1、网神安全产品安装调试指导手册网神SecSIS 3600安全隔离和信息交换系统目 录1网神SECSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明42网神SECSIS 3600安全隔离与信息交换系统产品常见应用场景说明52.1数据库安全同步解决方案52.2安全邮件收发解决方案62.3安全文件交换解决方案72.4安全FTP访问解决方案82.5安全浏览解决方案83准备工作93.1了解实际用户网络环境或主机环境93.1.1网络环境93.1.2主机环境93.2了解实际用户应用及安全需求103.2.1业务模式103.2.2安全需求103.3开箱、加电113.3.1设备开箱113.3.2设备加
2、电113.3.3安全注意事项123.4管理网神SecSIS 3600安全隔离与信息交换系统123.4.1WEB界面方式123.4.2命令行方式143.4.3其它方式163.5如何申请许可证和激活网神SecSIS 3600安全隔离与信息交换系统产品功能模块173.5.1申请License173.5.2导入License174初级“假设法”手把手教您如何快速安装部署网闸产品184.1网闸网络配置185中级“假设法”手把手教您如何快速调试网闸产品的基本功能205.1安全浏览205.1.1客户需求205.1.2网络配置205.1.3网闸具体配置225.2安全FTP275.2.1客户需求275.2.2网
3、络配置285.2.3网闸具体配置305.3FTP访问375.3.1客户需求385.3.2网络配置385.3.3网闸具体配置405.4数据库访问435.4.1客户需求435.4.2网络配置435.4.3网闸具体配置455.5邮件访问505.5.1客户需求515.5.2网络配置515.5.3网闸具体配置525.6定制模块555.6.1客户需求555.6.2网络配置565.6.3网闸具体配置581 网神SecSIS 3600安全隔离和信息交换系统产品常见功效描述和使用说明网神SecSIS 3600安全隔离和信息交换系统依据不一样应用需求,量身定制功效模块,满足用户不一样应用需求,关键包含: 网络配置
4、:完成设备网络参数基础配置和高可用性(双机负载)配置管理员配置:管理员源地址访问控制,权限分配,新增管理员及参数设置。文件交换:实现将网闸一侧文件安全可控摆渡到另外一侧 数据库同时:实现将网闸一侧数据库中数据摆渡到另一侧数据库中安全浏览:在内外网隔离环境下确保内网用户安全浏览外网资源。 安全FTP:实现对FTP服务器安全防护FTP 访问:在内外网隔离环境下实现安全 FTP 访问。 数据库访问:在内外网隔离环境下实现安全数据库访问。邮件访问:在内外网隔离环境下实现安全邮件访问。视频模块:在内外网隔离环境下实现安全视频服务器访问。定制模块:在内外网隔离环境下实现对全部基于TCP/UDP服务访问。工
5、具箱:系统许可证、配置管理、系统时间、修改口令,版本等信息管理。2 网神SecSIS 3600安全隔离和信息交换系统产品常见应用场景说明网神SecSIS 3600安全隔离和信息交换系统适合布署在需要在不一样安全等级网络间实现信息共享环境,可应用在不一样涉密网络之间;同一涉密网络不一样安全域之间;和互联网物理隔离网络和秘密级涉密网络之间;未和涉密网络连接网络和互联网络之间,经过网闸安全控制,在确保信息安全前提下愈加好地促进各个业务系统互联互通、资源共享。2.1 数据库安全同时处理方案某政府部门开展电子政务,许可公众经过互联网提交服务申请并查询结果。假如许可访问者经过Web服务器直接向关键数据库服
