联络我们
网站导航
专注企业办公网络,致力于VPN普及与应用
服务电话:13391767198
主页
产品
解决方案
客户服务
新闻
客户服务
打印页面
添加收藏夹
客户服务
软件下载
产品资料
订购产品
常见问题解答
提交服务请求
产品概要
Q: 安联防火墙/VPN产品的License是如何计算的?
安联防火墙/VPN产品包含两方面License限制,防火墙许可数和同时VPN隧道连接数许可。
1)
防火墙许可数(NAT终端数量许可)
,即软件所支持的最大用户数,限定了通过防火墙与外部网络进行通讯的内部主机数量。由于防火墙软件在运行时,其宿主机的内部/外部网络接口将各占用一个用户数,所以用户在选择许可证规格时必须保证有2个以上的许可证余量。
2)
同时VPN隧道连接数许可
,作为VPN主机或网关,该许可限定了本机能够与同时多少个远程移动终端或远程VPN网关建立VPN连接。单机版、5用户和10用户企业版软件最多同时支持100个VPN隧道;25用户以上企业版软件最多同时支持1000个VPN隧道。
Q
:
在防火墙主机上是否能够运行其它应用服务程序?
安联防火墙运行在系统内核层,对安装在本机上的应用程序和运行在内部主机上的应用程序都具备同样的保护能力,所以用户完全可以在防火墙主机运行其它应用服务程序。需要注意的是,最好不要在防火墙主机上同时运行占用了较多的CPU资源(始终占用40%以上的CPU资源,或经常性瞬时占用70%以上的CPU资源)的应用服务程序,这将导致防火墙处理效率的降低。
产品安装及使用
Q
:
主机最低配置要求?
主机只要能够满足操作系统的运行要求即可,此外至少有一个以上的网络适配器和60M硬盘空间。更多信息请参考各版本软件产品所提供的具体说明。
Q
:
安装过程复杂吗?
软件的安装过程非常简单,不同版本(Windows/Linux/OS2)的安联防火墙/VPN系统软件均提供有安装文件,根据安装向导,用户能够快速、正确地完成软件安装工作。
Q
:
安装之前需要注意哪些问题?
对于Linux/OS2版本软件,建议用户首先阅读随软件包中的Readme文件,以确认系统是否符合安装条件。对于Windows版本软件,在安装前请检查主机上是否安装并运行了一些可能引起系统冲突的程序,如有此类程序,务必在安装本软件之前卸载:
■ 如果网络适配器上绑定了“
网络监视器
”服务,请使用Window组件导向删除
该组件
■ 如果系统中运行了“
Routing and Remote Access
”服务,请在系统的服务
控制台中将该服务停止并设为禁用状态
■ 如需要使用安联防火墙所提供的IPSec VPN功能组件,请在系统服务控制台中
将系统中的“
IPSec Policy Agent
”服务停止并设为禁用状态
■ 检查系统中是否安装了第三方网络/个人防火墙、代理服务器软件,或其它具备
数据截获功能的应用程序,如有,请将这些程序完全卸载并重新启动主机
需要注意的是,某些第三方与底层网络驱动相关的程序无法被完全卸载,在安联防火墙软件安装后,其遗留部分同样可能造成系统冲突,导致“死机(蓝屏)”或防火墙服务无法正常工作,此时只能重新安装操作系统及防火墙软件
Q
:
在Windows系统中安装软件需要注意哪些问题?
进行安装过程中,系统可能会多次出现“
没有找到数字签名
”的提示窗口,此时请选择“
继续安装
”,以保证防火墙驱动/服务能够被完全安装。该窗口出现的次数与系统当前的网络接口数量和绑定的服务数量有关。
安联防火墙采用了Windows虚拟设备驱动技术,软件安装时系统会检查程序所包含的签名信息;由于多种原因,安联防火墙并没有向微软公司申请签名验证,这并不表示在Windows系统中运行安联防火墙会存在兼容性隐患,根据我们的测试和用户的实际使用显示,安联防火墙尚未出现过任何与Windows系统不兼容的事例。
Q
:
我能够反复重新安装软件吗?
