WHOLETON

e地通SP/PG硬件网关使用手册

“三合一”用户手册

（SOCKS5 VPN/集中接入/IPSec VPN防火墙）

（VER 6.5）

（2009年10月）

e地通SP/PG系列硬件网关产品用户手册

资料版本： S- V6.3-20091001

─────────────────────────────────

深圳市惠尔顿信息技术有限公司为您提供基于中国国情，富有中国特色的异地互连贴身解决方案。

需要购买e地通系列产品的用户请就近与惠尔顿代理商联系，如果您想与我们共同发展请直接与我们联系。

深圳市惠尔顿信息技术有限公司

地址：深圳市南山区高新技术产业园区

网址：http://www.wholeton.com

电子邮箱：wholeton@wholeton.com

电话：86-755-26546529

传真：86-755-26553507

版权声明

Copyright©2008-2009

深圳市惠尔顿信息技术有限公司

版权所有，保留一切权利。

非经本公司书面许可，任何公司或个人不得擅自摘抄、复制本书的部分或全部，也不得以任何形式传播。

由于产品版本升级或其他原因，本手册内容会不定期进行更新。除非另有约定，本手册仅作为使用指导，本手册中所有陈述、信息和建议不构成任何明示或暗示的担保。

适用版本

本版本对应产品为W500SP/W800SP/W1000SP/W1500SP/W2000SP全系列；

本版本对应产品为W500PG/W800PG/W1000PG/W1500PG/W2000PG全系列；

读者对象

本书适合以下人员阅读

·使用e地通SP/PG硬件网关的所有人员

·希望了解e地通SP/PG硬件网关的所有人员

·对于使用或者需要了解e地通软件产品的人员

本书约定

1、图形界面格式约定

格 式

意 义

<>

带尖括号“<>”表示按钮名，如“请按<确定>按钮”。

[]

带方括号“[]”表示窗口名、菜单名、数据表和字段名等，如“弹出[新建用户]窗口”。

/

多级菜单用“/”隔开，如“[文件/新建/文件夹]”多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项。

2、键盘操作约定

格 式

意 义

加尖括号的字符

表示键名，如、、、分别表示回车、制表、退格和大写字母A。

<键1+键2>

<键1，键2>

表示先按第一键，释放，再按第二键。如

表示先按,释放后再按。

3、鼠标操作约定

格 式

意 义

单击

快速按下并释放鼠标的一个按钮。

双击

连续两次快速按下并释放鼠标的一个按钮。

拖动

按住鼠标的一个按钮不放，移动鼠标。

4、各类标志

本书还采用各种醒目的标志来表示需要特别注意的地方，这些标志的含义如下：

注意：提醒应该注意的事项。

说明：对内容进行必要的补充和说明。

目 录

７序言

８第一章 连接设备上网

８1、概要

８2、使LAN内的计算机能登陆到设备的连线方法

９3、设备放在LAN内接入internet的连接方法

１０4、设备直接接入internet的连接方法

１３5、设备采用透明桥模式接入internet的连接方法

１５第二章 快速配置防火墙与e地通服务

１５1、快速设置防火墙功能

１６2、快速设置e地通服务

１７第三章 基本设置

１７1、向导设置

２０2、模式选择

２３3、LAN设置

２４4、WAN/DMZ设置—DMZ

２５5、WAN/DMZ设置—WAN

２８6、系统时间

２８7、DNS设置

３０第四章 网络配置

３０1、DDNS配置

３０2、VLAN设置

３２3、DHCP设置

３３4、静态路由

３５5、IP/MAC绑定

３５6、LAN口特殊功能

３８第五章 e地通配置

３８1、基本设置

４７2、网关设置

４９3、e地通管理

５２4、e地通日志

５３第六章 IPSec设置

５３1、IPSec

６２2、PPTP

６８3、L2TP

７７第七章 防火墙设置

７７1、基本设置

７８2、时间排程

７９3、IP 设置

８２4、服务设置

８４5、端口映射

８６6、IP映射

８７7、访问规则

９２8、会话列表

９３第八章 流量控制

９３1、流量设置

９３2、上传流量

９５3、下行流量

９７4、IP流量控制

９８5、IP流量统计

９９6、网口流量统计

１００第九章 系统管理

１００1、登录管理

１０１2、修改登陆帐号

１０１3、备份与恢复

１０１4、命令行工具

１０２5、系统升级

１０２6、恢复出厂设置

１０２7、重启

１０３第十章 日志管理

１０３1、日志配置

１０３2、系统日志

１０３3、流入日志

１０４4、流出日志

１０４5、警报日志

１０４6、操作日志

１０５7、网口信息

１０６第十一章 客户端的配置

１０６1、标准客户端的配置(免安装)

１０７2、WEB客户端的配置

１０８3、移动客户端的配置（双向互访）

１１０附录A 常见问题

１１０1、e地通常见问题解答

１１１2、 Windows终端服务常见问题解答

１１９附录B 常见应用设置方案

１１９1、怎样设置网络邻居访问

１１９2、怎样设置B/S软件的访问

１２０3、怎样设置FTP的直连访问

１２１4、怎样设置U8的直连访问

１２３5、怎样设置K3的直连访问

１２４6、怎样设置e+1应用的访问

１２６附录C e地通硬件性能指标

１２７附录D 公司简介

１２９附录F 相关资源

序言

感谢您选择了e地通硬件网关系列产品，e地通硬件网关的虚拟专用网络(VPN)功能让您在公共网络上组建加密的隧道，提供安全的、可靠的和可管理的私有网络，让多至2048个远程办公室或者移动用户从远端接入办公室的内部网络。 经过VPN隧道接入办公室内部网络的用户们 —— 安全地访问本地的文档、ERP、OA、CRM、电子邮件和企业内部网络 —— 就好像他们身处办公室里一样。 您也能使用VPN的功能让用户们透过您的办公室的网络安全地转接到总部或上层部门的网络。

e地通硬件网关智能路由功能使您有效的分享公共网络（Internet、帧中继、ATM等），就像其它的路由器，它让多台办公室电脑同时接入一个外网接口。 同时，提供双线路的负载均衡，成倍地增加你的上网带宽；提供策略路由功能，能使您选择最快的路径到达您的目的地。

e地通硬件网关提供强大的SPI 防火墙保护您的电脑，防御外来的侵犯者和来自公共网络的攻击。您也可以设置e地通硬件网关过滤内部用户对公共网络的访问，同时，提供关键词、域名、文件类型等内容过滤，这些您都可以自主地（不）授权给谁访问internet。以WEB 浏览器为基础的配置界面设计使得您设置e地通硬件网关时更加容易。

作为您办公室网络的核心, e地通硬件网关将会提供您的办公室一个安全可靠的外网连接。

第一章 连接设备上网

1、概要

您必须实行下面的步骤设置网络：

· 依照此章的指导将e地通硬件网关连接到其中一个交换机。

· 使用您的ISP 所供应的设置参数并依照第二章的操作设置e地通硬件网关。

2、使LAN内的计算机能登陆到设备的连线方法

e地通硬件网关有一个基于Web 设计的配置界面能使你更加容易的设置e地通硬件网关。以下设置帮助您使用LAN内的计算机能够登陆到e地通硬件网关设备。

注意：e地通硬件网关设备内置 的WEB服务器的服务端口是10000，建议采用IE6.0 或以上的浏览器登陆。通过正确配置，您能通过浏览器访问https://192.168.0.254:10000/ 打开配置界面。

1)、 连接直通网线的一端到e地通硬件网关的LAN 口。连接直通网线的另一端到网络设备（例如交换器或集线器）的网口。

2)、 连接直通网线的一端到计算机的网络接口。连接直通网线的另一端到网络设备（例如交换器或集线器）的网口。

3)、 设置计算机的网络IP地址为192.168.0.250（因为e地通硬件网关设备的LAN口的初始IP地址是192.168.0.254），并确保192.168.0.250与192.168.0.254这两个IP地址不会分配给LAN网中的其他计算机，如果192.168.0.250与192.168.0.254这两个IP地址分配给了其他计算机，请将原有计算机的IP地址设置成一个新的IP地址或者暂时断开网络；

4)、 连接电源线到e地通硬件网关后面的电源插口，然后插入另一端的电源插头到220V 电插座。如果按照以上步骤，并且电源已经正确地连接上，启动硬件设备后，在面板上的电源显示LED会亮起，LAN口的灯亮起。

5)、 通过192.168.0.250计算机访问设备的配置界面

为了要访问e地通硬件网关配置界面，先启动Internet Explorer，并且输入e地通硬件网关的默认IP 地址（https://192.168.0.254:10000）到地址栏。 然后按下 键。一个登录界面会出现（如下图）请您输入用户名和密码。输入“admin” 到用户名输入栏里，并且输入“888888”到密码输入栏里。然后单击<确定>按钮。

说明：e地通硬件网关管理台采用web方式，支持远程配置，只要远程电脑需要访问硬件网关，用户就可以在远端连接服务器进行配置。

注意：e地通硬件网关管理台服务端口为10000端口，需要在服务器开放该端口，才能进入管理台界面。

系统初始用户名为：“admin”，密码为：“888888”，输入后单击<确定>，即可进入e地通硬件网关管理界面。

假如以上1)与2）合起来通过使设备直接与计算机相连接，必须采用交叉网络线。

3、设备放在LAN内接入internet的连接方法

1)、 保持《使LAN内的计算机能登陆到设备的连线方法》所述的环境不变，再进行如下的操作。

2)、 连接直通网线的一端到e地通硬件网关的WAN1 口，假如您使用其它的WAN 口，接上直通网线到相应的WAN 口则可。另一端到网络设备（例如交换器或集线器）的网口。