6、务器提议数据访问请求,则黑客可能穿透防火墙保护直接侵入后台数据库系统,严重威胁到业务正常开展。如上图所表示,采取网神SecSIS 3600安全隔离和信息交换系统,在关键数据库服务器和外部不可信网络间实现安全隔离,则来自互联网用户只能经过Web服务器访问到前置数据库服务器。依据安全策略定时将前置数据库和关键数据库内容进行同时,既可满足对外服务要求又提供了安全保障。这种方法强化了应用层安全控制,可有效预防TCP/IP数据包穿越网络抵达关键数据库服务器,大大增强了系统安全性,为电子政务有效开展提供了可靠确保。网神SecSIS 3600安全隔离和信息交换系统提供多个数据库同时方法,可定制同时周期及方向
7、,支持Oracle、Sybase、SQL Server、MySQL、DB2等多个主流数据库。系统支持基于触发器和快照两种方法增量数据复制,可实现异类数据库间数据同时。系统提供C/C+编程接口,能够方便和其它系统集成。2.2 安全邮件收发处理方案某机构强制要求内网严禁和互联网相连,但依据业务需要必需经过电子邮件和外界进行信息交流。如采取人工方法,即由专员负责在公众信息网接收电子邮件,再经过移动存放介质复制到内部网进行处理,则信息不能得到立即处理,严重影响工作效率;若采取内外网邮件服务器转发方法,安全又得不到确保。为处理这一问题,在内外网间布署网神SecSIS 3600安全隔离和信息交换系统。安全
8、隔离和信息交换系统能够确保可信内网和Internet安全隔离,内外网邮件服务器间不存在链路层连接,没有数据包交换,所以无法经过邮件系统对内部办公网提议攻击。系统能够为每个用户制订各自邮件交换策略,对邮件内容、附件类型及垃圾邮件、带病毒邮件等进行过滤,从而使内网用户能够在内网安全地收发邮件,确保安全邮件处理。2.3 安全文件交换处理方案网神SecSIS 3600安全隔离和信息交换系统,由安全管理员制订对应信息交换策略,在网络安全隔离前提下定时进行文件交换。系统还支持交换方向、文件类型指定,可对被交换文件进行内容检验、查病毒等处理,只许可或不许可包含对应内容文件经过网闸传输。网神SecSIS 36
9、00 安全隔离和信息交换系统可对数字署名进行校验,以起到身份认证、防抵赖作用。2.4 安全FTP访问处理方案网神SecSIS 3600安全隔离和信息交换系统,由安全管理员制订对应FTP访问策略,在网络安全隔离前提下进行FTP访问。系统还支持访问方法、文件类型指定,可对FTP命令、用户名进行策略配置,达成FTP用户访问控制和过滤。2.5 安全浏览处理方案为了内网用户能够安全访问互联网资源,网神SecSIS 3600安全隔离和信息交换系统,在保障内网安全前提下提供安全浏览功效。安全浏览功效可进行多个策略设置,以达成URL访问控制、网页文件类型限制、上网时段控制等安全功效。内网用户可经过网闸对互联网
10、资源正常、安全进行访问。3 准备工作网闸布署和用户业务系统息息相关,在网闸项目实施时应尤其注意,切勿造成用户业务无法正常使用情况出现。所以,在网闸上线实施前,应对目前用户网络环境、业务模式、安全需求等情况进行具体了解,充足做好产品上线准备,确保网闸上线后高效、稳定,和用户业务安全结合。3.1 了解实际用户网络环境或主机环境3.1.1 网络环境充足网络环境了解,有利于我们明确网闸布署位置,IP地址计划等,对和目前用户整个网络拓扑结构要做到心中有图和手中有图, 网络拓扑网络拓扑图能够请用户网络工程师帮助提供。拓扑图中应包含网闸所处网络中关键性设备、设备连接方法等信息。 布署位置依据用户提供拓扑,分
11、清安全域界限,明确网闸布署位置。 IP计划明确网闸所需IP地址、掩码、网关地址,和各关键设备地址信息。3.1.2 主机环境明确用户现场网络拓扑后,还需要对用户主机系统,也就是各类和网闸应用相关服务器进行了解,以确保采取正确网闸模块和之对应。 服务器系统平台信息了解用户服务器使用何种类型操作系统和操作系统版本等系统平台信息。了解各服务器网络配置信息,如服务器IP地址、服务器连接位置等。 数据库信息对含有数据库应用需求用户,了解其使用数据库类型、版本等数据库相关信息。 软件信息了解用户主机系统所使用和网闸业务相关软件信息。3.2 了解实际用户应用及安全需求3.2.1 业务模式了解业务模式,能够针对
