ZYWALL 2WG - VPN 路由器 ZYXEL - 免费用户手册

用户手册 ZYWALL 2WG ZYXEL

ZyWALL 2WG 是状态监听型硬件防火墙，具备了虚拟私有网络 (VPN)、带宽管理、内容过滤和多种其他功能。您可以将 ZyWALL 当作透明模式防火墙使用，而无须重设网路或设置 ZyWALL 的路由功能。当 ZyWALL 为路由器模式时，可插入 3G 无线网卡，新增第二个广域网。ZyWALL 增加了选项，能让您将端口角色从 LAN 更改为公用访问服务器可以使用的 DMZ，增强了网络的安全性。本手册的内容包括开始在网络中使用 ZyWALL 时，需要进行的初始连接和设置等相关信息。

请参阅《用户手册》，获取所有功能的详细信息。

您可能需要准备互联网连接信息。

本手册的章节如下。

1 硬件连接
2 访问网络状态设置程序
3桥接模式
4互联网访问设置以及产品注册
5DMZ

6 NAT
7防火墙
8VPN规则设置
9 故障排除

1 硬件连接

您需要以下设备。

ZyWALL

电脑

以太网连接线

电源适配器

请执行下列步骤，为硬件连接进行初始设置。

1 使用以太网连接线连接 LAN/DMZ 连接端口和电脑。如果您通过网络状态配置程序，在 LAN 或 DMZ 屏幕中将这些端口配置为 DMZ 端口，则您也可以使用以太网连接线，将公用服务器（网络、电子邮件、FTP 等）连接到 LAN/DMZ 端口。
2 使用其他以太网连接线，将 WAN 端口连接到可以访问互联网的以太网接口。

• 若要将CONSOLE端口连接至您的电脑，请使用蓝色控制台线路。若要将AUX端口连接至模拟机，调制解调器，请使用黑色拨号备份线路。

3 将 3G 无线网卡插入侧面板上的卡片插槽，通过 3G 网络接入因特网。在撰写本文时，ZyWALL 仅能使用 Sierra AC850/860 3G 无线网卡。
4 使用所附的电源适配器，为电源插槽（位于后方面板）接上电源。
5 观察前方面板。PWR指示灯会亮起。CARD、LAN/DMZ和WAN指示灯会在相关连接正确时亮起并持续亮着。

如果LED指示灯全部不亮，请查看连接，检查电缆是否受损。确保已将电源适配器连接至ZyWALL并且插入适当的电源插座。确保电源已开启。如果LED指示灯还是没有亮，请联络当地的供应商。

2 访问网络状态设置程序

您可以使用本节中的信息来设置WAN1接口的互联网访问。

1 启动网页浏览器。输入地址 192.168.1.1（ZyWALL 的默认 IP 地址）。

如果没有显示登录画面，请参阅章节，设置电脑的IP地址。

2 单击 Login（登录）（已经输入默认密码 1234）。

若未显示登录屏幕，请检查浏览器的安全设置，确保以太网网卡已经插入电脑且运行正常。此外，电脑也应配置为从 DHCP 服务器获取 IP 地址。请参考「设置电脑的 IP 地址」一节，获取详细信息。

3 输入新的密码，然后单击 Apply（应用），更改登录密码。

4 单击 Apply（应用），取代原来 ZyWALL 的默认数字认证信息。

如果您更改了密码但却不幸忘记，则需将ZyWALL恢复至预设设置（密码是1234，局域网IP地址为192.168.1.1等）。按住RESET（重设）按钮（位于后面板）直到PWR LED指示灯开始闪烁再松开。

