SurelD：關于安全網(wǎng)關通過何種IP地址與公網(wǎng)相連對于VPN配置有著至關重要的關系。通常情況下，在ー個VPN網(wǎng)絡中，至少需要一個結點有公網(wǎng)地址或者被靜態(tài)映射（包括靜態(tài)端口映射）到ー個固定公網(wǎng)地址（某些端口）;在全動態(tài)IP地址接入的情況下,需要使用ADT地址服務器或動態(tài)域名的方式來實現(xiàn)動態(tài)VPN互聯(lián)。5.2VPN的相關配置VPN的相關配置主要包含在左側樹形結構“VPN”大項下的“密鑰協(xié)商”和“動態(tài)接入”中,下面分別介紹。身份認證方式和缺省預共享密鑰安全網(wǎng)關支持預共享密鑰和數(shù)字證書兩種身份認證方式。設置身份認證方式的步驟為:在左側樹形結構中選中“密鑰協(xié)商”,在右側的列表中雙擊”身份認證方式”，或選中該項點擊導航欄上的“屬性”按鈕;在彈出的對話框中選擇任何ー種身份認證方式或兩者皆可（當證書模塊未啟用時,無法選擇證書認證模式）；必要時，可以在該對話框中輸入缺省預共享密鑰;點擊“確定”按鈕。如下圖;注意；缺省密鑰是不指定VPN節(jié)點的密鑰，即對所有的節(jié)點和客戶端成員都有效的密鑰,使用缺省密鑰會降低系統(tǒng)的安全性,只有在特殊情況下使用缺省密鑰,通常不推薦使用。數(shù)字證書當安全網(wǎng)關采用數(shù)字證書作為!KE的身份認證方式時,需要將CA根證書、設備證書、私鑰等PKI相關元素導入到網(wǎng)關，另外根據(jù)需求，可配置CRL、OCSP等相關參數(shù)。在安全網(wǎng)關上導入數(shù)字證書可采用三種方式:在安全網(wǎng)關上生成PKCS10證書請求,用該請求到證書服務器上申請證書,再以文件形式導入PKCS12格式的證書;直接在證書服務器上申請證書，以文件形式導入PKCS12格式的證書;分別導入CA根證書、設備證書、設備私鑰(非標準格式)。注意:安全網(wǎng)關使用的數(shù)字證書中主體名,即commomname(cn)選項必須為安全網(wǎng)關的LANロIP地址,以此將證書與安全網(wǎng)關綁定。采用何種方式生成并導入數(shù)字證書,用戶可根據(jù)CA系統(tǒng)支持的標準以及具體需求來決定。下面分別說明在每種方式下的證書導入方式。先生成證書請求的方式首先導入根證書,選中左側樹形結構“VPN”大項下的“數(shù)字證書”小項，雙擊右側“CA根證書”表項，在對話框中選擇存放根證書的目錄，如下圖:點擊“確定”按鈕，完成根證書的導入。

右鍵點擊た側的列表,選擇“證書請求”ー》“生成”,如下圖所示:在彈出的對話框中輸入，證書名稱、機構名、國家等信息，如下圖:點擊“確定”,彈出是否導出的對話框，如卜ー圖:點擊“確定”,選擇導出請求文件的存放目錄，導出證書請求文件。利用證書請求申請數(shù)字證書的過程參考數(shù)字證書系統(tǒng)的說明書。生成數(shù)字證書后,右鍵點擊右側的列表，選擇“導入PKCS12文件”，在彈出的對話框中選擇證書文件所在目錄，并輸入密碼,點擊“確定”即可。直接導入的方式直接導入方式即省略掉上一種方式中生成證書請求的步驟,其他步驟與上一種方式相同。分別導入的方式首先導入根證書,選中左側樹形結構“VPN”大項下的“數(shù)字證書”小項,雙擊右側“CA根證書”表項,在對話框中選擇存放根證書的目錄,如下圖:點擊“確定”按鈕;雙擊右側下部的列表的“設備證書”選項,在彈出的對話框中選擇設備證書文件,如下圖:點擊“確定”按鈕;雙擊右側ド部的列表的“設備私鑰”選項,在彈出的對話框中選擇設備私鑰文件,如