12、目前用户各类业务应用选择最匹配网闸功效模块,以确保网闸功效和用户应用无缝结合。 应用相关信息了解业务所采取协议类型,业务端口开放情况等业务相关信息。 业务步骤分析经过对业务步骤分析,能够确定哪些功效是必需要实现,从而使得我们能够以更适宜方法来实现所需要功效服务。 业务软件模式针对业务应用所使用软件模式,B/S架构还是C/S架构,能够愈加好选择功效模块采取实现方法。3.2.2 安全需求了解用户安全需求,细化网闸安全功效,确保用户信息及数据安全。 访问用户限制针对不一样访问用户进行业务应用限制,功效使用限制;对于不一样管理员给予不一样权限。 访问用户端限制针对IP段、MAC地址访问限制; 应用层过
13、滤针对业务应用进行策略限制,黑白名单策略、命令限制、文件类型限制等。3.3 开箱、加电3.3.1 设备开箱设备开箱请按装箱清单进行清点,并对设备外观进行检验,若有异常请认真具体地做好统计。打开网闸包装后,确定包装箱内是否包含以下各物品和状态是否良好:l 网神SecSIS 3600网闸l 配件盒:电源线1 串口线1 网 线2 软盘/CD-ROM 光盘(包含网闸相关信息文件和手册)假如发觉任何物品丢失或出现损坏,则立即联络网神企业。假如需要运输或将网神SecSIS 3600安全隔离和信息交换系统保留起来以待后用,那么切勿丢掉包装材料或装运纸箱。3.3.2 设备加电开箱检验确定设备外观无异常后,可对
14、设备进行加电检验。加电后请注意观察网闸前面板指示灯,可初步判定网闸是否正常。内、网外面板各有3个指示灯。按次序分别为:电源指示灯:显示网闸供电是否正常。状态指示灯:显示网闸存放读写工作情况。交换指示灯:显示网闸交换卡工作情况。网闸加电后,正常状态下,电源指示灯常量;状态指示灯只在存放读写情况下闪烁,无工作状态灭灯;交换指示灯在无工作情况下为间隔闪亮,间隔时间约12秒,交换卡工作情况下为快速闪烁状态。注意:网闸配置冗余电源,尽可能确保双电源供电。假如使用单一供电,无供电电源会产生报警。(可按电源模块上红色按钮取消报警)3.3.3 安全注意事项本节列出安全使用注意事项,请在使用网神SecSIS 3
15、600安全隔离和信息交换系统过程中严格实施。这将有利于愈加好地使用和维护安全隔离和信息交换系统。1. 安全隔离和信息交换系统应用环境为温度10 35和湿度40% 80%;存放环境为温度0 70,湿度20% 95%。2. 采取交流220V电源。3. 必需使用三芯带接地保护电源插头和插座。良好接地是您安全隔离和信息交换系统正常工作关键确保。对于安全隔离和信息交换系统来说,假如缺乏接地保护线,在机箱金属背板上可能会出现感应电压。即使不会对人体造成伤害,但在接触时,可能会产生麻、痛等轻微触电感觉。另外,假如您私自更换标准电源线,可能会带来严重后果。3.4 管理网神SecSIS 3600安全隔离和信息交
16、换系统网神SecSIS 3600安全隔离和信息交换系统提供两种管理方法,Web管理和串口管理,下面介绍登陆界面操作和管理菜单功效。网神SecSIS 3600安全隔离和信息交换系统使用了安全套接层(SSL)协议,在网神安全隔离和信息交换系统连接期间,全部交换信息均被SSL加密,默认访问端口为443。3.4.1 WEB界面方法网闸分内网管理和外网管理内网默认管理地址为: 外网默认管理地址为: 默认管理用户名:admin 默认密码:admin默认日志用户名:auditor 默认密码:auditor用户管理机地址设置和管理地址同一网段(10.0.0.*/24),用交叉线和网闸内网管理口和外网管理口相连