3)、 假如使用DMZ 口作为WAN接入internet，连接方法同上，但是需要登陆e地通设备设置DMZ口的用途为WAN口，登陆e地通设备，导航到[基本设置 / WAN/DMZ设置]，设置方法如下：

4)、 根据WAN的网络地址选择一个没有使用的IP地址分配给e地通硬件网关设备，例如WAN的网络为192.168.1.*，网关设置为192.168.1.1，并且在WAN内没有计算机使用192.168.1.8这个IP地址，则e地通硬件网关设备的WAN设置如下：

5)、 重新启动设备；

6)、 测试设备是否正常接入internet？

登陆e地通设备，导航到[服务管理/命令行工具]，输入 ping www.sina.com.cn，点击<执行命令>，结果如下：

说明设备已经连接到internet。

4、设备直接接入internet的连接方法

1)、 保持《使LAN内的计算机能登陆到设备的连线方法》所述的环境不变，再进行如下的操作。

2)、 连接您的ISP分配下来的直通网线到e地通硬件网关的WAN1 口。假如您使用其它的WAN 口，接上直通网线到相应的WAN 口则可。

· 如果是光纤接入，需要一个光电转换器，直通网线一端连接光电转换器一端连接e地通设备的WAN口；

· 如果是网络线接入，直通网线一端连接ISP的设备(可能是路由器)一端连接e地通设备的WAN口；

· 如果ADSL Modem接入，直通网线一端连接ADSL Modem一端连接e地通设备的WAN口；

· 如果CABLE Modem接入，直通网线一端连接CABLE Modem一端连接e地通设备的WAN口；

3)、 假如使用DMZ 口作为WAN接入internet，连接方法同上，但是需要登陆e地通设备设置DMZ口的用途为WAN口，登陆e地通设备，导航到[基本设置/设置DMZ]，设置方法如下：

4)、 设置e地通设备，使e地通设备接入internet，大致有以下三类接入方式；

· 网络线接入、光纤接入（经过光电转换器转换）等所有固定IP地址接入方式，设置如下：

· ADSL Modem等PPPOE拨号接入方式，设置如下：

· CABLE Modem与DHCP接入方式，设置如下：

5)、 重新启动设备；

6)、 测试设备是否正常接入internet？

登陆e设备，导航到[服务管理/命令行工具]，输入 ping www.sina.com.cn，点击<执行命令>，结果如下：

说明设备已经连接到internet。

7)、 调整LAN网中的计算机的网关指向192.168.0.254，则LAN内的所有计算机能通过e地通设备接入internet；

或者

调整e地通设备的LAN口的IP地址成为原有的网关IP地址，登陆e地通设备，导航到[基本设置/ LAN设置]，方法如下：

5、设备采用透明桥模式接入internet的连接方法

1)、 保持《使LAN内的计算机能登陆到设备的连线方法》所述的环境不变，再进行如下的操作。

2)、 连接直通网线的一端到e地通SOCKS5硬件网关的WAN1 口，另一端到另一个网络设备（例如交换器或集线器）的网口。

3)、 根据LAN的网络地址选择一个没有使用的IP地址分配给e地通设备，例如LAN的网络为192.168.1.*，网关设置为192.168.1.1，并且在LAN内没有计算机使用192.168.1.8这个IP地址，登陆e地通设备，导航到[基本设置/模式选择]，则e地通设备的透明桥模式设置如下：

4)、 重新启动设备；

5)、 测试设备是否正常接入internet？

登陆e设备，导航到<服务管理/命令行工具>，输入 ping www.sina.com.cn，点击<执行命令>，结果如下：

说明设备已经连接到internet。

注意：为了使透明桥模式下的防火墙规则生效，LAN网内的数据必须先经过e地通设备到达前端的网络设备（如防火墙、路由器），网络拓扑是：前端防火墙/路由器<(e地通设备 (>LAN计算机，这些设备串联起来。

在透明桥模式下，所有的防火墙规则与e地通的VPN设备都是生效的。

第二章 快速配置防火墙与e地通服务

登陆e地通设备，所有的配置分为九个部分，他们是：系统状态、基本配置、网络设置、e地通配置、IPSec配置、防火墙、流量管理、系统管理、日志管理与技术支持。从第三章到第十章我们将逐一介绍每一个子功能菜单。

登录后的首页显示了该产品的基本信息，可以查看系统信息、网络设置状态、防火墙设置状态与VPN设置状态。

系统信息：包括产品型号、序列号、系统负载、版本号码、开机时长；

网络设置状态：包括LAN IP地址、WAN1 IP地址、DMZ IP 地址、DDNS、DNS、网络运行模式；

防火墙设置状态：SPI（状态包检测）、防止DoS攻击、防止IP攻击、会话总数；

VPN设置状态：IPSec已用的隧道、PPTP已分配的IP；

注意：

如果WAN接口状态中显示的IP地址与跳板更新得到的IP地址不一致，请与惠尔顿的技术人员联系；

如果WAN接口状态中显示的IP地址与DDNS更新得到的IP地址不一致，请与惠尔顿的技术人员联系；

如果WAN接口状态中显示的IP地址总是在不断变化，请与惠尔顿的技术人员联系；

1、快速设置防火墙功能

第一步：将设备置于网关，设置设备接入internet，参考[设备直接接入internet的连接方法]；

第二步：设置设备的LAN的IP地址（例如192.168.1.1），参考[基本设置/LAN设置 ]；

第三步：设置LAN内的计算机的网关指向192.168.1.1，IP地址与192.168.1.1处在相同的网段，如192.168.1.2。

第四步：测试LAN设置的计算机已经接入internet；

第五步：设置防火墙规则，参考[防火墙/访问规则]；

2、快速设置e地通服务

第一步：将设备置于LAN，设置设备接入internet，参考[使LAN内的计算机能登陆到设备的连线方法]；

第二步：如果是固定IP用户，跳过这一步

设置跳板实现动态寻址，参考[e地通配置/跳板设置]；

第三步：添加e地通用户，参考[e地通配置/用户管理]；

第四步：添加e地通应用，参考[e地通配置/应用设置];

如果需要通过e地通实现安全访问B/S应用系统，参考[怎样设置B/S软件的访问]；

如果需要通过e地通实现安全访问网络邻居，参考[怎样设置网络邻居访问]；

如果需要通过e地通实现安全访问FTP系统，参考[怎样设置FTP的直接访问]；

如果需要通过e地通的e+1应用，参考[怎样设置e+1应用的访问]

……

第五步：添加e地通用户对于以上应用的访问权限，参考[e地通配置/权限管理]；

第六步：重新启动e地通服务，参考[e地通配置/服务管理]；

第七步：在远程，设置e地通客户端，参考[客户端的配置]；

第八步：通过应用的客户端访问应用，如果是B/S应用，在浏览器中访问应用，如果是网络

文件共享，在[开始/运行]，输入\\IP访问，如果是C/S应用，如FTP，采用浏览器或者FTP的客户端访问；

第三章 基本设置

登陆e地通设备，导航到[基本设置]，展开它，包含六个方面的信息与配置选项，他们分别是：向导设置、模式选择、LAN设置、WAN/DMZ设置、系统时间与DNS设置。

1、向导设置

导航到[基本设置 / 向导设置 ]，该向导将逐步引导您设置该系统使之能接入internet。

点击<下一步>出现《网络模式选择》

点击<下一步>出现《选择WAN口方式》

如果选择 静态IP，点击<下一步>出现《填写静态IP地址》

点击<下一步>出现《是否设置WAN 口的带宽》

点击<下一步>出现《填写LAN口的信息》

点击<下一步>出现《设置DHCP服务器》

点击<下一步>出现《配置完成》

2、模式选择

e地通设备支持三种工作模式，他们分别是：路由模式、透明桥模式与NAT模式。

1）、路由模式

路由模式是防火墙的基本工作模式，该模式运行在网络层。在路由模式下，该设备充当一个路由器使用，这时防火墙的各个端口ip地址都位于不同的网段。

导航到[基本设置/模式选择]，选中[路由模式]，如下图：

单击<保存>按钮保存选择的路由模式。使配置生效必须重新启动本机。

注意：

在路由模式下，该设备就充当一个简单的路由器。通过设置静态路由，可以使LAN内的计算机访问WAN外的计算机，也可以使WAN外的计算机访问LAN内的计算机。

2）、桥接模式

透明网桥模式在数据链路层实现。将一种LAN上的MAC帧中继到另一个LAN上；如果两个LAN使用了不同MAC协议，那么网桥必须将入境帧的内容映射到符合出境LAN帧格式的出境帧中；防火墙在该模式下工作时，可以透明的接入到网络的任何部位，用户察觉不到防火墙之存在。而且这种方式最适用于已经建成之网络。无需改动用户网络结构和配置，即插即用，简便高效，使用方便。

导航到[基本设置/模式选择]，选中[透明桥模式]，配置桥接模式的IP地址、子网掩码以及网关信息。

IP 地址：与LAN中的计算机处在相同网络中的一个没有使用的IP地址；

子网掩码：与LAN计算机的子网掩码配置相同；

网 关：与LAN计算机的网关配置相同。

单击<保存>按钮保存选择的透明桥模式。使配置生效必须重新启动本机。

注意：

在桥接模式下，设置的IP地址只是起到登陆到设备管理设备使用；

在桥接模式下，防火墙所有的过滤规则都是一样生效的；

在桥接模式下，e地通服务能同时使用保证网络的安全。

在桥接模式下，采用设置的IP地址访问，方式：https://192.168.1.8:10000/。

3）、NAT模式

NAT——网络地址转换，是通过将专用网络地址（如企业内部网Intranet）转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的 IP 地址。这样，通过在内部使用非注册的 IP 地址，并将它们转换为一小部分外部注册的 IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

导航到[基本设置/模式选择]，选中[网关模式（NAT）]，如下图：

单击<保存>按钮保存选择的网关模式。使配置生效必须重新启动本机。

注意：

通常情况下，e地通设备工作在在NAT模式下。

3、LAN设置

导航到[基本设置/LAN设置]，设置LAN 口IP 地址和子网掩码，默认的IP 地址是192.168.0.254和子网掩码是255.255.255.0。

修改成相应的IP地址/子网掩码，单击<保存>按钮保存LAN 端口的设置。

注意：

如果修改了LAN的IP地址，并且LAN的用户通过该设备接入internet，则需要更改LAN内计算机的默认网关设置才能接入ineternet。

该设置需要重新启动后才能生效。

4、WAN/DMZ设置—DMZ

DMZ是英文“DeMilitarized Zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统（WAN）与安全系统（LAN）之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

导航到[基本设置/ WAN/DMZ设置]，设置为DMZ，同时选择一个不同于LAN口网络与WAN口网络的一个IP网络地址，如192.168.10.*。在栏输入一个IP地址，如192.168.10.3，在<子网掩码>栏输入网络掩码，如255.255.255.0.

