飞思网巡 vpn 和防火墙 系统管理员手册

IP网络运维管理系统
为企业的网络和关键应用保驾护航
“飞思网巡”VPN和防火墙系统
管理员手册
（V 2 buildno20090305）
专业和专注，Powered by
2009.03
目录
前言 (3)
使用许可证 (3)
约定 (3)
1 第一节系统概述 (4)
1.1 IP网络监控报警主系统 (4)
1.2 流量分析子系统 (4)
1.3 VPN和防火墙子系统 (4)
1.4 日志储存服务子系统 (5)
2 第二节何时需要VPN和防火墙子系统 (5)
3 第三节启用VPN功能 (6)
3.1 进入网管系统web页面 (6)
3.2 启用VPN功能 (8)
3.3 IP网络监控报警系统服务器前面防火墙设定 (9)
4 第四节管理VPN证书 (10)
4.1 进入VPN证书管理界面 (10)
4.2 证书管理 (11)
4.3 VPN客户端在线状态 (17)
5 第五节 VPN客户端安装和使用 (18)
5.1 在Windows操作系统中安装和使用VPN客户端 (18)
5.2 在Linux操作系统中安装和使用VPN客户端 (23)
6 第六节启用防火墙 (23)
7 第七节管理防火墙规则 (24)
7.1 管理入站规则 (25)
7.2 管理出站规则 (27)
7.3 管理转发规则 (27)
前言
使用许可证
本文档为深圳飞思安诺网络技术有限公司提供给购买了对应硬件或者软件产品的客户阅读。

本文档为深圳飞思安诺网络技术有限公司所有，所有者保留所有权利。

未经所有者书面许可，不得以任何形式进行复制和传播。

约定
1 第一节系统概述
“飞思网巡”系统由IP网络监控报警主系统和流量分析管理、VPN和防火墙、日志储存服务等多个子系统组成。

1.1IP网络监控报警主系统
IP网络监控报警主系统为用户提供对IP网络中线路、网络设备和服务器，及运行其中的关键应用服务进行监控，结合温湿度传感设备对机房的温湿度进行监控，预知故障及提供声音、图象、手机短信、电子邮件等方式的即时报警。

IP网络监控报警主系统详细介绍和使用帮助参考《“飞思网巡”网管系统管理员手册》。

1.2流量分析子系统
流量分析子系统可以提供网络流量和性能分析、故障诊断等高级功能，让用户对自己的网络状况了如指掌。

流量分析子系统详细介绍和使用帮助参考《“飞思网巡”流量分析系统管理员手册》。

1.3VPN和防火墙子系统
VPN和防火墙子系统可以让远端的服务器（windows和Linux系统）跟“飞思网巡”系统建立基于SSL协议的加密通道，实现对远端的服务器进行安全有效的监控管理，而不管服务器是否位于远端的局域网内。

管理员也可以通过授权，在互联网的任何地方通过VPN隧道隧道安全的对“飞思网巡”系统进行管理，或者直接控制管理远端的服务器。

同时，通过防火墙功能，可以控制管理员VPN接入后的可访问的目标服务
器和具体权限。

本文档后续主要是对VPN和防火墙子系统配置和管理及其功能、相关技术进行描述。

1.4日志储存服务子系统
日志储存服务子系统可以通过syslog协议接收和储存被监控的网络设备、服务器等日志信息，并提供对储存日志信息按设备名、程序模块（Facility）、日志等级（Severity、Level）等进行查询和管理。

同时，可以设置监控包含特定关键字的日志信息，实现手机短信、电子邮件等报警。

日志储存服务子系统详细介绍和使用帮助参考《“飞思网巡”日志储存服务系统管理员手册》。

2 第二节何时需要VPN和防火墙子系统
当有下面的需求是，需要使用VPN和防火墙子系统以扩展“飞思网巡”IP网络监控报警系统的所能完成的功能。

1.监控异地的服务器，但服务器部署在局域网，没有专用网络直接连通；
2.对目标服务器进行安全监控的需要；
3.管理员有远程管理整个系统的需要。

图2.1 网络监控示意图
说明：
1.远程管理员通过授权证书跟“飞思网巡”系统建立加密隧道，对系统进行安全
管理；
2.异地部署在局域网的服务器通过跟“飞思网巡”系统建立加密隧道，监控系统
通过此隧道对此服务器进行监控管理；
3.为了保护“飞思网巡”系统对同一局域网内的数据库服务器监控过程的安全保
密，被监控的服务器跟“飞思网巡”系统建立加密隧道；
4.通过“飞思网巡”系统上的防火墙功能以及VPN的授权机制，实现对远端服
务器管理权限的控制。

