3.4.1 my ip address
myipaddress是zywall的wan口ip地址。您可以输入zywall的静态wan口ip地址,或者设置为0.0.0.0。如果myipaddress改变后,zywall将重新建立vpn隧道。
3.4.2 securegatewayaddress
securegatewayaddress是远端ipsec路由器(安全网关)的wan口ip地址或域名。
如果远程安全网关有一个固定的ip地址,请您在securegatewayaddress处输入相应的地址。
如果远程安全网关采用动态的wan口ip地址,并且使用ddns服务,您可在securegatewayaddress处填写您的远程安全网关的域名。每次远程安全网关的wan口ip地址改变的时候(此时会存在一定时间的延迟,直到ddns服务器刷新了这个远程安全网关新的wan口ip地址),zywall将会重新建立vpn隧道的连接。
3.4.2.1动态安全网关地址
如果远程安全网关有一个动态的wan口ip地址,也没有使用ddns服务,在这里输入0.0.0.0作为安全网关的地址。在这种情况下只能由远端设备发起vpn的连接。
只有当使用ike密钥管理而不是使用manual密钥管理的时候,securegatewayipaddress才可以设置为0.0.0.0。
在home界面中点击vpnwizard可以开始进行vpn规则的快速设置。
如果远程安全网关有一个固定的ip地址,请您在securegatewayaddress处输入相应的地址。
如果远程安全网关采用动态的wan口ip地址,并且使用ddns服务,您可在securegatewayaddress处填写您的远程安全网关的域名。每次远程安全网关的wan口ip地址改变的时候(此时会存在一定时间的延迟,直到ddns服务器刷新了这个远程安全网关新的wan口ip地址),zywall将会重新建立vpn隧道的连接。
3.4.2.1动态安全网关地址
如果远程安全网关有一个动态的wan口ip地址,也没有使用ddns服务,在这里输入0.0.0.0作为安全网关的地址。在这种情况下只能由远端设备发起vpn的连接。
只有当使用ike密钥管理而不是使用manual密钥管理的时候,securegatewayipaddress才可以设置为0.0.0.0。
在home界面中点击vpnwizard可以开始进行vpn规则的快速设置。
图17 vpn向导:网关设置
以下为界面相关描述。
表16 vpn向导:网关设置
标识描述
my ip address 输入zywall的wan口ip地址或设置为0.0.0.0。如果您将此处设置为0.0.0.0,会遵循以下应用方式:
(1)当wan口的操作模式设置为active/passive(wan口失效备份模式)的时候,zywall会使用wan口当前使用的ip地址(静态或动态)。
(2)当wan口的操作模式设置为active/active(wan口负载均衡模式)的时候,zywall会在相应的wan1或wan2口的连接起来以后使用主(高优先级)wan口的ip地址(静态或动态)来设置vpn隧道。当相应的wan1或wan2口的连接断掉以后,会继续使用其它wan口的ipzywall地址。
(3)如果两个wan口都断掉了,如果还有拨号备份的连接,zywall会使用拨号备份端口的ip地址来创建vpn的连接;或者如果还有流量重定向的端口,zywall会使用这个lan口的ip地址来创建vpn的连接。
如果ip地址改变了,这条vpn隧道需要重新建立。
secure gateway address
ip address 选择ip address,然后输入远程ipsec路由器(安全网关)的wan口ip地址。您可使用这个ip地址来标识这个远程ipsec路由器。
domain name 选择domain name,然后输入远程ipsec路由器(安全网关)的域名。
您可使用这个域名来标识这个远程ipsec路由器。
next 点击next继续进行设置。
3.4.3网络设置
两条激活的sa不能同时拥有相同的本地和远端ip地址。两条激活的sa可以有相同的本地和远端ip地址,但是不能同时使用。您可以配置具有相同本地和远端ip地址的多条sa,但是只能同时激活一条。
图18 vpn向导:网络设置
以下为界面相关描述。
表17 vpn向导:网络设置
标识描述
local network 本地网络ip地址必须是固定的而且必须与远端网关设定的远端网络ip地址是一致的。
选择single,可以填入单一的ip地址,选择range ip可以指定一选择subnet可以指定一个子网段。段ip地址,
starting ip address 当local network处设置为single时,这里是您的zywall后面局域网内的一个固定ip地址。当local network处设置为range时,这里是您的zywall后面局域网一个范围内的起始ip地址。当local network处设置为subnet时,这里是您的zywall后面局域网内的一个固定ip地址。
ending ip address/subnet mask 当netw localork处设置为single时,此处为n/a。当localnetwork处设置为 range时,这里是您的zywall后面局域网一个范围内的末尾ip地址。当local network设置为subnet时,这里是您的zywall后面局域网的子网掩码。
