远东网安防火墙vpn系统用户手册(编辑修改稿)

远东网安防火墙vpn系统用户手册(编辑修改稿)内容摘要：

..................... 20 vpn通道管理界面 ........................................................................................... 20 策略管理 ....................................................................................................... 21 安全通道管理 ................................................................................................ 21 本机地址设定 ............................................................................... 21 远端地址设定 ............................................................................... 23 认证方式设定 ................................................................................ 23 安全措施设置 ............................................................................... 24 密钥交换（ IKE）设置 .................................................................. 25 IPSec策略指派 ........................................................................... 26 IPSec策略刷新 ........................................................................... 26 电子钥匙密码修改 ........................................................................ 27 第 1 章 VPN 系统概述 1 简介 虚拟专用网（ VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 虚拟专用网是对企业内部网的扩展。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可 3 信的安全连接，并保证数据的安全传输。 通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。 同时，这将简化网络的设计和管理，加速连接新的用户和网站。 另外，虚拟专用网还可 以保护现有的网络投资。 随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。 虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 虚拟专用网至少应能提供如下功能： 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制，不同的用户有不同的访问权限。 远东网安防火墙集成的 VPN功能使得您可以在 inter上构建基于 IPSec技术的一系列加密认证技术和密钥交换方案，使得在公共网络上组建的 VPN 具有同本地私有网络一样的安全性、可靠性和可管理性等特点，同时大大降低了建立远程私有网络的费用。 2 VPN 操作范例 为方便您更好地使用本手册进行配置与管理 vpn 网络，我们提供以下操作范例，其它章节内容均可参照此范例进行设置。 子网互联 两台防火墙之间建立通道称为子网互联。 子网互联通道保护两台防 火墙后面的子网机器的通信。 建立通道要求两台防火墙的配置信息一致，有两种配置方式：一种是分别在两台防火墙上设置相同的配置信息，如双方 IP 地址、认证协商用的密钥等等；另一种是在一台防火墙上设置好配置信息，然后将配置信息下载打包，上传到另一台防火墙。 显然第二种方法更方便，而且不容易出错。 我们在这里进行示例的就是第二种方法。 确认地址信息 首先确认四个地址：两个防火墙的外网口地址（走缺省路由的网口是外网口）和子网网段。 比如：  =====Inter=====  上面的地址信息表示 和 两台防火墙之间建立子网互联通道，通道建立之后两个子网。 建立策略 在防火墙 上建立新策略。 点击策略库里面的“建立策略”按钮打开策略页面 4 进行配置： 输入策略名称 连接方式选择“子网互联” 填写地址信息： 本地隧道地址不需要输入，选择 本地内网 IP。 将远端地址类型选为“指定地址”，填入 远端子网填入 选择一种认证方式 预共享密钥则从预共享密钥库中选择一个密钥 证书认证则从证书库中选择一个证书 手动密钥则从手动密钥库中选择一个密钥 点击“保存修改“按钮完成策略的建立。 在策略库页面点击新建策略的状态栏使其呈亮色。 传递策略 接下来将新建的策略传递到另一台防火墙上。 在 防火墙的策略库页面点击 新建策略的“导出”图标，将策略存为一个文件。 在 ，然后点击新上传策略的状态栏使其呈亮色。 测试 通道建立完成，在一个子网尝试连接另一个子网，测试是否成功。 远程接入 在 windows 机器上运行 vpnclient 软件，与防火墙建立通道，连接到防火墙后面的子网，这种连接方式称为远程接入连接方式。 客户端 vpnclient 软件不可以无限制复制，由 USB令牌来实现 vpnclient 软件的 license 限制。 客户要使用 vpnclient 来连接防火墙，必须购买 USB 接口的 VPN令牌，在连接时插在 windows机器上。 VPN 令牌除了做 license 限制，同时也起到传递策略的作用（与子网互联通道策略传递的原理相同）。 确认地址信息 首先确认三个地址：防火墙的外网口地址（走缺省路由的网口是外网口）和子网网段，以及客户端 windows 机器的地址。 比如： =====Inter=====  上面的地址信息表示客户端机器 与防火墙 之间建立远程接入通 5 道，通道建立之后客户端机器就可以直接访问。 建立策略 在防火墙 上建立新策略。 点击策略库里面的“建立策略”按钮打开策略页面进行配置： 输入策略名称 连接方式选择“远程接入” 填写地址信息： 本地隧道地址不需要输入，选择本地内网 IP。