网神NSG系列安全网关VPN配置手册V10.01

整体构建可控安全网神SecGate3600NSG系列安全网关VPN配置手册网神信息技术（北京）股份有限公司网神SecGate3600NSG系列安全网关VPN配置手册V10.01网神信息技术（北京）股份有限公司2/24文档说明本文的内容是网神SecGate3600NSG系列安全网关VPN配置手册。文中的资料、说明等相关内容归网神信息技术（北京）股份有限公司所有。本文中的任何部分未经网神信息技术（北京）股份有限公司（以下简称“网神”）许可，不得转印、影印或复印。网神SecGate3600NSG系列安全网关VPN配置手册2006-2011©版权所有网神信息技术（北京）股份有限公司北京海淀区上地开拓路7号先锋大厦二段1层2Section1F,XianfengBuilding,No.7KaituoRoad,HaidianDistrict,Beijing客服热线（CustomerHotline）：400-610-8220传真（Fax）：010-62972896邮编（PostCode）：100085网神SecGate3600NSG系列安全网关VPN配置手册V10.01网神信息技术（北京）股份有限公司3/24声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。网神信息技术（北京）股份有限公司网神SecGate3600NSG系列安全网关VPN配置手册V10.01网神信息技术（北京）股份有限公司4/24目录VVPPNN功功能能....................................................................................................................................................................5IPSECVPN...............................................................................................................................................................5策略..................................................................................................................................................................6IPSec设置.....................................................................................................................................................10SSLVPN...............................................................................................................................................................14通道访问......................................................................................................................................................14网页访问......................................................................................................................................................16策略...............................................................................................................................................................16书签...............................................................................................................................................................18书签组...........................................................................................................................................................18登录画面......................................................................................................................................................19L2TPVPN............................................................................................................................................................20设置...............................................................................................................................................................20L2TP连接.....................................................................................................................................................22PPTPVPN............................................................................................................................................................23网神SecGate3600NSG系列安全网关VPN配置手册V10.01网神信息技术（北京）股份有限公司5/24VVPPNN功功能能网神NSG系列安全网关VPN（虚拟私用网络）功能的配置。VPN功能使得用户可以在开放的Internet上基于IPSec或PPTP/L2TP的一系列加密认证以及密钥交换技术，构建一个安全的私有专网，具有同本地私有网络一样的安全性、可靠性和可管理性等特点，这样可以大大降低了企业/政府/科研机构等建设专门私有网络的费用。安全网关VPN功能主要支持三类VPN：IPSecVPN、L2TP/PPTPVPN、SSLVPN。IPSecVPNIPSecVPN是网络层的VPN技术，它独立于应用程序，以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后，就可以实现各种类型的连接，如Web、电子邮件、文件传输、VoIP等，每个传输直接对应到VPN网关之后的相关服务器上。安全网关IPSecVPN可支持远程访问、网关对网关、客户端对客户端三种模式。并且支持IPSecVPN快速配置向导。•IPSecVPN名词解释：-3DES:3DES是一种符合OpenPGP标准的加密算法的。-AES:先进的加密标准AES提供最高标准的安全。-共享密钥：共享密钥认证是两个不可预知的系统间证明自己身份的关键流程，任意数据加密的钥匙已经预先进行交换。-数字证书：数字证书是一种文件,它保证了用户的真实身份或者由第三方可信证书颁发机构(CA)认证的实体身份的可靠性。-RSAkey：公钥认证需要两把密钥–所用人可以使用的公钥和个人持有的私钥。发送人使用接收人的公钥进行加密，由于只有接收人持有可以解密的私钥，所以只有接收人可以解密。-VPN策略：VPN策略描述了网络两端用于协商建立、维护一个安全的数据隧道的各种参数。网神SecGate3600NSG系列安全网关VPN配置手册V10.01网神信息技术（北京）股份有限公司6/24-验证模式：为确保通信安全，每次的IKE(InternetKeyExchange)都包含两次协商：-Phase1认证(Authentication)、Phase2交换密钥(Keyexchange).-密钥周期：密钥的有效期。-完美的前向加密（PFS）：对于网络入侵者来讲，如果密钥经常改变而且他们必须开启每次协商的所有钥匙，拦截就非常困难。这一功能可以通过开启PFS来实现。选择了PFS后，每一次通信协商都会产生一个新的密钥和一个DH密钥的交换。所以每次入侵者将不得破译密钥。-Diffie-Hellman(DH)组(IKE组)：Diffie-hellman是一种公钥加密方案，它允许在一个不安全的通讯隧道建立一个共享秘密。Diffie-HellmanKey使用一个复杂复数运算详细算法和公、私钥交换来解密加密数据。DH组钥匙长度(bits)17682102451536142048153072164096策略策略菜单是配置模式、第一阶段建立两端之间的安全通道，第二阶段两端之间建立一个安全通道来保护数据等配置。网神SecGate3600NSG系列安全网关VPN配置手册V10.01网神信息技术（北京）股份有限公司7/24信息描述名称VPN策略名描述VPN的描述密钥方式选择输入当时：自动或手动。控制如何使用密钥进行连接。L2TP连接不支持手动模式。允许重新产生密钥在密钥到期前，通信协商流程将在定义好的时间前自动启动。打开该功能后，通信协商从本端或远端均可以发起。根据PFS的设置，通信协商可以使用旧密钥或者生成一个新密钥。密钥协商尝试确定密钥协商的最大次数。验证模式可以用来选择验证的模式：主模式、积极模式在积极模式下，相对于主模式VPN隧道可以更快的建立起来，认证的过程交换的信息更少，没有对认证信息进行加密。当远端使用动态IP地址的时候应当使用激进模式。根据所选择的验证模式，,阶段1的参数将用于验证而交换。主模式当中阶段1的参数将会在通过加密认证信息进行多轮次的交换，而在积极模式下则仅交换一次且不包含加密信息。以压缩格式传递数据通过对传输数据的加密提高设备的吞吐能力。网神SecGate3600NSG系列安全网关VP