单击<保存>按钮保存DMZ的设置。使配置生效必须重新启动本机。

注意：

将DMZ的用途设置成DMZ功能后，有以下几个特点：

aDMZ内的服务器不能连接LAN内的计算机，也不能连接WAN侧的计算机（即不能接入internet）；

LAN内的计算机能访问DMZ中的服务；

WAN侧的用户通过e地通可以安全地访问DMZ内的服务；

WAN侧的用户通过IP映射与虚拟服务（端口映射）可以非安全地访问DMZ内的服务；

导航到[基本设置/ WAN/DMZ设置]，如果设置为WAN，设置用途成为WAN<保>存后,其WAN接口的相关参数需要转到“设置WAN”页设置端口，如下图。设定参考<基本设置/WAN/DMZ设置>。关于WAN/DMZ的网络接线方法、WAN配置设置方法同<设置WAN>，参考<设备直接接入internet的连接方法>。

5、WAN/DMZ设置—WAN

导航到[基本设置/设置WAN]，设置用户的接入internet的方式，任何用户都必须设置WAN设备才能正常使用，防火墙才能生效，VPN才能被接入。

· 静态IP 地址（光纤接入、固定IP接入、设备置于内网LAN中）

从选择WAN 端口的下拉式菜单中选择要设置的端口。假如您的ISP分配了一个或者多个固定IP 地址，从WAN 配置的下拉式菜单中选择固定IP，输入WAN IP 地址、子网掩码以及默认的网关地址。所有这些信息都可以从ISP 获得。

单击<确定>按钮保存WAN 端口静态IP 地址的设置。使配置生效必须重新启动本机。

注意：

如果ISP分配有多余一个的IP地址，则将其中的一个设置在WAN中，将其余的IP地址设置在VLAN中的相应的WAN接口上，请参考<高级设置/VLAN设置>。

如果需要将设置成VLAN中的IP地址转发给LAN中的一台服务器，需要设置IP映射，请参考<防火墙设置/IP映射>。

· PPPoE (通过以太网的点对点协议) （大多数的ADSL 用户）

从选择WAN 端口的下拉式菜单中选择要设置的端口。 假如您的ISP 使用PPPoE协议，从WAN 配置的下拉式菜单中选择PPPoE（ADSL）。然后输入当地ADSL 提供商提供用户名和密码。

单击<确定>按钮保存WAN 端口PPPoE的设置。使配置生效必须重新启动本机。

注意：

用户帐号的设置，需要完全按照ISP的规范，如有些ISP用户帐号设置成如上图中的“wholeton”，有的ISP设置成“wholeton @163.gd”或者“wholeton @cnc.net”。

· 动态IP (大多数CABLE Modem接入)

从选择WAN 端口的下拉式菜单中选择要设置的端口。假如您的ISP 自动分配IP 地址，从WAN 配置的下拉式菜单中选择动态IP。设置DNS检测输入DNS 服务器的IP 地址。

单击<确定>按钮保存WAN 端口动态IP的设置。使配置生效必须重新启动本机。

注意：

以上WAN口或DMZ口有以下的情况之一必须重启系统：

· 由WAN转为DMZ或DMZ转为WAN;

· WAN口设置当前有三种方式供选择：“自动获取IP地址”、“PPPoE(ADSL)”和“静态IP地址”。当由一种方式切换到另一种方式时需重启，如“PPPoE(ADSL)”切换到“自动获取IP地址”。

· 其它情况只需单击“保存”按钮就可以使您的配置立即生效。

WAN口策略路由

如果e地通设备采用双线路或者多线路成倍地增加带宽，可以使用策略路由，指定LAN访问网通的网站（企业网站、游戏网站）通过网通的WAN接口转发出去，指定LAN访问电信的网站（企业网站、游戏网站）通过电信的WAN接口转发出去。WAN口的策略路由选项可以配置单独的静态路由，分别可以绑定多个地址，指定外出访问是输出的接口。输入的路由地址以空格(或者换行)分隔开。地址后面加斜杠再加子网掩码的位数。

例如：某用户WAN1采用电信接入，WAN2采用网通接入，本设备的LAN设置的IP地址为192.168.192.2;

则需要在WAN1中的策略路由，在策略路由中输入：

设置将电信的IP下载填入

在WAN2中的策略路由设置如下：

192.168.192.2/24 (这个在第二个线路一定要设置，在第一条线路上不要设置)

然后将网通的IP下载填入，格式如下：

60.0.0.0/8

60.1.0.0/8

60.2.0.0/8

60.3.0.0/8

60.4.0.0/8

60.5.0.0/8

60.6.0.0/8

60.7.0.0/8

60.8.0.0/8

60.9.0.0/8

60.10.0.0/8

60.12.0.0/16

60.13.0.0/18

60.13.128.0/17

……

其中 /16代表子网掩码255.255.0.0

/24代表子网掩码255.255.255.0

/32代表子网掩码255.255.255.255

电信的策略路由地址:

http://www.wholeton.com/download/CHINANETIP.txt

网通的策略路由地址:

http://www.wholeton.com/download/CNCGROUPIP.txt

具体设置请联系惠尔顿的技术支持人员。

6、系统时间

单击[基本设置/系统时间]进入设置系统时间，该系统时间是指硬件设备的BIOS时钟或者操作系统的软件时钟。您也可以通过网络时间服务器(NTP)来设置时间。

注意：

e地通设备中的所有日志记录中的时间显示是以此为基准的。

7、DNS设置

DNS是指域名服务器(Domain Name Server)。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。

为了能正确地采用域名（如www.sina.com.cn）方式的访问internet上的网站，e地通设备需要设置正确的DNS服务器，为本设备或者LAN内的计算机能正确的解析域名成IP地址。在提供的输入框内输入DNS服务器的IP 地址。多重DNS IP 的设置是很普通的。一般来说第一个输入的DNS 会被采用。

输入IP 地址到DNS 服务器主DNS栏，如果连接成功这个DNS IP 地址会先被采用。 输入IP 地址到DNS 服务器备DNS栏作为备份。

单击<保存>按钮保存DNS设置。

注意：

该设置中的DNS首先应该是用户本地的DNS，否则DNS的解析过程会慢，影响访问internet的速度；

该设置中的DNS应该为用户ISP提供的官方DNS，即采用电信ADSL接入的用户将此设置成电信的DNS，采用网通接入的用户将此设置成网通的DNS。

问题点：

如果e地通设备能ping通外网的IP地址，如ping 218.16.120.41，但是不能ping通外网的域名，如ping www.sina.com.cn ，说明该设置中的DNS不正常。具体测试方法参考[系统工具/网络工具]；

如果LAN内计算机能ping通外网的IP地址，如ping 218.16.120.41，但是不能ping通外网的域名，如ping www.sina.com.cn ，也可能是该设置中的DNS不正常，也可能是LAN内计算机的DNS设置问题。

第四章 网络配置

登陆e地通设备，导航到[网络配置]，展开它，包含六个方面的信息与配置选项，他们分别是：DDNS配置、VLAN设置、DHCP设置、静态路由、IP/MAC绑定与LAN口特殊功能。

1、DDNS配置

DDNS （动态DNS） 服务让您分配一个固定的网域名给一个动态WAN IP 地址。这样让您主机自己的Web，FTP 或在您网络上其它类型的TCP/IP 服务器。在还没有设置DDNS 之前，您需要访问www.dtdns.com， www.3322.org 或其它的DDNS 服务商并且注册一个网域名。（DDNS 服务是dtdns.com 提供的。）

DDNS 服务：在默认下DDNS 功能是没有启动的。要激活此功能，只要从下拉式菜单中选择一个DDNS服务商，并且在您和DDNS 服务商设置的帐户里输入用户名，密码，和主机名。选择启动DDNS 后，每次拨号连接都会自动更改本域名的IP 地址，则客户端即可通过动态域名访问到服务器。

点击<保存> 按钮保存对DDNS的设置。

2、VLAN设置

VLAN，是英文Virtual Local Area Network的缩写，中文名为“虚拟局域网”。 VLAN是将局域网（LAN）设备从逻辑上划分（不是从物理上划分）成多个不同网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。

e地通硬件网关采用在单个网络接口上绑定多个不同网段的IP地址实现VLAN。局域网LAN通过VLAN划分后，被VLAN 隔离的计算机用户可以同时接到单个网络接口，并经过该设备接入internet，此外，被VLAN划分的小LAN即可以禁止他们互防，也可以允许不同的VLAN 之间互访（此时的作用只是降低冲突域的规模，即阻隔广播包在VLAN之间转发）。