下圖:點擊“確定”按鈕;注意:在導設備證書之前,需要首先導入CA根證書。導入和清空CRL右鍵點擊右側的列表,選擇“CRL—》導入“，即導入CRL列表,在彈出的對話框中選擇ー個擴展名為crl的文件，點擊確定即可。相反,選擇“清空”,即清空當前的CRL列表,如下圖:證書模塊點擊導航欄上的“選項”按鈕,在彈出的對話框中選中“啟用證書功能模塊”復選框,如果不啟用OCSP（在線證書檢查）,則直接點擊“確定”按鈕;如果啟用OCSP,選中‘‘啟用在線證書檢查功能”復選框,輸入服務器IP地址、端口、超時時間和CRL更新時間等參數(shù),點擊“確定”按鈕。生命周期安全網(wǎng)關為了應對可能的各種網(wǎng)絡攻擊，保護網(wǎng)絡通信的各種密鑰需要定時更新，以確保在給定的時間內(nèi)，攻擊者無法對密文進行破解。對生命周期的描述由兩個因素構成:時間和流量，只要其中一個因素超過設定值，安全網(wǎng)關之間就會協(xié)商新的密鑰，并使用新的密鑰來進行加密。在安全網(wǎng)關中,用SA（安全聯(lián)盟）來描述一個VPN隧道,在ー個正常的安全隧道中，存在兩種SA：IKESA（第一階段SA）和IPSECSA（第二階段SA）,第?階段SA用于保護第二階段SA密鑰協(xié)商時的通信，第二階段SAオ真正用來加密數(shù)據(jù),他們分別具有不同的生命周期。以下是推薦的生命周期設置值:IKESA（第一ー階段）生命周期時間生命周期:推薦時間為12小時,不小于6小時。流量生命周期:以K字節(jié)為單位,推薦值為10240KBIPSECSA（第二階段）生命周期時間生命周期：推薦時間為6小時，不小于1小時。流量生命周期:以K字節(jié)為單位，推薦值為104800KB安全網(wǎng)關上按照上述的推薦值設置了默認的生命周期值。通常情況下,第一階段的時間生命周期是第二階段時間生命周期的兩倍，修改IKE生命周期的步驟如下:選中左側樹形結構中“VPN”大項下的“密鑰協(xié)商”小項，雙擊右側“IKE密鑰生命周期"或"IPSEC密鑰生命周期”，或選中列表中該選項并點導航欄上的“屬性”按鈕;在彈出的對話框中輸入要設定的生命周期數(shù)值，點擊“確定”按鈕。如下圖:NAT穿透功能由于NAT在制定標準時只考慮了為TCP、UDP和ICMP三種協(xié)議做動態(tài)NAT（當時還沒有提出Ipsec協(xié)議），因此先天就決定了!psec協(xié)議的報文是無法穿越NAT的，即當VPN設備（或客戶端）之前有NAT設備時,就無法與其他的VPN設備建立安全隧道,這給VPN的實際應用帶來了很大的局限性,ADT系列安全網(wǎng)關和安全客戶端采用先進的NAT-T技術解決了VPN穿越NAT的問題，即通信雙方有一臺安全網(wǎng)關或安全客戶端在NAT設備的后面時,也可以建立起VPN隧道,進行安全通信。設置NAT穿透的功能的步驟如下:選中左側樹形結構中“VPN”大項下的“密鑰協(xié)商”小項,雙擊右側列表中“NAT穿透功能模塊”項,或選中該選項,并點導航欄上的“屬性”按鈕;在彈出的對話框中“網(wǎng)關在NAT設備后面”選項前打勾，點擊“確定”按鈕。如下圖:當該選項選中后,安全網(wǎng)關就可在NAT設備后與其他安全網(wǎng)關建立安全隧道。