1、安全用户端用户手册v1.5湖南天一银河信息产业目录1. 系统介绍31.1 组成部分31.2 功效特点31.3 系统限制42. 软件安装43. 软件使用53.1 用户登录63.2 主菜单63.3 安全连接73.3.1 安全连接主界面73.3.2 连接/断开网关83.4 启用/禁用93.5 用户信息93.6 日志93.7 更改PIN码103.8 策略服务器103.9 NAT穿透(NAT-T)123.10 相关124ADSL接入下使用121. 系统介绍安全用户端(SureClient)是一套运行于MS windows 98/XP平台上产品,是安全网关用户端配套产品。该套产品能够使得企业移动办公人员或
2、企业合作伙伴能安全可控地访问企业内部资源。因为数据在公网上传输,不需要专线,能够大大降低用户通信成本。1.1 组成部分该套产品包含3个组成部分:(1) 安全用户端管理软件系统管理员使用,用于对用户管理及个人身份钥匙制作。具体使用请参阅“安全用户端管理员手册”。(2) 安全用户端软件安装在终端用户主机上软件,现在支持操作系统为Win98/XP, 和个人身份钥匙(SureID)配合使用,完成企业内网安全接入。(3) 用户身份钥匙(SureID)。USB接口,外形小巧。由安全用户端管理员制作,是用户身份标识,和用户端软件配套使用,完成对用户身份识别。SureID外形图1.2 功效特点l 该套软件在I
3、P层对数据进行加解密,对上层应用软件透明,一旦安装了该软件,就能够对全部使用TCP/IP协议通信应用实现对用户透明安全保护。l 个人身份信息存放于SureID。用户只需携带该钥匙,就能够在任何地方安全访问企业内部许可资源。l 支持预共享密钥和数字证书认证方法。l 同时支持以太网、ADSL拨号和Modem拨号接入Internet方法。l 支持策略服务器,能够和使用动态IP接入安全网关进行VPN安全连接。l SureID访问受用户口令保护。1.3 系统限制l 现在只能在MS windows 98/XP上安装。l 系统上不能同时安装使用其它IPSEC协议VPN用户端软件, 不然不能正常工作。l 假如
4、系统上安装了其它利用中间层技术底层软件,可能会造成系统异常,提议在安装安全用户端之前将这类软件卸载。2. 软件安装软件安装很简单, 运行安装光盘中setup.exe, 根据其缺省设置即可完成。运行setup.exe,弹出安装提醒界面以下:根据界面提醒选择“Yes”,经过license和目录选择界面,会出现以下界面。此时实施驱动程序文件安装,该过程将会要连续10多秒种,不要中途中止。上述窗口关闭后,重新开启计算机,安全用户端(配适宜当USB KEY)就能正常运行了。3. 软件使用从“开始菜单栏程序天一银河安全用户端”中,能够开启安全用户端。3.1 用户登录用户身份钥匙受口令保护,用户开启Sure
5、Client时,必需经过口令校验方能读取用户身份钥匙中信息。在口令输入框里输入PIN码(初始PIN码为”00000000”),会弹出一个窗口(以下图所表示)此时正在读取用户配置信息,此过程可能需要515秒。登录成功以后,会弹出安全连接对话框,同时在屏幕右下角工具栏里会出现一个黑色和红色箭头组成图标(见下图),即为安全用户端软件。单击右键则弹出程序。3.2 主菜单右键单击和左键双击程序图标,会弹出以下图主菜单:3.3 安全连接安全用户端假如要访问某安全网关所保护企业资源,必需先同该网关建立起安全连接。3.3.1 安全连接主界面单击主菜单中“安全连接”,可弹出安全连接对话框。 安全连接对话框关键由
6、以下多个区域组成:网关列表显示用户能够进行安全通信安全网关。红色图标表示和该网关没有连接,绿色表示已经连接。 网关信息区域显示目前所选网关及其所保护资源相关信息。(1) 目标地址:由IP地址和掩码表示,表示该连接建立后,该主机能够访问IP地址范围。(2) 目标端口:该主机能够访问端口。“任意”表示任意端口。(3) 传输协议:表示IP上层协议,如TCP, UDP, ICMP等。(4) 隧道端点:表示安全隧道终点,实际上是对等安全网关外部IP地址。状态栏动态显示和网关安全连接状态。3.3.2 连接/断开网关连接 在网关列表中选中所想连接网关,点击“连接”按钮,即可提议连接请求。假如配置正确,对方网
