注意:为了正确地完成配置,请参照下图进行设备连接。
全文由以下几部分组成:
首页
一、通道的配置
1、初始化防火墙
2、Trust通道
3、UNtrust通道
4、配置路由
5、定义策略
二、VPN的配置
1、防问地址
2、用户组
3、用户
4、网关和预共享密钥
5、Autokey IKE
6、定义策略
三、VPN客户端的配置
1、添加新的连接
2、连接模式
3、定义My Identity
4、输入Shared-KEY
5、Authentication
6、Key Exchange
四、客户端使用方法
1、新建拔号连接
2、修改拔号连接的DNS
3、连接VPN通道
4、客户端的关闭与开启
五、配置文件的应用
1、配置文件的保存
2、配置文件的导入
下面是具体讲解:
一、通道的配置
1、初始化防火墙(请参照下图)
Netscreen防火墙的默认IP为192.168.1.1/255.255.255.0,用户名和密码相同:netscreen;可采用下一步中的WEBUI方法来进行配置,但容易发生错误,建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。上图中的第一步为配置通道类型,第二步为配置端口的IP地址(这里所指的是一端口),第三步为配置管理IP,第四步保存,第五步重启防火墙使用设置生效。以后可以通过IE浏览器键入防火墙地址172.16.0.1来进行管理了。
2、Trust通道的配置(请参照下图)
键入相应用户名:netscreen和密码:netscreen(默认)进入WEB管理界面,点击左边菜单中Network展开菜单,点击Interfaces,(在以下的内容中关于菜单部份我们将采用Network>>Interfaces来表示)在出现的界面中点击端口名为:ethernet1后的EDIT,出现上图中内容。修改图中画红线的部份:
A、Zone Name(通道类型):从设备连接图中可以看出端口一和内网相连,所以我们要选择Trust(信任区);
B、IP Address/Netmask(IP地址和子网掩码):填写172.16.0.1/16,上网用户网关地址;
C、Manage Ip(管理IP):一般系统不允许修改;
D、Interface Mode(接入方式):选择NAT转换模式;
E、Management Services(服务类型):选择图中的几项,为了远程管理防火墙。
F、Other Services:建议选择PING,方便测试网络的连通情况。
3、UNtrust通道的配置(请参照下图)
点击菜单中Network>>Interfaces,在出现的界面中点击端口名为:ethernet3后的EDIT,出现上图中内容。修改图中画红线的部份:
A、Zone Name(通道类型):从设备连接图中可以看出端口三和公网相连,所以我们要选择UNTrust(非信任区);
B、Obtain IP using PPPoE(选择):填写上网的用户名和密码;
C、Manage Ip(管理IP):一般系统不允许修改;
D、Interface Mode(接入方式):选择NAT转换模式;
E、Management Services(服务类型):为了安全建议不选择任何内容;
F、Other Services:建议不选择PING。
4、路由的配置(请参照下图)
点击菜单中Network>>Routing>>Routing Table ,在出现的界面中可以看出当我们拔号成功时系统能够自动为我们加上路由(因为采用的是动态IP),所以没有必要在手功加路由了。
5、定义策略(请参照下图)
点击菜单中Policies,选择From:Trust,To:Untrust点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Name(名称):可任意输入;
B、Source Address:当选择New Address并写入172.16.0.2/32时所表示的意思是:只允许IP地址为172.16.0.2的主机通过防火墙防问公网;当选中Address Book且选择了ANY时所有内网用户都可以防问公网;
C、Destination Address:当选择New Address并写入相相应IP地址和子网掩码时所表示的意思是:只允许防问公网的一个地址或一个地址段,这取决于子网掩码的设置。如当子网掩码为255.255.255.255或32时指的就是一个地址,反之指一个地址段;当选中Address Book且选择了ANY时用户可以防问公网的所有地址;
D、Service:可用来控制用户防问公网时的服务类型,如选择HTTP时用户只能浏览网页;
二、VPN的配置
1、定义VPN用户防问地址(请参照下图)
点击菜单中Objccts>>Addresses>>List,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Addresses Name(名称):填写VPN_LAN;
B、IP/Netmask:填写172.16.0.0/16,所表示意思为VPN用户拔号进入后可防问内网中所有主机;
C、Zone:选择Trust;
D、点击OK按钮。
2、定义用户组(请参照下图)
