安全客戶端用戶手冊安全接入客戶端用戶手冊

vl.5

湖南天一銀河信息產(chǎn)業(yè)有限公司

目錄

1.系統(tǒng)簡介..................................................................3

1.1構(gòu)成部分..................................................................3

1.2功能特點(diǎn).................................................................3

1.3系統(tǒng)限制..................................................................4

2.軟件安裝..................................................................4

3?軟件使用...................................................................5

3.1用戶登錄..................................................................6

3.2主菜單....................................................................6

3.3安全連接..................................................................7

3.3.1安全連接主界面......................................................7

3.3.2連接/斷開網(wǎng)關(guān).......................................................8

3.4啟用/禁用.................................................................9

3.5用戶信息..................................................................9

3.6日志......................................................................9

3.7更換PIN碼..............................................................10

3.8策略服務(wù)器...............................................................10

3.9NAT穿透(NAT-T).............................................................................................................12

3.10關(guān)于....................................................................12

4.ADSL接入下的使用........................................................-...12

1.系統(tǒng)簡介

安全客戶端(SureClienl)是一套運(yùn)行于MSwindows98/2000/XP平臺(tái)上的產(chǎn)品，是安全I(xiàn)阿

關(guān)的客戶端配套產(chǎn)品。該套產(chǎn)品能夠使得企業(yè)的移動(dòng)辦公人員或者企業(yè)的合作伙伴能安全可

控地訪問企業(yè)的內(nèi)部資源。由于數(shù)據(jù)在公網(wǎng)上傳輸，不需要專線，能夠大大降低用戶的通信

成本。

1.1構(gòu)成部分

該套產(chǎn)品包含3個(gè)構(gòu)成部分：

(I)安全客戶端管理軟件

系統(tǒng)管理員使用，用于對用戶的管理及個(gè)人身份鑰匙的制作。具體使用請參閱“安

全客戶端管理員手冊”。

(2)安全客尸端軟件

安裝在終端用戶主機(jī)上的軟件，目前支持的操作系統(tǒng)為Win98/2000/XP,與個(gè)人身

份鑰匙(SurelD)配合使用，完成企業(yè)內(nèi)網(wǎng)的安全接入。

(3)用戶身份鑰匙(SurelD)。

USB接口，外形小巧。由安全客戶端管理員制作，是用戶身份的標(biāo)識(shí)，與客戶端軟

件配套使用，完成對用戶的身份識(shí)別。

SurelD外形圖

1.2功能特點(diǎn)

?該套軟件在IP層對數(shù)據(jù)進(jìn)行加解密，對上層應(yīng)用軟件透明，一旦安裝了該軟件，

就能夠?qū)λ惺褂肨CP/IP協(xié)議通信的應(yīng)用實(shí)現(xiàn)對用戶透明的安全保護(hù)。

?個(gè)人身份信息存放于SurelD。用戶只需攜帶該鑰匙，就能夠在任何地方安全訪問

企業(yè)內(nèi)部許可的資源。

?支持預(yù)共享密鑰與數(shù)字證書的認(rèn)證方式。

?同時(shí)支持以太網(wǎng)、ADSL撥號(hào)與Modem撥號(hào)接入Internet方式。

?支持策略服務(wù)器，能夠與使用動(dòng)態(tài)IP接入的安全網(wǎng)關(guān)進(jìn)行VPN安全連接。

?SurelD的訪問受用戶口令保護(hù)。

1.3系統(tǒng)限制

?目前只能在MSwindows98/2000/XP上安裝。

?系統(tǒng)上不能同時(shí)安裝使用其他IPSEC協(xié)議的VPN客戶端軟件，否則不能正常工

作。

?假如系統(tǒng)上安裝了其他利用中間層技術(shù)的底層軟件，可能會(huì)導(dǎo)致系統(tǒng)特殊，建議在

安裝安全客戶端之前將此類軟件卸載。

2.軟件安裝

軟件的安裝非常簡單，運(yùn)行安裝光盤中的selup.exe,按照其缺省設(shè)置即可完成。

運(yùn)行setup.exe,彈出的安裝提示界面如下：

按照界面提示選擇“Yes"，通過license與目錄選擇界面，會(huì)出現(xiàn)如下的界面。圻今執(zhí)

