一,阿姆瑞特公司简介
阿姆瑞特是一家专业从事网络安全产品研发和服务的跨国IT企业,属于阿姆瑞特(国际)集团在亚洲的分支机构集团总部设在瑞典,拥有强大的公司实力及技术优势,多年来一直致力于网络安全产品的研发和服务,在全球范围设有多个研发机构和销售网络,为不同的客户提供最先进的,特色化的安全产品和服务目前,阿姆瑞特已经在北京,西安,南京,广州,成都等地先后建立办事处,并将销售延伸到全国各个省市,建立起遍及全国的销售和服务平台在金融,电信,教育,广电,电力,制造和政府等行业已经有广泛的应用,客户的一致好评和在玛赛,联想,赛迪等国内大型实验室优异的测试结果,显示了阿姆瑞特产品的卓越品质和公司雄厚的技术实力
阿姆瑞特人愿通过不懈的努力,与合作伙伴共同为中国网络安全发展尽自己的微薄之力阿姆瑞特的目标是:服务于中国的信息安全产业,为用户提供全球领先的安全产品和完善的服务
二,阿姆瑞特防火墙的产品线及性能
21 阿姆瑞特防火墙性能参数
性能
F50-NP
F100-NP
F100UP
F100Pro
F300Pro
F600-UP
F600Pro
F600+
F1800
F3000
F5000
F5000Pro
并发连接数
4,000
16,000
128,000
200,000
320,000
512,000
1,000,000
1,000,000
2,000,000
3,000,000
5,000,000
80,000,000
吞吐量(Mbps)
50
100
120
200
400
800
1,000
1,5000
2,000
3,000
4,000
16,000
延时( μs )
≤30
≤30
≤30
≤30
≤25
≤25
≤25
≤25
≤19
≤19
≤19
≤19
防火墙接口数量
4+6
4+6
4
6
8
6-14
6-14
6-14
6-14
6-14
6-14
5-40
用户数量
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
VLAN数量
无
无
256
256
512
1,024
1,024
1,024
2,048
4,096
4,096
32,768
规则数量
500
1,000
1,000
1,000
2,000
8,000
16,000
16,000
16,000
32,000
32,000
250,000
路由数量
64
128
128
128
512
1,024
2,048
2,048
2,048
4,096
4,096
32,768
隧道数
15
30
120
120
1,200
1,600
2,000
2,000
2,000
2,000
2,000
400,000
MTBF(小时)
30000
30000
30000
30000
40000
40000
40000
40000
50000
50000
50000
50000
规格(长宽高)
15721030
15721030
23843544
23843544
23843544
43543544
43543544
17025540
43543588
43543544
43543588
43543588
22 SME级别F50-NP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F50-NP
50M
4000
4+6
Unlimited
20M
25
NetScreen
NS-5XT
70
2,000
5
10
20M
10
NS-5GT
75
2,000
5
10
20M
10
NS-5GT_Ex
75
4,000
5
Unlimited
20M
25
Cisco
PIX-501-50
60M
7,500
2+4
50
6M
10
PIX-501-10
60M
7,500
2+4
10
6M
10
Nokia
IP40-U
70M
3
Unlimited
15M
10
F50-NP吞吐量可升级至75M
23 SME级别F100-NP&F100-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F100-NP
100M
16,000
4+6
Unlimited
40M
100
F100-UP
120M
128,000
4
Unlimited
95M
120
NetScreen
NS-25
100M
32,000
4
Unlimited
20M
125
Cisco
Pix-506E
