数据库安全同步解决方案 ................................................ 错误!未定义书签。 安全邮件收发解决方案 .................................................. 错误!未定义书签。 安全文件交换解决方案 .................................................. 错误!未定义书签。 安全FTP访问解决方案 .................................................. 错误!未定义书签。 安全浏览解决方案 ...................................................... 错误!未定义书签。
3 准备工作 ................................................. 错误!未定义书签。
了解实际用户网络环境或主机环境 ........................................ 错误!未定义书签。 网络环境 ............................................................. 错误!未定义书签。 主机环境 ............................................................. 错误!未定义书签。 了解实际用户应用及安全需求 ............................................ 错误!未定义书签。 业务模式 ............................................................. 错误!未定义书签。 安全需求 ............................................................. 错误!未定义书签。 开箱、加电 ............................................................ 错误!未定义书签。 设备开箱 ............................................................. 错误!未定义书签。 设备加电 ............................................................. 错误!未定义书签。 安全注意事项 ......................................................... 错误!未定义书签。 管理网神SecSIS 3600安全隔离与信息交换系统 ............................. 错误!未定义书签。 WEB界面方式 ............................................................ 错误!未定义书签。 命令行方式 ........................................................... 错误!未定义书签。 其它方式 ............................................................. 错误!未定义书签。 如何申请许可证和激活网神SecSIS 3600安全隔离与信息交换系统产品功能模块 . 错误!未定义书签。 申请License .......................................................... 错误!未定义书签。 导入License .......................................................... 错误!未定义书签。
4 初级“假设法”手把手教您如何快速安装部署网闸产品 .......... 错误!未定义书签。
网闸网络配置 .......................................................... 错误!未定义书签。
5 中级“假设法”手把手教您如何快速调试网闸产品的基本功能 .... 错误!未定义书签。