是的,您可以在任何时间重新安装安联防火墙/VPN系统软件,甚至无需卸载先前安装的软件。但是,在进行产品升级时,请务必首先卸载原有版本软件,并重新启动计算机后再安装新版本软件。
Q
:
重新安装软件会覆盖现有的配置文件吗?
不会,软件在安装过程中只是安装配置模版文件“.cn_”文件,系统当前使用的配置文件“.cnf”文件将继续被使用。此外,在卸载软件时,所有配置文件也不会被删除。
Q
:
在Windows系统中安装防火墙或启动防火墙服务时,系统出现“蓝屏”?
说明系统存在严重的内核程序冲突,检查系统中是否安装了“网络监视器”服务或第三方NDIS服务程序,这些服务会与防火墙驱动相互冲突造成系统故障,所以在安装防火墙之前必须将这些程序完全卸载。需要注意的是,如果某些NDIS服务程序没有被卸载干净(很多第三方NDIS服务程序都无法被完全卸载)也会造成防火墙驱动引擎无法正常工作,甚至导致“蓝屏”。
当您遇到“蓝屏”后,建议立即联络我们,以获得准确的技术指导。
Q
:
在Windows系统中,防火墙服务无法被启动?
这很可能是由以下三个问题引起的。
■ 系统中没有网络接口,或防火墙所绑定的网络接口没有正确连接或被禁用。
■ 防火墙驱动引擎没有被成功安装:由于Windows系统没有被设置为允许安装未
得到 Microsoft 签名认证的设备驱动程序,或在安装防火墙服务过程中出现数字
签名验证窗口时,没有选择允许安装防火墙驱动程序,都会导致防火墙驱动
引擎没有被成功安装。出现此问题后,用户需要卸载防火墙,重新启动计算
机后重新安装防火墙程序。
■ 系统中安装了第三方NDIS服务程序,或原有的第三方NDIS服务程序没有被完全
卸载:此时,用户需要将第三方NDIS服务程序完全卸载;如果这些程序无法被
完全卸载,只能重新安装操作系统。
Q
:
安装并启动防火墙服务后,本机无法上网?
造成此现象的原因有几种,请按如下步骤检查:
■ 查看防火墙服务是否已经运行,如已经执行“启动防火墙”命令,但无法打
开防火墙控制台,说明防火墙没有被正确安装,此时请重新安装防火墙;
■ 在控制台的“
功能组件状态
”监视窗口中查看防火墙的授权许可是否正确,如
果“Network Address Translation”所对应的用户数为“N/A”,说明您没有输
入正确的产品注册号,此时请重新输入产品注册号;
■ 如果您的主机上有多个网络接口,请在控制台的“
防火墙服务监视器
”窗口中
检查防火墙接口是否正确(防火墙接口应该为主机的外部网络接口),
该消息的格式为“
防火墙接口 [fx#] [IP地址]
”;如果防火墙接口不正确,请
使用防火墙程序组中的“
更新外部网络接口
”命令重新选择防火墙网卡。
■ 如果通过ADSL接入Internet,请确认是否需要由防火墙主机进行PPPoE拨号,
如果需要,请在防火墙上加载“
PPPoE连接
”功能组件,并进行正确的拨号设
置;如果由前置ADSL接入路由(如启用ADSL Modem自带的路由功能)进行
PPPoE拨号,请不要加载“
PPPoE连接
”功能组件。
Q
:
安装并启动防火墙服务后,内部终端无法正常上网?
首先,在终端上是使用ping命令分别Ping防火墙的内网卡和外网卡IP;如果不能Ping通防火墙内部IP,说明内部终端根本无法与防火墙进行通讯,此时请检查内部网络线路和配置是否正确;如果能够Ping 通防火墙内部IP,但不能够Ping 通外部IP,说明内部终端的网关配置有问题,此时请检查终端的默认网关是否指向防火墙内部IP;如果能够Ping通防火墙内部IP和外部IP,但无法访问Internet,这很可能是由于以下问题引起的。
■ 用户在进行防火墙系统配置时,没有正确指定内部网段:在防火墙系统配置窗
口中的“
局域网
”页面中,检查指定的内部网段是否是(或包含)当前局域网
网段。
■ 防火墙没有开放IP转发服务:停止防火墙服务,执行“安联防火墙”程序组中
的“其它工具 ->
启用IP转发
”命令,并重新启动主机和防火墙服务。
Q
:
为什么需要实现的访问规则没有被正确执行?