5 此时会打开 HOME 页面。

ZyWALL 默认会使用路由器模式。如果想要使用 NAT、DHCP 和 VPN 之类的路由功能，请继续下个步骤。

如果要将ZyWALL作为透明模式防火墙使用，请跳至章节3。

6 查看 Network Status（网络状态）表格。如果 WAN1 的状态并非 Down（无法运行），且表上显示了 IP 地址，请跳至章节 2。

如果WAN1状态为Down（关闭）（或没有显示IP地址），则按下Wizard（向导）图示，并使用章节4的信息来设置WAN1。

如果需要配置 WAN 2，请使用 NETWORK WAN 屏幕。您也可以设定广域网联机之间的负载平衡。

3 桥接模式

当您将ZyWALL设为桥接模式时，其功能即为透明模式防火墙。请进行下列步骤，将ZyWALL设为桥接模式。

1 单击导航面板上的 MAINTENANCE（维护），然后单击 Device Mode（设备模式）。
2选取Bridge（桥接），并为ZyWALL的LAN、WAN、DMZ和WLAN接口设置（静态）IP地址子网掩码和网关IP地址。
3 单击 Apply（应用）。ZyWALL 会重新启动。如果需要从 WAN 访问服务器，请跳至章节 2。

4 互联网访问设置以及产品注册

1 按下 HOME（首页）画面中的 Wizard（向导）图示定）链接，启动因特网接入向导。

，再按下 Internet Access Setup（因特网接入设

输入您的互联网访问信息。

如果ISP为您提供了IP地址，请在IP Address Assignment（IP地址设置）下拉列表框中选取Static（静态），然后输入提供的信息。

视您在Encapsulation（封装）栏位中选取的项目而定，需要填入的栏位也会有所不同。请在这些栏位中填入ISP或网络管理员提供的信息。请在这些栏位中填入ISP或网络管理员提供的信息。

完成后，请单击Apply（应用）。

- Ethernet（以太网）封装

在 NETWORK WAN 页面中设置 Roadrunner 服务（使用 WAN 选项卡）。

- PPP over Ethernet 或 PPTP 封装

如果您希望保持连接不中断，请选中Nailed-Up（固定连接）（如果您的ISP是计算网络使用时间收费，而非收取固定月费，选这个选项可能会较为昂贵）。

如果不想一直保持连接状态，请在 Idle Timeout（闲置超时）中指定闲置等候时间（单位为秒）。

2 单击 Next（下一步）显示 myZyXEL.com（ZyXEL 在线服务中心）页面，您可在此进行 ZyWALL 产品的注册，启用具有内容过滤功能的免费试用软件。若单击 Skip（跳过）再单击 Close（关闭），则结束网络连接建立。
3 如果您有 myZyXEL. com 帐号，请选 Existing myZyXEL. com account（现有的 myZyXEL. com 帐号），再输入帐号信息。若无 myZyXEL. com 帐号，则选 New myZyXEL. com account（新的 myZyXEL. com 帐号），再填写下列栏位以建立新帐号并进行产品注册。单击 Next（下一步）。

4等待注册完成。

5 如果注册失败则会显示下列画面。单击 Return（返回），回到 Device Registration（产品注册）页面，检查您的设置。

6 如果成功完成注册与产品启用，则单击Close（关闭），离开向导屏幕。

若要使用 iCard 的 PIN 密码（授权识别码）启用标准服务，请使用 REGISTRATION Service（注册服务）屏幕。如需相关详细信息，请参阅使用手册。

如果您无法通过 WAN 1 访问互联网，请检查 ZyWALL 至以太网端口（具有网络连接功能）的连接。确保互联网网关设备（例如 DSL 调制解调器）运行正常。按一下导航面板上的 WAN 以确认您的配置。

5 DMZ

非军事网络区（DMZ）会让外部可以看见公用服务器（网络、电子邮件、FTP等），但仍在防火墙的保护之下，不会受到DoS（拒绝服务）攻击。

您可以通过DHCP将TCP/IP设置配置为连接至DMZ端口的电脑。或者，也可以为电脑设置静态IP地址（与DMZ端口的IP地址位于同一子网络）及DNS服务器地址。使用ZyWALL的DMZIP地址作为默认网关。

