资源描述
加密安全网关使用说明
1
2
3
1 设备介绍
IP-guard安全网关控制设备(以下简称控制器),分为三个型号:
IPG-2000:
3个千兆网卡,其中管理端口为EMP;
IPG-3000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
IPG-4000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
说明 管理端口的固定IP为190.190.190.190,初始配置时使用;
BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
2 部署前提
先部署好需要保护的服务器环境。
3 具体部署过程
3.1 安装安全网关管理器
运行网络准入管理器安装程序SGManSetup.exe,根据默认提示安装。
3.2 部署安全网关
1
2
3
3.1
3.2
3.2.1 安全网关IP设置
首先要确定安全网关串联接入网络中的具体位置,据此确定安全网关的IP地址,接着便要开始设置安全网关的IP。
安全网关管理端口的固定IP为190.190.190.190,通过管理端口进行安全网关IP配置。设置的具体操作如下:
1) 计算机A安装了安全网关管理器,使计算机A脱离内网环境,而直接用网线将安全网关的管理端口与计算机A连接,修改计算机A的IP,让它能与安全网关通讯。如修改计算机A的IP如下:
IP地址:190.190.190.1
子网掩码:255.255.255.0
默认网关:可不填
2) 在计算机A上开始菜单中运行安全网关管理器,操作:【工具→控制器连接参数】,如图1:
图1
控制器:输入控制器的固定IP,即190.190.190.190;
密码:初始为空
3) 输入完毕,点击【确定】,此时 【工具->控制器管理】为可选状态,点击进入,弹出控制器管理窗口,如图2:
图2
4) 点击【设置网络参数】,弹出安全网关设置IP的对话框,如图3:
图3
5) 点击【确定】,设置的网络参数需要重启生效,点击控制器管理界面的【重启控制器】,重启之后,安全网关IP修改成功。
3.2.2 安全网关桥接入网络
连接方法:使用设备的ETH0和ETH1端口将其连入网络;
3.3 安全控制前的设置
3.3
3.3.1 连接安全网关
启动安全网关管理器,【菜单栏->工具->控制器连接参数】,弹出控制器连接设置窗口(图1)。
对应的输入内容:
控制器:输入修改后的控制器IP;
密码:初始密码为空
成功连接之后,能在状态列表内看到默认IP范围的计算机状态情况;
3.3.2 设置管理范围
在安全网关管理器界面,切换到管理配置标签页,如图4:
图4
设置控制器所能管理的计算机范围,此范围的计算机有通信经过控制器时,就会出现在“状态信息”内。支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
3.3.3 设置控制范围
在安全网关管理器界面,切换到管理配置标签页, 如上图4。
在“控制范围”中添加要控制的计算机范围,支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
3.3.4 设置服务器连接参数
在安全网关管理器界面,切换到管理配置标签页, 如上图4。指定受保护的服务器IP和TCP协议端口。支持“IP:端口”的输入,如:192.168.1.2:8080。
3.3.5 设置转发的URL
计算机访问网络受阻后,将其引导至“转发的url”。
可使用IP-guard提供web服务器架设程序(WebServerSetup.exe)进行部署。
1) 双击运行该程序,根据默认提示安装。成功安装之后,web服务自动在后台运行,默认开放8282端口。
2) 把客户端安装程序改名为Agent3.exe,放置在TEC\WebServer安装目录下的html文件夹里即可。
以上步骤完成之后,则可在管理配置标签页中的转发设置处填写:
转发的url:设置好的转发网页地址+/index_sg.html,即
http://192.168.1.2:8282/index_sg.html
(192.168.1.2为安装web服务的机器IP)
4
5
6
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
6.9
4 加密客户端的配置
1) 设置平时访问OA等系统的软件为授权软件。如SVN客户端或浏览器。如果预定义中没有此软件,可使用自定义授权软件。例如设定IE为自定义授权软件。
2) 对加密客户端指定授权软件,例如对加密客户端指定IE为授权软件。
3) 对授权软件启动安全通讯功能。启动控制台,在【策略->客户端配置】中设置客户端配置策略:
a) 如果授权软件是SVN,新建客户端配置safe_netconnect_svn,值为1
b) 如果授权软件是其他软件,如IE,新建客户端配置策略safe_netconnect_process,值为iexplore.exe (支持多进程,以分号分隔)
c) 如果授权软件需要访问安全网关之外的服务器,在客户端配置策略中设置白名单。名称:safe_netconnect_whitelist,值为OA或SVN服务器IP,如:192.168.1.2
注意 设置白名单之后,加密文档可以上传到这些网站并解密,这样会存在泄密风险,设置白名单须谨慎。
5 安全网关的使用
4
5
6
6.1 开启/停止控制
在安全网关管理器,【菜单栏->系统->启动】,则开启安全网关控制的功能。
【菜单栏->系统->停止】,则关闭安全网关控制的功能。
6.2 设置白名单
对访问受阻的计算机启用白名单,则在该计算机中使用浏览器访问任一个网站,可正常访问。
添加白名单的方法有两种方法:
1)安全网关管理器主界面,切换至“状态信息”窗口,选中一台或多台计算机,右键菜单->设置白名单,也可取消白名单。
2)安全网关管理器主界面,切换至“白名单”标签页,右键->添加白名单,如图5:
图5
填入要设为白名单的计算机IP,多个IP使用“,”分隔开,支持IP、IP段输入,如:192.168.3.0,192.168.0.2-192.168.1.160。点击【确定】之后,设置成功,列表中出现添加的IP机器。
删除白名单:在“白名单”列表中选择一个或多个计算机,右键菜单->删除白名单,这些机器将不再具有白名单功能。
6 加密客户端的使用
加密客户端不改变平时使用习惯,加解密操作对用户透明。不过启动了安全通讯功能的浏览器只能访问受保护的OA服务器,不能访问其他网站;如需要刚问其他网站,请使用其他浏览器,如360浏览器。未启用安全通讯功能的浏览器不能访问受保护的OA系统。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