导航到[网络配置/VLAN设置]，进入到VLAN设置界面，如下图：

单击<添加>按钮增加VLAN 设置。输入下面的数据，创建新的VLAN，单击<保存>按钮保存VLAN 设置。：

网络地址：一个IP地址值，为服务器设备所设置的一个IP地址值。该设置根据以下[网

络接口]的设置不同其含义也不同；

A、如果[网络接口]中选择LAN口，表示该IP地址设置在LAN口上，与局域网内和此IP地址在同一个网段计算机组成一个VLAN，此VLAN内的计算机如果需要通过该设备接入internet，需要将该VLAN中的计算机的网关设置成该IP地址；

B、如果[网络接口]中选择WAN口(设置成任何一个WAN其含义相同)，表示该IP地址设置在该WAN口上，与WAN外和此IP地址在同一个网段计算机组成一个VLAN；

C、如果[网络接口]中选择WAN/DMZ口，表示该IP地址设置在该WAN/DMZ口上。当该WAN/DMZ设置成DMZ时，与以上A相同；当该WAN/DMZ设置成WAN时，与以上B相同。

子网掩码：配合网络地址，划分出一个网段。

网络接口：从下拉菜单中选择一个端口- LAN，WAN 或WAN/DMZ 口，例如选择一个

LAN口，则表示此网段地址和LAN口在同一个VLAN。

导航到[网络配置/VLAN设置]，单击在删除栏里的按钮，将删除相应的VLAN设置。

[应用举例一]：

假如用户采用光纤或者固定IP接入internet，用户存在多个IP地址，例如：218.16.120.1-218.16.120.2两个IP地址。希望将218.16.120.1使用在WEB服务器上，218.16.120.2使用在邮件服务器上，e地通设备的设置如下。

第一步、将e地通设备放置在网关，设置WAN1的IP地址为218.16.120.1，并根据[设备直接接入internet的连接方法]设置接入internet；

第二步、将WEB服务器上与邮件服务器放在LAN或者DMZ区，并设置IP地址、子网掩码与默认网关使之能接入internet，假如WEB服务器的IP地址是192.168.1.80，邮件服务器是192.168.1.110；

第三步、进入[网络设置/VLAN设置]，添加一个VLAN，其中网络地址设置为218.16.120.2,网络接口设置成WAN1；

第四步、设置IP映射，将218.16.120.2映射到192.168.1.110，详细参考[防火墙/IP映射]；

第五步、设置虚拟服务，将WEB的服务端口映射到到192.168.1.80，详细参考[防火墙/虚拟服务]。

[应用举例二]：

假如用户需要将一个LAN划分成两个网络其中一个为192.168.1.*，将所有的服务器放置在另外一个网络，例如10.10.10.*，所有广域网络与LAN内的网络都需要通过VPN安全隧道访问到服务器群。

第一步、将e地通设备放置在网关，并根据[设备直接接入internet的连接方法]设置接入internet；

第二步、将服务器群放在LAN（也可以是DMZ）的一个VLAN中，并设置IP地址(10.10.10.*)、子网掩码与默认网关（10.10.10.100）使之能接入internet，为了进一步的安全，也可以不设置网关，不让服务器群接入internet；

第三步、进入[基本设置/设置LAN]，假如：IP地址为192.168.1.1；

第四步、进入[网络设置/VLAN设置]，添加一个VLAN，其中网络地址设置为10.10.10.100,网络接口设置成LAN；

第四步、设置LAN中的非服务器计算机通过192.168.1.1接入internet；

第五步、进入[网络设置/VLAN口特殊功能]，点击<禁止LAN口IP间互访>，禁止192.128.1.*网络中的计算机与10.10.10.*中的服务器互访；

第六步、进入e地通服务使internet用户安全访问服务器内容，同时使192.128.1.*内用户安全访问服务器内容。

3、DHCP设置

DHCP(Dynamic Host Configuration Protocol动态主机配置协议)：计算机用来获得网络配置信息的协议。DHCP容许给某一计算机赋以IP地址、子网掩码以及默认网关而不需要管理者在服务器数据中配置有关该计算机信息。

SOCKS5硬件网关能用作DHCP服务器。DHCP 服务器可以自动地分配可用的IP 地址给每一个在网络上的电脑。 假如您选择开启DCHP 服务器选项，您一定要配置局域网上的所有的电脑连接到此DHCP 服务器，并且在计算机上启动DHCP client服务。

DHCP服务：选中<开启>激活DHCP 服务；选中<禁止>停止DHCP 服务；

自动应用于绑定MAC地址的IP用户：与以下的《IP/MAC绑定》功能对应；

地址起点：输入一个开始的IP 地址作为分配动态IP地址的起点地址；

地址终点：输入一个结束的IP 地址与开始的IP地址构成一个范围好分配动态IP 地址。

网络掩码：输入内网IP 子网掩码

说 明：单击<查看>可以观看已分配的IP情况

4、静态路由

静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径, 在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。

您会需要配置静态路由假如好几个路由器连接到您的网络。静态路由的功能决定数据在您网络上流动的路线。静态路由让不同的IP 网域用户经过网关访问Internet。

要设置静态路由，您应该填路由值到路由器的表格上，告诉网关哪里发送流入的信息包。您网络上所有其它的路由器应该将默认的路线引导到网关。

单击<添加静态路由>按钮增加一个路由表格。输入下面的数据，创立静态路由表格，单击<保存>按钮保存静态路由设置：

意义解读：访问目标为<网络地址>/<子网掩码>网段的数据都由<默认网关>给予转发。

上条静态路由表达意思为：目的地是192.168.2.0/24这个网段的数据包经由192.168.1.2这个设备进行转发。

网络地址：输入目的LAN 分段的网络地址。

子网掩码：输入目的地LAN IP网域的子网掩码。基于CIP 网域标准，子网掩码是255.255.255.0。

默认网关：假如SOCKS5硬件网关是用来连接网络到互联网，那么网关的IP是e地通智能网关的LAN IP地址。

导航到[网络配置/静态路由]，单击在删除栏里的按钮，将删除相应的静态路由设置。

[应用举例]

设备EDT1，设置成[路由模式]，WAN口IP为192.168.10.1，LAN口IP地址为192.168.1.1，PC1通过交换机与设备EDT1的LAN口处在相同的网络，IP地址为192.168.1.2，网关设置为192.168.1.1。

设备EDT2，设置成[路由模式]，WAN口IP为192.168.10.2，LAN口IP地址为192.168.2.1，PC2通过交换机与设备EDT2的LAN口处在相同的网络，IP地址为192.168.2.2，网关设置为192.168.1.1。

设备EDT1 与设备EDT2的WAN口通过交换机处在相同的网络。如果需要使PC1能访问PC2就可以在EDT1与EDT2设备上分别设置如下路由：

设备EDT1 ： 192.168.2.0 255.255.255.0 192.168.10.2

设备EDT2 ： 192.168.1.0 255.255.255.0 192.168.10.2

5、IP/MAC绑定

启动 IP/MAC绑定将控制内部网络的用户接入internet。如果某一个IP地址启用了IP/MAC地址绑定，如果他更改成其他IP地址也不能访问internet。

点击 《ARP 命令列表》， 在输出列表当中填写需要绑定MAC 地址的IP 地址。IP 和MAC 之间以空格符号分开每行一条，输入完毕之后， 点击 <保存> 按钮保存列表

6、LAN口特殊功能

这个LAN 口设置 提供代理服务器的转发功能。LAN 成为代理服务器监听特定端口，用户需要连接到外部网络时，首先指出需要连接的远端目的地，由代理服务器来进行连接。连接成功以后，代理服务器转发数据，本地用户的操作就像直接与远端相连一样了。

LAN 口特殊网络设置提供四项选项：

· lLAN 口使用ARP-PROXY：核取左边的框框会指定LAN 口对连接到LAN 口的e地通设备作出ARP 请求的应答（注，在设备不做为网关时，推荐不选中此项）。

· LAN 口允许任意IP 登录：核取左边的框框会激活即插即用的功能。即使用户设置的IP 不正确，e地通设备也会允许（代理）其上网。

· 禁止LAN 口IP 间互访：核取左边的框框会禁止经过LAN 口IP 间的互访。

· 代理DNS 访问服务：核取左边的框框会激活即插即用的功能。即使用户的DNS 设置不正确，e地通设备也会允许（代理）其上网。

点击 <新增> 按钮建立一个代理服务器。

· 端口号：输入用户的端口号。

· 代理服务器端口：输入代理服务器的端口号。

· 代理服务器IP 地址：输入代理服务器的IP 地址。

点击 <保存> 按钮保存代理服务器的设置。点击 <删除> 按钮删除代理服务器的设置。

[应用举例]

支持LAN的即插即用功能，即无论设备后的LAN中的计算机的IP地址设置成私有网络的什么IP地址，DNS，都可以通过该设备接入internet，这个功能针对酒店很实用。

假如设备LAN的IP地址为192.168.10.254，如果启用了设备的即插即用功能，设备后的 LAN中有一台客户的笔记本电脑设置的IP地址为10.0.0.10，网关设置为10.0.0.1，DNS设置为202.96.134.133，即使IP网段与设备的LAN口IP网段不一致，这台笔记本电脑也是可以接入internet的。设置方法如下图：

假如设备LAN的IP地址为192.168.10.254，如果启用了设备的即插即用功能，设备后的 LAN中有一台客户的笔记本电脑的网卡设置为自动获取IP与DNS，那么启用设备的DHCP服务，这台笔记本电脑通过DHCP获取动态IP也是可以接入internet的。

设置方法，参考《[网络配置/DHCP设置]》

第五章 e地通配置

登陆e地通设备，导航到[e地通配置]，展开它，包含四个方面的信息与配置选项，他们分别是：基本设置、安全策略、网关设置、e地通管理与e地通日志。

1、基本设置

1.1、跳板设置

跳板是指放置于WEB服务器（一般在公网上）上的ASP或者PHP脚本文件，包括主跳板地址和备跳板地址，跳板密码是保证只有知道该跳板密码的用户（终端）才能使用该跳板，达到更新跳板内容的目的。

