天清汉马USG防火墙IPSecVPN客户端用户手册.docx

1、天清汉马USG防火墙IPSecVPN客户端用户手册天清汉马USG IPSecVPN客户端用户手册手册版本 V3.2产品版本 V2.6.3.2资料状态 发行版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承

2、担责任。Users Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpte

3、d in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make

4、improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damag

5、es resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时，包含3款GPL协议的软件（linux、zebra、OpenLDAP）。启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户，请需要GPL软件的客户提供（1）已经购买的产品的序列号，（2）有效送达GPL软件地址和联系人，包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等；（3）人民币100元的光盘费和快递费，客户即可获得产品所包含的GPL软件。第1章 1客户端简介1.1 概述IP

6、SecVPN客户端通过在公网上建立一条虚拟隧道，完成与安全设备的协商，并与保护子网进行通信；通过日志显示协商状态，通过上下行流量和收发数据包来动态显示通信状态。在同一时间，只允许一条隧道与设备协商并访问保护子网。1.1.1 主要功能IPSecVPN客户端主要具备如下功能： 通过图形界面对虚拟隧道进行配置和管理。 完成与安全设备的协商，完成与保护子网的安全通信。 动态显示协商过程的日志、通信过程的流量和数据包。 对隧道列表提供不同的显示风格、对隧道列表提供排序的功能。 支持PFS和NAT穿越（源NAT、目的NAT）。 隧道连接，除了手动操作连接，还提供程序启动即连接和插key即连接。1.1.2

7、系统组成IPSecVPN客户端系统组成如下图所示：图 1 IPSecVPN客户端系统组成各模块的主要功能如下： 前台界面：是图形化的GUI用户接口。用户通过前台界面进行虚拟隧道的配置，并显示协商和通信的相关信息； IKE协商：通过读取隧道信息，与安全网关进行协商，生成并维护IPSec SA。 IPSec引擎：初始化虚拟网卡，并根据IPSec SA对数据进行相应的封装或解封装处理。 硬件层：对IKE协商和IPSec处理提供硬件平台。1.2 相关术语解释下面列举出相关术语解释。 远程网关：远程网关的IP地址，也即文中的服务器或设备端。 远端子网：远端网关保护的子网，可以是一台或多台PC。 本地接口

8、：本地真实的IP地址，也即IPSecVPN客户端的主机IP地址。 本地虚拟IP：本地虚拟网卡的IP地址。 DNS服务器：本地虚拟网卡的DNS服务器地址。 WINS服务器：本地虚拟网卡的WINS服务器地址。 IKE协议：Internet Key Exchange Protocol（因特网密钥交换协议），为端点间的认证提供预共享密钥和RSA数字签名方法、建立新的 IPsec 连接（创建一对SA）、管理现有连接。IKE跟踪连接的方法是给每个连接分配一组安全联盟（SA）。SA描述与特殊连接相关的所有参数，包括使用的IPSec协议(ESP/AH/二者兼有)，加密/解密和认证/确认传输数据使用的对话密钥。

9、SA本身是单向的，每个连接需要一个以上的SA。大多数情况下，只使用ESP或AH，每个连接要创建2个SA，一个描述入站数据流，另一个描述出站数据流。同时使用ESP和AH的情况中就要创建4个SA。 IKE认证方式：IKE提供共享密钥、证书认证两种认证方式，本软件中将证书分为数字证书和智能卡证书。数字证书是从本地导入，智能卡证书只能从USBKey中读取并使用。IKE还可以对服务器端CA证书进行验证。 IKE协商模式：在IKE第一阶段协商时可以使用“主模式”或“野蛮模式”，二者的不同之处在于，野蛮模式可以用更少的包发送更多信息，这样做的优点是快速建立连接，而代价是以清晰的方式发送安全网关的身份。 IK