remote network 远端ip地址必须是固定的而且必须与远端网关设定的本地网络ip地址是一致的。选择single指定单一ip地址,选择range指定一段ip地址,选择subnet指定一个子网段。
starting ip address 当remote network 设置为single时,这里是远端的zywall 后面局域网内的一个固定ip。当remote network 设置为range时,这里是远端的zywall后面局域网一个范围内的起始ip 地址。当remote network 设置为subnet 时,这里是远端的zywall 后面局域网内的一个固定ip 地址。
ending ip address/subnet mask 当remote network设置为single时,此处为n/a。当remotenetwork设置为range时,这里是远端的zywall后面局域网一个范围内的末尾ip地址。当remote network设置为subnet时,这里是远端的zywall后面局域网的子网掩码。
back 点击back回到上一界面。
next 点击next继续进行设置。
3.4.4 ike阶段
每个ike协商会有两个阶段:phase 1(认证)和phase 2(密钥交换)。phase 1阶段交换建立一个ike sa,phase 2阶段通过这条sa建立起ipsec sa。
图19 建立ipsec sa的两个阶段
在phase 1 中您必须做以下几件工作:
(1)选择一种协商模式。
(2)通过设定预共享密钥来做连接双方的认证。
(3)选择一种加密算法。
(4)选择一种认证算法。
(5)选择一组diffie-hellman 公钥密码系统组(dh1 或dh2)
(6)设置ike sa 的生存周期。该项设置允许您决定ike sa 在到期前可以存在多长时间。
当ike sa 的生存时间到期了,该ike sa 就会终止连接。如果当一个ipsec sa 已经建立起来的时候,ike sa 生存时间到期,该ipsec sa 还会保持连接。
在phase 2 中您应该做的工作有:
(1)为ike 密钥交换选择相应的协议(esp 或ah)。
(2)选择一种加密算法。
(3)选择一种认证算法。
(4)选择是否使用diffie-hellman 公钥密码系统来执行pfs(完美向前保密),选择none(缺省)来禁用pfs。
(5)选择tunnel 模式或者transport 模式。
(6)设置ipsec sa 的生存时间。该项允许您决定ipsec sa 在到期前可存在多长时间。如果ipsec sa 生存时间到期了,zywall 会自动重新协商建立ipsec sa。如果双方的alive 功能,即使没有数据流量,ipsec 网关都启用了keep zywall 也会自动重新协商ipsec ,只有建立sa。如果一个ipsec sa 生存时间到期了当用户尝试发送数据的时候,重新ipsec 网关才会协商建立新的ipsec sa。
3.4.4.1协商模式
在phase 1阶段的negotiationmode中您可以选择决定每一个通过ike协商连接的安全关联(sa)如何建立。
(1)main mode保证了通信双方在协商认证(phase 1阶段)时的最高安全级别。它在三次信息交换中(sa协商,diffie-hellman交换和一次nonce的交换(每个nonce都是一个随机数))会使用6条信息。这种模式在对身份保持方面起到了重要的作用(您的身份在协商过程中不被泄露)。
(2)aggressivemode比mainmode在协商速度上面要快一些,这是因为它去掉了通信各方在协商认证(phasel阶段)时的一些步骤。但是付出的代价是较快的速度限制了它的协商能力且不能提供身份保护。它只在远程接入的环境下比较有用,在这种情况下接收方不了解发起一方的ip地址,而且双方都使用预共享密钥来相互认证。
3.4.4.2预共享密钥(pre-sharedkey)
一个预共享密钥在phase 1 1ke协商过程中对通信双方做认证。它之所以被称为“预共享密钥”是因为您在与其它方通过安全连接进行通信之前首先要共享此密钥。
3.4.4.3diffie-hellman(dh)密码组
diffie-hellman(dh)是一种公钥密码协议,它允许双方在一条不安全的信息通道上建立一个共享密钥。diffie-hellman在ikesa的设置界面中可以应用到以建立会话密钥。zywall可以支持768位(groupl—dhl)和1024位(group2-dh2)的diffie-hellman组。当diffie-hellman交换一旦完成,双方网络节点就有了一个共享的秘密,但ikesa还未被认证。为了认证,要使用预共享密钥。
3.4.4.4完美向前保密(pfs)
采用pfs意味着密钥是暂时的,在每次新的ipsec sa建立起来的时候该密钥会通过diffie-hellman交换被一组新的密钥所丢弃和更换。通过pfs,如果一个密钥被泽,黑客并不会因而破解前面和后面的密钥,这是因为后面的密钥并不由前面的密钥来产生。
diffie-hellman的交换可以提供额外的安全保证。
这对于那些对数据安全性要求没有这么高的用户来说可能是不必要的。因此pfs在zywall的缺省设置中是被禁用掉的(none)。禁用pfs意味着新的认证和加密的密钥都从同一个根密钥产生(长期运行的话可能会涉及到安全性方面的问题),但是允许更高速的sa建立(通过绕过diffie-hellman密钥交换)。