100M
25,000
2
Unlimited
16M
25
Nokia
IP130
102M
100,000
3
Unlimited
13M
F100-NP吞吐量可升级至200M
24 CorpXpres系列F100-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F100-Pro
200M
200,000
6
Unlimited
95M
120
NetScreen
NS-25
170M
64,000
4
Unlimited
45M
500
Cisco
Pix-515E-UR
188M
130,000
2-6
Unlimited
63M
2,000
Nokia
Nokia无此档产品
25 CorpXpres系列F300-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F300-Pro
400M
320,000
8
Unlimited
130M
1,200
NetScreen
NS-204
400M
128,,000
4
Unlimited
200M
1,000
Cisco
Pix-525-UR
330M
280,000
2-6
Unlimited
145M
2,000
Nokia
IP350
400M
128,000
4
Unlimited
60M
2,000
26 EntXpress系列F600-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F600-UP
800M
512,000
6-14
Unlimited
600M
1,600
NetScreen
NS-208
550M
128,000
8
Unlimited
200M
1,000
NS-500
700M
250,000
12
Unlimited
250M
5,000
Cisco
Cisco无此档产品
Nokia
IP530
507M
128,000
4
Unlimited
115M
2,000
IP380
600M
128,000
6
Unlimited
90M
2,000
27 EntXpress系列F600-Pro&F600+性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F600-Pro
1,000M
1,000,000
6-14
Unlimited
800M
2,000
F600+
1,500M
1,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG1000
1,000M
250,000
4 -8
Unlimited
1,000M
2,000
Cisco
PIX-535-UR
1,700M
500,000
2-8
Unlimited
440M
2,000
Nokia
IP710
1,300M
128,000
4
Unlimited
139M
2,000
28 TelcoXpress系列F1800&F3000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F1800
2,000M
2,000,000
6-14
Unlimited
1,000M
2,000
F3000
3,000M
3,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG2000
2,000M
512,000
8
Unlimited
1,000M
10,000
Cisco
Cisco无此档产品
Nokia
IP740
2,000M
500,000
4
Unlimited
139M
10,000
29 TelcoXpress系列F5000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F5000
4,000M
5,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
Netscreen无此档产品
Cisco
Cisco无此档产品
Nokia
IP1260
4,200M
1,000,000
4
Unlimited
800M
210超级电信级产品F5000-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F5000-Pro