安全浏览 .............................................................. 错误!未定义书签。 客户需求 ............................................................. 错误!未定义书签。 网络配置 ............................................................. 错误!未定义书签。 网闸具体配置 ......................................................... 错误!未定义书签。 安全FTP .............................................................. 错误!未定义书签。 客户需求 ............................................................. 错误!未定义书签。
网络配置 ............................................................. 错误!未定义书签。 网闸具体配置 ......................................................... 错误!未定义书签。 FTP访问 .............................................................. 错误!未定义书签。 客户需求 ............................................................. 错误!未定义书签。 网络配置 ............................................................. 错误!未定义书签。 网闸具体配置 ......................................................... 错误!未定义书签。 数据库访问 ............................................................ 错误!未定义书签。 客户需求 ............................................................. 错误!未定义书签。 网络配置 ............................................................. 错误!未定义书签。 网闸具体配置 ......................................................... 错误!未定义书签。 邮件访问 .............................................................. 错误!未定义书签。 客户需求 ............................................................. 错误!未定义书签。 网络配置 ............................................................. 错误!未定义书签。 网闸具体配置 ......................................................... 错误!未定义书签。 定制模块 .............................................................. 错误!未定义书签。 客户需求 ............................................................. 错误!未定义书签。 网络配置 ............................................................. 错误!未定义书签。 网闸具体配置 ......................................................... 错误!未定义书签。
6 常见问题答疑 ............................................. 错误!未定义书签。
1 网神SecSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明
网御神州SecSIS 3600安全隔离与信息交换系统根据不同的应用需求,量身定制功能模块,满足用户的不同应用需求,主要包括:
网络配置:完成设备网络参数的基本配置以及高可用性(双机负载)的配置 管理员配置:管理员源地址的访问控制,权限分配,新增管理员及参数设置。 文件交换:实现将网闸一侧的文件安全可控的摆渡到另外一侧 数据库同步:实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中 安全浏览:在内外网隔离环境下保证内网用户安全浏览外网资源。 安全FTP:实现对FTP服务器的安全防护