可以肯定,这是因为您所配置的规则是不正确的,或该规则与其它防火墙规则相互冲突。为了找出问题所在,您可以通过控制台的“
防火墙执行规则
”监视窗口,察看规则的执行(匹配)情况,并在此基础上判断是单个规则的配置问题还是相关规则的执行顺序存在问题。
IPSec VPN
Q
:
支持哪些IPSec协议草案?
安联防火墙/VPN产品系列支持以下IPSec草案:
■ ISAKMP模式:主模式、野蛮模式、快速模式、手动配置模式
■ 认证:共享密钥、扩展认证(X-Auth)、RSA 数字签名、ID-KeyID 认证
■ IPSec协议:AH (RFC2402)、ESP (RFC2406)
■ ESP加密:NULL-ESP、1DES (56 bits)、3DES (168 bits)、AES / Rijndael (128 bits)、BlowFish (128 bits)
■ AH认证:MD5 (RFC2403)、SHA1 (RFC2404)
■ NAT穿越:IETF草案版本3、2、1 (只支持隧道模式)
■ 其它:IP封装压缩协议 (IPCOMP) - Deflate和LZS算法 (RFC2393);客户端动
态IP地址(Road Warrior)支持
更多信息,请参考产品介绍以及IPSec开发工具包介绍。
Q
:
支持多少个同时隧道?
安联防火墙/VPN系统软件具有1000个同时隧道许可;但在使用时,实际能够建立的同时隧道数与主机的性能有关,包括CPU的处理能力和内存的大小。
Q
:
安全性如何?
VPN的安全性主要取决于几个方面:1)
通讯协议的安全性
、2)
密码算法的安全性
、3)
通讯双方认证的安全性
、4)
对VPN通讯的访问控制(防范内部攻击的能力)
。在协议方面,安联防火墙/VPN产品使用了完全符合国际标准的IPSec协议,该协议得到了广泛的应用和验证,比其它一些没有经过严格测试和广泛应用的厂家自定的通讯协议要安全的多;在算法上,安联防火墙/VPN产品提供了多种可选择的加密算法,包括DES、3DES、AES、Blowfish,这些算法完全能够满足各种安全级别的数据加密需求;在认证方式上,安联防火墙/VPN产品提供了多种认证方案,对于企业用户而言,共享密钥+扩展认证是一种管理简单、安全性较高的认证方案;在VPN内部通讯控制方面,安联防火墙/VPN产品很好地将防火墙策略运用于VPN通讯管理,能够有效避免网络病毒通过VPN传播,同时结合虚拟IP功能,可以对VPN通讯实施细粒度访问控制。
Q
:
性能如何?
通过以下的实测数据,您可以了解到安联IPSec VPN的普遍处理性能。
■ 基于2.66 GHz CPU,处理1KB 大小的数据包时的带宽:
① 1DES加密: 100Mbit/sec.
② 3DES加密: 50Mbit/sec.
③ AES加密: 90Mbit/sec.
④ BlowFish加密: 80Mbit/sec.
■ 隧道建立时间:宽带连接条件下1-3秒;窄带连接条件下3-5秒(如PPP拨号)
■ 每秒最大并发隧道数:100-150 (基于2.66 GHz CPU,100M网络连接)
同时,安联IPSec VPN还支持NetOctave公司生产的高性能算法加速器,可提供更高性能的VPN处理能力,详细信息请参考IPSec工具包简介。
Q
:
使用安联防火墙/VPN产品会造成VPN通讯瓶颈吗?
安联防火墙/VPN系统软件的IPSec处理能力取决于硬件平台的性能,在最低能够运行Win2K操作系统的PIII主机上,安联IPSec的处理能力(使用AES算法)在4Mbps以上;如果运行在安装了Linux操作系统的P4 2.0G CPU(支持HT技术)主机上,安联IPSec的处理能力(使用AES算法)可达到90Mbps。 对于绝大多数企业而言,Internet接入带宽不会超过10Mbps,其远远低于安联防火墙/VPN产品的最大IPSec处理能力。所以,只要安装在合适的硬件平台上,安联防火墙/VPN网关不会造成任何VPN通讯瓶颈。
Q
:
所有的应用程序都适合在VPN环境中使用吗?