16,000M
5,000,000
5-40
Unlimited
16,000M
400,000
NetScreen
NS-5200
10,000M
1,000,000
8
Unlimited
5,000M
30,000
NetScreen
NS-5400
30,000M
1,000,000
24
Unlimited
15,000M
30,000
Cisco
FWSM模块
5,000
1,000,000
100(VLAN)
Unlimited
n/a
n/a
Nokia
Nokia无此档产品
阿姆瑞特现已推出的5000Pro防火墙,是当今世界上最快的防火墙产品已经在欧洲的各大电信运营商网络成功的开始了应用
下面是它图样:
平台架构
最多支持八块高性能的基于ASIC加速的板卡
每块板卡支持2G的明通和密通吞吐量
每块板卡支持4+1个网口, 四个千兆口, 一个SFP
管理卡位于工控机的背板,不占用插槽
背板还拥有一个网口汇聚卡, 可以支持八个百兆电口,SFP,或者万兆口
重要技术参数
防火墙明通吞吐量16Gbps
IPSEC密通吞吐量16Gbps
同时并发连接8千万
55万大包PPS
四十万最大通道数
支持32768个VLAN接口
支持最多8000个虚拟路由系统
GAN兼容,支持3G网络安全需求
完全支持IKEv2和EIP-SIM
三,阿姆瑞特防火墙的组成
31 阿姆瑞特防火墙硬件
阿姆瑞特防火墙采用专有的硬件,采用高性能的CPU和大容量的内存保证硬件的高性能其中,阿姆瑞特NP系列采用NP的硬件架构;600UP以上的产品采用ASIC技术
32 阿姆瑞特防火墙内核
阿姆瑞特防火墙为"无系统内核",即:防火墙没有 *** 作系统,因此不会存在通用 *** 作系统的漏洞,从而在底层保证防火墙的安全性;同时,因为 *** 作系统需要不断地去维护,升级,无 *** 作系统就不存在此类问题,这也排除了因为系统升级,打补丁破坏防火墙功能,性能的问题
阿姆瑞特防火墙内核启动后,可直接管理防火墙的所有硬件(CPU,网卡,总线等),它可以在底层从硬件设备中接管进出防火墙数据并进行处理,利用了所有可能的硬件性能,同时减少了 *** 作系统的开销,因此可以最快的处理数据,使其成为市场上现有的最快的防火墙之一
33 阿姆瑞特防火墙管理器
阿姆瑞特防火墙管理器的作用是对防火墙进行管理,配置,日志的查询,同时可以集中管理到多达3万台防火墙
34 阿姆瑞特防火墙日志服务器
阿姆瑞特防火墙日志服务器的作用是接收并存储防火墙的日志
35 其它防火墙硬件和内核简介
厂家
介绍
阿姆瑞特防火墙的优势
Juniper
Juniper防火墙采用专用的 *** 作系统平台,而且把 *** 作系统固化在专用芯片(ASIC)上
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Juniper小,所以在性能上两者相差不大;但是在灵活性和扩展性上比Juniper强
Cisco
Cisco PIX防火墙采用安全的黑盒子,非UNIX系统,是X86结构
阿姆瑞特600系列采用ASIC架构,NP系列采用NP架构
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Cisco小,所以在性能上比Cisco强;在功能上和管理的方便性上都比Cisco强;而Cisco防火墙在加密算法的不同(如DES和3DES)则要不同的License和不同内存大小来支持,阿姆瑞特防火墙没有这样的限制
NOKIA
NOKIA防火墙采用NOKIA的硬件平台,而软件采用Check Point的
阿姆瑞特防火墙内核文件到目前为止都是小于2M,远远小于NOKIA防火墙,所以在性能和延迟比NOKIA强;在功能上和管理的方便性上比NOKIA的强;而NOKIA防火墙按照接口类型,接口数量,软件和用户数量来购买,阿姆瑞特防火墙没有这样的限制
四,阿姆瑞特防火墙的技术特点
阿姆瑞特防火墙除了是一款专业的防火墙设备以外,还具有强大得的路由功能以及专业级带宽管理功能具体对其技术特点概括如下:
全方位安全防护
强大的路由功能
专业的带宽管理
灵活的网络接入
丰富的功能
便捷的图形管理
细微的网络日志
41 全方位安全防护
阻断入侵者的攻击,保护用户的网络正常运行是防火墙的最基本职责阿姆瑞特防火墙提供者全方位的安全防护例如:
411 全状态检测防火墙