注意:由于動態(tài)NAT的單向特性，在NAT后的安全網(wǎng)關必須主動發(fā)起協(xié)商才能成功協(xié)商隧道,因此該功能常常與隧道保持功能配合使用;注意:使用NAT穿透功能需保證與之通信的對方安全網(wǎng)關有公網(wǎng)!P地址,如果要實現(xiàn)兩臺都在NAT后的安全網(wǎng)關VPN通信,則需通過一臺有公網(wǎng)IP地址的安全網(wǎng)關做隧道接カ;注意:使用NAT穿透功能后,VPN的安全等級不能為“低”。隧道保持功能由于安全網(wǎng)關間加密密鑰定期更新的特性,當SA生命周期到期而又沒有通信流量的時候,安全網(wǎng)關在刪除舊的SA之后不會再協(xié)商新的SA,這給ー些應用帶來了不便,隧道保持功能就是針對解決這個問題而設計。當啟用該選項后，安全網(wǎng)關會根據(jù)安全策略定期檢查定期SA是否存在，當檢查到?jīng)]有SA的時候會立即對對方安全網(wǎng)關發(fā)起協(xié)商，直到SA存在為止?？梢栽O置定期檢查的周期，建議將該周期設置成120秒。設置隧道保持功能的步驟如下:選中左側樹形結構中“VPN”大項下的“密鑰協(xié)商”小項，雙擊右側列表中“隧道保持功能模塊”項,或選中該選項，并點導航欄上的“屬性”按鈕;在彈出的對話框中“啟動隧道保持功能模塊”選項前打勾，并再掃描間隔文本框中輸入定期檢查SA的周期，默認為120秒，點擊“確定”按鈕。如下圖:注意:對于ー些協(xié)商總是單邊發(fā)起的（比如對方安全網(wǎng)關在NAT設備后）情況,在接受方網(wǎng)關則無需啟用該功能,因為在這些情況下,本網(wǎng)關無法主動發(fā)起協(xié)商,而相反在發(fā)起方的安全網(wǎng)關（動態(tài)或在NAT設備后）上應啟用該功能。動態(tài)接入該功能用于解決動態(tài)VPN地址卜一的VPN互聯(lián)，通過“ADT地址服務器”，同一個域中的安全網(wǎng)關可以相互知道對方的公網(wǎng)1P地址，從而建立安全隧道。當用戶使用該功能時，ADT公司會提供ー個安全域的號碼和密碼，用戶可以通過WEB界面在“ADT策略服務器”上添加安全網(wǎng)關的帳號。使用動態(tài)接入的步驟如下:選中左側樹形結構中“VPN”大項下的“動態(tài)接入”小項,雙擊右側列表中的第一項,或點擊導航欄上的“屬性”按鈕:在彈出的對話框中“啟動策略服務器”選項前打勾,輸入各項的具體內(nèi)容,ADT公司提供的策略服務器IP地址為0,點擊“確定”按鈕。如下圖:注意:網(wǎng)關ID的前四位數(shù)字為域號碼，中間的字母G代表安全網(wǎng)關,后三位數(shù)字代表同一個域中的安全網(wǎng)關序號,添加安全網(wǎng)關ID后的初始密碼為changeit:客戶端!D的前四位數(shù)字為域號碼,中間的字母C代表安全客戶端,后三位數(shù)字代表同一個域中的安全客戶端序號,安全客戶端ID的初始密碼為changeit:在此配置客戶端ID和密碼是為了制作SurelD時能把這些信息寫入SurelD中，通常多個客戶端共用一個客戶端ID和密碼。5.3配置局域網(wǎng)到局域網(wǎng)的VPN理解了上述的VPN相關概念,配置VPN就相當簡單了。通常情況下，配置VPN有如下三個步驟：.設置VPN的相關參數(shù)，比如NAT穿透選項、隧道保持或動態(tài)接入等等:.添加VPN節(jié)點對象;.