10、E认证算法：用于数据的数字签名，包括MD5和SHA1。服务器必须使用相同的设置。 IKE加密算法：用于数据的加密或解密，包括DES、3DES、AES128、AES192、AES256。必须使用与服务器相同的设置。 IKE密钥DH组：指定IKE交换密钥时使用的Diffie-Hellman组，密钥交换的安全性随着DH组的扩大而增加，但交换的时间也增加了。必须使用与服务器相同的设置。 IKE密钥周期：该密钥周期是IKE加密密钥的过期时间。当密钥过期后，一个新的密钥将会产生，此过程不会中断VPN服务。 IPSec封装协议：IPSec封装协议描述了如何处理数据的方法。其中可以选择的2种协议是AH（认证头

11、，Authentication Header）和ESP（封装安全有效载荷，Encapsulating Security Payload）。ESP具有加密，认证或二者兼有的功能。但是，我们不建议仅使用加密功能，因为它会大大降低安全性。AH只有认证作用，与ESP的认证之间的不同之处仅仅在于，AH可以认证部分外发的IP头，如源和目的地址，保证包确实来自IP包声明的来源。 IPSec认证算法：用于对要发送的数据进行认证计算和对接收的数据进行验证计算，包括MD5和SHA1算法，该算法可用于AH协议或ESP协议的认证功能。必须使用与服务器相同的设置。 IPSec加密算法：用于ESP协议时对要发送的数据进行

12、加密或对接收到的数据进行解密，包括DES、3DES、AES128、AES192、AES256算法。必须使用与服务器相同的设置。 IPSec支持PFS：IKE 提供完全正向保密 (perfect forward secrecy，PFS)的支持。在PFS中，不能使用保护数据传输的密钥派生其他密钥，不重新使用用于创建数据传输密钥的种子。必须使用与服务器相同的设置。 IPSec密钥周期：该密钥周期是IPSec加密密钥的过期时间。当密钥过期后，一个新的密钥将会产生，此过程不会中断VPN服务。 DPD：Dead Peer Detection(DPD)，断线侦测。用于IPSec对端状态的检测。当接收端在触发

13、DPD的时候间隔内收不到对等体的IPSec加密报文时，能够触发DPD查询，主动向对端发送请求报文，对IKE对等体是否存在进行检测。 DPD检查间隔：设置经过多长时间没有从对端收到IPSec报文，则触发DPD。 DPD重试次数：设置没有收到DPD响应报文，需要重传DPD报文的次数。 DPD重试时延：设置经过多长时间没有收到DPD响应报文，则重传DPD报文。1.3 版本说明IPSecVPN客户端默认使用的端口包括： 端口500（UDP） IKE协商。 端口4500（UDP） NAT穿越。如果这几个端口被其它应用程序使用，IPSecVPN客户端无法正常运行，需要先关闭使用这些端口的服务，再启动IPS

14、ecVPN客户端。1.4 运行环境说明IPSecVPN客户端要求如下运行环境： 硬件环境 PC服务器/256M内存40GHDPentium IV CPU / 软件版本 Windows 2000 / Windows 2003 / Windows XP / Vista由于虚拟网卡的参数是通过DHCP设置，所有客户端主机的DHCP Client服务必须开启，不然设置虚拟网卡参数失败，无法正常通信。第2章 2安装和卸载 2.1 安装客户端2.1.1 第一步：进入安装程序界面将安装光盘放入光盘驱动器（CDROM）中，执行光盘驱动器目录下的“setup.exe”文件。需要说明的是，在安装过程中，可以随时点

15、击相应的取消按钮，取消此次安装操作。图 2 IPSecVPN客户端安装如图 2所示为安装向导界面，为正式安装做准备。用鼠标点击下一步按钮，进入协议许可界面，选择接受许可证协议，才能继续安装。图 3 协议许可2.1.2 第二步：选定安装位置用鼠标点击下一步按钮，进入如图 4所示选择安装位置的界面。图 4 选定软件要安装的位置如果采用默认的安装目录，请直接点击下一步；如果需要更改安装目录，请点击更改按钮，进入如图 5所示的选择文件加界面，选择需要的安装目录并点击确定按钮。图 5 选择软件要安装的目录2.1.3 第三步：准备安装用鼠标点击下一步按钮，进入如图 4所示的准备安装界面。图 6 准备安装界