3 第三节启用VPN功能
3.1进入网管系统web页面
打开web浏览器，在地址栏输入“飞思网巡”系统的IP。

如：http://192.168.168.1。

如果网络正常，应该会看到提示输入用户名和密码的窗口，输入系统管理员提供的帐号和密码，进入管理web页面。

图3.1.1 输入用户名和密码
用户名：admin （请输入系统管理员提供给你的用户名，缺省的用户名是admin）密码：*******（请输入系统管理员提供给你的密码，缺省密码是free8admin）
图2.2.2 基于web的监控报警和管理首页
3.2启用VPN功能
点击“设置”栏目下的“高级功能”。

3.2.1 VPN服务端设置和启用
点击“VPN服务端设置”，如出现当前许可证不支持此功能的提示，请跟经销商或者厂家工程师联系购买此子系统模块。

顺利进入设置和启动界面，如下图所示。

图3.2.1.1 VPN服务器端参数设置
z开机自动启动
选择当“飞思网巡”系统所在的服务器启动时，是否同时启用VPN服务
器端。

z服务端口（TCP）
填写VPN服务器端使用的服务端口。

z动态虚拟IP地址池和静态虚拟IP地址池
进行针对此VPN功能的证书管理时，可以为每一个证书指定一个静态虚
拟IP地址池中包含的IP地址。

当远端服务器通过VPN客户端和证书连接
此VPN服务端后，VPN客户端或获得此证书指定的IP地址并且配置在服
务器上。

“飞思网巡”系统通过服务器上的此指定的IP地址跟远端服务器
进行通信，包括监控和管理。

当远端服务器上的VPN客户端使用的正式没有指定IP地址时，VPN服
务端将从动态虚拟IP地址池中自动分配一动态的IP地址给VPN客户端所
在的远端服务器。

IP地址池范围设置根据支持的最大同时在线数确定。

z最大同时在线数
显示支持的最大VPN客户端并发接入数。

z是否马上启动
在按“确定”按钮后，是否立即启动此服务。

填写完成后按“确定”按钮。

3.3IP网络监控报警系统服务器前面防火墙设定
当“飞思网巡”IP网络监控报警系统服务器部署在防火墙内部，通过防火墙连接互联网，远程的服务器安装VPN客户端后需要连接VPN服务端时，需要在防火墙做VPN服务监控端口的端口映射。

图3.3.1 监控系统前面防火墙设置
如上图所示，假设VPN服务端使用的端口是443，需要在总公司出口的防火墙上将TCP 443端口映射到IP网络监控报警系统服务器的IP上。