添加安全隧道對象;.添加VPN策略;典型環(huán)境下的VPN配置本節(jié)用ー個具體案例來說明在典型環(huán)境下的VPN配置。在這個環(huán)境中,VPN兩端都只有一個局域網(wǎng),局域網(wǎng)中主機默認網(wǎng)關都指向安全網(wǎng)關的LANロ,假設總部采用固定地址接入,固定地址假設為,分部采用ADSL撥號接入（動態(tài)公有IP地址）;總部安全網(wǎng)關LAN口地址為!/24,分部安全網(wǎng)關LAN口地址為/24〇首先應該在兩端的安全網(wǎng)關中設置雙方安全網(wǎng)關的相關信息和接口地址,接著在“對象管理”==>“網(wǎng)絡地址”==>“地址”中分別添加雙方局域網(wǎng)的IP地址對象?？紤]到這是ー個ー?端固定地址、一端動態(tài)地址的情況,可以采用以下兩種方式進行VPN互聯(lián):不使用策略服務器,由分部單邊發(fā)起密鑰協(xié)商,使用隧道保持功能,保證隧道一直存在;使用策略服務器，雙方都可以發(fā)起協(xié)商;根據(jù)用戶自己的網(wǎng)絡環(huán)境選擇隧道保持功能或設置動態(tài)接入選項,在下面的實際案例中將不進行此項配置。接著點擊“VPN”大項下的“VPN節(jié)點”選項，點擊導航欄上的“添加”按鈕，在雙方安全網(wǎng)關上分別添加對方VPN節(jié)點對象,指定對端網(wǎng)關的相關信息。?“名稱”通常輸入對方安全網(wǎng)關的名字或相關描述信息，?“地址”可選擇動態(tài)、DNS或靜態(tài)IP,是指對方安全網(wǎng)關的接入方式，如果是靜態(tài)IP,則需輸入具體的IP地址〇“身份標識”通常選擇“IP地址”,如果在上方的地址類型選項中選擇了“靜態(tài)地址”,輸入對方安全網(wǎng)關的靜態(tài)地址;如果地址類型選擇了“動態(tài)地址”，則輸入對方網(wǎng)關的LANロIP地址,〇“認證密鑰”在采用預共享密鑰認證方式下使用，需輸入與對方安全網(wǎng)關協(xié)商的預共享密鑰（雙方的預共享密鑰必須一致）。在總部安全網(wǎng)關上添加分部VPN節(jié)點對象的界面如下:在分部安全網(wǎng)關上添加總部VPN節(jié)點對象的界面如下:其次,在雙方網(wǎng)關上添加VPN隧道,指定建立隧道的VPN節(jié)點、隧道類型和安全等級。安全隧道是從4.1版本開始增加的VPN対象,將原來的VPN隧道進行抽象并通過外在的表現(xiàn)形式表示出來，使用戶能對每ー個VPN隧道的狀態(tài)（是否活動），流經(jīng)隧道的流量進行監(jiān)控，能隨時清除每ー個隧道相關的動態(tài)信息，使動態(tài)信息重新協(xié)商。通過安全隧道的獨立，使不同的策略都可以使用同一條安全隧道,增加了VPN配置的靈活性,降低多個網(wǎng)段進行VPN互聯(lián)時的復雜程度。在總部安全網(wǎng)關上添加分部隧道對象的界面如F:

