1、湖南天一銀河信息產(chǎn)業(yè)有限公司PAGE PAGE 18湖南天一銀河信息產(chǎn)業(yè)有限公司安全客戶端用戶手冊(cè)v1.5湖南天一銀河信息產(chǎn)業(yè)有限公司目錄TOC o 1-3 h z HYPERLINK l _Toc48973365 1. 系統(tǒng)簡(jiǎn)介 PAGEREF _Toc48973365 h 3 HYPERLINK l _Toc48973366 1.1 組成部分 PAGEREF _Toc48973366 h 3 HYPERLINK l _Toc48973367 1.2 功能特點(diǎn) PAGEREF _Toc48973367 h 3 HYPERLINK l _Toc48973368 1.3 系統(tǒng)限制 PAGEREF

2、 _Toc48973368 h 4 HYPERLINK l _Toc48973369 2. 軟件安裝 PAGEREF _Toc48973369 h 4 HYPERLINK l _Toc48973370 3. 軟件使用 PAGEREF _Toc48973370 h 5 HYPERLINK l _Toc48973371 3.1 用戶登錄 PAGEREF _Toc48973371 h 6 HYPERLINK l _Toc48973372 3.2 主菜單 PAGEREF _Toc48973372 h 6 HYPERLINK l _Toc48973373 3.3 安全連接 PAGEREF _Toc489

3、73373 h 7 HYPERLINK l _Toc48973374 3.3.1 安全連接主界面 PAGEREF _Toc48973374 h 7 HYPERLINK l _Toc48973375 3.3.2 連接/斷開網(wǎng)關(guān) PAGEREF _Toc48973375 h 8 HYPERLINK l _Toc48973376 3.4 啟用/禁用 PAGEREF _Toc48973376 h 9 HYPERLINK l _Toc48973377 3.5 用戶信息 PAGEREF _Toc48973377 h 9 HYPERLINK l _Toc48973378 3.6 日志 PAGEREF _To

4、c48973378 h 9 HYPERLINK l _Toc48973379 3.7 更改PIN碼 PAGEREF _Toc48973379 h 10 HYPERLINK l _Toc48973380 3.8 策略服務(wù)器 PAGEREF _Toc48973380 h 10 HYPERLINK l _Toc48973381 3.9 NAT穿透（NAT-T） PAGEREF _Toc48973381 h 12 HYPERLINK l _Toc48973382 3.10 關(guān)于 PAGEREF _Toc48973382 h 12 HYPERLINK l _Toc48973383 4ADSL接入下的使用

5、 PAGEREF _Toc48973383 h 121. 系統(tǒng)簡(jiǎn)介安全客戶端(SureClient)是一套運(yùn)行于MS windows 98/2000/XP平臺(tái)上的產(chǎn)品，是安全網(wǎng)關(guān)的客戶端配套產(chǎn)品。該套產(chǎn)品可以使得企業(yè)的移動(dòng)辦公人員或企業(yè)的合作伙伴能安全可控地訪問企業(yè)的內(nèi)部資源。由于數(shù)據(jù)在公網(wǎng)上傳輸，不需要專線，可以大大降低用戶的通信成本。1.1 組成部分該套產(chǎn)品包括3個(gè)組成部分：安全客戶端管理軟件系統(tǒng)管理員使用，用于對(duì)用戶的管理及個(gè)人身份鑰匙的制作。具體使用請(qǐng)參閱“安全客戶端管理員手冊(cè)”。安全客戶端軟件安裝在終端用戶主機(jī)上的軟件，目前支持的操作系統(tǒng)為Win98/2000/XP， 和個(gè)人身份鑰匙