在“主跳板地址”和“备跳板地址”栏输入正确的跳板地址，如上图中的http://wholeton.com:88/test/test.php和http://wholeton.net/test/test.php，在“跳板密码”中输入正确的跳板密码,如上图中的“wholetonphp1”，单击<保存>，完成跳板设置。：

说明：

只有e地通硬件网关没有固定IP地址时，才需要使用跳板进行寻址，e地通硬件网关提供两种分别采用PHP语言和ASP语言编写的脚本文件用作跳板，方便不同的Web服务器使用。

e地通硬件网关采用双跳板备份机制，来增加跳板的稳定性。

注意：

跳板文件需要与跳板密码配合使用，请注意填写的跳板密码是否正确，并且跳板密码后面不能存在空格。

新购买的无固定IP的用户需要跳板寻址，请与惠尔顿的技术人员联系

1.2、安全策略

1、硬件安全：软驱|光驱|COM/LPT端口|红外|1394|PCMCIA|调制解调器|网络设备|USB移动存储设备，对应的位数0表示禁止，1表示允许。2、系统版本：WIN2000|WIN2003|WINXP|WINVista ，SP1、SP2、SP3分别表示客户端需要的补丁要求。

输入安全组名，选择需要添加得策略内容，点击<保存>.

1.3、用户管理

SOCKS5 VPN提供多种方式来验证SOCKS5 VPN客户端的身份，包括：用户名和密码、硬件Key、计算机特征码绑定(简称硬件绑定)。导航到[e地通配置/用户管理]，在用户管理界面中，包含<添加用户>、<修改用户>、<删除用户>与<应用>。进入如下界面进行设置：

<添加用户>

单击<添加用户>，输入相应的内容，单击<保存>，添加用户：

系统会提示“添加用户成功”，单击<确定>完成添加用户：

说明：

用户帐号：用户使用该系统的标示，可任意填写，建议有实际含义，用户帐号间不能相同。

用户密码：不能为空，任意填写；

密码确认: 必须与登陆密码相同才能添加成功。

硬件绑定：如果启用，则该用户只能在第一次使用该用户登陆计算机的计算机上使用，如果需要更新使用的计算机，则使用修改用户中的重设硬件信息来重设设定新的计算机硬件信息。

启用Key：如果启用应用Key认证，用户登陆时必须插入硬件Key才能使用系统，无需输入用户账号。

用户PIN码：用户在客户端使用时的登陆密码，系统管理员自行设定，由数字与字符组成。

终端登陆: 指定用户登陆e+1应用时,优先使用此处绑定的操作系统帐号，该帐号需要在Windows终端服务器上添加。

用户启用Key认证的方法：

一、安装支持硬件key的插件，方法如下：

1、点击<下载本文件另存为SYSTEM32目录下>下载支持硬件KEY的库（文件名：FT_ND_API.dll）；

2、设置http://192.168.0.254:10000/成为可信站点；

IE6.0的设置：打开IE浏览器，导航到[工具/internet选项/安全/受信任的站点](<站点>(输入http://192.168.0.254:10000 (<添加>

3、按照以上设置完成后，重新导航到[e地通配置/用户管理]，会弹出提示安装iKeyControl.ocx，点击<安装>安装支持硬件key的ActiveX插件。

二、设置key信息

1、将Key插入计算机的USB口；

2、添加新用户或修改现有用户信息时选中“启用Key”；

3、设定一个用户PIN码，每个Key对应有唯一的用户PIN码；

4、设定完成后点击<保存>则可，如果提示管理员PIN错误，请检查以上步骤是否正确完成。

三、在客户端使用key

此用户在客户端登陆时，先将Key插入计算机的USB口，再运行VPN客户端就会提示输入用户PIN码，并且此时只要输入正确的用户PIN码而不需要再输入用户帐号和密码就可以登陆。

<修改用户>

选择一个用户，单击修改栏中的，导航到修改用户信息：

说明：

用户帐号：在修改用户中，该项不能修改。

重置硬件信息：如果已经采用硬件绑定的计算机用户，需要更换计算机，则需要选中[重置硬件信息]将原有的计算机硬件特征信息清楚，让新的计算机硬件特征信息重新生成；

其他所有条目同添加用户对应条目。

<删除用户>

在用户管理中的[删除]栏，选择需要删除的用户，单击[删除用户]将删除所有选中的用户。

<应用>

在用户管理中，添加用户、删除用户、修改用户后，点击<应用>后立刻生效，而不需要重新停止/启动e地通服务。

1.4、用户状态

PN SERVER

单击[e地通设置/基本设置/用户状态],出现如下界面,页面显示为当前活动状态的用户.

1.5、应用设置

单击[e地通配置/应用设置]，出现如下界面，内容包括<添加应用>、<修改应用>与<删除应用>：

<添加应用>

单击<添加应用>，填写应用名称、服务器IP、网络掩码、服务端口：

单击<保存>，完成添加应用。

注意：

如果一个合法的网络掩码不是255.255.255.255就表示一个网段地址，否则，表示服务器IP单台主机；

例如：

服务器IP：192.168.0.100

网络掩码：255.255.255.0 //表示整个192.168.0.0这个网络。

服务端口：0 //表示所有端口

以上合起来就表示：192.168.0.0整个网络的所有端口。

端口为零表示服务器IP(这个计算机)的所有端口，如果是多个应用服务器分别在不同的端口提供服务，多个端口间采用逗号隔开，如21,80,139；

<删除应用>

在应用管理中的[删除]栏，选择需要删除的应用，单击将删除选中的应用。

e+1应用是惠尔顿公司针对目前一些大型的应用系统互连增加的一个特殊的应用，主要应用于一些传输的数据量非常大的应用系统的互连。e+1应用必须结合Windows的终端服务使用。单击[e地通配置/应用设置]，出现如下界面，内容包括<添加应用>、<修改应用>与<删除应用>：

单击<添加应用>，填写应用名称、服务器IP、端口、登陆帐号、帐号密码、应用程序、起始位置：

说明：

应用名称：e+1应用的名称，可以是任何没有在应用管理和e+1应用管理里面没有被使用的名称，应用名称不支持中文；

服务器IP：终端服务器的内网IP；

端 口：对应于windows终端服务的端口，默认为3389，若要修改，则需要通过修改注册表来修改终端服务的服务端口；

登陆帐号：登陆终端服务所需要的windows用户帐号，并且该帐号有访问windows终端服务的权限。

帐号密码：以上登陆帐号相应的密码；

应用程序：终端服务器上可执行的应用程序，如：notepad.exe;

起始位置：应用程序所在路径，如：c:\winnt；

注意：

起始位置应用的所有属性字段在填写时都不能使用汉字，如果有字段（例如应用程序的执行路径）已经使用了汉字的，请手动修改。

e+1应用仅仅结合终端服务使用。

e+1应用需要微软的终端服务器的支持。

单击<保存>，完成添加e+1应用。

e+1应用添加后也需要在[基本配置/权限设置]为用户授权，只有授权的用户才能使用。

<修改应用>

选择一个e+1应用，单击修改栏中的，导航到修改e+1应用信息：

单击<保存>，完成修改应用。

<删除应用>

在e+1应用管理中的[删除]栏，选择需要删除的e+1应用，单击将删除选中的e+1应用。

1.6、权限设置

单击[e地通配置/权限管理]，出现如下界面：

针对每一种应用设置相应用户访问权限以后单击<保存>。

注意：

系统默认任何用户都不能访问VPN后面的资源，只有拥有授权用户才能访问相应的应用。

2、网关设置

2.1、网关设置

单击[e网关设置/网关设置],当前页面显示为已经建立的连接,可对已经添加的连接进行[修改],[删除].如下图所示:

单击[添加网关],打开页面如下图所示,选择要添加的类型,输入用户账号,用户密码,本地子网,远程子网,选择是否启用快速连接,ACK代理,WAN缓存.

类型:选择是作为服务器(等待客户端接入),客户端(接入服务器),移动客户(等待移动用户接入).用户帐号/用户密码:E地通隧道验证的用户名和密码，服务器和客户端填写一致,不支持中文.本地子网/远程子网:E地通隧道连接的本地网络，格式有一个网络如:192.168.1.0/255.255.255.0或者一个主机:192.168.1.8/255.255.255.255或多个网络:192.168.1.0/255.255.255.0;192.168.2.0/255.255.255.0跳板或IP:作为客户端填写跳板连接服务器或者填写IP地址与端口连接服务器移动IP:填写格式为:172.32.1.8/255.255.255.0

应用加速设置：如下图所示

注：缓存大小应根据传输文件需要设置，普通设置为100MB就可以，如果传输文件比较大，应调整缓存大小，缓存应为传输文件大小的2倍。

2.2连接状态

单击[e网关设置/连接状态],当前页面显示为活动状态的连接.如下图所示:

2.3、虚拟网卡

单击[e地通配置/网关设置/虚拟网卡]，根据提示输入IP地址,子网掩码,点击<保存>操作完成.