阿姆瑞特防火墙对所有的协议都可以进行状态检测进行过滤,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤因此可以防止假冒IP攻击,防止非正常连接同时提高防火墙工作效率
412灵活的访问控制
阿姆瑞特防火墙所能控制的颗粒度非常细,可以对以下的信息作出访问控制:
源和目的地址
源和目的接口
IP协议号
TCP和UDP端口号
端口范围
ICMP信息类型
IP和TCP中都有的选项类型
IP和TCP标记组合
VLAN信息
时间
防火墙的接口(包括物理和逻辑接口)
访问内容
访问的文件类型
访问控制可以说是防火墙的基本功能,不同的是Juniper,Nokia和PIX无法支持防火墙的接口,IP和TCP中的选项和用户访问文件类型进行访问控制
413 用户认证
阿姆瑞特防火墙支持本地用户库认证,RADIUS认证,LDAP认证
Juniper支持本地用户库认证,RADIUS认证,LDAP认证,RSA,SecurIP
Cisco支持本地用户库认证,RADIUS认证,TACACS
NOKIA支持本地用户库认证,RADIUS认证
不同的是阿姆瑞特防火墙做用户认证的时候,可以设置每用户名多次登陆,也可以设置每用户名一次登陆,此功能如下图所示:
414 强大的抵御攻击能力
阿姆瑞特防火墙提供针对黑客攻击的强大防御功能:
防止黑客对OS Fingerprinting 和 Firewalking的企图
防止黑客对网络的TCP/UDP端口扫描
防止黑客对网络的同步攻击
防止黑客对网络的ICMP flood攻击
防止黑客对网络的UDP flood攻击
防止黑客对网络的死ping(Ping of death)攻击
防止黑客对网络的IP欺骗(IP spoofing)攻击
防止黑客对网络的端口扫描(Port scan)
防止黑客对网络的陆地攻击(Land attack)
防止黑客对网络的撕毁攻击(Tear drop attack)
防止黑客对网络的过滤IP源路由选项(Filter IP source route option)
防止黑客对网络的IP地址扫描攻击(IP address sweep attack)
防止黑客对网络的WinNuke attack攻击
防止黑客对网络的Java/ActiveX/Zip/EXE
防止黑客对网络的默认分组拒绝(Default packet deny)攻击
防止黑客对网络的Dos & DDoS攻击
用户定义的不良URL
防止黑客对网络的Per-source session limiting攻击
防止黑客对网络的Syn fragments攻击
防止黑客对网络的Syn and Fin bit set攻击
防止黑客对网络的No flags in TCP攻击
防止黑客对网络的FIN with no ACK攻击
防止黑客对网络的ICMP fragment攻击
防止黑客对网络的Large ICMP
防止黑客对网络的IP source route
防止黑客对网络的IP record route
防止黑客对网络的IP security options
防止黑客对网络的IP timestamp
防止黑客对网络的IP stream
防止黑客对网络的IP bad options
防止黑客对网络的Unknown protocols
抵御黑客的攻击也是防火墙的基本功能,但阿姆瑞特防火墙在抵御攻击的时候,原理于其他防火墙不同
其他的防火墙
通过设定阈值进行攻击防范,例如每个IP每秒2000个SYN报文以下才认为是正常的,超出视为攻击因此比较难慢性抵御DDOS攻击(例如:很多IP每秒1500个SYN攻击)
依托通用OS,OS对攻击的抵御能力不足;且防火墙软件与OS间必然存在开销,消耗系统资源
阿姆瑞特防火墙
采用类似代理技术进行攻击防范,必须首先与防火墙建立起连接,防火墙才会再与主机进行连接,攻击不会通过防火墙到达主机
专用内核,没有OS开销,提高了自身抵御攻击能力
设计中充分考虑了系统抗攻击的能力,预留防火墙系统资源,任何情况下CPU利用率都不会达到100%
415 URL过滤
阿姆瑞特防火墙支持URL过滤
Juniper支持URL过滤
NOKIA不支持URL过滤
Cisco PIX Firewall URL过滤与NetPartners Websense产品一起提供PIX Firewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在Windows NT或UNIX上运行PIX Firewall 53版本及更高版本中支持Websensen第4版本