4 第四节管理VPN证书
通过管理VPN证书界面可以查看当前在线的用户以及对证书进行分发、注销等管理。

4.1进入VPN证书管理界面
点击“设置”栏目下的“高级功能”，点击“VPN服务端设置”下的“进入VPN证书管理系统”。

图4.1.1 VPN证书管理界面
4.2证书管理
4.2.1 重新签发根证书
当第一次启用VPN功能进行配置时，为了保证安全，需要管理员重新签发根证书。

点击“导航”下的“重新签发根证书”，进入根证书签发界面。

如下图所示。

图4.2.1.1 重新签发根证书
z有效期
输入根证书的有效期。

当根证书从签发开始超出有效期后，将不能继续使
用此根证书签发新的证书。

管理员需要重新签发一个新的根证书，并导致
原来所有的证书失效，需要重新为所有远程客户端用户签发新证书。

点击“提交”后，提示根正式已经成功重新发放。

重新签发根证书后，系统中原来所有证书将会被删除。

系统同时给VPN服务端自动发放一个新的服务端证书。

后续管理员只需为远程客户端发放客户端证书。

4.2.2 查看根证书
点击“导航”下的“查看根证书信息”，可查看根证书详细内容。

如下图所示。

图4.2.2.1 查看根证书信息
4.2.3 发放新客户端证书
管理员签发根证书后，需要为远端客户端发放客户端证书。

点击“导航”下的“签发新证书”。

如下图所示。

图4.2.3.1 签发客户端证书
z名称
输入证书的名称。

证书名称是以英文字母开头的字母、数字组合的字符串，最长为16个字符，不能包含中文。

证书的名称不能相同。

z国家代码
输入证书所有人所在国家代码，缺省为CN，代表中国。

国家代码是以英文字母开头的字母、数字组合的字符串，最长为16个字符，不能包含中文。

z省份
输入证书所有人所在省份名称。

省份名称是以英文字母开头的字母、数字组合的字符串，最长为16个字符，不能包含中文。

z城市
输入证书所有人所在城市名称。

城市名称是以英文字母开头的字母、数字组合的字符串，最长为16个字符，不能包含中文。

z公司名称
输入证书所有人所在公司名称。

公司名称是以英文字母开头的字母、数字组合的字符串，最长为16个字符，不能包含中文。

z部门
输入证书所有人所在部门名称。

部门名称是以英文字母开头的字母、数字组合的字符串，最长为16个字符，不能包含中文。

z E-mail
输入证书所有人的email地址。

z有效期
输入证书的有效期，单位为天。

z VPN虚拟IP
从固定IP地址池中为使用此证书的客户端接入时指定一个虚拟IP地址。

如果不指定，客户端接入时服务端将从动态IP地址池中给客户端指定一个动态的IP。

点击“提交”后，客户端证书发放成功。

如下图所示。

4.2.4 管理已有客户端证书
4.2.4.1列出有效证书、已过期证书和已吊销证书
点击“证书管理”下的“仅有效证书”、“所有证书”、“已过期证书”或者“已吊销证书”，分别列出相关证书列表。

如下图所示。

图4.2.4.1列出有效证书
4.2.4.2吊销证书
点击“有效证书”列表下需要吊销的证书记录后面的“吊销”，可吊销此证书。

证书吊销后使用此证书的客户端将不能接入。

如下图所示。

图4.2.4.2列出已吊销证书
4.2.4.3下载客户端证书文件
点击“有效证书”列表下的证书记录后面的“下载”栏的“[zip]”，可下载证书和密钥文件、根证书文件的zip压缩包。

如下图所示。

图4.2.4.3下载有效证书和密钥文件
上面的一行记录为一个有效证书及其密钥。

管理员需要将每行记录下载的文件，分别给不同的需要通过客户端程序连接VPN服务端的用户。

4.3VPN客户端在线状态
点击“在线状态”，可列出当前在线的证书，以及总在线数目。

如下图所示。

图4.3.1 有效证书列表
5 第五节 VPN客户端安装和使用
5.1在Windows操作系统中安装和使用VPN客户端
5.1.1 下载和安装VPN客户端
1.在需要安装VPN客户端的计算机上通过下面链接下载windows端客户端，
并解压到当前目录。

/download/fsclient_v2.rar
2.（下面的步骤使用操作系统超级权限用户administrator进行操作）进入刚
解压生成的fsclient_v2目录，双击目录下的exe自解压文件，按缺省路径
将文件解压到c:\fsclient下；
3.进入c:\fsclient目录，双击install.bat文件，然后按提示进行下面的步骤，
直到完成安装（期间会提示安装虚拟网卡驱动，选择安装）；
4.将对应的客户端证书zip压缩包（VPN服务端证书管理员提供）里面的文
件解压后，得到三个文件，分别是ca.crt、[客户端证书名称].crt和[客户端
证书名称].key拷贝到c:\FSClient\VPNClient目录下，如提示是否要覆盖原
有的文件，选择“是”，如下图所示；
5.编辑文件c:\FSClient\VPNClient\client.conf，将：
“
#主线路
remote （空格）4443
#本地证书和证书密钥文件名称，可以根据实际情况进行修改
cert client.crt
key client.key
”
修改为：
“
#主线路
服VPN服remote [VPN务端所在服务器的IP或者域名] （空格）[
务端服务端口]
#本地证书和证书密钥文件名称，可以根据实际情况进行修改
cert（空格）[客户端证书名称].crt
key（空格）[客户端证书名称].key
”
（如当前计算机已经连接网络，继续进行下面的步骤，马上通过VPN客户端连接到服务端。

）
6.回到“c:\FSClient”目录，点击“启动VPN连接.bat”；
7.单击“开始”，单击“运行”，键入cmd，然后单击“确定”。

8.在“命令提示符”窗口光标处，键入 ipconfig /all，按“enter”键，确认
看到下面类似的信息：
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-52-D2-86-FA（这行可能有所不同）
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.10.11.2 （这行可能有所不同）
Subnet Mask . . . . . . . . . . . : 255.255.255.0（这行可能有所不同）
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.10.11.0（这行可能有所不同）
Lease Obtained. . . . . . . . . . : 2009年2月26日 23:34:58（这行可能有所不同）
Lease Expires . . . . . . . . . . : 2010年2月26日 23:34:58（这行可能有所不同）
5.1.2 使用VPN客户端
5.1.2.1检查VPN客户端的服务状态
经过上面步骤对VPN客户端成功安装后，VPN客户端作为一个服务在系统中运行。

缺省情况下，VPN客户端在计算机重启时都会自动运行，自动尝试连接VPN 服务端。

单击“开始”，单击“运行”，键入 services.msc，然后单击“确定”。

如下图所示。

图5.1.2.1 VPN客户端作为服务在系统中运行
5.1.2.2改变VPN客户端的服务启动类型为手动
单击“开始”，单击“运行”，键入 services.msc，然后单击“确定”。