点击菜单中Objccts>>User Groups>>Local,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Groups Name(名称):填写info_Group,注意定义名称时为了好区分采用了'部门名称_Group';
B、点击OK按钮。
3、为用户组定义用户(请参照下图)
点击菜单中Objccts>>User>>Local,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、User Name(名称):填写info,注意定义名称时为了好区分采用了'部门名称';
B、User Group:填写刚才建立的组名info_group;
C、选择IKEUser,Number of Multiple Logins with Same ID(在该组同时允许多少个用户登陆)可按自己的实际需要填写数偷值;
D、选择Simple Identity,IKE ID Type选择AUTO,IKEIdentity:填写info.ypff.net其中的info代表部门名称;
E、点击OK按钮。
4、定义网关和预共享密钥(请参照下图)
点击菜单中VPNs>>Autokey Advanced>>Gateway,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Gateway Name(名称):填写info_gw,注意定义名称时为了好区分采用了'部门名称_gw';
B、Secutity Level:选择Custom;
C、Remote Gateway Type选择Dialup User Group并选择刚才建立的info_group组;
D、Preshared Key:填写'shhg2003'(预共享密钥),由于WEB方式只允许用户输入一个预共享密钥,因此在输入下一个时只能使用CLI方式;
E、点击Advanced按钮出现以下画面,修改划红线部份;
G、Secutity Level:选择Custom;
H、Phase 1 Proposal选择pre-g2-3des-sha加密;
I、Mode(Initiator)选择Aggressive模式;
J、选取Enable NAT-Traversal在Keepalive Frequency处填写5;
K、点击Ruten按钮返回,并点击OK按钮保存设置。
由于WEB方式只允许用户输入一个预共享密钥,因此在输入下一个时只能使用CLI方式(请参照下图):
A、使用Telnet或超级终端进入防火墙;
B、上图中的info_gw代表网关名称,info为用户名称,shhg2003为预共享密钥;
C、键入Save保存;
D、使用WEB方式进行修改;
5、Autokey IKE(请参照下图)
点击菜单中VPNs>>Autokey IKE,点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、VON Name(名称):info_vpn,注意定义名称时为了好区分采用了'部门名称_vpn';
B、Secutity Level:选择Custom;
C、Remote Gateway 选取Predefined并选择刚才建立的info_gw网关;
D、Outgoing Interface选择Ethernet3;
E、点击Advanced按钮出现以下画面,修改划红线部份;
F、Secutity Level:选择Custom;
G、Phase 2 Proposal 选选择nopfs-esp-3des-sha;
H、选取Replay Protection;
I、选取Tunnel Zone并选择Untrust-Turst;
J、选取 VPN Monitor;
K、点击Return返回,点击OK按钮保存。
2、定义策略(请参照下图)
点击菜单中Policies,选择From:Untrust,To:Trust点击右边的NEW按钮,出现上图所示内容。修改图中红线部份:
A、Name(名称):Info可任意输入;
B、Source Address:选中Address Book且选择Dial-UP VPN;
C、Destination Address:选中Address Book且选择刚才建立的地址VPN_LAN;
D、Service:可用来控制用户防问公网时的服务类型,如选择HTTP时用户只能浏览网页,选择ANY;
E、Action选择Tunnel;
F、Tunnel VPN选择建立的info_vpn。
G、点击Advanced按钮出现以下画面,修改划红线部份;
H、选取Logging和Counting打监控;
I、点击Return返回,点击OK按钮保存。
三、VPN客户端的配置
1、添加新的连接(请参照下图)
A、点击左上方的Add a new connection按钮;
B、键入一个名称;
C、右上方Connection Security选择Secure;
D、ID选择IPSubnet;
E、Subnet:172.16.0.0
F、Mask:255.255.0.0
G、选取Connect using Secure Gateway Tunnel
H、ID:选择IPAddress 填写当时的广域网地址。
2、连接模式(请参照下图)