根据NetPartners Websense服务器的答复,PIX Firewall接受或拒绝连接这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征由于URL过滤在独立平台上处理,因此,不会给PIX Firewall带来其它性能负担
42 强大的路由功能
阿姆瑞特防火墙的路由功能非常强大的路由功能,最大可以支持4096条静态路由此外还支持策略路由,动态路由以及虚拟路由等
421 策略路由
阿姆瑞特防火墙可以基于不同的策略定义不同的路由,因此可以根据源地址,服务,时间等定义不同的路由从而达到不需要其他设备可以连接多个ISP,应用在多个出口的环境,同时,可以对数据包的路由方向进行选择此功能如下图所示:
不同的是通过策略路由可以支持WEB Cache(例如:免费的Squid)从而达到利用免费的软件实现URL过滤,应用代理的目的,同时可用作支持病毒扫描服务器等
Juniper支持策略路由,只是做到源地址,源IP,源端口,目的地址,目的IP,目的端口但无法对时间,数据包路由的方向作策略路由
Cisco不支持策略路由
NOKIA支持策略路由
422 路由备份
阿姆瑞特防火墙可以做到端口之间的冗余,这样可以保证不会因为一条链路的中断而造成业务的中断,此功能如下图所示:
423支持OSPF V2动态路由
阿姆瑞特防火墙全面支持OSPF路由协议,完全符合RFC文档对OSPF协议的规定因此可以于专业的路由器的OSPF媲美,同时支持透明下起OSPF协议,OSPF OVER IPSEC等
阿姆瑞特防火墙的OSPF根据RFC 2328来定义,支持OSPF版本2,也可以支持早期版本RFC 1538,可以和CISCO,北电等设备之间做OSPF
不同的是通过阿姆瑞特防火墙自带的日志软件,可以对OSPF HELLO包做分析;即使防火墙工作在透明模式下,也可以运行OSPF协议;在网络环境下也支持OSPF协议的运行
Juniper防火墙OSPF基于虚拟路由器而启用的,根据RFC 2328的定义,支持OSPF版本2,也可以支持早期版本RFC 1538在网络环境下也支持OSPF协议的运行
NOKIA支持OSPF协议,采用的标准是RFC 2328,不支持早期版本RFC 1538
Cisco PIX防火墙不支持OSPF协议
424 支持虚拟路由器/系统
阿姆瑞特防火墙支持虚拟防火墙功能,是通过回环接口组的方式实现的,要求防火墙的版本在85以上
NOKIA支持虚拟防火墙功能
Juniper虚拟防火墙逻辑划分了多个虚拟系统,以提供多客户式托管服务,每个虚拟系统(VSYS)都是一个唯一的安全域,并且可以拥有自己的管理源,管理员可以设置自己的地址薄,用户列表,自定义服务,,策略以使自己的安全个性化可以通过两种方式实现虚拟系统:基于VLAN和基于IP要在204以上的才支持,5200和5400最多可以做到500个
Cisco PIX支持虚拟防火墙功能,但要求防火墙版本是70以上
425 对VLAN的支持
阿姆瑞特防火墙全系列型号都支持VLAN
Cisco防火墙要在515型号以上的才支持VLAN
Juniper防火墙要在25 高级版本型号以上的才支持VLAN
NOKIA防火墙要在130型号以上的才支持VLAN
43 专业的带宽管理
阿姆瑞特防火墙除了具有全方位的安全防护和强大的路由功能以外,还具备专业的带宽管理功能
阿姆瑞特防火墙支持阿姆瑞特防火墙可以基于IP,基于服务,基于接口,基于组信息,基于VLAN信息,连接等信息进行带宽管理并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量通过QoS/CoS设置,可以进行:
· 带宽限制
· 带宽保证
· 优先级控制 (0-7,有8个优先级别)
· 动态流量均衡
此功能如下图所示:
总体来说,阿姆瑞特防火墙在作带宽管理的时候,具有如下特点:
通过定义管道的方式提供CoS/QoS功能
管道没有数量的限制
带宽管理设置精度为1Kbps
可进行带宽限制,带宽保证,动态均衡带宽
大差别带宽管理时,不存在"饿死"现象
可对上传和下载数据分别进行带宽管理
明通,密通数据均可以作带宽管理
带宽管理可基于接口,VLAN,IP地址,服务,时间等设定
Juniper,Cisco,NOKIA防火墙做不到带宽保证,动态流量均衡同时带宽管理的精度也比较粗糙(为64kbps)
44灵活的网络接入
阿姆瑞特防火墙在网络接入方面非常灵活,具体的特点如下:
透明,路由,混合接入
同一接口下的透明+路由
源地址,目标地址同时转换
对称式接口设计
441 路由,透明和混合的工作模式
阿姆瑞特防火墙支持路由,透明和混合的工作模式
Juniper只支持路由和透明模式
Cisco只支持路由的工作模式和透明模式(需要防火墙的版本在70以上)
NOKIA只支持路由和透明模式
不同的是阿姆瑞特防火墙可以在透明模式下实现和路由模式下相同的功能,如在透明模式下支持NAT,VLAN,,OSPF,HA和虚拟防火墙等功能
442 同一接口下的透明+路由
阿姆瑞特防火墙支持同一的网络接口下的透明+NAT,如图:
防火墙if2接了2个网段,同时if2也配置了2个不同网段的地址,if1同if2其中一个地址在同一网段上,于另一个地址在不同网段上这样防火墙的if1于if2同时处于透明+路由的情况
Juniper,Cisco和NOKIA均不支持这个功能
443对称式接口设计
阿姆瑞特防火墙的接口都是对称试设计,因此任何一个接口都可以是内网,外网或者DMZ区因此可以作多个内网,多个外网或者多个DMZ区
444 接入模式
阿姆瑞特防火墙支持ADSL,DHCP Client,固定IP地址,支持多条ADSL线路拨号,支持ADSL按需拨号,此功能如下图所示:
Juniper不支持多条ADSL线路拨号
Cisco不支持多条ADSL线路拨号,ADSL按需拨号
NOKIA不支持多条ADSL线路拨号,ADSL按需拨号但NOKIA支持FDDI,ISDN,Token Ring,Serial(X35和X21),T1,E1,HSSI接口
45 丰富的功能
阿姆瑞特防火墙有如下功能:
1, __Client 的NAT设备的穿越
2, __Client 拨号上来可以通过DHCP服务器动态得到地址
3, __Client 拨号上来也可以自己手动设定一个虚拟IP地址,并可以和内网用户做双向通讯
4, __Client 拨号上来不仅可以通过Pre-Share KEY 的方式验证,同时还可以做用户名和密码的XAuth验证(通过RADIUS数据库)
5, __Client 拨号上来也可以通过证书的方式做用户认证,并且支持 CA服务器颁发的证书 或 自己生成的自签名证书
6, __Client 不仅可以拨号防火墙的外口公网IP地址建立隧道,也可以拨号一个动态域名建立隧道,
7, 站点之间的 支持Pre-Share KEY 的方式验证身份,也可以支持CA服务器颁发的证书 或 自己生成的自签名证书
8, 站点之间的 支持星型的互连
9, 站点之间的 支持NAT设备的穿越
10, 站点之间的 支持ADSL的动态地址的隧道的建立
11, 站点之间的 支持全开放的加密协议和生命周期的调试,IKE提议和IPSec的加密和传输方法都可以调试,可以和其他设备建立隧道
12, 全面支持PPTP,L2TP和GRE封装形式的技术
13,支持2个站点之间建立多台隧道,并且做到隧道之间的备份
Juniper, Cisco和NOKIA不支持站点之间的 支持ADSL的动态地址的隧道的建立
Cisco和NOKIA不支持2个站点之间建立多台隧道,并且做到隧道之间的备份
Cisco防火墙在国内销售的防火墙加密算法只支持DES,不支持3DES,主要是美国政府不允许,而且要收费,但是在欧洲销售的防火墙都支持DES和3DES,而且还免费
思科提供了许多处理连接性的 方法 ,这使得排除的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的性能到PIX防火墙所提供的服务,再到思科的 Concentrator,其中的每一个都有其自身的特点。考虑到选项的复杂性,本文所讨论的这些技巧并不一定适用于所有的思科配置。不过,下面我将会为您解决类似的问题提供一个很好的起点,欢迎大家参考和学习。
问题一:某个运行互联网连接共享的用户不能安装思科3000 客户端。
这个问题易于解决。用户需要在安装客户端之前在其机器上禁用ICS。笔者建议用户用一个支持防火墙的路由器代替ICS。注意,如果机器只是通过另外一个使用ICS的机器进行连接的话,这样做就不必要了。要禁用ICS,可以单击“开始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服务(Services)”/“Internet连接共享(Internet Connection Sharing)”,并禁用“在启动时加载(Load On Startup)”选项。