右键单击右边窗口的“FSVPN Service……”，然后单击“属性”。

单击“常规”选项卡，将“启动类型”改变为“手动”，然后单击“确定”。

以后计算机启动时，不会自动运行VPN客户端。

图5.1.2.2 VPN客户端的服务启动类型修改为手动
5.1.2.3手动关闭和启动VPN客户端
右键单击右边窗口的“FSVPN Service……”，然后单击“属性”。

单击“常规”选项卡，在“服务状态”中可以“启动”和“停止”服务，然后单击“确定”。

以后计算机启动时，不会自动运行VPN客户端。

图5.1.2.3 VPN客户端的服务手动关闭和启动
5.2在Linux操作系统中安装和使用VPN客户端
如需在Linux操作系统中安装和使用VPN客户端，请联系厂家技术支持工程师。

6 第六节启用防火墙
在网管系统web页面，点击“设置”栏目下的“高级功能”。

点击“防火墙设置”，如出现当前许可证不支持此功能的提示，请跟经销商或者厂家工程师联系购买此子系统模块。

顺利进入设置界面，如下图所示。

图6.1.1 防火墙规则设置界面
在“开机自动启动”下拉框中选择“是”，再点击“确定”按钮。

图6.1.1.1 启用防火墙
7 第七节管理防火墙规则
通过设置防火墙规则，可以控制外界及VPN客户端对监控报警系统资源的访问、监控报警系统对外界及VPN客户端所在服务器资源的访问、VPN客户端之间的资源访问等。

下面是根据我们的建议的防火墙设置来说明此功能的使用方法。

7.1管理入站规则
点击“入站”，列出当前[入站]规则表。

[入站]规则可控制外界及VPN客户端对监控报警系统资源的访问。

图7.1.1 入站规则列表
我们建议，对于入站规则的设置，首先允许外界所有或者特定的IP地址访问监控报警系统指定的资源，这些资源包括：
1.TCP 80 ，网络监控报警主系统和日志储存服务子系统web管理服务端口；
（注：可在web管理界面对此端口进行调整）
2.TCP 1443，流量分析子系统web管理服务端口。

3.UDP 514，日志储存服务子系统接收日志的服务端口。

4.TCP 443，VPN子系统服务端口。

（注：可在web管理界面对此端口进行
调整）
在入站规则的最后，设置一条禁止外界所有IP地址访问监控报警系统所有资源的规则。

7.1.1 添加入站规则
点击“添加[入站]规则”，进入规则添加界面，如下图所示。

图7.1.1.1 添加入站规则
如上图所示，添加一条规则：
外界所有IP（源IP或网络：any）
可以访问（动作：ACCEPT）
监控报警系统web服务端口（协议：tcp，目的端口：80）填写好后按“确定”按钮。

然后继续添加建议策略中的其他规则。

最后，添加一条外界所有IP地址禁止访问（动作：DROP）监控报警系统所有资源的规则。

添加完成后，如下图所示：
图7.1.1.2 添加建议入站规则后列表
可以点击每条规则后面的“操作”：“修改”或者“插入”，修改本规则或者在本规则前面插入一条新规则。

点击“激活”，让上面设置的规则生效。

7.2管理出站规则
点击“出站”，列出当前[出站]规则表。

[出站]规则可控制监控报警系统对外界及VPN客户端所在服务器资源的访问。

图7.2.1 出站规则列表
我们建议，缺省情况下不需设置出站规则。

7.3管理转发规则
点击“转发”，列出当前[转发]规则表。

[转发]规则可控制VPN客户端之间的资源访问。

图7.3.1 转发规则列表
我们建议，如果没有使用VPN功能，不需要设置转发策略。

如果使用了VPN功能，需要根据要求允许特定VPN客户端用户（特定证书）绑定的固定虚拟IP地址可以访问相应的其他VPN客户端的固定虚拟IP或者所有IP。

在转发规则的最后，设置一条禁止所有转发的规则。

7.3.1 添加转发规则
点击“添加[转发]规则”，进入规则添加界面，如下图所示。

图7.3.1.1 添加转发规则
如上图所示，假设一管理员使用的：
VPN客户端证书绑定的虚拟IP是10.10.78.12（源IP或网络：
10.10.78.12）
允许这个管理员访问（动作ACCEPT）
所有其他vpn客户端服务器（目的IP或网络：any）
远程协助服务（协议：tcp，目的端口：3389）
填写好后按“确定”按钮。

然后继续添加建议策略中的其他规则。

最后，添加一条禁止（动作DROP）所有转发的规则。

添加完成后，如下图所示：
图7.1.1.2 添加转发规则后列表
可以点击每条规则后面的“操作”：“修改”或者“插入”，修改本规则或者在本规则前面插入一条新规则。

点击“激活”，让上面设置的规则生效。