安全客户端用户手册-安全接入客户端用户手册

1、湖南天一银河信息产业有限公司PAGE PAGE 18湖南天一银河信息产业有限公司安全客户端用户手册v1.5湖南天一银河信息产业有限公司目录TOC o 1-3 h z HYPERLINK l _Toc48973365 1. 系统简介 PAGEREF _Toc48973365 h 3 HYPERLINK l _Toc48973366 1.1 组成部分 PAGEREF _Toc48973366 h 3 HYPERLINK l _Toc48973367 1.2 功能特点 PAGEREF _Toc48973367 h 3 HYPERLINK l _Toc48973368 1.3 系统限制 PAGEREF

2、 _Toc48973368 h 4 HYPERLINK l _Toc48973369 2. 软件安装 PAGEREF _Toc48973369 h 4 HYPERLINK l _Toc48973370 3. 软件使用 PAGEREF _Toc48973370 h 5 HYPERLINK l _Toc48973371 3.1 用户登录 PAGEREF _Toc48973371 h 6 HYPERLINK l _Toc48973372 3.2 主菜单 PAGEREF _Toc48973372 h 6 HYPERLINK l _Toc48973373 3.3 安全连接 PAGEREF _Toc489

3、73373 h 7 HYPERLINK l _Toc48973374 3.3.1 安全连接主界面 PAGEREF _Toc48973374 h 7 HYPERLINK l _Toc48973375 3.3.2 连接/断开网关 PAGEREF _Toc48973375 h 8 HYPERLINK l _Toc48973376 3.4 启用/禁用 PAGEREF _Toc48973376 h 9 HYPERLINK l _Toc48973377 3.5 用户信息 PAGEREF _Toc48973377 h 9 HYPERLINK l _Toc48973378 3.6 日志 PAGEREF _To

4、c48973378 h 9 HYPERLINK l _Toc48973379 3.7 更改PIN码 PAGEREF _Toc48973379 h 10 HYPERLINK l _Toc48973380 3.8 策略服务器 PAGEREF _Toc48973380 h 10 HYPERLINK l _Toc48973381 3.9 NAT穿透（NAT-T） PAGEREF _Toc48973381 h 12 HYPERLINK l _Toc48973382 3.10 关于 PAGEREF _Toc48973382 h 12 HYPERLINK l _Toc48973383 4ADSL接入下的使用

5、 PAGEREF _Toc48973383 h 121. 系统简介安全客户端(SureClient)是一套运行于MS windows 98/2000/XP平台上的产品，是安全网关的客户端配套产品。该套产品可以使得企业的移动办公人员或企业的合作伙伴能安全可控地访问企业的内部资源。由于数据在公网上传输，不需要专线，可以大大降低用户的通信成本。1.1 组成部分该套产品包括3个组成部分：安全客户端管理软件系统管理员使用，用于对用户的管理及个人身份钥匙的制作。具体使用请参阅“安全客户端管理员手册”。安全客户端软件安装在终端用户主机上的软件，目前支持的操作系统为Win98/2000/XP， 和个人身份钥匙

6、(SureID)配合使用，完成企业内网的安全接入。用户身份钥匙(SureID)。USB接口，外形小巧。由安全客户端管理员制作，是用户身份的标识，和客户端软件配套使用，完成对用户的身份识别。SureID外形图1.2 功能特点该套软件在IP层对数据进行加解密，对上层应用软件透明，一旦安装了该软件，就可以对所有使用TCP/IP协议通信的应用实现对用户透明的安全保护。个人身份信息存放于SureID。用户只需携带该钥匙，就可以在任何地方安全访问企业内部许可的资源。支持预共享密钥和数字证书的认证方式。同时支持以太网、ADSL拨号以及Modem拨号接入Internet方式。支持策略服务器，能够和使用动态IP

7、接入的安全网关进行VPN安全连接。SureID的访问受用户口令保护。1.3 系统限制目前只能在MS windows 98/2000/XP上安装。系统上不能同时安装使用其他IPSEC协议的VPN客户端软件， 否则不能正常工作。如果系统上安装了其他利用中间层技术的底层软件，可能会导致系统异常，建议在安装安全客户端之前将此类软件卸载。2. 软件安装软件的安装非常简单， 运行安装光盘中的setup.exe， 按照其缺省设置即可完成。运行setup.exe，弹出的安装提示界面如下：按照界面提示选择“Yes”，经过license和目录选择界面，会出现如下的界面。此时执行驱动程序文件的安装，该过程将会要持续

8、10多秒种，不要中途中断。上述窗口关闭后，重新启动计算机，安全客户端（配合适当的USB KEY）就能正常运行了。3. 软件使用从“开始菜单栏程序天一银河安全客户端”中，可以启动安全客户端。3.1 用户登录用户身份钥匙受口令保护，用户启动SureClient时，必须经过口令校验方能读取用户身份钥匙中的信息。在口令输入框里输入PIN码（初始PIN码为”00000000”），会弹出一个窗口（如下图所示）此时正在读取用户的配置信息，此过程可能需要515秒。登录成功之后，会弹出安全连接对话框，同时在屏幕右下角的工具栏里会出现一个黑色和红色箭头组成的图标（见下图），即为安全客户端软件。单击右键则弹出程序。