如下图所示:

3、e地通管理

3.1、加密压缩

单击[e地通配置/加密压缩]，选择是否“加密压缩”，单击<保存>即可完成设置：

说明：

加密：启用加密功能，将对服务器端与客户端交互的数据流进行加密，增强数据在传输过程中的安全性，加密算法为AES-128b。

压缩：启用压缩功能，将对服务器端与客户端交互的数据流进行压缩，提高带宽的利用率，压缩算法为LZO流压缩算法。

选中“压缩”后系统的传输速度会明显提升。

3.2、服务端口

e地通服务默认使用1080端口，如果1080端口被其他应用程序占用，或者1080端口无法开放，用户可以修改vpn服务端口。

单击[e地通配置/服务端口]，输入需要使用的端口号，单击<保存>即可完成设置：

注意：

在某些情况下，运营商会阻止1080端口的访问（认为此端口是SOCKS5的代理端口而进行阻止、伪装或者欺骗），此时表现的现象是所有客户端不能连接此e地通服务系统，但是远程客户端能正常连接其他的e地通服务，例如e地通的演示平台，此时只要将此服务端口更新成其他服务端口则可，例如:1111。

3.3、备份恢复

单击[e地通配置/备份&恢复]，SOCKS5硬件网关提供对VPN配置进行备份和恢复的功能，单击<备份数据>，然后选择相应的路径即可将服务器配置备份到相应的目录下；需要恢复的时候，单击<浏览>选择备份文件，然后单击<恢复数据>，即可恢复服务器设置。

注意：

系统设置完成后，请及时手工备份下，并保留好。

e地通硬件设备，备份数据后，生成的文件名为backup.bak，在恢复数据时需要将文件名更改成backup.bak才能恢复数据成功。

e地通软件系统，备份数据后，生成的文件名为config.bak，在恢复数据时需要将文件名更改成config.bak才能恢复数据成功。

3.4、e地通服务

单击[e地通配置/服务管理]进入服务器管理，可以启动e地通服务、停止e地通服务和重启硬件设备。

注意：

在大多数情况下，配置服务器的网络属性或者更改服务器网络配置以后都必须重启服务器才能生效。

在大多数情况下，配置e地通设置或者更改e地通设置以后都必须停止e地通服务，并启动e地通服务。

3.5、注册授权

SOCKS5硬件设备必须注册以后才能使用其e地通服务的功能，单击[e地通配置/注册授权]，在产品序列号栏输入注册序列号在授权用户数栏输入相应的授权用户数，在授权链路数栏输入相应的授权链路数即可。

升级：

单击[e地通配置/注册授权]，在产品序列号栏输入升级序列号后，在授权用户数栏输入相应的授权用户数，在授权链路数栏输入相应的授权链路数，即可升级序列号扩大系统的接入客户量。

授权用户数：授权使用的e地通服务的用户数量，包含两个部分的数量的总和，第一是[e地通网关/网关配置]中的移动端设置的数量，其次是[e地通配置/用户管理]中添加的用户数量。

分 支 数：[e地通网关/网关配置]中的服务器设置的数量；

链 路 数：internet接入的数量，在使用跳板时候才有用，使用固定IP时，此设置无效。

产品序列号：根据以上信息公司发给该设备的产品序列号。

注意：

如果没有注册或者注册信息不匹配（以上任何一项不正确），只是设备中的e地通服务不能启动，其防火墙功能能正常启动并所有功能正常。

4、e地通日志

4.1、日志设置

单击[e地通配置/e地通日志/日志设置]，设置日志文件大小和日志的级别等信息，单击<保存>即可。

日志文件大小：日志文件大小只能是整数，最大20。

日志分级水平：分为调试信息、正常信息、警告信息、错误信息、致命错误五个等级，日志信息依次减少。

注意：

一般设置成为正常信息。

<备份日志>将日志备份到本地，这样查看更方便，更直观。

4.2显示日志：

单击[e地通配置/e地通日志/显示日志]，通过查看VPN运行情况：

第六章 IPSec设置

登陆产品后台设置界面，导航到[IPSec设置]，展开它，包含两个方面的信息与配置选项，他们分别是：IPSec、PPTP、L2TP。

1、IPSec

“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。

IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。

IPSec 有两个目标： 1.保护 IP 数据包的内容。 2.通过数据包筛选及受信任通讯的实施来防御网络攻击。

这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。

　

1.1、设置

VPN 用户虚拟为本机IP：核取左边的框框会虚拟外网VPN 用户成为本地用户，如此外网VPN 用户就能够不受到限制而使用某些应用程式。

支持VPN 隧道转发：核取左边的框框会设定此VPN 设备转发所有进来的隧道至下一个VPN 网关。

1.2、VPN配置列表

让您在VPN 网关-网关或客户端-网关间配置VPN 用户规则等。

上图共有两种连接分为四条配置，分别的意思如下：

· 作为客户端：用户（test.localdomain） 连接使用固定IP 的服务器端（10.2.0.10.）。

· 作为服务器：分支机构（caiwu）作为子网使用同类型设备通过VPN 接入本网。

· 作为服务器：移动用户（guest）作为远端子网使用客户端软件通过VPN 接入本地子网。

· 作为客户端：本地用户通过test.local.company 连接使用动态域名的服务器端（vpn.3322.org）。

在VPN 的网络中，可以把多个子网联系到一起，路由是靠子网的地址来区分的，所以所有连进VPNSERVER 的客户端的子网之间不能冲突，也不能与服务器端的子网*冲突。

I、网关-网关

· e地通设备作为服务器

分支机构（caiwu）作为远端子网使用同类型设备通过VPN 接入本网。

注：服务器端跟远端的客户端用户名ID跟密码必须一致，本地子网设置为本地IP范围，对方子网设置为相对应的IP地址。

· e地通设备作为客户端连接使用动态域名为vpn.3322.org的VPN设备

注： 所连接的服务器端是选用动态IP域名系统，所以必须填入相对应的域名。服务器端跟远端的客户端用户名ID跟密码必须一致

· e地通设备作为客户端连接使用固定IP 的其它设备。

注：对方服务器端采用固定IP上网，在配置客户端时，必须填入对方固定IP地址。服务器端跟远端的客户端用户名ID跟密码必须一致。

II、客户端-网关

· e地通设备作为服务器

移动用户作为远端子网使用客户端软件通过VPN 接入本网。

注：当移动用户需要跟W20建立连接时，必需添加服务器端，设定相对应的用户名跟密码、本地网子网配置。对方子网选择为“私有网端客户端”，IP值跟子网掩码为空。

· 客户端软件

移动用户设定guest 帐号登陆VPN 服务器。

本系统使用同一VPN 帐号同时联接多个用户。在本例中，多人可以同时使用guest 帐号登陆进来，也可以在系统中设置不同的帐号归不同人使用。移动办公用户，可以在其电脑（win2000，Win2003，或winXP 操作系统）上，安装配套的VPN 客户端软件，其客户端登陆界面设置如下：点击更新连接，状态为已连接的情况下，即可登陆到公司网络上，进行远程办公。

注：可以采用两种方式进行连接

1. 服务器端有固定IP或者有动态DNS时，在对方IP或域名选项里输入IP或者域名。

2. 服务器段采用Web动态域名时，可以选择Web动态域名服务选项，在域名里面输入所绑定的网址。

1.2.1 VPN 隧道配置 - 服务器端

将e地通设备作为服务器，增加帐号，使得其它用户能联接进来。

您若要编辑VPN 隧道服务器端，选择用户并点击在连接模式栏里的<服务器端>连接模式。这编辑屏幕看起来很像新增VPN 隧道服务器端屏幕。输入您的变更并且点击 < 保存并生效 > 按钮保存VPN 隧道服务器端的设置，点击 <新建并生效> 按钮增加隧道，点击 <删除> 按钮删除此隧道，或点击 <退出> 按钮取消变更。

假如您所需要的用户名没有列在表里，请先选择服务器端，然后点击 新增VPN 隧道 按钮加入新的VPN 隧道。

· 用户名（对方ID）：即对方的登录用户名。ID和密码与客户端中的相等,即可建立联接。

· 本地子网：即对方登录后，可联通公司的内网用户设定。

· 对方IP 或域名：从下拉式菜单中选择对方的寻址方式。如果选择动态IP，不用输入对方IP 地址，否则输入对方外网的IP 地址。

· 对方子网：当登录进来的用户为一子网时，一定要选择其对应的子网数据。可以在网络用户管理内定义好，亦可在此输入。

· 密码：ID和密码与客户端中的相等,即可建立联接。

注意：需要通过VPN 登陆进来的用户一定要和本处设定的数据一致才能正确接通。动态IP表明对方可能是拨号连接,不用输入IP地址。

1.2.2 VPN 隧道配置 - 客户端

用e地通设备 作为客户端，来主动的连接其它设备。您若要编辑VPN 隧道客户端，选择用户并点击在连接模式栏里的<客户端>连接模式。这编辑屏幕看起来很像新增VPN 隧道客户端屏幕。输入您的变更并且点击 <保存并生效> 按钮保存VPN 隧道客户端的设置，点击 <新建并生效> 按钮增加隧道，点击 <删除> 按钮删除此隧道，或点击 <退出> 按钮取消变更。

假如您所需要的用户名没有列在表里，请先选择客户端，然后点击 新增VPN 隧道 按钮加入新的VPN 隧道。

· 用户名：即需要联接的服务器上所设置好的ID。

· 内网用户：即本地VPN 联接的用户地址信息。

· 对方IP 或域名：VPN 服务器信息。

· 外网用户：对方的子网信息。

1.2.3 VPN 隧道配置 - 移动客户端 *

将e地通设备作为服务器，增加帐号，使得软件客队户端移动用户能联接进来。

您若要编辑VPN 隧道服务器端，选择用户并点击在连接模式栏里的<服务器端>连接模式。这编辑屏幕看起来很像新增VPN 隧道服务器端屏幕。输入您的变更并且点击 <保存并生效> 按钮保存VPN 隧道服务器端的设置，点击 <新建并生效> 按钮增加隧道，点击 <删除> 按钮删除此隧道，或点击 <退出> 按钮取消变更。

