网件FVS338V2.0如何应用的远程访问网件FVS338V2.0应用的远程访问的方法：本实验将以FVX538Version2.0.0-139为例详细描述Netgear系列防火墙的XAUTH的应用配置。XAHTH融合在IPSec里面的XAUTH扩展认证协议，XAUTH为这些需要区分每个用户进行身份验证的应用提供了一种身份认证机制，该机制允许网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。主要包括以下内容：1.选择并配置Radius服务器2.FVX538防火墙的XAUTH配置3.IPSec客户端软件XAUTH的配置通过以上实验操作，实验者能够通过配置XAUTH应用到远程网络中。(本文适合FVX538/FVS338产品的用户)2、理解XAUTH的应用目前由于宽带接入的快速发展，广泛的中小商用企业部署IPSec网络，构建远程客户端对公司中心资源访问的应用已极为普通。在部署此类远程访问的IPSec应用时，通常是要设置多个客户端连接到中心网络，网管人员的通常做法是为每一个用户设置不同策略和预置密码用以区分每一个用户，此工作量是巨大的，管理也不方便。因此现在市场上主流的IPSec网关设备提供另外一种解决方案，就是在网关中只要配置一条的策略，就可允许多个如高达1000个远程客户端的同时接入，然后只要对远程客户分发一个相同的策略配置就可以了。这样一来，由于所有远程客户端的配置策略是相同的，对每个远程客户不再进行单独地区别，因此在提高了方便性的同时却又降低了整个网络的安全性。这样就促使用户需要这样一种技术，就是在网关设备中只需要配置一条策略，但要求每个远程客户在接入时需要提供不同的用户名和口令的身份认证，网关设备可以集中管理远程用户的合法信息。这样就大大减少了网络管理人员的工作负担和保证远程客户接入的安全性，提高了企业的整体工作效率。这个技术就是融合在IPSec里面的XAUTH扩展认证协议，XAUTH为这些需要区分每个用户进行身份验证的应用提供了一种身份认证机制，该机制允许网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。RADIUS(RemoteAuthenticationDial-InUserService，RFC2865)是一个管理网络里多个用户的验证，授权，计费(AAA)的协议。RADIUS服务器在数据库里存储有效的用户信息，并能给要求访问网络资源的合法用户授权。下图是个典型的远程客户到中心网关的应用XAUTH的说明：图1：XAUTH和RADIUS使用范例图1中当远程客户端开始一个连接的请求的时候，网关通过XAUTH(扩展验证)强行中断协商的过程，并要求客户端必须输入合法的用户名的密码进行验证，网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法，如果在本地数据库找不到相对应的用户名，则将信息转发到RADIUS服务器进行校验，如果判断为合法，则继续的协商过程并且在连结成功后为远程客户端分配IP地址，如果用户不合法，则中断连接。由于XAUTH结合RADIUS给依赖于大量使用技术的商业用户带来了前所未有的安全性和方便的管理特性，因而国际很多知名的设备开发商，比如象Cisco，Checkpoint，Netgear公司等，在他们的产品中都开始支持XAUTH。3、实验环境测试环境：FVX538的WAN1端口IP设置为58.62.221.130，LANIP为192.168.1.1，RADIUS服务器IP为192.168.1.200，参照下图网络配置：TOP4、实验操作4.1、选择合适的Radius服务NETGEARProSafeFirewallFVX538支持多数标准的免费/商业发布的RADIUS服务程序，比如：FreeRADIUS，一个开放的LINUX原代码程序MicrosoftWindowsIASFunkSoftwareSteel-BeltedRADIUS所有的RADIUSServer的配置信息均可以参考厂家提供的标准配置文档，本文不再详细介绍每一种RADIUS的配置办法。TOP4.2、FVX538防火墙的XAUTH配置4.2.1、设置防火墙的XAUTH模式在配置的IKE策略的时候，选择要求使用XAUTH验证，则可以启用的XAUTH功能。我们在配置该IKE策略的XAUTH的时候，系统会提供两种模式给用户选择。如下:IPsecHost—作为客户端，在连接到中心时需要提供用户名和密码EdgeDevice—作为服务器端(中心)，要求客户端必须进行口令验证。当防火墙定义为IPsecHost的时候，在建立连接的时候，设备会给服务器端提供用户名和密码信息。当防火墙定义为Edgedevice模式的时候，网关则要求客户端必须输入合法的用户名的密码进行验证，网关在接收到来自客户端提供的