17、。管理机网卡设置(10.0.0.6/255.255.255.0)打开IE浏览器,输入 (内网为例) 配置管理员:用户名admin,密码admin日志管理员:用户名auditor,密码auditor进入管理界面菜单区:系统全部功效菜单,不一样功效对应不一样菜单配置区:配置系统相关参数区域显示区:显示系统在内网或外网管理页面3.4.2 命令行方法基于串口连接,提供命令行方法基础配置管理和灾难恢复功效,提供了管理安全、方便和灵活性。能够提供恢复出厂设置、关闭远程管理等基础管理功效。配置终端参数:登陆用户名为hawk,口令hawk。命令表以下:命令名称描 述?|help帮助功效,列表全部串口命令Cle
18、ar清屏Service web 开启和关闭web管理界面Service ssh 开启和关闭ssh管理界面Config default恢复出厂配置Passwd修改串口口令Netcap ip port抓包工具Ping Ping测试Detect检测对方主机Show cpu显示cpu 信息Show memory显示内存信息Show disk显示存放器信息Show proc显示目前进程Show interface显示端口信息Show link显示连接信息Show gw显示路由信息Show arp显示arp表Show ver显示系统版本Quit|exit退出3.4.3 其它方法除了上述两种管理方法外,网神
19、SecSIS 3600安全隔离和信息交换系统暂不提供其它管理方法。3.5 怎样申请许可证和激活网神SecSIS 3600安全隔离和信息交换系统产品功效模块3.5.1 申请License网神SecSIS 3600安全隔离和信息交换系统在首次使用时,产品功效模块需要激活方可使用。激活前请统计产品硬件序列号并填写license申请表。注意:此处请务必分清内外网硬件序列号,避免混淆。License申请:请将上述信息邮件至网神用户服务部并电话通知。联络人:翟玉晶 电话: 邮件地址:3.5.2 导入License点击上传许可证,浏览许可证文件,点击上传。许可证文件必需有厂商正式签发。签发许可证请参考4.3
20、获取硬件序列号,并发送给厂商进行申请。注意:1.内外网License为同一文件。 2.导入License时,假如使用浏览器为IE 8,请将安全等级设置降低,不然会出现找不到上传文件现象。4 初级“假设法”手把手教您怎样快速安装布署网闸产品4.1 网闸网络配置在了解完用户网络结构并确定网闸布署位置后,就能够对网闸进行基础网络设置,我们以下图网络环境为基础进行网闸网络基础设置。如上图所表示,网闸分别和192.168.2.0/24、192.168.3.0/24网段相连接,内、外网口IP分别为192.168.2.10/24和192.168.3.10/24。确定上述IP信息无误后,即可在网闸上进行操作配
21、置。以内网为例。登录网闸WEB管理界面,点击网络配置:网卡配置,选择网络设备属性,此处选择net,确定。网络地址,选择网口,ip地址栏填写网闸内网口实际地址。此处填写192.168.3.10,子网掩码:255.255.255.0。点击确定保留。外网IP设置和内网设置方法一致。实际应用中,仅仅配置完IP并不能确保网闸网路连通,还需要依据网络实际情况添加路由设置。本例中需要分别为网闸内、外网添加路由。配置以下图所表示:外网路由设置和内网设置方法一致至此,本应用中网闸网络配置已经完成,能够经过网闸WEB管理界面中工具箱下调试工具测试网闸在网络中连通性。5 中级“假设法”手把手教您怎样快速调试网闸产品