假如您所需要的用户名没有列在表里，请先选择服务器端，然后点击 新增软件客户端 按钮加入新的VPN 隧道。

· 用户名（对方ID）：即对方的登陆用户名。ID和密码与客户端中的相等,即可建立联接。

· 本地子网：即对方登陆后，可联通公司的内网用户设定。

· 对方IP 或域名和对方子网：为默认空缺项。移动客户端不需要配置。

· 密码：ID和密码与客户端中的相等,即可建立联接。

注意：在VPN 的网络中，可以把多个子网联系到一起，路由是靠子网的地址来区分的，所以所有连进VPN SERVER 的客户端的子网不能冲突，也不能与服务器端的子网冲突。

1.2.4 VPN 配置 - 高级选项*

在配置服务器端或者客户端时。都有<高级设置>功能 。当VPN 配置好之后点击进入<高级设置>功能。

· 模式选择：分为主模式与野蛮模式，野蛮模式，在RFC2409中定义，是在IKEv1第一阶段中使用的一种模式，和主模式相对，在IKEv2中已经取消。野蛮模式的数据交换过程比较少，SA、密钥交换数据和身份数据是一次性发送的，所以可能会受到DOS攻击，而且提供的功能比主模式相对有限，但在某些特殊场合比较方便一些。

· ESP加密：3DES、AES 128 AES 256 三种加密算法；ESP认证：MD5 SHA1 两种认证算法。

· IKE加密：3DES、AES 128 AES 256 三种加密算法；ESP认证：MD5 SHA1 两种认证算法；DH组：DH2、DH5两种加密算法。

· PHASE1：IKE SA 生存期，因特网密钥交换(IKE)是IPsec最为重要的部分，在用IPsec保护一个IP包之前，必须先建立一个SA，IKE用于动态建立SA主密钥生存期对应 IKE 主模式（阶段 I）协商创建的 IKE SA 生存期。它以快速模式协商的时间和数量进行配置，应用于 IPSec 策略中的所有安全规则。

· PHASE2：ESP SA 生存期，认证隧道

· 保持活跃：保持断线检测，断线连接，如果是客户端默认需要启用他。

· 压缩：是否对数据进行压缩

1.3隧道状态

导航到[IPSec配置/IPSec/隧道状态]，可以查看隧道的状态，隧道发送或者接受的数据包数量。VPN 隧道状态显示有关VPN 隧道的信息。

· 对方IP：远端用户的IP 地址。

· 本地子网：本地子网的IP 范围。

· 对方子网：对方子网的IP 范围。

· 状态：显示隧道的状态，它是否连接或正在连接。

· 通讯包数量：显示通讯包来往的数量。

2、PPTP

PPTP：点对点隧道协议(PPTP: Point to Point Tunneling Protocol），是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。通过该协议，远程用户能够通过 Microsoft Windows NT 工作站、Windows 95 和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地 ISP，通过 Internet 安全链接到公司网络。

PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分，那么即可通过该IP网络与PPTP服务器取得连接；而如果PPTP客户机尚未连入网络，譬如在Internet拨号用户的情形下，PPTP客户机必须首先拨打NAS以建立IP连接。这里所说的PPTP客户机也就是使用PPTP协议的VPN客户机，而PPTP服务器亦即使用PPTP协议的VPN服务器。

PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS 之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP 没有规定特定的算法用于低层控制，但它确实定义了一些通信参数来支持这样的算法工作。

PPTP控制连接数据包包括一个IP报头，一个TCP报头和PPTP控制信息

2.1 PPTP设置

e地通硬件网关支持PPTP功能，可以使远程用户通过拨入设备、通过直接连接Internet其他网络安全的访问企业网。

启用PPTP：选择将开启PPTP服务；

起始IP：给PPTP客户端分配的起始IP地址范围；

终止IP：给PPTP客户端分配的终止IP地址范围；

设置好，单击<保存>，保存设置。

2.2 PPTP用户

PPTP的帐号管理，下图为已经添加的PPTP用户列表：

单击<新增>添加PPTP用户，如下图：

用户名：PPTP的用户帐号；

密码：PPTP的用户帐号的密码；

确认密码：PPTP的用户帐号的确认密码；

【应用举例】

客户端的设置步骤：

在网络连接中建立一个新的连接，步骤入下图所示：

选择使用网络类型：

选择虚拟网络连接：

输入公司名或者服务器名：

选择初始连接，不拨初始连接：

输入连接设备公网IP地址：

点击完成，客户端设置完成:

设置完成后，在网络连接中选择新添加的连接，虚拟专用网络->惠尔顿,输入在服务器已经添加的用户名和密码，点击连接按钮。如下图所示：

通过认证用户名和密码，网络连接正常使用。PPTP配置和使用就完成了。

3、L2TP

3.1 L2TP设置

启用L2TP：选择将开启L2TP服务；

起始IP：给L2TP客户端分配的起始IP地址范围；

终止IP：给L2TP客户端分配的终止IP地址范围；

3.2 L2TP用户

L2TP的帐号管理，下图为已经添加的PPTP用户列表：

单击<新增>添加L2TP用户，如下图：

【应用举例】

客户端的设置步骤

注意点：需要修改注册表禁用Windows下的 l2TP over IPSec VPN功能，方法如下,

执行regedit命令，找到如下位置

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

加入如下注册项：

Value Name: ProhibitIpSec

Data Type: REG_DWORD

Value: 1

修改完以后重启系统，每个连接L2TP的计算机都要修改注册表。

重启完系统，开始建立L2TP连接：

在网络连接中建立一个新的连接，步骤入下图所示：

选择使用网络类型：

选择虚拟网络连接：

输入公司名或者服务器名：

选择初始连接，不拨初始连接：

输入连接设备公网IP地址：

点击完成，客户端设置完成:

建立连接完成以后，网络连接页面会出现一个新建的虚拟专用网络：

在虚拟专用网络下的图标上点击右键-》属性，选择“网络”属性页面，在“VPN 类型”选择“L2TP IPSec VPN”。确认“Internet 协议（TCP/IP）”被选中。确认“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、“微软网络文件和打印共享”、“微软网络客户”协议没有被选中。

在“安全”属性页面，把要求数据加密（没有就断开）前面的勾去掉。

点击确定按钮，保存修改数据。

回到网络连接页面，选择刚建立的虚拟专用网络，双击打开：如下图所示：

点击连接，通过认证，连接到指定公网IP设备中。

连接成功后，在MS-DOS 方式下输入“ipconfig”，可以看到一个在L2TP 服务器地址池中的地址，就是L2TP 服务器分配给本机的IP 地址。

第七章 防火墙设置

登陆e地通设备，导航到防火墙设置]，展开它，包含八个方面的信息与配置选项，他们分别是：基本设置、时间策略、IP 设置、服务设置、端口映射、IP映射、访问规则与会话列表。

1、基本设置

导航到[防火墙/基本设置]，基本设置中，设置本机与LAN网内计算机免受常见的攻击，通过该设置，e地通设备能阻止常见的上千种TCP、UDP、ICMP功能，他们包括：Tear Drop、SYN FLOOD、Ping of death、Ping Flood等

Tear Drop

这个攻击利用的是系统在实现时的一个错误,重新设置IP包头的偏移量，造成数据报组装时的负数长度，导致系统崩溃。

SYN FLOOD

利用服务器的连接缓冲区（Backlog Queue），设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送，直到缓冲区中都是你的只有SYN标记的请求。

Smurf攻击

一个简单的Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此iCMP应答请求作出答复，导致网络阻塞，所以它比ping of deaih 洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

Ping of death

“ping”攻击是向目标端口发送大量的超大尺寸的ICMP包来实现的。由于在早期的阶段，路由器对所传输的文件包最大尺寸都有限制，许多操作系统对TCP／IP的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，一旦产生畸形即声称自己的尺寸超过ICMP上限的包，也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP／IP堆栈崩溃，致使接受方宕机。

Ping Flood

通过送出大量的ping指令给要攻击的系统，并在ping指令上使用伪装的IP地址，由于系统尝试去回应这些使用假冒地址的服务需求，并且在最后终于放弃，但是却因此耗用了大量系统资源，接着这大量的网络假需求就会陷所选择攻击的目标于瘫痪。

[开启远程维护]，是指禁止从外网TELNET、SSH登陆系统。

2、时间排程

时间排程是指根据一定的时间规划（每天的某一段时间段）、循环时间（每日、每周、每月或每季度）制定一定的规则。通过设定的时间排程，对每一条过滤规则，允许管理员定义一个时间范围，使该条规则只在这一时间范围内起作用，或者使该条规则只在这一时间范围内不起作用。通过这种控制机制，可以为企业提供更加灵活的配置策略，例如，可以定义一条规则，只允许部分员工在午休时间访问因特网。

导航到[防火墙/时间排程]，进入时间计划界面，如下图：

导航到[防火墙/时间策略]，单击修改栏下的按钮修改访问规则的时间设置，单击删除栏下的按钮删除相应的时间设置。单击<新增>按钮增加访问规则的时间设置，如下图：

单击<保存>按钮保存时间表的设置。

名 称：给这个时间策略一个标示；

开始时间：单次起始时间，每天的开始时间，如上：早上8：30；

结束时间：单次终止时间，每天的结束时间，如上：下午17：30；

星 期：每周的时间安排，循环时间。如果：周一~周五；

综合以上，worktime表示每周一到周五的上午8:30到下午的5：30。

3、IP 设置

这里主要用于设置IP地址、IP组、IP网段和IP-MAC绑定，以方便用于其地方（如防火墙里的访问规则、服务管理的负载均衡&流量管理等的下拉菜单中使用）。导航到[防火墙/IP设置]，这里的基本操作有增加、修改、删除，如下图：

单击<添IP设置>可以进入相应页面，

· 单个 IP：设置单个IP地址属性

· 名 称：给这个IP地址一个名称

· IP 地址：一个符合IP地址规范的IP值

· MAC地址：以上IP地址对应的MAC地址，如果IP和MAC都填入，则绑定这个IP和MAC。

· 一组IP：即以子网掩码限定的一组IP。

· 名 称：给这组IP地址一个名称

· IP 地址：一个符合IP地址规范的IP网络

· 子网掩码：一个子网掩码，设置以上的IP网络的网络位数。

· 一段IP：即以起始IP和终止IP定义的一段IP地址。

· 名 称：给这段IP地址一个名称。

· 起始IP：一个符合IP地址规范的IP网络，标明这段IP的起始IP。

· 终止IP：一个符合IP地址规范的IP网络，标明这段IP的终止IP。

您若要编辑修改IP设置，单击在修改栏里的按钮。输入您的修改并且单击<保存>按钮保存。单击在删除栏里的按钮，将删除相应的IP设置。

单击可以进入相应页面，

输入格式为：IP MAC，如：192.168.10.156 00:03:47:8e:f0:eb。

作用：

一般用于防止ARP欺骗。如果e地通设备放置与网关，最直接的办法是在此处设置LAN内或者DMZ内应用服务器的IP-MAC对应，同时在应用服务器设置e地通设备的LAN IP与MAC地址（在windows操作系统 arp –s ip mac）.