如果ZyWALL处于路由模式，请执行下列步骤，设置DMZ。

在桥接模式中不需要设置DMZ，可以直接跳至章节7。

1 单击导航面板上的 NETWORK（网络）>DMZ。
2 为 DMZ 接口指定 IP 地址和子网掩码。

如果您在DMZ上使用私有IP地址，请使用NAT，开放服务器公用访问（请参阅章节6）。

公有 IP 地址必须和 WAN 端口的公有 IP 地址位于不同的子网络。如果您没有为 DMZ 上的公有 IP 地址设置 NAT，ZyWALL 会将流量路由传送到 DMZ 上的公有 IP 地址，而不会执行 NAT。对于不适合使用 NAT 的应用程式而言，这项功能在管理服务器方面非常有用。

3 单击 Apply（应用）。
4默认情况下，LAN/DMZ端口1到4都是LAN端口。要将端口配置为DMZ端口，请单击Port Roles（端口角色）选项卡，选择DMZ旁边的单选按钮，然后单击Apply（应用）。

6 NAT

NAT（网络地址转换-NAT，RFC1631）代表从某个网络IP地址转换为其他网络的不同IP地址。您可以使用NAT Address Mapping（NAT地址映射）配置页面，设置ZyWALL在您的LAN（或DMZ）上将多个公共IP地址转换为多个私有IP地址。

在下面的例子中，会允许从WAN1访问DMZ上的HTTP（网络）服务器，而服务器的私有IP地址为10.0.0.20。

1 单击导航面板上的 ADVANCED（高级）>NAT，然后选中 Port Forwarding（端口转发）。
2 选中欲设定连接端口转发规则的广域网联机（WAN1）。
3 选中 Active（启用）复选框
4 输入规则名称。
5 输入服务所使用的端口号。
6 输入 HTTP 服务器的 IP 地址。
7 单击 Apply（应用）。

7 防火墙

您可以不设置防火墙，直接使用ZyWALL。

ZyWALL的防火墙是预先设置的，可以保护LAN避免来自互联网的攻击。默认情况下，除非要求先在LAN上产生，否则不会有任何传输进入LAN。ZyWALL会允许从WAN或LAN访问DMZ，但会封锁从DMZ到LAN的传输。

如果您以路由器模式使用ZyWALL，请继续下一节的步骤。如果您使用桥接模式，则只需初始配置即可。

8VPN规则设置

VPN（虚拟专用网络）通道可以让您安全的连接到其他电脑或网络。

网关规则会辨认VPN通道两端的IPSec路由器。

网络规则会指定哪些装置（位于IPSec路由器之后）能使用VPN通道。

下图会说明向导页面中出现的主要栏位。

1 按下 HOME（首页）画面中的 Wizard（向导）图示，再按下 VPN Setup（VPN 设定）链接，启动 VPN 向导。

如果您单击 Back（上一步），将不会保存您的设置。

2 您可以在这个页面中设置网关规则。

Remote Gateway Address（远程网关地址）：输入远程IPSec路由器的IP地址或网络名称。

3 您可以在这个页面中设置网络规则。

让Active（启用）复选框保持选中状态。

选中 Single（单一），并输入单一 IP 地址的 IP 地址。

选中 Range IP（IP 地址范围），并输入特定 IP 地址范围的起始和结束 IP 地址。

选中 Subnet（子网络），并输入 IP 地址和子网掩码，以子网掩码指定网络上的 IP 地址。

请确保远程IPSec路由器使用的设置，和您在下面两个画面中的安全性设置相同。

Negotiation Mode（协商模式）：选中Main Mode（主要模式）可以提供身份识别保护功能。选中Aggressive Mode（主动模式）可以允许较多来自动态IP地址的连入连接使用个别密码。