在分部安全網(wǎng)關上添加總部隧道對象的界面如下:注意:添加安全隧道對象時,可以添加備份端點來實現(xiàn)隧道的備份,工作原理為:當與主端點協(xié)商三次不成功后，網(wǎng)關自動與備份端點進行IKE協(xié)商,同理當備份端點不通時,將再次與主節(jié)點協(xié)商,以輪循的方式實現(xiàn)隧道的備份。配置中,要注意雙方的安全等級必須一致,“端點”必須選擇對方的VPN節(jié)點對象。最后在雙方的安全網(wǎng)關上分別添加安全策略,為了保證雙方能夠相互訪問,在添加VPN策略時選擇“創(chuàng)建反向策略”的復選框。在總部和分部各需添加一條VPN策略。策略添加的基本方法為:VPN策略的源地址通常是本網(wǎng)關保護的子網(wǎng)或IP地址范圍（通常是LAN口所接網(wǎng)段）,目的地址是對方VPN網(wǎng)關所保護的子網(wǎng)或!P地址范圍,從數(shù)據(jù)流向來看是從本地子網(wǎng)流向對方子網(wǎng);而反向的防火墻策略與VPN策略五元組正好顛倒,從數(shù)據(jù)流向來看是從對方子網(wǎng)流向本地子網(wǎng)。需要注意的是,雙方的VPN策略必須是完全鏡像的，即總部的源地址、源端口必須是分部的目的地址、目的端口，相反總部的目的地址、目的端口必須是分部的源地址、源端口，在分部安全網(wǎng)關上添加到總部的VPN策略如下圖:在總部安全網(wǎng)關上添加到分部的VPN策略如ド圖:至此雙方的VPN配置已經(jīng)完成,只要有流量觸發(fā)或選中了“隧道保持”選項,雙方就能建立起安全隧道,進行VPN通信。補充說明:選中“創(chuàng)建反向策略”是為了能夠讓對方子網(wǎng)能主動訪問本地子網(wǎng),如果在ー個VPN網(wǎng)絡中只允許單向訪問,則主動訪問方無需添加反向防火墻放行策略。比如只允許總部子網(wǎng)訪問分部子網(wǎng),不允許分部子網(wǎng)訪問總部子網(wǎng),則在總部網(wǎng)關上無需添加反向防火墻策略。但無論如何,VPN通信雙方至少有一方需添加反向的防火墻策略。5.3.2局域網(wǎng)中有多個網(wǎng)段時的VPN配置當VPN通信雙方的內(nèi)網(wǎng)中有三層交換機或路由,即VPN通信雙方不僅僅是與安全網(wǎng)關LAN口同一網(wǎng)段的子網(wǎng)時,此時需要在安全網(wǎng)關和三層交換機或路由器上添加靜態(tài)路由,而VPN的配置則與上述的典型環(huán)境下的配置并無區(qū)別。下面舉例來說明。假設ー個大型企業(yè)總部通過三層交換機劃分了3個VLAN,分別為/24、/24和/24:分部也同樣用三層交換機劃分了3個VLAN,分別為/24、/24和/24;而雙方安全網(wǎng)關的LAN口地址分別為和,雙方三層交換機的1P地址分別為54和54（與安全網(wǎng)關LANロ同一網(wǎng)段的接口地址）,要通過VPN實現(xiàn)總部和分部各個子網(wǎng)之間的互通。此時VPN有兩種配置方法:其ー,因為總部和分部地址規(guī)劃時隔離度比較好,可以將總部和分部的地址分別歸納到ー個16位掩碼的IP地址段中,因此雙方可以只添加一條策略,對總部來說,源地址為/16、目的地址為/16!對分部來說,源地址為/16、目的地址為/16,網(wǎng)關對象設置與典型情況下的一致。這種配置方法的優(yōu)點是簡單，缺點是控制粒度不夠。其二，為每個網(wǎng)段分別來添加VPN策略,比如總部分別配置/24到/24加密、/24到/24加密依次類推,在這種方式下,如果要實現(xiàn)各個網(wǎng)段的兩兩互通,則總部和分部安全網(wǎng)關上分別需要配置9條策略,當VLAN數(shù)H更多，網(wǎng)絡結點更多的情況下,策略數(shù)目還將增加。