22、基础功效5.1 安全浏览说明:1 网闸内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,提议不要进行更改,假如和已经有网络冲突能够在管理界面上进行更改。2 管理主机和网闸内外网管理端口相连接,分别以:/10.0.0.2访问,用户名和密码为:admin。5.1.1 用户需求需求一:内网主机能够经过网闸访问互联网,采取代理服务器模式,即需要在用户端主机上添加代理服务,不需要添加网关地址和DNS地址。需求二:内网主机能够经过网闸访问互联网,采取透明模式,即需在用户端主机添加网关地址和DNS地址5.1.2 网络配置 内网网络端口配置修改地址为:192.168.2.100 内
23、网管理端口地址如和网络接口不冲突,能够为默认。 外网网络端口配置修改地址为:192.168.1.100,如此为公网地址请直接指定。 外网网关配置此处网关为:192.168.1.254,如此为公网地址请直接指定。 外网管理端口地址如和网络接口不冲突,能够为默认。5.1.3 网闸具体配置5.1.3.1 需求一配置内网主机能够经过网闸访问互联网,采取代理服务器模式,即需要在用户端主机上添加代理服务,不需要添加网关地址和DNS地址。 内网模块配置1. 安全浏览用户端基础设置,进行安全浏览服务设置。选择代理方法,选择侦听地址:192.168.2.100 ,端口8080 ,其它选项默认。2. 安全浏览基础
24、设置开启设置点击开启服务按钮 外网模块配置1. 安全浏览服务端配置DNS,添加DNS地址 202.106.0.20(当地DNS服务器地址)2. 安全浏览基础设置开启设置,选择开启服务按钮。 内网用户端主机配置在用户主机IE属性中选择连接/局域网连接,添加代理服务器地址(192.168.2.100,端口8080)5.1.3.2 需求二配置内网主机能够经过网闸访问互联网,采取透明模式,即需在用户端主机添加网关地址和DNS地址 内网模块配置1. 安全浏览用户端基础配置,选择透明方法,当地地址 192.168.2.100 ,服务端口 80。2. 安全浏览用户端 开启配置,重启服务3. 内网许可DNS请
25、求经过定制模块 UDP访问 UDP用户端添加任务,地址192.168.2.100 端口 53 任务号1 (此任务号能够任意,但一定要和外网模块相同) 外网模块配置1. 网络配置 配置DNS :202.106.0.202. 安全浏览”基础设置 开启设置 确定,开启服务3. 外网许可DNS请求经过定制模块 UDP访问 UDP服务端 ,地址:202.106.0.20,端口:53,任务号:1(此任务号能够任意,但一定要和内网模块相同) 内网用户端主机配置1. 在当地PC机“TCP/IP”属性设置以下:默认网关:192.168.2.100 ,DNS服务器:192.168.2.1002. 浏览器设置(把代
26、理去掉)5.2 安全FTP说明:1 网闸内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,提议不要进行更改,假如和已经有网络冲突能够在管理界面上进行更改。2 管理主机和网闸内外网管理端口相连接,分别以:/10.0.0.2访问,用户名和密码为:admin。网闸FTP工作原理:FTP是常见文件传输手段,我们只是分别在内外网FTP用户端模块中设置了监听网闸接口IP地址和端口号,就能够经过代理方法,透明方法,混合模式访问内网或外网FTP服务器。能够使用LeapFTP、FlashFXP等FTP软件和命令行方法,顺利进行访问和数据操作。在百兆网络测试环境中,FTP平均传输速率可