FTP 访问:在内外网隔离环境下实现安全的 FTP 访问。 数据库访问:在内外网隔离环境下实现安全的数据库访问。 邮件访问:在内外网隔离环境下实现安全的邮件访问。 视频模块:在内外网隔离环境下实现安全的视频服务器的访问。 定制模块:在内外网隔离环境下实现对所有的基于TCP/UDP服务的访问。 工具箱:系统许可证、配置管理、系统时间、修改口令,版本等信息的管理。
2 明
网神SecSIS 3600安全隔离与信息交换系统产品常见应用场景说
网神SecSIS 3600安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境,可应用在不同的涉密网络之间;同一涉密网络的不同安全域之间;与互联网物理隔离的网络和秘密级涉密网络之间;未与涉密网络连接的网络和互联网络之间,通过网闸的安全控制,在保证信息安全的前提下更好地促进各个业务系统的互联互通、资源共享。
2.1 数据库安全同步解决方案
某政府部门开展电子政务,允许公众通过互联网提交服务申请并查询结果。如果允许访问者通过Web服务器直接向核心数据库服务器发起数据访问请求,则黑客可能穿透防火墙的保护直接侵入后台数据库系统,严重威胁到业务的正常开展。
如上图所示,采用网神SecSIS 3600安全隔离与信息交换系统,在核心数据库服务器和外部不可信网络间实现安全隔离,则来自互联网的用户只能通过Web服务器访问到前置数据库服务器。根据安全策略定时将前置数据库和核心数据库的内容进行同步,既可满足对外服务的要求又提供了安全保障。这种方式强化了应用层的安全控制,可有效防止TCP/IP数据包穿越网络到达核心数据库服务器,大大增强了系统的安全性,为电子政务的有效开展提供了可靠的保证。
网神SecSIS 3600安全隔离与信息交换系统提供多种数据库同步方式,可定制同步周期及方向,支持Oracle、Sybase、SQL Server、MySQL、DB2等多种主流数据库。系统支持基于触发器和快照两种方式的增量数据复制,可实现异类数据库间的数据同步。系统提供C/C++编程接口,可以方便的与其它系统的集成。
2.2 安全邮件收发解决方案
某机构强制要求内网禁止与互联网相连,但根据业务需要必须通过电子邮件与外界进行信息交流。如采用人工方式,即由专人负责在公众信息网接收电子邮件,再通过移动存储介质复制到内部网进行处理,则信息不能得到及时处理,严重影响工作效率;若采用内外网邮件服务器转发的方式,安全又得不到保证。
为解决这一问题,在内外网间部署网神SecSIS 3600安全隔离与信息交换系统。安全隔离与信息交换系统可以保证可信内网与Internet安全隔离,内外网邮件服务器间不存在链路层连接,没有数据包的交换,因此无法通过邮件系统对内部办公网发起攻击。系统可以为每个用户制定各自的邮件交换策略,对邮件内容、附件类型及垃圾邮件、带病毒邮件等进行过滤,从而使内网用户可以在内网安全地收发邮件,保证安全的邮件处理。
2.3 安全文件交换解决方案
网神SecSIS 3600安全隔离与信息交换系统,由安全管理员制定相应的信息交换策略,在网络安全隔离的前提下定时进行文件交换。系统还支持交换方向、文件类型的指定,可对被交换文件进行内容检查、查病毒等处理,只允许或不允许包含相应内容的文件通过网闸传递。
网神SecSIS 3600 安全隔离与信息交换系统可对数字签名进行校验,以起到身份认证、防抵赖的作用。
2.4 安全FTP访问解决方案
网神SecSIS 3600安全隔离与信息交换系统,由安全管理员制定相应的FTP访问策略,在网络安全隔离的前提下进行FTP访问。系统还支持访问方式、文件类型的指定,可对FTP命令、用户名进行策略配置,达到FTP用户访问控制和过滤。
2.5 安全浏览解决方案
为了内网用户能够安全的访问互联网资源,网神SecSIS 3600安全隔离与信息交换系统,在保障内网安全的前提下提供安全浏览功能。安全浏览功能可进行多种策略设置,以达到URL访问控制、网页文件类型限制、上网时段控制等安全功能。内网用户可通过网闸对互联网资源正常、安全的进行访问。
3 准备工作
网闸的部署与用户的业务系统息息相关,在网闸项目实施时应特别注意,切勿造成用户业务无法正常使用的状况出现。所以,在网闸上线实施前,应对当前用户的网络环境、业务模式、安全需求等情况进行详细的了解,充分做好产品上线准备,确保网闸上线后高效、稳定,与用户业务安全结合。
3.1 了解实际用户网络环境或主机环境 3.1.1 网络环境
充分的网络环境了解,有助于我们明确网闸的部署位置,IP地址的规划等,对与当前用户整个网络的拓扑结构要做到心中有图和手中有图,