行驅(qū)動(dòng)程序文件的安裝，該過程將會(huì)要持續(xù)10多秒種，不要中途中斷。

C:\WINNT\IPSecDriver\SZETCFGEXE|g|x

PYJ川.IME半:bd

上述窗口關(guān)閉后，重新啟動(dòng)計(jì)算機(jī)，安全客戶端（配合適當(dāng)?shù)腢SBKEY）就能正常運(yùn)

行了。

3.軟件使用

從“開始菜單欄》程序今天?銀河今安全客戶端”中，能夠啟動(dòng)安全客戶端。

3.1用戶登錄

用戶身份鑰匙受口令保護(hù)，用戶啟動(dòng)SureClienl時(shí)，務(wù)必通過口令校驗(yàn)方能讀取用戶身

份鑰匙中的信息。

登錄

9

^

請輸入U(xiǎn)SB鑰匙密碼：|

，確定X取消

在口令輸入框里輸入PIN碼（初始PIN碼為“00000000”），會(huì)彈出一個(gè)窗口（如下圖所

示）

SecurityClient

正在讀取配置信息，請等待…

如今正在讀取用戶的配置信息，此過程可能需要5~15秒。

登錄成功之后，會(huì)彈出安全連接對話框，同時(shí)在屏幕右下角的工具欄里會(huì)出現(xiàn)一個(gè)黑色

與紅色箭頭構(gòu)成的圖標(biāo)（見下圖），即為安全客戶端軟件。單擊右鍵則彈出程序。

標(biāo)

9:23

3.2主菜單

右鍵單擊與左鍵雙擊程序圖標(biāo)，會(huì)彈出如下圖主菜單:

安全連接

高級(jí)…

更改口令

用戶信息

日志

關(guān)于…

禁用

退出

3.3安全連接

安全客戶端假如要訪問某安全網(wǎng)關(guān)所保護(hù)的企業(yè)資源，務(wù)必先同該網(wǎng)關(guān)建立起安全連

接。

331安全連接主界面

單擊主菜單中的“安全連接”，可彈出安全連接對話框。安全連接對話框要緊由卜?列幾

個(gè)區(qū)域構(gòu)成：

網(wǎng)關(guān)列表顯示用戶能夠進(jìn)行安全通信的安全網(wǎng)關(guān)。紅色圖標(biāo)表示與該網(wǎng)關(guān)沒有連接，

綠色表示己經(jīng)連接。

網(wǎng)關(guān)信息區(qū)域顯示當(dāng)前所選的網(wǎng)關(guān)及其所保護(hù)資源的有關(guān)信息。

(I)目的地址：由IP地址與掩碼表示，表示該連接建立后，該主機(jī)能夠訪問的IP地

址范圍。

(2)目的端U：該主機(jī)能夠訪問的端口。“任意”表示任意端口。

(3)傳輸協(xié)議：表示IP上層協(xié)議，如TCP,UDP,ICMP等。

(4)隧道端點(diǎn)：表示安全隧道的終點(diǎn)，實(shí)際上是對等安全網(wǎng)關(guān)的外部IP地址。

狀態(tài)欄動(dòng)態(tài)顯示與網(wǎng)關(guān)安全連接的狀態(tài)。

332連接/斷開網(wǎng)關(guān)

連接在網(wǎng)關(guān)列表中選中所想連接的網(wǎng)關(guān)，點(diǎn)擊“連接”按鈕，即可發(fā)起連接請求。假

如配置正確，對方網(wǎng)關(guān)也配置正確，通過幾秒種后，安全連接建立成功，就能夠與該網(wǎng)關(guān)保

護(hù)的內(nèi)網(wǎng)的主機(jī)進(jìn)行安全通信了。如今安全連接主界面就變?yōu)槿缦聢D所示：

斷開在列表中選擇要斷開連接的網(wǎng)關(guān)，單擊“斷開”，可斷開與該網(wǎng)關(guān)的安全連接。

返回假如要關(guān)閉該窗口，鼠標(biāo)單擊“返回”。

3.4啟用/禁用

假如用戶暫時(shí)不需要提供安全連接時(shí)（如：在企業(yè)的內(nèi)網(wǎng)），能夠使用禁用功能（如下

圖所示）。禁用后，軟件對本機(jī)發(fā)起的數(shù)據(jù)通信不做任何操作，用戶能夠忽略此軟件的存在。

當(dāng)重新“啟用”安全客戶端的加密與安全通信功能時(shí)，不再需要輸入用戶PIN碼。

禁用單擊主菜單中的''禁用"，可實(shí)現(xiàn)禁用。

啟用禁用后，假如想重新啟用，點(diǎn)擊主菜單中的“啟用”。

該軟件啟動(dòng)后，缺省狀態(tài)是“啟用”。

3.5用戶信息

用戶信息提供了關(guān)于用戶自身的有關(guān)的信息（由管理員統(tǒng)一規(guī)劃確定，用戶只能查看）

在主菜單中選擇“用戶信息”，會(huì)彈出用戶信息窗口:

用戶名標(biāo)識(shí)不一致用戶。

?用戶類別由系統(tǒng)管理員定義的用F區(qū)分不一致用戶的級(jí)別。

?私有ip分配給此用戶的在內(nèi)部網(wǎng)中的網(wǎng)絡(luò)IP地址。

?認(rèn)證方式客戶端軟件同網(wǎng)關(guān)認(rèn)證時(shí)采取的認(rèn)證方式，預(yù)共享密鑰認(rèn)證或者證書

認(rèn)證。

?OCSP服務(wù)器地址假如是證書認(rèn)證方式，該項(xiàng)表示在線證書認(rèn)證服務(wù)器的地

址。

?OCSP端口要去訪問的OCSP服務(wù)器的端口。

3.6日志

用戶能夠在需要時(shí)查看日志，當(dāng)出現(xiàn)問題時(shí)，也能夠按日志中內(nèi)容的描述給管理員，以

便分析故障。當(dāng)口志文件太大，系統(tǒng)會(huì)自動(dòng)刪除。口志的內(nèi)容按照時(shí)間順序排列。

日志格式月/日/年時(shí)：分：秒日志信息

導(dǎo)出日志用戶能夠?qū)С鋈罩拘畔?，如今所有的日志條目將以文本格式儲(chǔ)存在用戶指

定的位置。

清除日志刪除所有的日志信息，此過程不可恢復(fù)。

返回關(guān)閉日志窗口。

日^_________________X

03/25/0215:53:40嘗試連接網(wǎng)關(guān)：132.132.100.211±|

03/25/0215:53:44協(xié)商成功:建立一條熱132.132.100.211）階段-

03/25/0215:54:07協(xié)商成功:創(chuàng)建安全通道，目的IP：192.168.1.0,1

03/25/0216:25:27退出

03/25/0216:25:33登錄

03/25/0216:26:06毒武連接網(wǎng)關(guān)：132.132.100.211

03/25/0216:26:09例商成功:建立一條到［132.132.100.211）階段-

03/25/0216:26:11協(xié)商成功創(chuàng)建安全通道，目的IP：192.168.1.0月

03/25/0216:28:58嘗法連接網(wǎng)關(guān)：132.132.100.211

03/25/0216:29:01協(xié)商成功:建立一條到［132.132.100.211］階段一

03/25/0216:29:04協(xié)商成功創(chuàng)建安全通道，目的尸：192.168.1.0,1

1J|2J

■/返回四清除日志幻導(dǎo)出日志

3.7更換PIN碼

SureClient提供了更換PIN碼功能，用戶能夠隨時(shí)根據(jù)需要更換PIN碼，更換成功后在

下次啟動(dòng)時(shí)生效。

在主菜單中選擇“更換口令”欄，會(huì)彈出如下圖對話框：

更改口令-lr|x|

U口

c

O

口

口

VPN通道口

INTER

呻八

輸入原有口令及新口令（最大長度為8）即可。

3.8策略服務(wù)器

假如安全客戶端訪問的網(wǎng)關(guān)是使用策略服務(wù)器，那么安全客戶端也務(wù)必使用策略服務(wù)器

才能與網(wǎng)關(guān)實(shí)現(xiàn)安全通訊,操作方法如下：

點(diǎn)擊主菜單中的“高級(jí)…”，能夠彈出如下對話框:

在“策略服務(wù)配置”欄中選擇“使用”,同時(shí)輸入服務(wù)器地址,客戶端ID及口令,如下:

育級(jí)設(shè)置...2<J

客戶端所在域信息

「不使用60連接狀態(tài)，己連接一

服務(wù)器地址：|211.152.185.4UVPN社區(qū)：adtsec

VPN?：testSvd

客戶端ID：kanghao

網(wǎng)關(guān)數(shù)：

口令：AAAAAAA

動(dòng)態(tài)IP網(wǎng)關(guān)信息列表:

網(wǎng)關(guān)ID1網(wǎng)關(guān)名稱子網(wǎng)地址子網(wǎng)掩碼公網(wǎng)IP▲

suresec濟(jì)南確信255.255.255.255255.255.255.255255.255.2

adtgatewayADT132.132.100.254255.255.0.0218.80.87

capital首創(chuàng)網(wǎng)絡(luò)10.15.2.87255.0.0.010.15.2.8(

hengdun恒敦通信172.16.88.1255.255.255.0211.152.1

chwinchwin192.168.191.1255.255.255.0218.80.84

sgwOOOOOOO7碩源科技192.168.0.1255.255.255.0218.72.21—

▼

?1______________|2r

NAT-T設(shè)置

廠本機(jī)在NAT設(shè)備后面

品慚列表確定

然后點(diǎn)擊“刷新列表”。“客戶端所在域信息”欄中會(huì)顯示客戶端當(dāng)前的基本信息，包含

連接狀態(tài)，VPN社區(qū)，客戶端所在的VPN域與該域中的網(wǎng)關(guān)數(shù)?！皠?dòng)態(tài)網(wǎng)關(guān)信息”欄中會(huì)

顯示VPN域中當(dāng)前網(wǎng)關(guān)的基本信息，包含網(wǎng)關(guān)ID,網(wǎng)美名稱，子網(wǎng)地址，子網(wǎng)掩碼，公網(wǎng)

IP及其是否在線（將拉動(dòng)條向右拉能夠看到該條目）。

設(shè)置完以上策略服務(wù)信息后，安全客戶端就能夠與該域中在線的網(wǎng)關(guān)保護(hù)的子網(wǎng)實(shí)現(xiàn)安

全通訊，操作方法前面已介紹，這里不再贅述。

注意:假如與安全客戶端通訊的安全網(wǎng)關(guān)公網(wǎng)地址發(fā)生變化,安全客戶端務(wù)必聿新連接,

同時(shí)假如“安全連接”中的“隧道端點(diǎn)”沒有更新，請點(diǎn)擊“策略服務(wù)器”中的“刷新列表”

按鈕

3.9NAT穿透（NAT-T）

正常的IPSec協(xié)議（VPN的關(guān)鍵協(xié)議），不能穿透NAT設(shè)備，導(dǎo)致“公有IP一—私有IP”

間不能建立VPN連接。

當(dāng)安全客戶端處于NAT設(shè)備后面（如：在某公司的內(nèi)網(wǎng)中，通過ADSL/CableModem

等設(shè)備共享上網(wǎng)）。這時(shí)，假如安全客戶端要與遠(yuǎn)端部署的安全網(wǎng)關(guān)相連，需要將“NAT?T

設(shè)置”的可選項(xiàng)“本機(jī)在NAT設(shè)備后面”選中。這樣，安全客戶端將使用NAT穿透技術(shù)

（NATT）,與遠(yuǎn)端的安全網(wǎng)關(guān)進(jìn)行VPN連接。

3.10關(guān)于

菜單中選擇“關(guān)于…”，彈出下面的窗口。

|安全客尸端SureClient1.4.1版,2003.5f……福定

版權(quán)所有（C）2002-2005

4.ADSL接入下的使用

假如移動(dòng)用戶的網(wǎng)絡(luò)接入方式為ADSL（使用普通電話modem撥號(hào)上網(wǎng)則不需要進(jìn)行

任何處理），同時(shí)使用ADSL撥號(hào)軟件（如：Enternet）進(jìn)行PPPoE撥號(hào)，則在運(yùn)行安全客

戶端軟件之前務(wù)必取消本地網(wǎng)卡上綁定的“ADTIPSec”協(xié)議；而保留安裝PPPoE撥號(hào)軟件

時(shí)生成的“虛擬網(wǎng)卡”上綁定的“ADTIPSec”協(xié)議。否則，安全客戶端不能夠正常工作。

如下圖，在Windows系統(tǒng)中“網(wǎng)絡(luò)與撥號(hào)連接”窗口中：

-Pl網(wǎng)絡(luò)和撥號(hào)連接-1□1x|

文件（E）編輯⑥查看（D收藏（與工具（I）高級(jí)（由幫助（由

，后退▼?▼蟲|a搜索乃文件夾爹用聽x今?霆!▼

地址（9|網(wǎng)絡(luò)和撥號(hào)連接

￡3F轉(zhuǎn)到

酣

□3L性