6、(SureID)配合使用，完成企業(yè)內(nèi)網(wǎng)的安全接入。用戶身份鑰匙(SureID)。USB接口，外形小巧。由安全客戶端管理員制作，是用戶身份的標(biāo)識(shí)，和客戶端軟件配套使用，完成對(duì)用戶的身份識(shí)別。SureID外形圖1.2 功能特點(diǎn)該套軟件在IP層對(duì)數(shù)據(jù)進(jìn)行加解密，對(duì)上層應(yīng)用軟件透明，一旦安裝了該軟件，就可以對(duì)所有使用TCP/IP協(xié)議通信的應(yīng)用實(shí)現(xiàn)對(duì)用戶透明的安全保護(hù)。個(gè)人身份信息存放于SureID。用戶只需攜帶該鑰匙，就可以在任何地方安全訪問企業(yè)內(nèi)部許可的資源。支持預(yù)共享密鑰和數(shù)字證書的認(rèn)證方式。同時(shí)支持以太網(wǎng)、ADSL撥號(hào)以及Modem撥號(hào)接入Internet方式。支持策略服務(wù)器，能夠和使用動(dòng)態(tài)IP

7、接入的安全網(wǎng)關(guān)進(jìn)行VPN安全連接。SureID的訪問受用戶口令保護(hù)。1.3 系統(tǒng)限制目前只能在MS windows 98/2000/XP上安裝。系統(tǒng)上不能同時(shí)安裝使用其他IPSEC協(xié)議的VPN客戶端軟件， 否則不能正常工作。如果系統(tǒng)上安裝了其他利用中間層技術(shù)的底層軟件，可能會(huì)導(dǎo)致系統(tǒng)異常，建議在安裝安全客戶端之前將此類軟件卸載。2. 軟件安裝軟件的安裝非常簡(jiǎn)單， 運(yùn)行安裝光盤中的setup.exe， 按照其缺省設(shè)置即可完成。運(yùn)行setup.exe，彈出的安裝提示界面如下：按照界面提示選擇“Yes”，經(jīng)過license和目錄選擇界面，會(huì)出現(xiàn)如下的界面。此時(shí)執(zhí)行驅(qū)動(dòng)程序文件的安裝，該過程將會(huì)要持續(xù)

8、10多秒種，不要中途中斷。上述窗口關(guān)閉后，重新啟動(dòng)計(jì)算機(jī)，安全客戶端（配合適當(dāng)?shù)腢SB KEY）就能正常運(yùn)行了。3. 軟件使用從“開始菜單欄程序天一銀河安全客戶端”中，可以啟動(dòng)安全客戶端。3.1 用戶登錄用戶身份鑰匙受口令保護(hù)，用戶啟動(dòng)SureClient時(shí)，必須經(jīng)過口令校驗(yàn)方能讀取用戶身份鑰匙中的信息。在口令輸入框里輸入PIN碼（初始PIN碼為”00000000”），會(huì)彈出一個(gè)窗口（如下圖所示）此時(shí)正在讀取用戶的配置信息，此過程可能需要515秒。登錄成功之后，會(huì)彈出安全連接對(duì)話框，同時(shí)在屏幕右下角的工具欄里會(huì)出現(xiàn)一個(gè)黑色和紅色箭頭組成的圖標(biāo)（見下圖），即為安全客戶端軟件。單擊右鍵則彈出程序。

9、3.2 主菜單右鍵單擊和左鍵雙擊程序圖標(biāo)，會(huì)彈出如下圖主菜單：3.3 安全連接安全客戶端如果要訪問某安全網(wǎng)關(guān)所保護(hù)的企業(yè)資源，必須先同該網(wǎng)關(guān)建立起安全連接。3.3.1 安全連接主界面單擊主菜單中的“安全連接”，可彈出安全連接對(duì)話框。 安全連接對(duì)話框主要由以下幾個(gè)區(qū)域組成：網(wǎng)關(guān)列表顯示用戶可以進(jìn)行安全通信的安全網(wǎng)關(guān)。紅色圖標(biāo)表示和該網(wǎng)關(guān)沒有連接，綠色表示已經(jīng)連接。 網(wǎng)關(guān)信息區(qū)域顯示當(dāng)前所選的網(wǎng)關(guān)及其所保護(hù)資源的相關(guān)信息。目的地址：由IP地址和掩碼表示，表示該連接建立后，該主機(jī)可以訪問的IP地址范圍。目的端口：該主機(jī)可以訪問的端口。“任意”表示任意端口。傳輸協(xié)議：表示IP上層協(xié)議，如TCP， UD