网络拓扑
网络拓扑图可以请用户网络工程师协助提供。拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。
部署位置
根据用户提供拓扑,分清安全域界限,明确网闸部署位置。 IP规划
明确网闸所需的IP地址、掩码、网关地址,以及各关键设备的地址信息。
3.1.2 主机环境
明确用户现场网络拓扑后,还需要对用户的主机系统,也就是各类与网闸应用相关的服务器进行了解,以确保采用正确的网闸模块与之对应。
服务器系统平台信息
了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。了解各服务器网络配置信息,如服务器IP地址、服务器连接位置等。
数据库信息
对具有数据库应用需求的用户,了解其使用的数据库类型、版本等数据库相关信息。 软件信息
了解用户主机系统所使用的与网闸业务相关的软件信息。
3.2 了解实际用户应用及安全需求 3.2.1 业务模式
了解业务模式,可以针对当前用户的各类业务应用选择最匹配的网闸功能模块,以确保网闸功能与用户应用的无缝结合。
应用相关信息
了解业务所采用的协议类型,业务端口开放情况等业务相关信息。 业务流程分析
通过对业务流程的分析,可以确定哪些功能是必须要实现,从而使得我们可以以更合适的方式来实现所需要的功能服务。
业务软件模式
针对业务应用所使用的软件模式,B/S架构还是C/S架构,可以更好的选择功能模块采用的实现方式。
3.2.2 安全需求
了解用户安全需求,细化网闸安全功能,确保用户信息及数据的安全。
访问用户限制
针对不同的访问用户进行业务应用限制,功能使用限制; 对于不同的管理员赋予不同的权限。 访问客户端限制
针对IP段、MAC地址的访问限制; 应用层过滤
针对业务应用进行的策略限制,黑白名单策略、命令限制、文件类型限制等。
3.3 开箱、加电 3.3.1 设备开箱
设备开箱请按装箱清单进行清点,并对设备外观进行检查,若有异常请认真详细地做好记录。打开网闸包装后,确认包装箱内是否包含以下各物品以及状态是否良好:
网神SecSIS 3600网闸
配件盒:电源线×1
串口线×1 网 线×2
软盘/CD-ROM 光盘(包括网闸相关信息文件和手册)
如果发现任何物品丢失或出现损坏,则立即联系网御神州公司。如果需要运输或将网神SecSIS 3600安全隔离与信息交换系统保存起来以待后用,那么切勿丢掉包装材料或装运纸箱。
3.3.2 设备加电
开箱检验确认设备外观无异常后,可对设备进行加电检验。加电后请注意观察网闸前面板指示灯,可初步判断网闸是否正常。内、网外面板各有3个指示灯。按顺序分别为:
电源指示灯:显示网闸供电是否正常。 状态指示灯:显示网闸存储读写工作情况。 交换指示灯:显示网闸交换卡工作情况。
网闸加电后,正常状态下,电源指示灯常量;状态指示灯只在存储读写情况下闪烁,无工作状态灭灯;交换指示灯在无工作情况下为间隔闪亮,间隔时间约1~2秒,交换卡工作情况下为快速闪烁状态。
注意:网闸配备冗余电源,尽量保证双电源供电。如果使用单一供电,无供电电源会产生报警。(可按电源模块上红色按钮取消报警)
3.3.3 安全注意事项
本节列出的安全使用注意事项,请在使用网御神州SecSIS 3600安全隔离与信息交换系统过程中严格执行。这将有助于更好地使用和维护安全隔离与信息交换系统。
1. 安全隔离与信息交换系统应用环境为温度10℃ ~ 35℃和湿度40% ~ 80%;存储环境为
温度0℃ ~ 70℃,湿度20% ~ 95%。 2. 采用交流220V电源。
3. 必须使用三芯带接地保护的电源插头和插座。良好的接地是您的安全隔离与信息交换
系统正常工作的重要保证。对于安全隔离与信息交换系统来说,如果缺少接地保护线,在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害,但在接触时,可能会产生麻、痛等轻微触电的感觉。另外,如果您擅自更换标准电源线,可能会带来严重后果。
3.4 管理网神SecSIS 3600安全隔离与信息交换系统
网神SecSIS 3600安全隔离与信息交换系统提供两种管理方式,Web管理和串口管理,下面介绍登陆界面的操作和管理的菜单功能。网神SecSIS 3600安全隔离与信息交换系统使用了安全套接层(SSL)协议,在网神安全隔离与信息交换系统连接期间,所有的交换信息均被SSL加密,默认的访问端口为443。
3.4.1 WEB界面方式
网闸分内网管理和外网管理
内网默认管理地址为: 外网默认管理地址为:
默认管理用户名:admin 默认密码:admin 默认日志用户名:auditor 默认密码:auditor