27、达91.2 Mbps。对于FTP服务端所在网络只是FTP代理服务器情况,提供了很好处理方案,仅需添加代理FTP服务器IP地址和端口即可。5.2.1 用户需求内网做为用户端,外网做为服务器端,实现内网用户可经过网闸访问到外网FTP服务器,而且内网用户对FTP服务器上传、下载等操作正常运行。对访问服务器进行目标地址控制。对访问ftp用户进行源地址控制。隐藏真实服务器地址。1、在网闸内网配置FTP代理监听并启用FTP用户端服务2、在网闸外网启用FTP服务3、内网用户可经过DOS命令行方法和使用FTP用户端软件方法实现对外网FTP服务器正常访问及操作5.2.2 网络配置 内网网络端口配置修改地址为:1
28、92.168.2.100 内网管理端口地址如和网络接口不冲突,能够为默认。 外网网络端口配置修改地址为:192.168.10.100 外网网关配置此处网关为:192.168.10.254 外网管理端口地址如和网络接口不冲突,能够为默认。5.2.3 网闸具体配置5.2.3.1 代理模式配置u 在网闸内网配置FTP代理监听并启用FTP用户端服务。u 经过许可服务器控制用户访问目标地址u 经过访问控制对访问ftp用户源地址进行控制u 经过重定向隐藏真实服务器地址u 在网闸外网启用FTP服务内网用户可经过DOS命令行方法和使用FTP用户端软件方法实现对外网FTP服务器正常访问及操作。 内网模块配置安全
29、ftp用户端基础配置,运行方法:代理模式,当地地址:192.168.2.100,当地端口:21,其它参数项默认不修改即可。安全FTP用户端开启设置,点击开启服务按钮,启用FTP用户端模块。用户要求只许可经过网闸访问指定FTP服务器,即192.168.10.250和192.168.10.28两台,其它ftp服务器不许可访问。经过配置许可服务器能够进行目标地址控制。点击安全ftp用户端许可服务器,添加许可用户访问服务器地址即可。注意:默认不填,为全部全部许可;假如添加了许可服务器,未添加就全部不许可;在添加许可服务器时,首先应该将网闸FTP访问监听地址许可访问,不然就全部全部无法访问了。源地址访问
30、控制经过配置用户端访问控制规则,能够对使用安全ftp访问用户源地址进行控制,比如只许可192.168.2.0这个网段用户使用该模块。配置以下:点击安全FTP用户端访问控制;选择默认严禁,除以下配置策略外其它任何地址全部是严禁访问;添加许可访问用户端地址段,格式以下;用户端端口为任意;动作为许可;重定向经过配置重定向,能够隐藏用户实际服务器地址。比如用户要求访问ftp服务器终端不知道实际服务器地址,只告诉她们一个虚拟访问地址,192.168.10.250虚拟成为192.168.2.100,192.168.10.28虚拟成为192.168.2.200;配置以下:点击安全FTP用户端重定向;添加虚拟
31、服务器地址和真实服务器地址;用户经过网闸访问时访问方法不变,不过只需访问虚拟地址就能够重定向到真实服务器地址; 外网模块配置安全FTP基础设置开启设置,点击开启服务按钮,启用FTP服务端模块 内网用户端主机访问FTP服务器设置1. 命令行方法一内网用户主机(192.168.2.56),经过命令行方法访问FTP 1. ftp 192.168.2.1002.用户名输入:2. 命令行方法二内网用户主机(192.168.2.46),经过命令行方法访问FTP数据库1. ftp 192.168.2.1002.用户名输入::21213. 使用FTP用户端软件方法 内网用户主机(192.168.2.56),F
32、TP用户端软件访问FTP服务器 1.添加代理服务器2.运行快速连接服务器:192.168.10.250代理服务器:安全ftp代理模式(上一步添加代理服务器名称)点击“连接”,连接成功。3在使用FlashFXP软件时,能够不设置代理服务器。配置方法以下图。5.2.3.2 透明模式配置1、在网闸内网配置FTP透明模式并启用FTP用户端服务2、在网闸外网启用FTP服务3、内网用户可经过DOS命令行方法和使用FTP用户端软件方法实现对外网FTP服务器正常访问及操作,直接访问真实服务器地址即可。不需要先访问代理服务器,或设置代理服务器。4、内网用户端机器网关指向网闸,或路由可达。透明模式下,外网服务器地
