VRC客户端(IPSec VPN)
一、安装过程
步骤一、在安装包所在的目录下,浏览至安装程序文件目录,执行setup.exe文件,启动安装进程,如下图所示。
步骤二、选择安装语言后,点击【下一步】按钮,提示用户安装过程中的注意事项,如下图所示。
步骤三、预备工作完成后,点击【下一步】按钮,提示用户正在安装的VPN客户端的版本信息,如下图所示。
步骤四、点击【下一步】按钮,显示许可证协议信息,如下图所示。
步骤五、如果不接受许可证协议中的条框,用户将无法继续安装VPN客户端,所以需要选择“我接受许可证协议中的条款”左侧单选按钮,然后,点击【下一步】按钮,进入填写客户信息的窗口,如下图所示。
步骤六、根据屏幕提示输入用户信息。然后点击【下一步】按钮,进入选择目的地位置的窗口,如下图所示。
点击【更改...】按钮,可以修改VPN客户端的安装路径。建议用户选择系统默认路径进行安装。
步骤七、确定安装路径后,点击【下一步】按钮,提示用户向导已就绪,可以开始安装了,如下图所示。
步骤八、如果上述步骤没有错误,则点击【安装】按钮,开始安装VPN远程客户端,如下图所示。
步骤九、稍后,执行VRC客户端安装进程,如下图所示。
步骤十、安装完成后,弹出窗口提示已成功安装VRC客户端,如下图所示。
步骤十一、安装完成后,在桌面中将出现VPN远程客户端快捷图标 
。
二、 配置及使用
步骤一、双击用户主机桌面上的快捷图标“ 
”,若此时用户主机中未运行SSL VPN客户端程序,则弹出VRC登录窗口,如下图所示。
步骤二、点击【新建连接】按钮,或者勾选“高级设置”,然后激活“连接管理”页签,点击【新建连接】按钮,弹出“连接属性”窗口,用于新建VPN客户端连接,如下图所示。
步骤三、填写新建连接的名称,然后选择通过网关的地址或域名登录或者通过设备管理中心的网关设备名称登录。
如果选择“通过地址或域名登录”,则在地址列表中添加网关的地址或域名;如果选择“通过设备名称登录”,则填写网关在设备管理中心上注册的设备名称及设备管理中心的地址。
步骤四、配置认证方式
VRC用户的认证方式由管理员在网关或安全集中管理中心设置,主要包括:用户名口令认证、证书认证、证书+口令认证。
1)用户名口令认证
a.新建连接界面中选择认证方式为“用户名和口令认证”。
b.在VPN客户端主界面中,点击“认证类型”右方的下拉框,选择“用户名口令认证”,如下图所示。
c.填写用户名称和密码。这种认证方式要求VPN远程客户端用户为合法用户(即拥有合法的用户名和密码)。
2)证书认证
a.新建连接界面中选择认证方式为“证书认证”。
b.点击“认证方式”右侧的【证书设置】按钮,弹出“证书设置”窗口,如下图所示。
c.设置证书加载方式
在“加载方式”下拉框中选择“USB KEY”表示需要从USB KEY中加载证书文件,选择“本地证书文件”表示需要从本地硬盘中加载证书文件。
①从USB卡加载证书
在“加载方式”中选择“USB KEY”,如下图所示。
选择携带了证书的USB KEY类型,包括:
· Rockey:若为Epass1000 KEY,则通过私有接口读取USB卡中的证书。这种情况下只有从IPSec VPN网关直接写入到Epass1000 key中的证书,才能通过该类型进行加载;若为Epass2000 KEY,则支持TP下发Rockey格式的证书进行加载。
· Windows CSP:支持Windows CSP标准接口的通用KEY,通过Windows CSP的标准接口读取USB卡中的证书。
②从本地加载证书。
在“加载方式”的下拉框中选择“本地证书文件”,则“加载证书”部分可填写,如下图所示。
根据待导入的证书类型在“文件格式”的下拉框中选择相应文件格式。
· 如果待导入的证书类型为“DER或PEM格式证书”,则首先需要通过“文件路径”导入证书,然后还需通过“私钥路径”导入私钥。
· 如果待导入的证书类型为“PKCS12证书文件”或“TAR文件”,则需要通过“文件路径”导入证书。若证书文件设置了密码,则需要先输入密码然后加载证书。