通过安全性网关连接的多重SA（安全性关联）必须使用相同的协商模式。

Encryption Algorithm（加密算法）：选中3DES或AES会使用较安全（且速度较慢）的加密。

Authentication Algorithm（验证算法）：选中MD5会使用较低的安全性，SHA-1的安全性则较高。

Key Group（密钥组）：选中DH2会使用较高的安全性。

SA Life Time（SA时限）：设置ZyWALL重新协商IKE SA的频率（最低频率180秒）。较短的SA时限可以提高安全性，但协商会暂时中断VPN通道连接。

Pre-Shared Key（预共享密钥）：使用8到31个区分大小写的ASCII字符或16到62个十六进位（"0-9"，"A-F"）字符。在十六进位密钥之前加上“0x”，而“0x”不包括在密钥的16到62个字符范围内。

Encapsulation Mode（封装模式）：Tunnel（通道）可与 NAT 同时应用，而 Transport（传输）则不可。

IPSec Protocol（IPSec通信协议）：ESP可与NAT同时应用，而AH则不可。

Perfect Forward Secrecy (PFS) (PFS-完全转发安全): 选中 None (无) 则让 IPSec 设置较快完成, 但 DH1 和 DH2 较为安全。

4 您可以在此页面中设置 IKE（互联网密钥交换）通道设置。

5 您可以在此页面中设置 IPSec。

6 检查VPN设置。单击Finish（完成）保存设置。

7 单击最后页面中的 Close（关闭），完成 VPN 向导的设置。继续下一节的步骤，启用 VPN 规则并建立 VPN 连接。

8.1 使用VPN连接

使用VPN通道安全地传送和获取文件，并允许远程访问公司网络、网页服务器和电子邮件。服务的运行会和您在办公室的状况一样，不会像是通过互联网连接进行的。

例如，“test”（测试）VPN规则可以让您安全地访问远程公司LAN上的网页服务器。将服务器的IP地址（在此范例中为10.0.0.23）输入浏览器的URL。ZyWALL会在您尝试使用VPN通道时，自动建立VPN连接。

单击导航面板上的SECURITY（安全）>VPN，然后选中SA Monitor（SA监视器）选项卡，显示连接的VPN通道列表（可以在这里找到“test”VPN通道）。

如果无法建立VPN连接，请确保ZyWALL与远程IPSec路由器使用的VPN配置相同。按一下导航面板上的VPN以配置高级设置。请访问任一网站，以确认您是否已成功连接至互联网。

设置电脑的IP地址

本节会说明如何在Windows2000、WindowsNT和WindowsXP中，设置电脑接收IP地址。此项工作可以确保您的电脑能和ZyWALL设备通讯。

1 在Windows XP中，单击开始，然后单击控制面板。
在Windows2000/NT中，依次按下开始、设置和控制面板。
2 在 Windows XP 中，单击网络连接。
在Windows2000/NT中，单击网络和拨号连接。
3 在本地连接上单击鼠标右键，然后单击属性。
4 选中 Internet Protocol (TCP/IP)（在 Win XP 中位于常规选项卡上），然后单击属性。

5 此时会打开Internet Protocol TCP/IP 属性窗口（在Win XP中位于常规选项卡上）。选中自动获得IP地址和自动获得DNS服务器地址选项。
6 单击确定，关闭 Internet Protocol（TCP/IP）属性窗口。
7 单击关闭（在 Windows 2000/NT 中为确定），关闭本地连接属性窗口。
8关闭本地连接窗口。

查看产品认证信息步骤

1 访问 http://www.zyxel.cn/ 网站。
2 在合勤科技（ZyXEL）首页上的下拉列表框中选中所需的产品，跳至该产品的页面。
3 在页面中选中要查看的认证信息。

概觀

ZyWALL 2WG 是防火牆，具備了虛擬私有網路 (VPN)、頻寬管理、內容過濾和多種其他功能。您可以將 ZyWALL 當作透通模式防火牆使用，而無須重設網路或設定 ZyWALL 的路由功能。當 ZyWALL 為路由器模式時，您也可以插入 3G 無線網卡，新增第二個 WAN（廣域網路）。ZyWALL 增加了選擇，能讓您將連接埠角色由 LAN 變為公用存取伺服器可以使用的 DMZ，加強網路的安全性。本手冊的內容包括了開始在網路中使用 ZyWALL 時，所需進行的初始連線和設定等相關資訊。