33、址不能和网闸内网地址在同一网段。基础配置中运行方法选择“透明方法”。其它配置方法和代理模式一致。用户端机器网关指向网闸(192.168.2.100),直接访问外网服务器。以下图所表示5.2.3.3 混合模式配置1、在网闸内网配置FTP混合模式并启用FTP用户端服务2、在网闸外网启用FTP服务3、内网用户可经过DOS命令行方法和使用FTP用户端软件方法实现对外网FTP服务器正常访问及操作。4、用户可采取代理模式访问外网ftp服务器,或使用透明模式访问。5、基础配置中运行方法中选择“混合模式”,使用方法见4.1,4.25.3 FTP访问说明:1 网闸内外网管理端口地址分别默认为:内网:10.0.0
34、.1,外网:10.0.0.2,提议不要进行更改,假如和已经有网络冲突能够在管理界面上进行更改。2 管理主机和网闸内外网管理端口相连接,分别以:/10.0.0.2访问,用户名和密码为:admin。网闸FTP工作原理:FTP是常见文件传输手段,我们只是分别在内外网FTP用户端模块中设置了监听网闸接口IP地址和端口号,就能够经过代理方法,透明方法,混合模式访问内网或外网FTP服务器。能够使用LeapFTP、FlashFXP等FTP软件和命令行方法,顺利进行访问和数据操作。在百兆网络测试环境中,FTP平均传输速率可达91.2 Mbps。对于FTP服务端所在网络只是FTP代理服务器情况,提供了很好处理方
35、案,仅需添加代理FTP服务器IP地址和端口即可。5.3.1 用户需求内网做为用户端,外网做为服务器端,实现内网用户可经过网闸访问到外网FTP服务器,而且内网用户对FTP服务器上传、下载等操作正常运行。有限数量FTP服务器,经过独立任务实现一对一ftp访问。大量FTP服务器,经过一个任务实现对多个FTP服务器透明访问。对访问ftp用户进行源地址控制。5.3.2 网络配置 内网网络端口配置修改地址为:192.168.2.100 内网管理端口地址如和网络接口不冲突,能够为默认。 外网网络端口配置修改地址为:192.168.10.100,如此为公网地址请直接指定。 外网网关配置此处网关为:192.16
36、8.10.254,如此为公网地址请直接指定。 外网管理端口地址如和网络接口不冲突,能够为默认。5.3.3 网闸具体配置5.3.3.1 需求一 内网模块配置内网为用户端一侧,关键配置是模块用户端配置和访问控制。点击FTP访问用户端;填写任务号,要求为1-99范围内数字,内外网用户端和服务端任务号要求一一对应;配置监听地址,选择网络口地址为监听地址,该地址为用户访问地址;监听端口,为用户访问端口,该端口能够自定义;数据通道,选则和监听地址相同地址;配置工作时间段,默认为全天运行,能够自定义该任务运行时间段;配置运行标识,能够指定该任务是否运行; 源地址访问控制经过配置用户端访问控制规则,能够对使用
37、ftp访问用户源地址进行控制,比如只许可192.168.2.0这个网段用户使用该模块,配置以下:点击“FTP访问用户端访问控制”;选择要进行控制任务;选择默认严禁,除以下配置策略外其它任何地址全部是严禁访问;添加许可访问用户端地址段,格式以下;用户端端口为任意;动作为许可; 外网模块配置外网为服务器一侧,关键配置是模块服务器端配置。点击FTP访问服务端;填写任务号,要求为1-99范围内数字,内外网用户端和服务端任务号要求一一对应;配置服务器地址,填写服务器地址,该地址为真实服务器地址;服务器端口,服务器端口,该端口为真是服务端口;地址绑定,配置数据经过网闸后源地址,默认使用网闸网络口地址;5.