16、面2.1.4 第四步：正在安装用鼠标点击安装按钮，进入如图 7所示的正在安装界面。图 7 正在安装界面2.1.5 第五步：安装虚拟网卡IPSecVPN客户端安装还集成了虚拟网卡的安装，如图 8所示。图 8 安装虚拟网卡2.1.6 第六步：提示安装WinPCAPIPSecVPN工作时依赖WinPCAP部分组件，再安装完虚拟网卡后会提示安装，此时需要选择“是”，如图9所示。图9 选择安装WinPCAP2.1.7 第七步：安装WinPCAP选择“是”后，系统执行安装WinPCAP，如图10。图10 安装WinPCAP 2.1.8 第八步：安装完成安装完成后，进入如图11所示的安装完成界面。点击完成，

17、完成IPSecVPN客户端的所有安装工作。图 11 安装完成界面2.2 卸载客户端进入“控制面板”后点击“添加或删除程序”，弹出如图12所示的卸载程序界面。图 12 卸载程序界面选择“IPSecVPN”后，点击“更改/删除”按钮弹出如图12和图13所示的界面。图 12 卸载程序界面图 13移出功能选择如果选择“是”，则弹出如图14所示的卸载虚拟网卡界面；选择“否”，则不卸载虚拟网卡。图 14 卸载虚拟网卡卸载完成后，弹出如图15所示的界面。根据自己的需要重启或不重启电脑。图 15卸载完成界面第3章 3客户端配置3.1 主要界面介绍安装完成后，在“开始”-“程序”-“启明星辰 USG IPSec

18、VPN”下点击“IPSecVPN”或双击安装目录下的“IPSecVPN.exe”运行程序，弹出如图16所示的界面。默认安装目录为“C:Program FilesVenusTechIPSecVPN”。图 16 IPSecVPN客户端界面对每一条隧道以列表形式显示其名称、状态、远程网关、远端子网、指定虚拟IP地址、认证方式、连接模式。详细如表 1所示。表 1 隧道列表显示内容显示名含义可能值备注名称隧道名称任意唯一标识隧道状态连接状态未连接第一阶段协商成功第二阶段协商成功已连接共四个连接状态远程网关安全设置的IP地址任意如：192.168.31.1远端子网保护子网任意如：20.0.0.0/24指定

19、虚拟IP地址参数是否由设备端设置是（由客户端指定）否（由服务器设置）包括虚拟网卡、DNS服务器和WINS服务器的IP认证方式IKE协商的认证方式共享密钥数字证书智能卡证书共三种认证方式启动模式隧道连接的模式手动操作连接程序启动即连接插入key即连接共三种启动模式3.2 配置参数说明下面说明隧道配置参数的含义、可能值及其限制。3.2.1 隧道基本设置参数说明隧道基本参数说明如表 2所示。在“基本设置”提供三种认证方式，分别为共享密钥、数字证书和智能卡证书。其中共享密钥要求输入密钥和确认密钥，数字证书需要从本地导入p12格式的证书（或从下拉框中选择已存在的p12证书），智能卡证书从插入电脑的USB

20、 Key中导入p12格式的证书；后面两种认证方式，还提供对服务器端证书的验证功能，如果选择“验证CA证书”复选框，则需要从本地导入cer格式的证书（或从下拉框中选择已存在的cer证书）。表 2 隧道基本参数说明显示名含义可能值备注隧道名称隧道名称任意唯一标识隧道远程网关安全设置的IP地址任意如：192.168.31.1远端子网保护子网任意如：20.0.0.0/24本地接口本地真实IP地址枚举所有的真实IP如：192.168.31.2只能下拉选择来实现认证方式IKE协商的认证方式共享密钥数字证书智能卡证书共三种认证方式默认为共享密钥只能下拉选择来实现3.2.2 隧道扩展认证参数说明扩展认证允许I