請參閱《使用手冊》，取得所有功能的詳細資訊。

您可能需要準備網際網路連線資訊。

本手册的章節如下。

1 硬體連線
2存取網路組態設定程式
3 橘接模式
4 網際網路存取設定以及產品註冊
5 DMZ

6 NAT
7 防火牆
8VPN規則設定
9 疑難排解

1 硬體連線

您需要以下裝備。

ZyWALL

電腦

乙太網路線

電源供應器

請進行下列步驟，為硬體連線進行初始設定。

1使用乙太網路線連接LAN/DMZ連接埠和電腦。如果您透過網路組態設定程式，在LAN或DMZ畫面中將這些連接埠設定為DMZ連接埠，您也可以使用乙太網路線，將公用伺服器（網路、電子郵件、FTP等）連接到LAN/DMZ連接埠。
2 使用另一條乙太網路線，將 WAN連接埠連接到可以存取網際網路的乙太網路插孔。

若要將CONSOLE埠連接至您的電腦，請使用藍色終端機線。若要將AUX埠連接至類比數據機，請使用黑色撥接備援線。

3 將 3G 無線網卡插入側邊面板上的卡片插槽，透過 3G 網路接取網際網路。在本文撰寫時，ZyWALL 僅能使用 Sierra AC850/860 3G 無線網卡。
4使用所附的電源供應器，爲電源插槽（位於後方面板）接上電源。

5 觀察前方面板。PWR指示燈會亮起。CARD、LAN/DMZ和WAN指示燈會在相關連接正確時亮起並持續亮著。

如果LED指示燈全部不亮，請查看連線，檢查電纜是否受損。確認您已經將電源轉接器連接至ZyWALL並且插入適當的電源插座。確認電源已經開啓。如果LED指示燈還是沒有亮，請聯絡當地的供應商。

2存取網路組態設定程式

您可以使用本節中的資訊設定 WAN 1 介面的網際網路存取。

1 創動網頁瀏覽器。輸入位址 192.168.1.1 (ZyWALL 的預設 IP 位址)。

2 按一下 Login（登入）（已經輸入預設的密碼 1234）。

若未顯示登入畫面，請檢查瀏覽器的安全設定，確認乙太網路卡已經插入電腦且運作正常。此外，電腦也應設定為自DHCP伺服器取得IP位址。請參閱「設定電腦的IP位址」一節，取得詳細資訊。

3輸入新的密碼，然後按一下Apply（套用），變更登入密碼。

4 按一下 Apply（套用），取代原本 ZyWALL 的預設數位檢定資訊。

如果您變更了密碼卻不幸忘記，則需將ZyWALL 恢復至預設設定（密碼是1234，區域網路IP位址為192.168.1.1等）。按住RESET（重設）按鈕（位在後面板）直到PWR LED指示燈開始閃爍才放開。

5會開啓HOME畫面。

ZyWALL預設會使用路由器模式。如果想要使用NAT、DHCP和VPN之類的路由功能，請繼續下個步驟。

如果要將ZyWALL做爲透通模式防火牆使用，請移至章節3。

6 查看 Network Status（網路狀態）表格。如果 WAN1 的狀態並非 Down（無法運作），且表上顯示了 IP 位址，請移至章節 5。

如果 WAN1 畸態為 Down（關閉）（或沒有 IP 位址），按一下 Wizard（精靈）圖示，使用章節4的資訊設定 WAN1。

如果需要設定 WAN 2，請使用 NETWORK WAN 案面。您也可以設定 WAN(廣域網路)連線之間的負載平衡。

3 橘接模式

當您將ZyWALL設為橋接模式時，其功能即爲透通模式防火牆。請進行下列步驟，將ZyWALL設為橋接模式。

1 按一下導覽面板上的 MAINTENANCE（維護），然後按一下 Device Mode（裝置模式）。
2選取Bridge（橋接），並為ZyWALL的LAN、WAN、DMZ和WLAN介面設定（靜態）IP位址子網路遮罩和間道IP位址。
3 按一下 Apply（套用）。ZyWALL 會重新啟動。