此外,还要保证用户们知道客户端禁用了XP的欢迎屏幕和快速用户切换,这些通常用在多用户的家用电脑中。组合键[Ctrl]+[Alt]+[Delete]仍适用,而且用户需要键入其用户名和口令。(注意:快速用户切换可以通过禁用客户端的‘登录前开始’特性禁用。不过,这也有其自身的问题,因此,除非你确实需要快速用户切换,笔者并不推荐这样做。)
关于客户端安装的另外一个问题:思科并不推荐在同一的PC上安装多个客户端。如果对此你有任何问题,并且需要支持,可以先卸载 其它 的客户端,然后再打电话寻求支持。
问题二:日志指示一个密钥问题
如果与预共享密钥有关的日志中存在着错误,你就可能在连接的任何一端上错配密钥。这种情况下,你的日志会指明客户端与服务器之间的交换很好地切合IKE的首要模式安全性。在这种交换之后,日志会指明一个密钥问题。要解决之,可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项,并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中,输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上,应使用命令:
sakmp key password address xxxxxxxx netmask 255255255255
在这里的口令即是你的预共享密钥。用于你的集中器中的密钥和PIX防火墙上的密钥应当正确地匹配。
问题三:在试图连接到时,运行防火墙软件的用户 报告 错误
在防火墙软件中,有一些端口需要打开,如BlackIce(BlackIce也存在着与思科的客户端相关的其它问题。你可以参考它的发布注释寻求更多的信息。),Zone Alarm,Symantec,还有Windows平台的其它互联网安全程序,以及Linux系统上的ipchains 和 iptables。总体而言,如果用户在其软件中打开了下面的端口,你就该看到一些抱怨的终结:
UDP 端口: 500, 1000 和 10000
IP 协议 50 (ESP)
为IPSec/TCP而配置的TCP 端口
NAT-T 端口 4500
问题四:家庭用户抱怨说,在连接建立后,他们不能访问其家用网络上的其它资源。
一般而言,这种问题是由于禁用了隧道分离造成的。虽然隧道分离会引起安全风险,可以通过采取强健的、增强的安全策略而将这些风险减轻到某个程度,并自动地扩展到客户端连接(例如,一个策略可能要求安装最新的反病毒软件或安装一个防火墙)。在一个PIX上,可以使用这个命令来启用隧道分离:
group groupname split-tunnel split_tunnel_acl
你应当用对应的访问列表命令来定义哪些内容可以通过加密的通道,哪些通信可以以明文的形式发送出去。例如:
access-list split_tunnel_acl permit ip 10000 25525500 any
或者任何你指定的IP地址范围。
在一个思科Cisco Series 3000 Concentrator 上,你需要告诉设备哪些网络应通过加密通道通信。可以通过如下步骤进行:转到“配置(Configuration)”/“用户管理(User Management)”/“基群(Base Group)”,并且从“客户配置(Client Config)”选项卡中,选择“Only Tunnel Networks In The List(仅列表中的隧道网络)”选项,并在你应该由保护的站点上创建一个网络列表,而且要在“Split Tunneling Network List(分离隧道网络列表)”下拉列表框中选择这个网络列表。
问题五:一个远程用户的网络正在使用与服务器的本地网络相同的IP地址范围(采用支持虚拟适配器的Client 46,环境:Windows 2000/XP)
对这些特定的 *** 作系统 来说,这可能有点儿特别,不过诊断Cisco 46的这些IP地址冲突可能会使人灰心丧气。在这些情况下,由于冲突的存在,那些假定通过隧道的通信仍保留在本地。