7、关也配置正确,经过几秒种后,安全连接建立成功,就能够和该网关保护内网主机进行安全通信了。此时安全连接主界面就变为以下图所表示:断开在列表中选择要断开连接网关,单击“断开”,可断开和该网关安全连接。返回假如要关闭该窗口,鼠标单击“返回”。3.4 启用/禁用假如用户临时不需要提供安全连接时(如:在企业内网),能够使用禁用功效(以下图所表示)。禁用后,软件对本机提议数据通信不做任何操作,用户能够忽略此软件存在。当重新“启用”安全用户端加密和安全通信功效时,不再需要输入用户PIN码。禁用单击主菜单中“禁用”,可实现禁用。启用禁用后,假如想重新启用,点击主菜单中“启用”。该软件开启后,缺省状态是“启用”
8、。3.5 用户信息用户信息提供了相关用户本身相关信息(由管理员统一计划确定,用户只能查看)在主菜单中选择“用户信息”,会弹出用户信息窗口:l 用户名标识不一样用户。l 用户类别由系统管理员定义用于区分不一样用户等级。l 私有ip分配给此用户在内部网中网络IP地址。l 认证方法用户端软件同网关认证时采取认证方法,预共享密钥认证或证书认证。l OCSP服务器地址假如是证书认证方法,该项表示在线证书认证服务器地址。l OCSP端口要去访问OCSP服务器端口。3.6 日志用户能够在需要时查看日志,当出现问题时,也能够按日志中内容描述给管理员,方便分析故障。当日志文件太大,系统会自动删除。日志内容根据时
9、间次序排列。日志格式月/日/年 时:分:秒 日志信息导出日志用户能够导出日志信息,此时全部日志条目将以文本格式保留在用户指定位置。清除日志删除全部日志信息,此过程不可恢复。返回关闭日志窗口。3.7 更改PIN码SureClient 提供了更改PIN码功效,用户能够随时依据需要更改PIN码,更改成功后在下次开启时生效。在主菜单中选择 “更改口令” 栏, 会弹出以下图对话框:输入原有口令及新口令(最大长度为8)即可。3.8 策略服务器假如安全用户端访问网关是使用策略服务器,那么安全用户端也必需使用策略服务器才能和网关实现安全通讯,操作方法以下:点击主菜单中“高级”,能够弹出以下对话框:在“策略服务
10、配置”栏中选择“使用”,而且输入服务器地址,用户端ID及口令,以下:然后点击“刷新列表”。“用户端所在域信息”栏中会显示用户端目前基础信息,包含连接状态,VPN小区,用户端所在VPN域和该域中网关数。“动态网关信息”栏中会显示VPN域中目前网关基础信息,包含网关ID,网关名称,子网地址,子网掩码,公网IP及其是否在线(将拉动条向右拉能够看到该条目)。设置完以上策略服务信息后,安全用户端就能够和该域中在线网关保护子网实现安全通讯,操作方法前面已介绍,这里不再赘述。注意:假如和安全用户端通讯安全网关公网地址发生改变,安全用户端必需重新连接,而且假如“安全连接”中“隧道端点”没有更新,请点击“策略服
11、务器”中“刷新列表”按钮3.9 NAT穿透(NAT-T)正常IPSec协议(VPN关键协议),不能穿透NAT设备,造成“公有IP私有IP”间不能建立VPN连接。当安全用户端处于NAT设备后面(如:在某企业内网中,经过ADSL/Cable Modem等设备共享上网)。这时,假如安全用户端要和远端布署安全网关相连,需要将“NAT-T设置”可选项“本机在NAT设备后面”选中。这么,安全用户端将采取NAT穿透技术(NATT),和远端安全网关进行VPN连接。3.10 相关菜单中选择 “相关”,弹出下面窗口。4ADSL接入下使用假如移动用户网络接入方法为ADSL(采取一般电话modem拨号上网则不需要进行
12、任何处理),而且使用ADSL拨号软件(如:Enternet)进行PPPoE拨号,则在运行安全用户端软件之前必需取消当地网卡上绑定“ADT IPSec”协议;而保留安装PPPoE拨号软件时生成“虚拟网卡”上绑定“ADT IPSec”协议。不然,安全用户端不能够正常工作。以下图,在Windows系统中“网络和拨号连接”窗口中:取消当地网卡上绑定“ADT IPSec”协议具体操作方法以下:1. 安装安全用户端应用程序;2. 打开“当地连接”属性,图: 在组件中能够看到“ADT IPSec”协议,将该协议取消(即点掉“ADT IPSec”前钩号),单击“确定”,以下图: 注意:一定不要取消ADSL拨号(PPPoE)虚拟网卡中“ADT IPSec”协议3. 运行PPPoE拨号程序(如:Enternet),拨号连接到internet;4. 再运行安全用户端应用程序。
浙ICP备2021020529号-1 | 浙B2-20240490 