10、P， ICMP等。隧道端點(diǎn)：表示安全隧道的終點(diǎn)，實(shí)際上是對(duì)等安全網(wǎng)關(guān)的外部IP地址。狀態(tài)欄動(dòng)態(tài)顯示與網(wǎng)關(guān)安全連接的狀態(tài)。3.3.2 連接/斷開網(wǎng)關(guān)連接 在網(wǎng)關(guān)列表中選中所想連接的網(wǎng)關(guān)，點(diǎn)擊“連接”按鈕，即可發(fā)起連接請(qǐng)求。如果配置正確，對(duì)方網(wǎng)關(guān)也配置正確，經(jīng)過幾秒種后，安全連接建立成功，就可以和該網(wǎng)關(guān)保護(hù)的內(nèi)網(wǎng)的主機(jī)進(jìn)行安全通信了。此時(shí)安全連接主界面就變?yōu)槿缦聢D所示：斷開在列表中選擇要斷開連接的網(wǎng)關(guān)，單擊“斷開”，可斷開與該網(wǎng)關(guān)的安全連接。返回如果要關(guān)閉該窗口，鼠標(biāo)單擊“返回”。3.4 啟用/禁用如果用戶暫時(shí)不需要提供安全連接時(shí)（如：在企業(yè)的內(nèi)網(wǎng)），可以使用禁用功能（如下圖所示）。禁用后，軟件對(duì)

11、本機(jī)發(fā)起的數(shù)據(jù)通信不做任何操作，用戶可以忽略此軟件的存在。當(dāng)重新“啟用”安全客戶端的加密與安全通信功能時(shí)，不再需要輸入用戶PIN碼。禁用單擊主菜單中的“禁用”，可實(shí)現(xiàn)禁用。啟用禁用后，如果想重新啟用，點(diǎn)擊主菜單中的“啟用”。該軟件啟動(dòng)后，缺省狀態(tài)是“啟用”。3.5 用戶信息用戶信息提供了關(guān)于用戶自身的相關(guān)的信息（由管理員統(tǒng)一規(guī)劃確定，用戶只能查看）在主菜單中選擇“用戶信息”，會(huì)彈出用戶信息窗口：用戶名標(biāo)識(shí)不同用戶。用戶類別由系統(tǒng)管理員定義的用于區(qū)分不同用戶的級(jí)別。私有ip分配給此用戶的在內(nèi)部網(wǎng)中的網(wǎng)絡(luò)IP地址。認(rèn)證方式客戶端軟件同網(wǎng)關(guān)認(rèn)證時(shí)采取的認(rèn)證方式，預(yù)共享密鑰認(rèn)證或證書認(rèn)證。OCSP服務(wù)

12、器地址如果是證書認(rèn)證方式，該項(xiàng)表示在線證書認(rèn)證服務(wù)器的地址。OCSP端口要去訪問的OCSP服務(wù)器的端口。3.6 日志用戶可以在需要時(shí)查看日志，當(dāng)出現(xiàn)問題時(shí)，也可以按日志中內(nèi)容的描述給管理員，以便分析故障。當(dāng)日志文件太大，系統(tǒng)會(huì)自動(dòng)刪除。日志的內(nèi)容按照時(shí)間順序排列。日志格式月/日/年 時(shí)：分：秒 日志信息導(dǎo)出日志用戶可以導(dǎo)出日志信息，此時(shí)所有的日志條目將以文本格式保存在用戶指定的位置。清除日志刪除所有的日志信息，此過程不可恢復(fù)。返回關(guān)閉日志窗口。3.7 更改PIN碼SureClient 提供了更改PIN碼功能，用戶可以隨時(shí)根據(jù)需要更改PIN碼，更改成功后在下次啟動(dòng)時(shí)生效。在主菜單中選擇 “更改口