ARP欺骗分为二种，一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的MAC地址，并按照一定的频率不断发送ARP报文给router，使真实的MAC地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到网络数据。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，被欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

4、服务设置

导航到[防火墙/服务设置]，可以查看系统[缺省服务]，也可以[添加服务]，即定义应用服务的端口名称、协议类型以及和端口号。

· 缺省服务

缺省服务指e地通设置中已经设置好的服务，主要指一些常用的著名的端口与服务名称，如HTTP通常采用80端口，协议类型可以是TCP/UDP，TELNET通常采用23端口，协议类型可以是TCP/UDP等。系统单击<缺省服务>会显示系统预先设定的一些服务。这些预设的服务可于防火墙的虚拟服务、访问规则以及流量管理的服务框内选择。

· 添加服务

单击<添加服务>标签显示手动设定的一些服务。您可以对网络端口（服务）进行定义，便于管理。可以定义数个端口，也可以定义一个端口。服务定义后即可针对该用户设定相应的防火墙访问规则。

服务名称：应用服务的名称，如SQL、U8、K3等；

端 口 号：对应应用服务的服务端口，多个端口采用”,”隔开；

协 议：协议类型，TCP与UDP。

输入服务名称、端口号与协议类型，单击<保存>添加一种新服务。

您若要修改服务设置，单击在修改栏里的按钮。输入您的修改的内容并且单击<保存>按钮保存。单击在删除栏里的按钮，将删除相应的服务设置。

注意：

当针对服务设定了相应的防火墙规则、流量控制等后，则不能再删除所定义的服务，如需删除，需先删除已定义的访问规则与流量控制。

5、端口映射

虚拟服务（或者端口映射）被用来在internet网络上提供内部网络的公共服务。例如：当你内网的一台计算机建有一个FTP服务，但需要对外（Internet上的用户）开放，这个时候我们就可以设置一个虚拟服务以实现所需要的功能。从设备（网关）转发端口号21（FTP）到IP 地址192.168.2.100(内网FTP服务器)，那么所有从外而来的FTP 请求会被转发到192.168.2.100(内网FTP服务器)。利用端口映射功能还可以将一台真IP地址机器的多个端口映射成内部不同机器上的不同端口，您可以使用此功能经由IP 网关建立Web站点、Email、FTP 服务器等一系列服务。

确定您输入了一个有效的IP 地址。（为了适当地操作一个Internet服务器也许您需要建立静态的IP 地址，既内网的服务器计算机IP不可以为自动获取，需手动设置。）为了增加安全，那些在您网络之外的（例如Internet）会能够和服务器相通，但他们不会事实上连接到服务器。那些信息包只是经过SOCKS5硬件网关转发而已。

您若要编辑虚拟服务，单击在修改栏里的按钮。输入您的变更并且单击<保存>按钮保存端口映射的设置。单击在删除栏里的按钮，将删除相应的虚拟服务。

假如您需要发布LAN的服务到internet用户能访问到，请单击<添加端口映射>按钮加入新的端口或端口范围，并且输入协议和映射服务器的IP 地址。单击<保存>按钮增加端口映射。如下图（添加FTP服务的端口映射）：

本机端口：e地通设备上的任何一个端口号；

映射端口：内网服务器（以下服务器IP指定）上的服务所使用的真实的服务端口。

服务器IP：特指以上服务端口服务的服务器。

协 议：该服务使用的协议（默认为TCP/UDP同时映射）。

意义解读：外网用户访问此e地通设备的<本机端口>将无条件转发到此内网服务器<服务器IP>中的<映射端口>。

上条添加的映射意思为：来自外网请求此e地通设备21端口的数据都将无条件地转发到192.168.2.100的21端口。

6、IP映射

IP映射是将WAN口上的某IP地址与LAN或者DMZ网络内的IP地址建立一一对应关系，也可以是一对多关系。IP映射将外网的IP 地址无条件地直接转发到内部服务器的IP 地址，即访问公网的IP地址与访问内部LAN相应的IP地址是一样的。

导航到[防火墙/IP映射]，进入IP映射，如下图：

单击<添加映射>，进入添加IP映射界面，设置IP地址、服务器IP，单击<保存>按钮新增的端口映射。如下图：

IP 地 址：IP地址（WAN口上的IP地址），首先需要在VLAN中添加，并使该IP地址落

在WAN口上，即从internet上访问这个IP地址的计算机能转发最终到该设备的WAN口上，参考[高级配置/VLAN设置]。

服务器IP：LAN中服务器的IP地址。

您若要编辑IP地址映射，单击在修改栏里的按钮。输入您的变更并且单击<保存>按钮保存IP地址映射的设置。单击在删除栏里的按钮，将删除相应的IP映射。

意义和端口映射一样，区别在于前者只是映射一个端口，后者却是将所有的服务都进行一一映射。

7、访问规则

网络访问规则评估网络流量的源IP 地址，目的IP 地址和IP 协议种类，并决定是否让IP数据流穿透防火墙。当设定网络访问规则时，请记得：取消所有防火墙的保护或禁止所有Internet的访问是不可能的。

e地通设备包括针对所有的源IP、源端口、目的IP、目标端口四元组的访问控制，也包括针对P2P的流量整形，针对规则的时间策略等访问控制

同时，在防火墙策略中,可以设置HTTP 的过滤规则, 包括过滤域名,文件后缀名和非标准HTTP 请求。其他特殊只对从内网到外网的非标准的HTTP 请求有效，较常用的包括过滤QQ，MSN等即时通信程序。

比如QQ: 首先过滤掉8000，443等QQ上网端口，再过滤掉非标准HTTP 请求（通过80端口代理进行用户名密码认证），就可以阻止QQ上网。

当创立或删除网络访问规则时要极端的谨慎。自定义的规则能拒绝默认的规则，但是有几个默认的规则应该保持永远有效，而且自定义的规则应永不得拒绝这几个规则。这些是：

· 从LAN 的那一边到SOCKS5硬件网关的10000 端口服务是永远允许的。

· 从LAN 的那一边来的DHCP 服务是永远允许的。

· 从LAN 的那一边来的DNS 服务是永远允许的。

防火墙规则的匹配规则，注意：序列号小的规则先起作用，当检测到数据包符合某条规则后，该规则被执行；如果规则应用是数据包被拒绝，则该数据包被丢弃；如果规则应用是数据包被接受，则该数据包被接受，即使后面的规则将拒绝这个数据也不会生效。只有对前面所有规则都不能匹配的数据包，才能流经到下面的访问规则，防火墙后续规则中包含对前一条规则的修改将永远不得执行。达到最后的数据包试用于默认的规则，e地通设置的默认规则是接受。

导航到[防火墙/过滤规则]，单击在修改栏的按钮将修改原有的过滤规则，输入您的变更并且单击<保存>按钮保存过滤规则；单击在修改栏的按钮将修改原有的过滤规则。

导航到[防火墙/过滤规则]，点击<添加过滤规则>将添加新的过滤规则，设置完成后，单击<保存>按钮保存新增的访问规则。详细如下图：

序 列 号：输入阿拉伯数字，数字越小的规则越先起作用。

过滤标准：有四种选择：数据包、域名、文件类型与其他特殊，过滤标准的设置将决定

内容过滤的设置内容的性质，默认该项不做任何控制。

内容过滤：针对以上四种选择：数据包、域名、文件类型与其他特殊，分别代表不同的

含义。如果过滤标准选择是数据包，则内容过滤为关键字词；如果过滤标准选择是域名，则内容过滤为 完整的域名或者部分，不能设置“*”、“?”等模式匹配；如果过滤标准选择是文件类型，则内容过滤为文件类型，如*.bat *.exe *.rar,多种文件类型采用空格阁开；如果过滤标准选择是其他特殊，则内容过滤为空，或者忽略该内容；

方 向：有两种方向：内网->外网、外网->内网；针对数据包的流向做匹配，默认针

对所有服务端口。

服 务：针对不同的服务端口匹配，如HTTP：80端口，默认针对所有服务端口。

IP 类 型：包括三种封装在IP协议种的数据包：TCP、UDP、ICMP，默认针对所有IP

类型。

时 间 表：时间策略种设置的时间段或者循环时间，默认任何时间。

外 网 IP：控制外网IP（WAN侧外的用户）接入内网或者控制内网用户访问外网IP，

默认任何外网IP。

内 网 IP：控制内网IP（LAN侧外的用户）接入外网或者控制内网IP访问外网，默认

任何内网IP所以IP类