38、3.3.2 需求二:透明模式配置1、在网闸内网配置FTP用户端,并配置访问控制2、在网闸外网配置FTP服务端3、内网用户可经过DOS命令行方法和使用FTP用户端软件方法实现对外网FTP服务器正常访问及操作,直接访问真实服务器地址即可。不需要先访问网闸当地监听地址,或设置代理服务器。4、内网用户端机器网关指向网闸,或路由可达。透明模式下,外网服务器地址不能和网闸内网地址在同一网段。配置步骤和非透明方法相同,配置用户端任务和服务端任务,用户端任务只需要配置一条即可;服务端无需指定服务器地址,能够配置any经过配置访问控制,实现地址透明访问;点击访问控制,选择要配置策略任务;默认界面以下:修改目标地
39、址为需要用户透明访问地址段,无明确地址段能够填any;点击确定提交;用户访问另一侧FTP服务器时,能够直接访问真实服务器地址即可。5.4 数据库访问说明:1 网闸内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,提议不要进行更改,假如和已经有网络冲突能够在管理界面上进行更改。2 管理主机和网闸内外网管理端口相连接,分别以:/10.0.0.2访问,用户名和密码为:admin。5.4.1 用户需求内网做为用户端,外网做为服务器端,内网用户使用数据库用户端软件经过网闸开启数据库访问服务登录到外网数据库服务器需求一:内网主机能够经过网闸访问外网Oracle数据库服务器 需求
40、二:内网主机能够经过网闸访问外网SQL Server数据库服务器需求三:内网主机能够经过网闸访问外网多台SQL Server数据库服务器5.4.2 网络配置 内网网络端口配置修改地址为:192.168.2.100 内网管理端口地址如和网络接口不冲突,能够为默认。 外网网络端口配置修改地址为:192.168.1.100,如此为公网地址请直接指定。 外网网关配置此处网关为:192.168.1.254,如此为公网地址请直接指定。 外网管理端口地址如和网络接口不冲突,能够为默认。5.4.3 网闸具体配置5.4.3.1 需求一配置1、在网闸内网配置及启用Oracle数据库用户端服务2、在网闸外网配置及启
41、用Oracle数据库服务端3、内网用户可访问外Oracle网数据库 内网模块配置添加Oracle 数据库用户端任务数据库访问数据库用户端添加任务 数据库类型:oracle 当地地址: 192.168.2.100 数据通道IP:192.168.2.100 当地端口:1521任务号:11注意:此任务号能够任意,但一定要和外网模块相同;当地IP是和要连接数据库建立联结,而数据通道IP是为数据库专门做一个数据传输通道,且只用于ORACLE数据库。 外网模块配置添加Oracle 数据库服务端任务数据库访问数据库服务端添加任务 服务器地址: 192.168.1.47 当地端口:1521 任务号:11注:此
42、任务号能够任意,但一定要和内网模块相同 内网用户端主机配置内网主机修改tns配置文件tnsname.ora修改HOST参数为网闸内网当地监听地址192.168.1.100内网用户成功登录外网数据库经过数据库用户端软件成功访问外网数据库5.4.3.2 需求二配置1、在网闸内网配置及启用SQL Server数据库用户端服务2、在网闸外网配置及启用SQL Server数据库服务端3、在网闸内外网配置表中添加新用户4、内网用户可访问外SQL Server网数据库 内网模块配置添加SQL Server 数据库用户端任务数据库访问数据库用户端添加任务 数据库类型:SQL Server 当地地址: 192.
43、168.2.100 数据通道IP:192.168.2.100 当地端口:1433 任务号:12注:此任务号能够任意,但一定要和外网模块相同 外网模块配置添加SQL Server 数据库服务端任务数据库访问数据库服务端添加任务 服务器地址: 192.168.1.47 当地端口: 1433 任务号: 12注:此任务号能够任意,但一定要和内网模块相同 内网用户端主机配置内网主机数据库用户端配置在内网主机上启用SQL查询分析器 SQL Server处输入192.168.2.100 登录名:sa(网闸内网上新建用户) 内网主机(192.168.2.56)可访问到外网数据库(192.168.1.47)内网
44、主机成功登录外网SQL Server数据库内网主机(192.168.2.56)成功登录到外网数据库(192.168.1.47)上可进行对数据库相关操作 注:在界面上显示SQL Server数据库IP为网闸内网端口地址(数据库代理192.168.2.100)5.4.3.3 需求三配置1、在网闸内网配置及启用SQL Server数据库用户端服务2、在网闸外网配置及启用SQL Server数据库服务端3、内网配置访问控制4、内网用户可访问外SQL Server网数据库 内网模块配置添加SQL Server 数据库用户端任务数据库访问数据库用户端添加任务 数据库类型:SQL Server 当地地址: 192.168.2.100 当地端口:1433 任务号:13注:此任务号能够任意,但一定要和外网模块相同 配置访问