13、令” 欄， 會(huì)彈出如下圖對(duì)話框：輸入原有口令及新口令（最大長(zhǎng)度為8）即可。3.8 策略服務(wù)器如果安全客戶端訪問的網(wǎng)關(guān)是使用策略服務(wù)器，那么安全客戶端也必須使用策略服務(wù)器才能和網(wǎng)關(guān)實(shí)現(xiàn)安全通訊，操作方法如下：點(diǎn)擊主菜單中的“高級(jí)”，可以彈出如下對(duì)話框：在“策略服務(wù)配置”欄中選擇“使用”，并且輸入服務(wù)器地址，客戶端ID及口令，如下：然后點(diǎn)擊“刷新列表”。“客戶端所在域信息”欄中會(huì)顯示客戶端當(dāng)前的基本信息，包括連接狀態(tài)，VPN社區(qū)，客戶端所在的VPN域以及該域中的網(wǎng)關(guān)數(shù)。“動(dòng)態(tài)網(wǎng)關(guān)信息”欄中會(huì)顯示VPN域中當(dāng)前網(wǎng)關(guān)的基本信息，包括網(wǎng)關(guān)ID，網(wǎng)關(guān)名稱，子網(wǎng)地址，子網(wǎng)掩碼，公網(wǎng)IP及其是否在線（將拉動(dòng)條

14、向右拉可以看到該條目）。設(shè)置完以上策略服務(wù)信息后，安全客戶端就可以和該域中在線的網(wǎng)關(guān)保護(hù)的子網(wǎng)實(shí)現(xiàn)安全通訊，操作方法前面已介紹，這里不再贅述。注意：如果和安全客戶端通訊的安全網(wǎng)關(guān)公網(wǎng)地址發(fā)生變化，安全客戶端必須重新連接，并且如果“安全連接”中的“隧道端點(diǎn)”沒有更新，請(qǐng)點(diǎn)擊“策略服務(wù)器”中的“刷新列表”按鈕3.9 NAT穿透（NAT-T）正常的IPSec協(xié)議（VPN的關(guān)鍵協(xié)議），不能穿透NAT設(shè)備，導(dǎo)致“公有IP私有IP”間不能建立VPN連接。當(dāng)安全客戶端處于NAT設(shè)備后面（如：在某公司的內(nèi)網(wǎng)中，通過ADSL/Cable Modem等設(shè)備共享上網(wǎng)）。這時(shí)，如果安全客戶端要和遠(yuǎn)端部署的安全網(wǎng)關(guān)相連，需要將“NAT-T設(shè)置”的可選項(xiàng)“本機(jī)在NAT設(shè)備后面”選中。這樣，安全客戶端將采用NAT穿透技術(shù)（NATT），和遠(yuǎn)端的安全網(wǎng)關(guān)進(jìn)行VPN連接。3.10 關(guān)于菜單中選擇 “關(guān)于”，彈出下面的窗口。4ADSL接入下的使用如果移動(dòng)用戶的網(wǎng)絡(luò)接入方式為ADSL（采用普通電話modem撥號(hào)上網(wǎng)則不需要進(jìn)行任何處理），并且使用ADSL撥號(hào)軟件（如：Enternet）進(jìn)行PPPoE撥號(hào)，則在運(yùn)行安全客戶端軟件之前必須取消本地網(wǎng)卡上綁定的“ADT IPSec”協(xié)議；而保留安裝PPPoE撥號(hào)軟件時(shí)生成的“虛擬網(wǎng)卡”上綁定的“ADT IPSec”協(xié)議。否則，安全客戶端不能夠正常工作。如下圖，在