如果需要從 WAN 存取伺服器，請跳至章節 5。

4 網際網路存取設定以及產品註冊

1 按一下 HOME（首頁）畫面中的 Wizard（精靈）圖示（），再按一下 Internet Access Setup（網際網路接取設定）連結，開啓網際網路接取精靈。

確實輸入您的網際網路存取資訊。

如果ISP有提供您IP位址，請在IP Address Assignment（IP位址設定）下拉式清單方塊中選取Static（靜態），然後輸入提供的資訊。

視您在 Encapsulation（封裝）欄位中選取的項目而定，需要填入的欄位也會有所不同。請在這些欄位中填入 ISP 或網路管理員提供的資訊。

完成後，請按一下Apply（套用）。

- Ethernet（乙太網路）封裝

在 NETWORK WAN 案面中設定

Roadrunner服務（使用WAN標籤）。

WIZARD - Internet Access

ISP Parameters for Internet Access

如果您希望保持連線不中斷，請選取Nailed-Up（固定連線）（如果您的ISP是計算網路使用時間收費，而非收取固定月費，選這個選項可能會較爲昂貴）。

如果不想一直保持連線狀態，請在 Idle Timeout（閒置等候時間）中指定閒置等候時間（單位為秒）。

2 按一下 Next（下一步）顯示 myZyXEL.com（ZyXEL線上服務中心）頁面，您可在此進行 ZyWALL 產品的註冊，啓用具有內容過濾功能的免費試用。若按 Skip（跳過）再按 Close（關閉），則結束網路連線建立。
3 如果您有 myZyXEL.com 帳號，請選取 Existing myZyXEL.com account（現有的 myZyXEL.com 帳號），再輸入帳號資訊。若無 myZyXEL.com 帳號，則選取 New myZyXEL.com account（新的 myZyXEL.com 帳號），再填寫下列欄位以建立新帳號並進行產品註冊。按一下 Next（下一步）。

4等待註冊完成。

5 如果註冊失敗會顯示下列畫面。按一下 Return（返回），回到 Device Registration（產品註冊）畫面，檢查您的設定。

6 如果成功完成註冊與產品啓用，則按一下Close（關閉），離開精靈畫面。

若要利用 iCard 的 PIN 密碼（授權識別碼）啟用標準服務，請利用 REGISTRATION Service（註冊服務）畫面。如需相關詳細資料，請參閱使用手冊。

如果您無法透過 WAN1 存取網際網路，請檢查 ZyWALL 至乙太網路插孔（具有網路連線功能）的連線。確認網路間道裝置（例如 DSL 數據機）運作正常。按一下導覽面板上的 WAN 以確認您的設定。

5 DMZ

非軍事網域區（DMZ）會讓外部可以看見公用伺服器（網路、電子郵件、FTP等），但仍在防火墻的保護之下，不會受到DoS（拒絕服務）攻擊。

您可以透過 DHCP 將 TCP/IP 設定指派給連接到 DMZ 連接埠的電腦。或者，也可以為電腦設定靜態 IP 位址（與 DMZ 垫的 IP 位址位於同一子網路）及 DNS 伺服器位址。使用 ZyWALL 的 DMZ IP 位址做為預設闢道。