這種配置方法的優(yōu)先是控制粒度細,缺點是策略舒服繁多，配置復雜。用戶可以根據(jù)自己的安全性需求等具體情況來選擇上述兩種策略配置方法。除了VPN策略，在這種情況下還需要在三層交換機和安全網(wǎng)關上分別添加靜態(tài)路由，以保證發(fā)到對方的IP報文能到達安全網(wǎng)關的LANロ，添加靜態(tài)路由也有歸納添加和分別添加兩種方式:首先介紹歸納添加,在總部的三層交換機上添加如下路由:iproute,在分部的三層交換機上添加如下路由:iproute,在總部的安全網(wǎng)關上添加如下路由：在分部安全網(wǎng)關上添加如下路由:

分別添加路由的方法,在總部三層交換機上添加如下三條路由:iproute；iproute 依次類推;在分部三層交換機上添加如下三條路由:iproute；iproute依次類推。在總部安全網(wǎng)關卜.添加如下兩條路由;依次類推;在分部安全網(wǎng)關上添加如ド兩條路由:

……依次類推:廠家建議:在這種情況下,在配置安全策略時可以采用歸納的辦法,以減輕配置策略的工作量和復雜度,而在配置路由時采用分別添加的辦法，來控制VPN的訪問控制粒度。注意:當安全網(wǎng)關和防火墻并行配置時,也可利用上述的添加靜態(tài)路由的方法來解決局域網(wǎng)中主機把默認網(wǎng)關指向防火墻的問題。5.4VPN向導為了減少用戶初次配置的復雜性,可以使用VPN向導進行配置,根據(jù)向導的提示進行每ー步的操作，輕松的建立VPN。打開VPN向導可以通過兩種途徑:在安全網(wǎng)關控制臺的“工具”菜單下選擇“VPN向導”或直接選擇安全控制臺首界面下的VPN向導鏈接。打開VPN向導后的界面如ド圖所示:點擊“下ー步”，選擇客戶端接入還是網(wǎng)關對網(wǎng)關的VPN互通:

點擊“下ー步”,進行安全隧道的選擇或者是創(chuàng)建,如果是第一次建立隧道,選擇創(chuàng)建,如果希望使用已有隧道，則從隧道列表中選取隧道，在“對端網(wǎng)關信息”中，填入對方網(wǎng)關的WAN地址，如果是DNS為DNS域名，如果是動態(tài)地址為,設置LAN地址和掩碼，如下圖:點擊“下ー步”,選擇使用VPN隧道的本地網(wǎng)絡，如果已有地址對象，點擊“選擇”按鈕從地址列表中選擇,如果沒有，點擊“新建”按鈕創(chuàng)建地址對象，如下圖:

點擊“下ー步”,選擇VPN隧道連接的對端網(wǎng)絡,如果已有地址對象,點擊“選擇”按鈕從地址列表中選擇,如果沒有,點擊“新建”按鈕創(chuàng)建地址對象,如ド圖點擊“ドー步”，進行VPN高級設置，偽裝地址選項用于控制對端網(wǎng)絡通過VPN訪問本地網(wǎng)絡時是否使用偽裝后的地址進行，即VPN解密后再進行地址映射?！案呒墶卑粹o用于設置VPN的安全等級、預共享密鑰等信息，一般情況下不進行修改。點擊“下ー步”，點擊“開始”，進行VPN相關配置的自動生成。

由向導向導自動生成的節(jié)點、隧道、策略如下:名稱」類型1身份標識客戶偏!網(wǎng)關石戶?o.o.o.oO.O.O.O網(wǎng)美劃聯(lián)_俯＜206網(wǎng)關名稱1類型1安全警級1VPN節(jié)點 1備份節(jié)點1カを1進入流量1外出直量IKE中客戶?網(wǎng)關0.624KBytes1.779KBytesIKE快速險道xpawxO.OOOKBvtesO.OOOKBytes網(wǎng)關到網(wǎng)關—TbNNB.IKE中同關到阿關ーVP… -O.OOOKBytesO.OOOKBytes名稱目的地址 ?