21、Psec客户端的使用者,而不是IPsec客户端软件,被IPsec网关认证，扩展认证是基于每一用户的。扩展认证也被称作X-AUTH，其认证参数如表 3所示。表 3 隧道扩展认证参数说明显示名含义可能值备注登录名登录名称任意如：Admin输入密码登录需要的密码任意如：123456确认密码重新输入密码任意如：1234563.2.3 隧道本地网络参数说明本地虚拟IP地址、DNS服务器和WINS服务器的值，可以用户手动输入，也可以由服务器端配置完全后，在协商的时候发送给IPSec客户端。如果用户选择“指定虚拟IP地址”，虚拟网卡参数设置以用户输入为准，否则以服务器端设置为准。如果两端都没有设置，则不能协

22、商成功。参数如表 4所示。表 4 隧道本地网络参数说明显示名含义可能值备注虚拟IP地址虚拟网卡IP地址任意如：10.0.0.4DNS服务器虚拟网卡DNS任意如：1.1.1.1WINS服务器虚拟网卡WINS任意如：2.2.2.23.2.4 隧道高级设置参数说明隧道高级参数分为IKE设置参数、IPSec设置参数、断线侦测和连接模式。分别说明如表 5、表 6、表 7、表 8所示。表 5 IKE设置参数说明显示名含义可能值备注协商模式IKE第一阶段协商的模式主模式野蛮模式默认：主模式必选认证算法IKE协商采用MD5SHA1默认：MD5必选加密算法IKE协商采用DES3DESAES128AES192AE

23、S256默认：3DES必选密钥DH组IKE协商采用DH1（768）DH2（1024）DH5（1536）DH14（2048）默认：DH2（1024）必选密钥周期IKE密钥周期在600到86400之间默认：28800表 6 IPSec设置参数说明显示名含义可能值备注封装协议对数据包采用的封装协议 AHESP默认：ESP必选认证算法IPSec处理采用NULLMD5SHA1默认：MD5若封装协议为AH，则认证算法不能为NULL加密算法IPSec处理采用NULLDES3DESAES128AES192AES256默认：3DES若封装协议为ESP，则认证算法和加密算法不能同时为NULL支持PFSIPSec处

24、理采用DH1（768）DH2（1024）DH5（1536）DH14（2048）默认：不支持 若支持，则默认为：DH2（1024）密钥周期IPSec处理周期在600到86400之间默认：28800表 7 断线侦测参数说明显示名含义可能值备注检查间隔检查是否断线任意默认：15秒重试次数检查是否断线任意默认：5次重试时延检查是否断线任意默认：30秒表 8 连接模式参数说明显示名含义备注手动连接仅手动操作连接隧道默认：手动连接 自动连接IPSec客户端运行时自动连接隧道插key连接插入USBKey时连接隧道在程序启动并且当前无“已连接”的隧道时有效。3.3 新建隧道向导点击文件新建隧道，或点击进入“新

25、建隧道向导”界面，能够建立新的虚拟隧道，但是隧道名必须不重复。在利用向导新建隧道过程中，用户随时都可以点击“取消”按钮来退出。3.3.1 第一步：配置隧道名隧道名是隧道的唯一标识，请输入一个新的隧道名（不能与已存在隧道同名）。图 17 新建向导-配置隧道名3.3.2 第二步：配置网络参数 输入远程网关和远端子网；本地接口只能从列表中选择，不能手动输入。当选中“指定虚拟IP地址”，则必须输入虚拟网络参数，虚拟网卡的设置参数以用户指定的IP为主。默认为不选择，也即虚拟网卡参数由服务器端设置。选中“指定虚拟IP地址”，则必须输入虚拟IP地址、DNS服务器和WINS服务器。图18新建向导-配置网络参数

