资源描述
安全用户端用户手册
v1.5
湖南天一银河信息产业
目 录
1. 系统介绍 3
1.1 组成部分 3
1.2 功效特点 3
1.3 系统限制 4
2. 软件安装 4
3. 软件使用 5
3.1 用户登录 6
3.2 主菜单 6
3.3 安全连接 7
3.3.1 安全连接主界面 7
3.3.2 连接/断开网关 8
3.4 启用/禁用 9
3.5 用户信息 9
3.6 日志 9
3.7 更改PIN码 10
3.8 策略服务器 10
3.9 NAT穿透(NAT-T) 12
3.10 相关 12
4.ADSL接入下使用 12
1. 系统介绍
安全用户端(SureClient)是一套运行于MS windows 98//XP平台上产品,是安全网关用户端配套产品。该套产品能够使得企业移动办公人员或企业合作伙伴能安全可控地访问企业内部资源。因为数据在公网上传输,不需要专线,能够大大降低用户通信成本。
1.1 组成部分
该套产品包含3个组成部分:
(1) 安全用户端管理软件
系统管理员使用,用于对用户管理及个人身份钥匙制作。具体使用请参阅“安全用户端管理员手册”。
(2) 安全用户端软件
安装在终端用户主机上软件,现在支持操作系统为Win98//XP, 和个人身份钥匙(SureID)配合使用,完成企业内网安全接入。
(3) 用户身份钥匙(SureID)。
USB接口,外形小巧。由安全用户端管理员制作,是用户身份标识,和用户端软件配套使用,完成对用户身份识别。
SureID外形图
1.2 功效特点
l 该套软件在IP层对数据进行加解密,对上层应用软件透明,一旦安装了该软件,就能够对全部使用TCP/IP协议通信应用实现对用户透明安全保护。
l 个人身份信息存放于SureID。用户只需携带该钥匙,就能够在任何地方安全访问企业内部许可资源。
l 支持预共享密钥和数字证书认证方法。
l 同时支持以太网、ADSL拨号和Modem拨号接入Internet方法。
l 支持策略服务器,能够和使用动态IP接入安全网关进行VPN安全连接。
l SureID访问受用户口令保护。
1.3 系统限制
l 现在只能在MS windows 98//XP上安装。
l 系统上不能同时安装使用其它IPSEC协议VPN用户端软件, 不然不能正常工作。
l 假如系统上安装了其它利用中间层技术底层软件,可能会造成系统异常,提议在安装安全用户端之前将这类软件卸载。
2. 软件安装
软件安装很简单, 运行安装光盘中setup.exe, 根据其缺省设置即可完成。
运行setup.exe,弹出安装提醒界面以下:
根据界面提醒选择“Yes”,经过license和目录选择界面,会出现以下界面。此时实施驱动程序文件安装,该过程将会要连续10多秒种,不要中途中止。
上述窗口关闭后,重新开启计算机,安全用户端(配适宜当USB KEY)就能正常运行了。
3. 软件使用
从“开始菜单栏à程序à天一银河à安全用户端”中,能够开启安全用户端。
3.1 用户登录
用户身份钥匙受口令保护,用户开启SureClient时,必需经过口令校验方能读取用户身份钥匙中信息。
在口令输入框里输入PIN码(初始PIN码为”00000000”),会弹出一个窗口(以下图所表示)
此时正在读取用户配置信息,此过程可能需要5~15秒。
登录成功以后,会弹出安全连接对话框,同时在屏幕右下角工具栏里会出现一个黑色和红色箭头组成图标(见下图),即为安全用户端软件。单击右键则弹出程序。
3.2 主菜单
右键单击和左键双击程序图标,会弹出以下图主菜单:
3.3 安全连接
安全用户端假如要访问某安全网关所保护企业资源,必需先同该网关建立起安全连接。
3.3.1 安全连接主界面
单击主菜单中“安全连接”,可弹出安全连接对话框。 安全连接对话框关键由以下多个区域组成:
网关列表 显示用户能够进行安全通信安全网关。红色图标表示和该网关没有连接,绿色表示已经连接。
网关信息区域 显示目前所选网关及其所保护资源相关信息。
(1) 目标地址:由IP地址和掩码表示,表示该连接建立后,该主机能够访问IP地址范围。
(2) 目标端口:该主机能够访问端口。“任意”表示任意端口。
(3) 传输协议:表示IP上层协议,如TCP, UDP, ICMP等。
(4) 隧道端点:表示安全隧道终点,实际上是对等安全网关外部IP地址。
状态栏 动态显示和网关安全连接状态。
3.3.2 连接/断开网关
连接 在网关列表中选中所想连接网关,点击“连接”按钮,即可提议连接请求。假如配置正确,对方网关也配置正确,经过几秒种后,安全连接建立成功,就能够和该网关保护内网主机进行安全通信了。此时安全连接主界面就变为以下图所表示:
断开 在列表中选择要断开连接网关,单击“断开”,可断开和该网关安全连接。
返回 假如要关闭该窗口,鼠标单击“返回”。
3.4 启用/禁用
假如用户临时不需要提供安全连接时(如:在企业内网),能够使用禁用功效(以下图所表示)。禁用后,软件对本机提议数据通信不做任何操作,用户能够忽略此软件存在。当重新“启用”安全用户端加密和安全通信功效时,不再需要输入用户PIN码。
禁用 单击主菜单中“禁用”,可实现禁用。
启用 禁用后,假如想重新启用,点击主菜单中“启用”。
该软件开启后,缺省状态是“启用”。
3.5 用户信息
用户信息提供了相关用户本身相关信息(由管理员统一计划确定,用户只能查看)
在主菜单中选择“用户信息”,会弹出用户信息窗口:
l 用户名 标识不一样用户。
l 用户类别 由系统管理员定义用于区分不一样用户等级。
l 私有ip 分配给此用户在内部网中网络IP地址。
l 认证方法 用户端软件同网关认证时采取认证方法,预共享密钥认证或证书认证。
l OCSP服务器地址 假如是证书认证方法,该项表示在线证书认证服务器地址。
l OCSP端口 要去访问OCSP服务器端口。
3.6 日志
用户能够在需要时查看日志,当出现问题时,也能够按日志中内容描述给管理员,方便分析故障。当日志文件太大,系统会自动删除。日志内容根据时间次序排列。
日志格式 月/日/年 时:分:秒 日志信息
导出日志 用户能够导出日志信息,此时全部日志条目将以文本格式保留在用户指定位置。
清除日志 删除全部日志信息,此过程不可恢复。
返回 关闭日志窗口。
3.7 更改PIN码
SureClient 提供了更改PIN码功效,用户能够随时依据需要更改PIN码,更改成功后在下次开启时生效。
在主菜单中选择 “更改口令” 栏, 会弹出以下图对话框:
输入原有口令及新口令(最大长度为8)即可。
3.8 策略服务器
假如安全用户端访问网关是使用策略服务器,那么安全用户端也必需使用策略服务器才能和网关实现安全通讯,操作方法以下:
点击主菜单中“高级…”,能够弹出以下对话框:
在“策略服务配置”栏中选择“使用”,而且输入服务器地址,用户端ID及口令,以下:
然后点击“刷新列表”。“用户端所在域信息”栏中会显示用户端目前基础信息,包含连接状态,VPN小区,用户端所在VPN域和该域中网关数。“动态网关信息”栏中会显示VPN域中目前网关基础信息,包含网关ID,网关名称,子网地址,子网掩码,公网IP及其是否在线(将拉动条向右拉能够看到该条目)。
设置完以上策略服务信息后,安全用户端就能够和该域中在线网关保护子网实现安全通讯,操作方法前面已介绍,这里不再赘述。
注意:假如和安全用户端通讯安全网关公网地址发生改变,安全用户端必需重新连接,而且假如“安全连接”中“隧道端点”没有更新,请点击“策略服务器”中“刷新列表”按钮
3.9 NAT穿透(NAT-T)
正常IPSec协议(VPN关键协议),不能穿透NAT设备,造成“公有IP——私有IP”间不能建立VPN连接。
当安全用户端处于NAT设备后面(如:在某企业内网中,经过ADSL/Cable Modem等设备共享上网)。这时,假如安全用户端要和远端布署安全网关相连,需要将“NAT-T设置”可选项“本机在NAT设备后面”选中。这么,安全用户端将采取NAT穿透技术(NATT),和远端安全网关进行VPN连接。
3.10 相关
菜单中选择 “相关…”,弹出下面窗口。
4.ADSL接入下使用
假如移动用户网络接入方法为ADSL(采取一般电话modem拨号上网则不需要进行任何处理),而且使用ADSL拨号软件(如:Enternet)进行PPPoE拨号,则在运行安全用户端软件之前必需取消当地网卡上绑定“ADT IPSec”协议;而保留安装PPPoE拨号软件时生成“虚拟网卡”上绑定“ADT IPSec”协议。不然,安全用户端不能够正常工作。以下图,在Windows系统中“网络和拨号连接”窗口中:
取消当地网卡上绑定“ADT IPSec”协议具体操作方法以下:
1. 安装安全用户端应用程序;
2. 打开“当地连接”属性,图:
在组件中能够看到“ADT IPSec”协议,将该协议取消(即点掉“ADT IPSec”前钩号),单击“确定”,以下图:
注意:一定不要取消ADSL拨号(PPPoE)虚拟网卡中“ADT IPSec”协议
3. 运行PPPoE拨号程序(如:Enternet),拨号连接到internet;
4. 再运行安全用户端应用程序。
展开阅读全文