证书信息设置完成后,点击【确定】按钮,若证书加载成功,则弹出“导入证书成功”提示框,如下图所示。
点击提示框中的【确定】按钮即可完成本地证书的加载。
3)证书+口令认证
a.新建连接界面中选择认证方式为“用户名和口令认证”。
b.具体操作请参见证书认证步骤b)。
c.具体操作请参见证书认证步骤c)。
d.完成上述步骤后,在“VPN客户端”窗口中,还需填写登录密码,如下图所示。
步骤五、设置完“连接属性”和“认证方式”参数后,在“连接属性”窗口中点击【确定】按钮,新建连接就显示在“连接名称”下拉框中。
1)在“连接名称”下拉框中选择要连接IPSec VPN网关的连接,如下图所示。
2)点击【连接】按钮,VRC隧道协商成功后,弹出“VPN客户端属性”窗口,如下图所示。
SSL VPN
一、安装过程
1)运行“SVClientSetup.exe”后,弹出对话框,开始安装SV独立客户端,如下图所示。
2)安装完成后,提示用户已经完成“NGFW SV独立客户端”的安装,如下图所示。
3)点击【关闭】按钮即可。
4)安装完成后,在桌面中将出现SSL VPN客户端快捷图标 
。
二、 配置及使用
1)双击用户主机桌面上的快捷图标“ 
”,若此时用户主机中未运行VRC程序,则弹出天融信SV独立客户端的登录窗口,如下图所示。
2)新建连接
勾选“高级设置”,点击【新建连接】按钮。
3)在弹出的对话框中,可以配置客户端连接网关的认证信息,如下图所示。
在设置SV独立客户端的登录信息时,各项参数的具体说明如下表所示。
| 参数
|
说明
|
| 连接名称
|
用于标识连接。
|
| 认证类型
|
选择用户的认证类型:用户名/口令认证、证书认证和双因子认证。
|
| 用户名
|
当用户的认证类型为“用户名/口令认证”或“双因子认证”时,必须输入该用户的用户名。
|
| 密码
|
当用户的认证类型为“用户名/口令认证” 或“双因子认证”时,必须输入该用户的密码。
|
| 证书读取方式
|
选择证书读取的方式。
可选项:Windows CSP,国密专用接口。
1)选择Windows CSP时的证书从IE导入,选择国密专用接口时的证书读取需要插入SM2专用key,目前支持epass3000和海泰sm2。
2)选择国密专用接口时,点击【证书信息】按钮可以查看相应证书的详细信息。
|
| 连接模式
|
当SV远程客户端访问有链路冗余的VPN网关时,线路检测功能可以将多条线路的延时状态反馈给用户(目前,VRC最多支持五条线路),以便用户手动选择较优质的链路进行通信。
启用线路检测功能后,选择“选优”表示VRC用户选择延时较小的链路进行通信,如果通信过程中该链路中断,VRC用户只能重新登录;选择“备份”表示VRC用户选择一条线路作为主线路,另外一条线路作为备用线路,如果通信过程中主线路中断,则VRC可以使用备用线路继续通信。
|
| 检测超时时间
|
设置线路检测的超时时间,即SV远程客户端进行链路探测时,在设定时间内没有收到VPN网关的回应就表示该链路故障,无法进行通信。
单位:秒;默认值:5。
|
| 地址列表
|
设置SSL VPN网关的地址,以及端口转发和全网接入服务运行的端口。
说明:
端口转发服务和全网接入服务均默认运行在网关的443端口,一般不需要修改,如需修改,请联系管理员获取该值。
|
3)配置高级选项(可选)
a.勾选“高级设置”的复选框后,激活“代理设置”页签可以配置客户端使用的代理服务器,界面如下图所示。
在设置代理服务器信息时,各项参数的具体说明如下表所示。
| 参数
|
说明
|
| 使用代理服务器
|
选择是否通过代理服务器去连接网关,然后访问相应授权资源。天融信SSL VPN网关允许用户使用的代理服务器类型主要包括HTTPS代理和SOCKS代理。
|
| 使用与IE相同的代理
|
选择是否允许用户使用IE浏览器中配置的代理服务器去连接SSL VPN网关。
说明:
1)只有选中“使用代理服务器”复选框,才能够配置该参数。