26、3.3.3 第三步：配置认证方式默认的认证方式为“共享密钥”，另外还有“数字证书”和“智能卡证书”方式。图19-1至图19-4分别说明了在IKE协商阶段选择使用“预共享密钥”、“本地文件型数字证书”和“USBKEY证书”三种协商认证方式。后两者的区别在于证书文件的存储位置不同，分别是存储在本地硬盘和USBKEY当中。另外，如图19-3所示，选择CA验证时，需要往IPSec客户端导入有效的根CA证书或证书链，用来验证IPSec网关发过来的p12证书的有效性，此项为可选。扩展认证用于认证IPSecVPN客户端的使用者，由服务器端在IKE协商过程中验证，若是正确的使用者才提供服务，否则拒绝服务。图1

27、9-1新建向导-配置共享密钥认证方式图19-2 新建向导-选择数字证书认证方式图19-3新建向导-选择导入数字证书 图19-4 新建向导-选择USBKEY数字证书说明：上述提到的本地或USBKEY数字证书格式均为P12/PFX，即个人信息交换。关于数字证书部分详细介绍请参考天清汉马USG_Web管理用户手册的“CA中心”部分。3.3.4 第四步：配置IKE参数配置IKE协商过程中的第一阶段协商模式为“主模式”还是“野蛮模式”，第二阶段协商模式固定为“快速模式”；配置协商过程中的认证算法、加密算法、密钥DH组和密钥周期。其中密钥周期必须在600-86400之间。图20新建向导-配置IKE参数3.

28、3.5 第五步：配置IPSec参数配置IPSec处理时使用的封装协议、认证算法、加密算法、是否支持PFS和密钥周期。其中密钥周期必须在600-86400之间。图21新建向导-配置IPSec参数3.3.6 第六步：断线侦测和启动模式配置断线侦测参数检查间隔、重试次数和重试时延。三种连接模式中，一般默认为“仅手动操作连接该隧道”，另外两种为特殊情况下的操作。图22新建向导-配置断线侦测和启动模式3.4 隧道属性编辑利用“新建隧道向导”创建隧道后，程序如图23所示。其他隧道可以再利用向导创建得到，也可以复制已有隧道并修改相应参数得到。如图23中的“复件 Tunnel_Name”隧道是“Tunnel_

29、Name”复制得到。图 23 建立隧道后界面3.4.1 修改隧道名连续两次点击隧道名来修改（注意：不是双击）。例如：如连续两次单击隧道名“复件Tunnel_Name”，该隧道的隧道名称为可编辑状态，如图24所示。图 24 修改隧道名输入新的隧道名，并按回车键或单击其他地方，就修改了隧道名。如图25所示。图 25修改隧道名后3.4.2 修改基本设置鼠标右击选中隧道“Tunnel_2”，在弹出的菜单中选中“属性”。则弹出如图26所示的“Tunnel_2 属性”界面。用户可以根据自己的需要修改界面上的任何参数。图 26 隧道基本设置3.4.3 修改扩展认证选中“Tunnel_2 属性”界面上的复选框“支持扩展认证”，则该隧道支持扩展认证。点击该复选框对应的“设置”按钮，则弹出如图27所示的“Tunnel_2 扩展认证设置”界面。图 27 扩展认证设置3.4.4 修改本地网络选中“Tunnel_2 属性”界面上的复选框“指定虚拟IP地址”，则该隧道虚拟网络参数以用户设置为准。点击该复选框对应的“设置”按钮，则弹出如图27所示的“Tunnel_2 本地网络设置”界面。图 28 本地虚拟网络设置3.4.5 修改高级设置选中“Tunnel_2 属性”界面上的“高级”按钮，则弹出如图29所示的“Tunnel_2高级设置”界面。图 29 隧道高级设置第4章 4界面操作4.1 基本操作