務動作 時值表用戸U證快速四開啟關閉美匍關閉anyanyVPNJJDff放行anyany0到網(wǎng)關一VPN□f岡關到網(wǎng)關—VPNPASS第6章防火墻配置地址映射（NAT）配置地址映射（NAT）是安全網(wǎng)關具備的一個基本功能,安全網(wǎng)關提供三種NAT功能,即地址池映射（動態(tài)NAPT映射）、靜態(tài)映射（靜態(tài)NAT）和靜態(tài)端口映射（靜態(tài)NAPT）。這三種NAT分別起以下作用:地址池映射:只有一個或少數(shù)幾個公有地址，提供內(nèi)網(wǎng)的私有地址轉換成該公有地址，提供上網(wǎng)功能;靜態(tài)映射:將內(nèi)網(wǎng)的一臺或若干臺主機完全映射成一個公網(wǎng)IP地址，向外提供服務;靜態(tài)端口映射：將內(nèi)網(wǎng)的主機的某ー個或幾個端口映射到公網(wǎng)IP的某個端口±,通常用于向外提供某些服務。在以上幾種NAT中,地址池映射和靜態(tài)端口映射最為常用。配置NAT的通常步驟配置NAT通常要經(jīng)過以下兩個步驟:.添加NAT對象,如果是地址池映射，則添加地址池對象:.添加NAT策略，并選擇ー個NAT對象（或地址池對象）綁定到策略;添加NAT對象配置上述的三種NAT,分別需添加三種不同的NAT對象或地址池對象，配置NAT對象或地址池對象在“防火墻”大項下的“地址映射”小項下。〇地址池對象的添加如果安全網(wǎng)關通過動態(tài)IP地址接入互聯(lián)網(wǎng)（比如PPPoE撥號或DHCP自動獲得地址）,就無需去手工添加一個地址池對象，則安全網(wǎng)關會自動生成一個名稱為“一SYS一DYN.POOL”的地址池對象,在添加NAT策略時直接引用即可。在使用靜態(tài)IP地址（直接設置WAN口地址）的情況下，添加地址池対象的步驟如下:選中左側“防火墻”大項下的“地址映射”小項下的“地址池”子項,點擊導航欄上的“添加”按鈕;在彈出的對話框中輸入地址池的名稱和地址池的地址范圍,通常情況下起始地址與結束地址為同一個地址:點擊“確定”按鈕。如下圖:?靜態(tài)NAT對象的添加添加靜態(tài)NAT對象的步驟如下:選中左側“防火墻”大項下的“地址映射”小項下的“靜態(tài)NAT”子項,點擊導航欄上的“添加”按鈕:在彈出的對話框中輸入靜態(tài)NAT對象的名稱,映射前的IP地址和映射后的IP地址：點擊“確定”按鈕。如下圖：注意:不允許將WANロIP地址或動態(tài)獲得（PPPoE撥號、DHCP獲得）的IP地址作為映射后IP地址去映射一個內(nèi)網(wǎng)主機,否則會導致錯誤的狀態(tài)。〇靜態(tài)NAPT對象的添加添加靜態(tài)NAPT対象的步驟如下:選中左側“防火墻”大項下的“地址映射”小項下的“靜態(tài)NAPT”子項,點擊導航欄上的“添加”按鈕;在彈出的對話框中輸入靜態(tài)NAPT對象的名稱、選擇協(xié)議、輸入映射前的IP地址、端口和映射后的IP地址、端口;點擊“確定”按鈕。如下圖:注意:可以將安全網(wǎng)關的WAN口地址作為映射后地址來做靜態(tài)NAPT,但是映射后端口應在50000以下。注意:當安全網(wǎng)關采用動態(tài)!P地址（PPPoE撥號、DHCP獲得）接入時,添加