如果ZyWALL處於路由模式，請進行下列步驟，設定DMZ。

在橋接模式中不需要設定DMZ，可以直接跳至章節7。

1 按一下導覽面板上的 NETWORK（網路）>DMZ。
2 為 DMZ 介面指定 IP 位址和子網路遮罩。

如果您在DMZ上使用私人IP位址，請使用NAT，開放伺服器公用存取（請參閱章節6）。

公開的IP位址必須和WAN連接埠的公開IP位址位於不同的子網路。如果您沒有為DMZ上的公開IP位址設定NAT，ZyWALL會將流量路由傳送到DMZ上的公開IP位址，而不會執行NAT。對於不適合使用NAT的應用程式而言，這項功能在管理伺服器方面非常有用。

3 按一下 Apply（套用）。
4 依照預設，LAN/DMZ連接埠1到4都是I LAN連接埠。如果要將連接埠設為DMZ連接埠，請按一下Port Roles（連接埠角色）標籤，選取DMZ旁邊的圓形按鈕，然後按一下Apply（套用）。

6 NAT

NAT（網路位址轉譯－NAT，RFC1631）代表從某個網路IP位址轉譯為另一個網路的不同IP位址。您可以使用NAT Address Mapping（NAT位址對應）畫面，設定ZyWALL在您的LAN（或DMZ)上將多個公開IP位址轉譯為多個私人IP位址。

在下面的例子中，會允許從 WAN1 存取 DMZ 上的 HTTP（網路）伺服器，而伺服器的私人 IP 位址為 10.0.0.20。

1 按一下導覽面板上的 ADVANCED（進階）>NAT，然後選取 Port Forwarding（連接埠轉遞）。
2 選取您要用來設定連接埠轉遞規則的廣域網路連線（WAN1）。
3 選取 Active（啟用）核取方塊。
4輸入規則名稱。
5輸入服務所使用的連接埠號碼。
6輸入HTTP伺服器的IP位址。
7 按一下 Apply（套用）。

7 防火牆

您可以不設定防火牆，直接使用ZyWALL。

ZyWALL 的防火牆是預先設定的，可以保護 LAN 免於受到來自網際網路的攻擊。依照預設，除非需求先在 LAN 上產生，否則不會有任何傳輸進入 LAN。ZyWALL 會允許從 WAN 或 LAN 存取 DMZ，但會封鎖從 DMZ 到 LAN 的傳輸。

如果您以路由器模式使用ZyWALL，請繼續下一節的步驟。若爲橋接器模式，您已完成初始設定。

8 VPN 規則設定

VPN（虛擬私有網路）通道可以讓您安全的連線到另一部電腦或網路。

聞道原則會辨識VPN通道兩端的IPSec路由器。

網路原則會指定哪些裝置（位於IPSec路由器之後）能使用VPN通道。

下圖會說明精靈畫面中出現的主要欄位。

1 按一下 HOME（首頁）畫面中的 Wizard（精靈）圖示（），再按一下 VPN Setup（VPN 設定）連結，開啓 VPN 精靈。

如果您按下 Back（上一步），將不會儲存您的設定。

2 您可以在這個畫面中設定開道原則。

Name（名稱）：爲聞道原則輸入辨識名稱。

Remote Gateway Address（遠端間道位址）：輸入遠端IPSec路由器的IP位址或網域名稱。

3 您可以在這個畫面中設定網路原則。

讓 Active（啟用）核取方塊保持選取狀態。

Name（名稱）：爲網路原則輸入辨識名稱。

選取 Single（單一），並輸入單一IP位址的IP位址。

選取 Range IP (IP 位址範圍), 並輸入特定 IP 位址範圍的起始和結束 IP 位址。

選取 Subnet（子網路），並輸入 IP 位址和子網路遮罩，以子網路遮罩指定網路上的 IP 位址。

請確認遠端 IPSec 路由器使用的設定，和您在下面兩個畫面中的安全性設定相同。

Negotiation Mode（交涉模式）：選取Main Mode（主要模式）可以提供身份識別保護功能。選取Aggressive Mode（主動模式）可以允許較多來自動態IP位址的連入連線使用個別密碼。