用户管理机地址设置与管理地址同一网段(10.0.0.*/24),用交叉线与网闸的内网管理口和外网管理口相连。
管理机网卡设置(10.0.0.6/打开IE浏览器,输入 (内网为例) 配置管理员:用户名admin,密码admin 日志管理员:用户名auditor,密码auditor
进入管理界面
菜单区:系统的所有功能菜单,不同的功能对应不同的菜单 配置区:配置系统相关参数的区域 显示区:显示系统在内网或外网管理页面
3.4.2 命令行方式
基于串口连接,提供命令行方式的基本配置管理和灾难恢复功能,提供了管理的安全、方便与灵活性。可以提供恢复出厂设置、关闭远程管理等基本管理功能。 配置终端参数:
登陆用户名为hawk,口令hawk。 命令表如下: 命令名称 |help Clear Service web 除了上述两种管理方式外,网神SecSIS 3600安全隔离与信息交换系统暂不提供其他管理方式。 3.5 如何申请许可证和激活网神SecSIS 3600安全隔离与信息交换系统产品功能模块 3.5.1 申请License 网神SecSIS 3600安全隔离与信息交换系统在初次使用时,产品功能模块需要激活方可使用。激活前请记录产品硬件序列号并填写《license申请表》。 ★注意:此处请务必分清内外网硬件序列号,避免混淆。 License申请:请将上述信息邮件至网御神州客户服务部并电话通知。 联系人:翟玉晶 电话: 邮件地址 3.5.2 导入License 点击上传许可证,浏览许可证文件,点击上传。许可证文件必须有厂商正式签发。签发许可证请参照获取硬件序列号,并发送给厂商进行申请。 注意:1.内外网License为同一文件。 2.导入License时,如果使用的浏览器为IE 8,请将安全级别设置降低,否则会出现找不到上传文件现象。 4 初级“假设法”手把手教您如何快速安装部署网闸产品 4.1 网闸网络配置 在了解完用户网络结构并确认网闸部署位置后,就可以对网闸进行基本的网络设置,我们以下图的网络环境为基础进行网闸的网络基本设置。 如上图所示,网闸分别与、网段相连接,内、外网口IP分别为和。确认上述IP信息无误后,即可在网闸上进行操作配置。以内网为例。 登录网闸WEB管理界面,点击网络配置: 网络地址,选择网口,ip地址栏填写网闸内网口实际地址。此处填写,子网掩码:。点网卡配置,选择网络设备属性,此处选择net,确定。 击确定保存。 外网IP设置与内网设置方法一致。 实际应用中,仅仅配置完IP并不能保证网闸的网路连通,还需要根据网络的实际状况 添加路由设置。本例中需要分别为网闸内、外网添加路由。配置如下图所示: 外网路由设置与内网设置方法一致 至此,本应用中的网闸网络配置已经完成,可以通过网闸WEB管理界面中工具箱下的调试工具测试网闸在网络中的连通性。 5 中级“假设法”手把手教您如何快速调试网闸产品的基本功能 5.1 安全浏览 说明: 1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。 2 管理主机与网闸的内外网管理端口相连接,分别以10.0.0,用户名和密码为:admin。 5.1.1 客户需求 需求一:内网主机能够通过网闸访问互联网,采用代理服务器模式,即需要在客户端主机上添加代理服务,不需要添加网关地址和DNS地址。 需求二:内网主机能够通过网闸访问互联网,采用透明模式,即需在客户端主机添加网关地址和DNS地址 5.1.2 网络配置 内网网络端口配置 修改地址为:内网管理端口地址 如与网络接口不冲突,可以为默认。 外网网络端口配置 修改地址为:,如此为公网地址请直接指定。 外网网关配置 此处网关为:,如此为公网地址请直接指定。 外网管理端口地址 如与网络接口不冲突,可以为默认。 5.1.3 网闸具体配置 5.1.3.1 需求一配置 内网主机能够通过网闸访问互联网,采用代理服务器模式,即需要在客户端主机上添加代理服务,不需要添加网关地址和DNS地址。 内网模块配置 1. 安全浏览→客户端→基本设置,进行安全浏览服务设置。 选择代理方式,选择侦听地址: ,端口8080 ,其他选项默认。 2. 安全浏览→基本设置→启动设置 点击启动服务按钮 外网模块配置 1. 安全浏览→服务端→配置DNS,添加DNS地址 (当地的DNS服务器地址) 2. 安全浏览→基本设置→启动设置,选择启动服务按钮。 内网客户端主机配置 在用户的主机IE属性中选择连接/局域网连接,添加代理服务器地址(端口8080) 5.1.3.2 需求二配置 内网主机能够通过网闸访问互联网,采用透明模式,即需在客户端主机添加网关地址和DNS地址 内网模块配置 1. 安全浏览→客户端→基本配置,选择透明方式,本地地址 ,服务端口 80。 2. 安全浏览→客户端 →启动配置,重启服务 3. 