绝大多数的TCP/IP程序都能够在VPN中良好运行,但我们认为如果您需要在VPN中运行以下两类程序,最好首先进行实效性测试。
1)
对网络延时十分敏感的应用程序
:有些基于局域网环境而设计的C/S结构应用程序以及瘦客户端程序在运行时,客户机与服务器之间需要进行频繁的请求和应答,这些程序虽然对网络带宽要求不高(100-200kps就足够了),但对网络延时十分敏感,网络延时过大(>60ms)会造成用户操作动作的明显延缓。由于在广域网中,数据传输延时要远远大于局域网,所以这些程序不适用于广域网环境,同样也不适用于基于广域网环境而建立的VPN。
2)
对实时连通性有严格要求的应用程序
:由于VPN是建立在广域网境中的,通讯质量受到外界干扰的影响比局域网和专线通讯方式都要大得多,任何VPN都无法保证100%的实时连通性(简单的讲,就是存在一定的丢包现象,通常在5‰到2%之间)。所以在利用VPN进行那些对实时连通性要求严格的通讯业务时,必须注意此问题的存在。
Q
:
实现IPSec VPN通讯需要具备哪些条件?
我们可以将VPN想象成一个特殊的网域:该网域由多个位于不同地点的局域网和独立主机组成,这些局域网和主机之间通过VPN隧道实现相互通讯。为了实现VPN通讯,必须具备以下条件:
■ 所有的局域网都必须具有一个VPN网关,并接入Internet
■ 所有的独立主机必须安装VPN软件,并接入Internet
■ 在所有VPN网关/主机之中必须有一个是使用公共IP的(动态、静态都可以)。
如果所有的VPN网关和VPN主机都使用私有IP通过前端NAT设备接入Internet,那么至少有一个前置NAT设备支持地址/端口映射功能。
Q
:
通过前置NAT设备共享上网的私有地址终端能否与远程VPN网关建立隧道?
可以,安联IPSecVPN产品支持NAT-T技术,可以自动监测到链路中的NAT设备,并对IPSec数据包进行NAT-T封装处理,使VPN通讯透明穿越NAT设备。
Q
:
使用同一个NAT地址共享上网的多个终端,是否能够同时与同一个远程VPN
网关建立隧道?
可以,安联IPSecVPN产品支持多重NAT-T客户端技术。
何谓NAT-T多重客户端技术?
NAT-T技术通过引入UDP封装和修改IKE协商机制实现了IPSec设备和NAT设备之间的协调工作。利用该技术用户可以在NAT设备之后与远程IPSec端点建立IPSec隧道。但由于标准的NAT-T协议无法区别同一地址的不同端口,所以通常在一个NAT设备后只能同时有一台IPSec终端或网关与远程IPSec服务器建立IPSec隧道。
为了突破这一限制,必须在NAT-T协商和处理过程中引入端口等消息封装机制,以使IPSec服务器能够识别使用同一个NAT地址的多个IPSec终端发出的不同隧道协商请求,并建立彼此独立的安全关联。这种技术即称为NAT-T多重客户端技术。
NAT-T多重客户端支持的应用优势
标准的NAT-T技术在使用时有一个很大的局限性,即在同一个NAT设备后只能配置一个VPN终端/网关;这可能造成以下潜在的使用局限性:
* 对于目前使用小型接入路由(如以路由模式工作的ADSL Modem)上网的分支
机构,如果需要让2个以上的终端(但不是全部终端)通过VPN访问总部,则必
须配置一个VPN网关,这将造成网络结构的复杂性和投资的增加;
* 多个移动用户无法同时使用GPRS上网并通过VPN访问企业总部,这是因为
客户端在接入GPRS网时获得的是一个私有IP,其访问Internet时需要通过中国
移动的统一出口网关进行NAT处理。
利用NAT-T多重客户端技术,上面所提到的问题将会迎刃而解,客户在设计和实施VPN时将更加游刃有余。
如遇其它问题,请及时联络我们
13391767198
发送邮件
提交服务请求
MSN: bj.wufei@hotmail.com
关于VPN在线
|
版权及隐私
©2001-2006 北京京通宇科技发展公司
京ICP备05006271号