A、点击名称左边的+然后单击Security Policy图标;
B、选择右边的Aggressive Mode;
3、定义My Identity(请参照下图)
A、点击左边的My Identity图标;
B、Select选择None;
C、ID类型选择E-mail Address并填写yangying@info.ypff.net,其中的yangying为用户名称,管理员可对其进行定义,@后的为组的IKE在上面我们定义过;
D、Virtual Adapter 选择Preferred;
E、Name选择ANY;
F、点击Pre-Shared-KEY出现下图所示对话框:
4、输入Shared-KEY(请参照下图)
A、点击Enter Key;
B、键入Pre-Shared key的值;
C、获得用户的Pre-Shared key,管理员可通过telnet或超级终端进入防火墙,键入下图所示中的命令;
图中红线部份Info_gw为网关名称,yangying为用户名称,管理员可根具需要写入不同名称。其中反白部份就是用户的Pre-Shared key,复制这些字符删除空格后写入到客户端软件中。
5、Authentication(Phase 1)(请参照下图)
A、单击位于“Security Policy”图标左边的加号“+”,然后单击“Authentication”(Phase 1) 左边的加号“+”,点击图标Proposal 1;
B、Authentication Method:Pre-Shared Key(选择);
C、Encrypt Alg:Triple DES(选择);
D、Hash Alg: SHA-1(选择);
E、Key Group:Diffie-Hellman Group 2(选择);
6、连接VPN通道(请参照下图)
A、单击位于“Security Policy”图标左边的加号“+”,然后单击“Key Exchange”(Phase 2) 左边的加号“+”,点击图标Proposal 1;
B、Encapsulation Protocol(选择);
C、Encrypt Alg:Triple DES(选择);
D、Hash Alg: SHA-1(选择);
E、Encapsulation: Tunnel(选择);
四、VPN客户端的使用方法
1、新建拔号连接,仅以Windows2000为例
A、右键点击桌面上的网上邻居图标,点击其属性;
B、在出现的页面中双击新建连接,选择“拔号到Internet”然后单击下一步;
C、选择“手动设置Internet 连接或通过局域网(LAN)连接”然后单击下一步;
D、选择“通过电话线和调制解调器连接”然后单击下一步;
E、选择“调制解调器的型号,这取决于你的计算机”然后单击下一步;
F、键入电话号码16300,然后单击下一步;
G、键入用户名和密码,然后单击下一步;
H、键入一个连接名称,然后单击下一步;
I、选择“否”然后单击下一步;
J、单击完成按钮。以后只需要进行上述的第一步操作,找到建立好的拔号连接拔号便可。
2、修改拔号连接的DNS,(发布者言:个人认为这一步不必要,因为当你拨号时将自动获得一个DNS,当然这要根据你的具体情况来定。)
A、如上述方法打开网上邻居属性,找到刚才建立的“连接到16300”右键点击其属性;
B、在出现的属性对话框中选择“网络”然后选择“Internet协议(TCP/IP)”点击属性按钮;
C、在出现的Internet协议(TCP/IP)属性对话框中选择“使用下面的DNS服务器地址”然后填写相应的值(根据实际情况填写);点击确定返回后在点击确定按钮保存设置。进行此操作后你可能无法正常浏览公网网页,但可将上图中首选DNS服务器填写成:202.98.160.68,用户可以根据需要进行设置。
3、连接VPN通道
当客户端软件设置正确且拔号成功后客户端能够自动建立VPN连接。连接成功后的图标如下图所示:(有蓝色N字和黄色钥匙,绿色箭头所指图标)
4、客户端的关闭与开启(请参照下图)
A、客户端的关闭,右键点击客户端软件图标,在弹出的菜单中点击Deactivate Security Policy;当你的计算机工作在局域网中时请关闭客户端,否则将无法防问本地的局域网资源;
B、客户端被关闭后的图标;
C、客户端的开启,右键点击客户端软件图标,在弹出的菜单中点击Activate Security Policy;当你要连接VPN时请开户客户端,否则将无法连通VPN;
D、客户端开启但没有连接VPN或连接不成功时的图标;
E、连接VPN成功后的客户端图标。
五、配置文件的应用
1、配置文件的保存(请参照下图)
A、点击左边菜单Configuration>>Updata>>Config File,出现的界面中点击Save To File按钮,出现保存对话框单击保存。保存配置文件的用途:当进行固件版本升级时可用该文件恢复配置。
2、配置文件的导入
A、点击左边菜单Configuration>>Updata>>Config File,出现的界面中选择Replace Current Configuration,然后单击浏览按钮找到上述方法中保存的配置文件后点击Apply按钮,连继点击确定后恢复配置完成。保存配置文件的导入:当进行固件版本升级后可快速恢复配置。