内网允许DNS请求通过 定制模块 →UDP访问 →UDP客户端→添加任务,地址 端口 53 任务号1 (此任务号可以任意,但一定要与外网模块的相同) 外网模块配置 1. 网络配置 →配置DNS :安全浏览”→基本设置 →启动设置 →确定,启动服务 2. 外网允许DNS请求通过 定制模块 →UDP访问→ UDP服务端 ,地址:,端口:53,任务号:1(此任务号可以任意,但一定要与内网模块的相同) 内网客户端主机配置 1. 在本地PC机的“TCP/IP”属性设置如下: 默 认 网 关 : , DNS 服 务 器 : 浏览器的设置(把代 理去掉) 5.2 安全FTP 说明: 1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。 2 管理主机与网闸的内外网管理端口相连接,分别以10.0.0,用户名和密码为:admin。 网闸FTP工作原理: FTP是常用的文件传输手段,我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号,就可以通过代理方式,透明方式,混合模式访问内网或外网的FTP服务器。可以使用LeapFTP、FlashFXP等FTP软件和命令行方式,顺利进行访问和数据操作。在百兆网络的测试环境中,FTP的平均传输速率可达 Mbps。对于FTP服务端所在网络只是FTP代理服务器的情况,提供了很好的解决方案,仅需添加代理FTP服务器的IP地址和端口即可。 5.2.1 客户需求 内网做为客户端,外网做为服务器端,实现内网用户可通过网闸访问到外网的FTP服务器,并且内网用户对FTP服务器的上传、下载等操作正常运行。对访问的服务器进行目的地址控制。对访问ftp的用户进行源地址控制。隐藏真实服务器地址。 1、在网闸内网配置FTP代理监听并启用FTP客户端服务 2、在网闸外网启用FTP服务 3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作 5.2.2 网络配置 内网网络端口配置 修改地址为:内网管理端口地址 如与网络接口不冲突,可以为默认。 外网网络端口配置 修改地址为:外网网关配置 此处网关为:外网管理端口地址 如与网络接口不冲突,可以为默认。 5.2.3 网闸具体配置 5.2.3.1 代理模式配置 在网闸内网配置FTP代理监听并启用FTP客户端服务。 通过允许服务器控制用户访问的目的地址 通过访问控制对访问ftp的用户源地址进行控制 通过重定向隐藏真实服务器地址 在网闸外网启用FTP服务 内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作。 内网模块配置 安全ftp→客户端→基本配置,运行方式:代理模式,本地地址:,本地端口:21,其它参数项默认不修改即可。 安全FTP→客户端→启动设置,点击启动服务按钮,启用FTP客户端模块。 客户要求只允许通过网闸访问指定的FTP服务器,即和两台,其他ftp服务器不允许访问。通过配置允许的服务器可以进行目的地址控制。 点击安全ftp—客户端—允许的服务器,添加允许用户访问的服务器地址即可。 注意:默认不填,为全部都允许;如果添加了允许的服务器,未添加的就都不允许;在添加允许的服务器时,首先应该将网闸FTP访问的监听地址允许访问,否则就全部都无法访问了。 源地址访问控制 通过配置客户端的访问控制规则,可以对使用安全ftp访问的用户的源地址进行控制,例如只允许这个网段的用户使用该模块。 配置如下: 点击安全FTP—客户端—访问控制;选择默认禁止,除以下配置策略外的其他任何地址都是禁止访问的;添加允许访问的客户端地址段,格式如下;客户端端口为任意; 动作为允许; 重定向 通过配置重定向,可以隐藏用户的实际服务器地址。比如用户要求访问ftp服务器的终端不知道实际服务器的地址,只告诉他们一个虚拟的访问地址,虚拟成为,虚拟成为; 配置如下: 点击安全FTP—客户端—重定向;添加虚拟服务器地址和真实服务器地址; 用户通过网闸访问时访问方式不变,但是只需访问虚拟地址就可以重定向到真实的服务器地址; 外网模块配置 安全FTP→基本设置→启动设置,点击启动服务按钮,启用FTP服务端模块 内网客户端主机访问FTP服务器设置 1. 命令行方式一 内网用户主机(通过命令行方式访问FTP 1. ftp 用户名输入 2. 命令行方式二 内网用户主机(通过命令行方式访问FTP数据库 1. ftp 用户名输入:2121 3. 使用FTP客户端软件方式 内网用户主机(客户端软件访问FTP服务器 1.添加代理服务器 2.运行快速连接 服务器:代理服务器:安全ftp代理模式(上一步添加的代理服务器名称) 点击“连接”,连接成功。 