在受到影响的客户端上,单击“开始(Start)”/“控制面板(Control Panel)”/“网络和拨号连接(Network And Dialup Connections)”/“本地适配器(local adapter)”,在适配器上右击,并选择“属性(Properties)”。在“属性(Properties)”页上,选择TCP/IP,然后单击“属性(Properties)”按钮。下一步,单击“高级(Advanced)”选项,找到“Interface Metric”选项,将其值增加1。这就有效地告诉了你的计算机第二次使用本地适配器。适配器将可能拥有metric值1,这使它成为一个通信目地的首要选择。
问题六:某些路由器/固件组合引起了客户端的连接问题
思科的客户端在一些较老的(有时是较新的)家用路由器中会产生问题,通常是针对特定的固件版本。如果你的用户存在着一致的连接问题,就需要让它们升级其路由器的固件,特别是在他们拥有一个较老的设备单元时。在众多的路由器中,已知会产生思科客户端问题的有:
固件版本低于144的Linksys BEFW11S4
固件版本低于215的Asante FR3004 Cable/DSL 路由器
Nexland Cable/DSL 路由器型号 ISB2LAN
如果所有其它的 措施 都失效,可以将一个空闲的路由器给用户使用,帮助它们限制潜在的问题范围。最终有问题的路由器可能需要替换。
问题七:用户报告说,在他们试图建立连接时,其客户端连接会终结
在这种情况下,用户会看到一个错误消息,类似于“ Connection terminated locally by the Client Reason 403: Unable to contact the security gateway”( 连接被客户端终结。原因403:不能联系到安全网关。)这种错误可能是由多种原因造成的:
用户可能输入了不正确的组口令
用户可能并没有为远程端点键入恰当的名称或IP地址
用户可能存在着其它的互联网连接问题
基本而言,由于某种原因,IKE协商会失效。你可以检查客户端的日志,(单击log/enable),设法找到使哈希认证无法进一步缩小问题范围的错误。
问题八:从NAT设备后建立一个连接时,发生故障;或者建立一个到NAT设备后的服务器的连接时,发生故障。
在允许传输期间对数据包的头部进行修改之前,这个问题是固有的,所以这个问题出现在所有的思科硬件中。要纠正这个问题,就要在你的硬件上启用NAT-Traversal (NAT-T),并允许UDP端口4500通过防火墙。
如果你正将一个PIX防火墙既用作防火墙又用作端点,就要在你的配置中用命令nat-traversal 20启用NAT-T,并打开4500端口。这里的20是NAT的保持活动的时间周期。如果你拥有一个独立的防火墙和一个思科集中器,就要在拥有集中器目标地址的防火墙上打开UDP端口4500。然后,在集中器上,转到“Configuration(配置)/ Tunneling And Security(隧道和安全性)/IPSec /NAT Transparency(NAT 透明度)”,并选择“IPSec Over NAT-T”选项。而且,还要保障任何在用户端点上使用的客户端都支持NAT-T。
问题九:用户成功地建立了一个链接,不过却周期性的掉线。
同样,为了明确问题,你还要检查多个地方。首先,确认用户的计算机并没有进入Standby Mode (待命模式)、休眠模式,也没有启动屏幕保护程序。在客户期望到达一个服务器的持续连接时,待命模式、休眠模式能够中断你的网络连接。为了节省电力,你的用户还有可能配置其计算机使其在一段时间之后关闭一个网络适配器(网卡)。
如果使用了无线技术,你的用户有可能漫游到一个无线信号很弱(或不存在)的地方,那么有可能因此断开。还有,你的用户的网络电缆可能有问题,也有可能是路由器或互联网连接的问题,或者是其它的物理连接问题。
还有这样一些报告指出,如果一个端点(PIX或3000集中器)耗尽其IP地址池中的资源,也会导致在客户端上导致这种错误。
问题十:某用户报告说,计算机在本地网络上不再可“见”,即使客户端被禁用。
其它症状还可能包括用户网络上的其它许多计算机不能Ping通计算机,即使这台计算机能够看到网络上的其它计算机。出现这种情况,这个用户有可能启用了客户端上的内置防火墙。如果防火墙被启用,它就会保持运行状态,甚至在客户端不运行时仍然如此。要解决问题,就要打开客户端,并从选项(options)页上,取消选择“stateful firewall”选项的复选框。
以上介绍的仅是思科中的十个比较常见的问题及其解决方法,不过,可以看作是抛砖引玉。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)