9、3.2 主菜单右键单击和左键双击程序图标，会弹出如下图主菜单：3.3 安全连接安全客户端如果要访问某安全网关所保护的企业资源，必须先同该网关建立起安全连接。3.3.1 安全连接主界面单击主菜单中的“安全连接”，可弹出安全连接对话框。 安全连接对话框主要由以下几个区域组成：网关列表显示用户可以进行安全通信的安全网关。红色图标表示和该网关没有连接，绿色表示已经连接。 网关信息区域显示当前所选的网关及其所保护资源的相关信息。目的地址：由IP地址和掩码表示，表示该连接建立后，该主机可以访问的IP地址范围。目的端口：该主机可以访问的端口。“任意”表示任意端口。传输协议：表示IP上层协议，如TCP， UD

10、P， ICMP等。隧道端点：表示安全隧道的终点，实际上是对等安全网关的外部IP地址。状态栏动态显示与网关安全连接的状态。3.3.2 连接/断开网关连接 在网关列表中选中所想连接的网关，点击“连接”按钮，即可发起连接请求。如果配置正确，对方网关也配置正确，经过几秒种后，安全连接建立成功，就可以和该网关保护的内网的主机进行安全通信了。此时安全连接主界面就变为如下图所示：断开在列表中选择要断开连接的网关，单击“断开”，可断开与该网关的安全连接。返回如果要关闭该窗口，鼠标单击“返回”。3.4 启用/禁用如果用户暂时不需要提供安全连接时（如：在企业的内网），可以使用禁用功能（如下图所示）。禁用后，软件对

11、本机发起的数据通信不做任何操作，用户可以忽略此软件的存在。当重新“启用”安全客户端的加密与安全通信功能时，不再需要输入用户PIN码。禁用单击主菜单中的“禁用”，可实现禁用。启用禁用后，如果想重新启用，点击主菜单中的“启用”。该软件启动后，缺省状态是“启用”。3.5 用户信息用户信息提供了关于用户自身的相关的信息（由管理员统一规划确定，用户只能查看）在主菜单中选择“用户信息”，会弹出用户信息窗口：用户名标识不同用户。用户类别由系统管理员定义的用于区分不同用户的级别。私有ip分配给此用户的在内部网中的网络IP地址。认证方式客户端软件同网关认证时采取的认证方式，预共享密钥认证或证书认证。OCSP服务

12、器地址如果是证书认证方式，该项表示在线证书认证服务器的地址。OCSP端口要去访问的OCSP服务器的端口。3.6 日志用户可以在需要时查看日志，当出现问题时，也可以按日志中内容的描述给管理员，以便分析故障。当日志文件太大，系统会自动删除。日志的内容按照时间顺序排列。日志格式月/日/年 时：分：秒 日志信息导出日志用户可以导出日志信息，此时所有的日志条目将以文本格式保存在用户指定的位置。清除日志删除所有的日志信息，此过程不可恢复。返回关闭日志窗口。3.7 更改PIN码SureClient 提供了更改PIN码功能，用户可以随时根据需要更改PIN码，更改成功后在下次启动时生效。在主菜单中选择 “更改口

13、令” 栏， 会弹出如下图对话框：输入原有口令及新口令（最大长度为8）即可。3.8 策略服务器如果安全客户端访问的网关是使用策略服务器，那么安全客户端也必须使用策略服务器才能和网关实现安全通讯，操作方法如下：点击主菜单中的“高级”，可以弹出如下对话框：在“策略服务配置”栏中选择“使用”，并且输入服务器地址，客户端ID及口令，如下：然后点击“刷新列表”。“客户端所在域信息”栏中会显示客户端当前的基本信息，包括连接状态，VPN社区，客户端所在的VPN域以及该域中的网关数。“动态网关信息”栏中会显示VPN域中当前网关的基本信息，包括网关ID，网关名称，子网地址，子网掩码，公网IP及其是否在线（将拉动条

14、向右拉可以看到该条目）。设置完以上策略服务信息后，安全客户端就可以和该域中在线的网关保护的子网实现安全通讯，操作方法前面已介绍，这里不再赘述。注意：如果和安全客户端通讯的安全网关公网地址发生变化，安全客户端必须重新连接，并且如果“安全连接”中的“隧道端点”没有更新，请点击“策略服务器”中的“刷新列表”按钮3.9 NAT穿透（NAT-T）正常的IPSec协议（VPN的关键协议），不能穿透NAT设备，导致“公有IP私有IP”间不能建立VPN连接。当安全客户端处于NAT设备后面（如：在某公司的内网中，通过ADSL/Cable Modem等设备共享上网）。这时，如果安全客户端要和远端部署的安全网关相连，需要将“NAT-T设置”的可选项“本机在NAT设备后面”选中。这样，安全客户端将采用NAT穿透技术（NATT），和远端的安全网关进行VPN连接。3.10 关于菜单中选择 “关于”，弹出下面的窗口。4ADSL接入下的使用如果移动用户的网络接入方式为ADSL（采用普通电话modem拨号上网则不需要进行任何处理），并且使用ADSL拨号软件（如：Enternet）进行PPPoE拨号，则在运行安全客户端软件之前必须取消本地网卡上绑定的“ADT IPSec”协议；而保留安装PPPoE拨号软件时生成的“虚拟网卡”上绑定的“ADT IPSec”协议。否则，安全客户端不能够正常工作。如下图，在