2)选中了“使用与IE相同的代理”后,用户将使用IE浏览器中配置的代理服务器去连接SSL VPN网关,SV独立客户端中配置的代理服务器的“类型”和“地址”无效。
|
| 类型
|
选择用户所使用的代理服务器的类型。
可选值:HTTPS,SOCKS。
说明:
只有选中“使用代理服务器”复选框,并且没有选中“使用与IE相同的代理”,才能够配置该参数。
|
| 地址
|
配置代理服务器的IP地址。
说明:
只有选中“使用代理服务器”左侧复选框,并且没有选中“使用与IE相同的代理”,才能够配置该参数。
|
| 端口
|
配置代理服务器的端口号。
说明:
只有选中“启用代理”左侧复选框,并且没有选中“使用IE代理服务器设置”,才能够配置该参数。
|
b.勾选“高级设置”的复选框后,激活“启动选项”页签可以配置客户端运行的特征,界面如下图所示。
在设置客户端的启动选项时,各项参数的具体说明如下表所示。
| 参数
|
说明
|
| 自动运行默认连接
|
如果选择该项,则SV远程客户端启动时默认按照选定的VPN连接设置进行连接。
|
| 开机自动运行
|
选择开机时是否自动运行SV独立客户端程序。
|
| 客户端服务启动
|
如果选择该项,则客户端开机时VRC 客户端的服务被启动。该功能需要首先选择“自动运行默认连接”选项。
说明:
同时选择“自动运行默认连接”和“客户端开机自启动”表示客户端在开机后未输入个人认证信息就启动服务,在输入个人认证信息认证后运行客户端的默认连接。
同时选择“自动运行默认连接”和“客户端服务启动”表示客户端开机后未输入个人认证信息就启动服务并运行客户端的默认连接。
|
| 客户端静默运行
|
如果选择该项,表示客户端与网关协商隧道的结果显示给用户,不显示具体的协商过程。
|
| 自动进行重新认证
|
指网关地址失效后,SV远程客户端将自动向中心网关发出连接请求,重新协商建立隧道。此项对于无人值守的情况比较适用。
|
| 双因子认证需要输入用户名
|
设置在双因子认证时是否需要输入对应的用户名。如果不勾选,则在选择双因子认证方式时,“用户名”参数不可填,显示为灰色。
|
| 自动打开资源页面
|
如果选择该项,则客户端在隧道建立成功后,将自动打开相应用户可访问的内网资源。
|
c. 勾选“高级设置”的复选框后,激活“高级选项”页签可以配置客户端的高级特征,界面如下图所示。
在配置SV客户端的“高级选项”时,各项参数的具体说明如下表所示。
| 参数
|
说明
|
| 禁止系统休眠或待机
|
如果选择该项,则即使VPN远程客户端所登录的PC设置了休眠或待机,也不会出现休眠或待机。
|
| 保存证书设置
|
对于支持Windows CSP标准接口的通用KEY来说,当USBKEY中有多个证书时,将全部自动注册到系统中,用户每次登录时,都会弹出用户证书选择窗口供用户选择用于登录的证书。
选择“保存证书设置”后,将记录第一次选择的用户证书,后续登录时自动使用记录的用户证书进行登录,无须用户重复选择,方便了用户使用。
|
| 记录客户端日志
|
如果此项被选,则客户端会记录日志到日志文件VRC.log。用户可以在“日志”页签中看到日志。
“无日志”表示不显示日志;“基本日志”表示显示的是成功协商的日志;“扩展日志”表示显示的协商成功和协商不成功的日志;“调试日志”是显示最全的日志,包括隧道协商的日志和隧道通讯的日志。
|
| 自动运行程序和参数
|
如果选择该项,则客户端在隧道建立成功后,将按所填参数自动运行所选程序。
|
d.勾选“高级设置”的复选框后,激活“Language”页签可以配置客户端的显示语言,界面如下图所示。
在“Language”下拉框中选择“中文”或“英文”,VRC客户端即可显示相应的界面。
4)设置登录参数,然后点击【连接】按钮,对于使用“用户名/口令认证”方式的用户,可以成功登录到SSL VPN网关;对于使用“证书认证”和“双因子认证”方式的用户,还需要导入证书或使用USB key证书才能成功登录到SSL VPN网关。