透過安全性間道連線的多重SA（安全性關聯）必須使用同樣的交涉模式。

Encryption Algorithm（加密演算法）：選取3DES或AES會使用較安全（且速度較慢）的加密。

Authentication Algorithm（驗證演算法）：選取MD5會使用較低的安全性，SHA-1的安全性則較高。

Key Group（金鈍組）：選取DH2會使用較高的安全性。

SA Life Time (SA 時限): 設定 ZyWALL 新交涉 IKE SA 的頻率 (最低頻率 180 秒)。較短的 SA 時限可以增進安全性, 但交涉會暫時中斷 VPN 通道連線。

Pre-Shared Key (預先共用金鑰): 使用8到31個區分大小寫的ASCII字元或16到62個十六進位 ("0-9","A-F") 字元。在十六進位金鑰之前加上 "0x", 而 "0x" 不包括在金鑰的16到62個字元範圍內。

Encapsulation Mode（封裝模式）：Tunnel（通道）與NAT相容，而Transport（傳輸）則否。

IPSec Protocol (IPSec 通訊協定) : ESP 與 NAT 相容，而 AH 則否。

Perfect Forward Secrecy (PFS)（完整向前保密）：選取 None（無）可以讓 IPSec 設定較快完成，但 DH1 和 DH2 較為安全。

4 您可以在這個畫面中設定IKE（網際網路金鑰交換）通道設定。

5 您可以在這個畫面中設定 IPSec 設定。

6 檢查 VPN 設定。按一下 Finish（完成）儲存設定。

7 按一下最後的畫面中的 Close（關閉），完成 VPN 精靈的設定。繼續下一節的步驟，啓用 VPN 規則並建立 VPN 連線。

8.1使用VPN連線

使用VPN通道安全地傳送和擲取檔案，並允許遠端存取公司網路、網頁伺服器和電子郵件。服務的運作會和您在辦公室的狀況一樣，不會像是透過網際網路連線進行的。

例如，“test”（測試）VPN規則可以讓您安全地存取遠端公司LAN上的網頁伺服器。將伺服器的IP位址（在這個範例中為10.0.0.23）輸入爲瀏覽器的URL。ZyWALL會在您嘗試使用VPN通道時，自動加以建立。

按一下導覽面板上的 SECURITY（安全）>VPN，然後選取SA Monitor（SA監視器）標籤，顯示連接的VPN通道清單("test"VPN通道可以在這裡找到）。

如果無法建立VPN連線，請確認ZyWALL與遠端IPSec路由器使用的VPN設定相同。按一下導覽面板上的VPN以設定進階設定。請存取任一網站，以確定您是否已經成功連線至網際網路。

設定電腦的IP位址

本節會說明如何在Windows2000、WindowsNT和WindowsXP中，設定電腦接收IP位址。這項作業可以確保您的電腦能和ZyWALL裝置通訊。

1 在WindowsXP中，按一下開始，然後按一下控制台。
在Windows2000/NT中，依序按下開始、設定和控制台。
2 在 Windows XP 中，按一下網路連線。
在Windows2000/NT中，按一下網路和撥號連線。
3 在區域連線上按一下滑鼠右鍵，然後按內容。
4選取InternetProtocol(TCP/IP)(在WinXP中位於一般索引標籤上），然後按一下內容。

5 Internet Protocol TCP/IP內容畫面會開啓（在Win XP中位於一般索引標籤上）。選取自動取得IP位址和自動取得DNS伺服器位址選項。
6 按一下確定，關閉 Internet Protocol (TCP/IP) 内容視窗。
7 按一下關閉（在 Windows 2000/NT 中為確定），關閉區域連線內容視窗。
8關閉網路連線畫面。

檢視產品檢定資訊步驟

1 到 http://www.zyxel.com.tw/ 网站。
2 在合勤科技（ZyXEL）首頁上的下拉式清單方塊中選取所要的產品，移至該產品的頁面。
3 在頁面中選取要檢視的檢定資訊。