3.在使用FlashFXP软件时,可以不设置代理服务器。配置方式如下图。 5.2.3.2 透明模式配置 1、在网闸内网配置FTP透明模式并启用FTP客户端服务 2、在网闸外网启用FTP服务 3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作,直接访问真实服务器地址即可。不需要先访问代理服务器,或者设置代理服务器。 4、内网客户端机器的网关指向网闸,或者路由可达。透明模式下,外网服务器地址不能与网闸内网地址在同一网段。 基本配置中的运行方式选择“透明方式”。其余配置方式与代理模式一致。 客户端机器的网关指向网闸(),直接访问外网服务器。如下图所示 5.2.3.3 混合模式配置 1、在网闸内网配置FTP混合模式并启用FTP客户端服务 2、在网闸外网启用FTP服务 3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作。 4、用户可采用代理模式访问外网ftp服务器,或者使用透明模式访问。 5、基本配置中运行方式中选择“混合模式”,使用方式见, 5.3 FTP访问 说明: 1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。 2 管理主机与网闸的内外网管理端口相连接,分别以10.0.0,用户名和密码为:admin。 网闸FTP工作原理: FTP是常用的文件传输手段,我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号,就可以通过代理方式,透明方式,混合模式访问内网或外网的FTP服务器。可以使用LeapFTP、FlashFXP等FTP软件和命令行方式,顺利进行访问和数据操作。在百兆网络的测试环境中,FTP的平均传输速率可达 Mbps。对于FTP服务端所在网络只是FTP代理服务器的情况,提供了很好的解决方案,仅需添加代理FTP服务器的IP地址和端口即可。 5.3.1 客户需求 内网做为客户端,外网做为服务器端,实现内网用户可通过网闸访问到外网的FTP服务器,并且内网用户对FTP服务器的 上传、下载等操作正常运行。 有限数量的FTP服务器,通过独立任务实现一对一ftp访问。 大量的FTP服务器,通过一个任务实现对多个FTP服务器的透明访问。 对访问ftp的用户进行源地址控制。 5.3.2 网络配置 内网网络端口配置 修改地址为:内网管理端口地址 如与网络接口不冲突,可以为默认。 外网网络端口配置 修改地址为:,如此为公网地址请直接指定。 外网网关配置 此处网关为:,如此为公网地址请直接指定。 外网管理端口地址 如与网络接口不冲突,可以为默认。 5.3.3 网闸具体配置 5.3.3.1 需求一 内网模块配置 内网为客户端一侧,主要配置是模块的客户端配置和访问控制。 点击FTP访问—>客户端; 填写任务号,要求为1-99范围内数字,内外网客户端和服务端任务号要求一一对应; 配置监听地址,选择网络口地址为监听地址,该地址为用户访问的地址; 监听端口,为用户访问的端口,该端口可以自定义; 数据通道,选则与监听地址相同的地址; 配置工作时间段,默认为全天运行,可以自定义该任务运行时间段; 配置运行标记,可以指定该任务是否运行; 源地址访问控制 通过配置客户端的访问控制规则,可以对使用ftp访问的用户的源地址进行控制,例如只允许这个网段的用户使用该模块,配置如下: 点击“FTP访问—客户端—访问控制”; 选择要进行控制的任务; 选择默认禁止,除以下配置策略外的其他任何地址都是禁止访问的; 添加允许访问的客户端地址段,格式如下; 客户端端口为任意; 动作为允许; 外网模块配置 外网为服务器一侧,主要配置是模块的服务器端配置。 点击FTP访问—>服务端; 填写任务号,要求为1-99范围内数字,内外网客户端和服务端任务号要求一一对应; 配置服务器地址,填写服务器地址,该地址为真实服务器的地址; 服务器端口,服务器端口,该端口为真是服务端口; 地址绑定,配置数据通过网闸后的源地址,默认使用网闸网络口地址; 5.3.3.2 需求二:透明模式配置 1、在网闸内网配置FTP客户端,并配置访问控制 2、在网闸外网配置FTP服务端 3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作,直接访问真实服务器地址即可。不需要先访问网闸本地监听地址,或者设置代理服务器。 4、内网客户端机器的网关指向网闸,或者路由可达。透明模式下,外网服务器地址不能与网闸内网地址在同一网段。 配置步骤与非透明方式相同,配置客户端任务和服务端任务,客户端任务只需要配置一条即可;服务端无需指定服务器地址,可以配置any 通过配置访问控制,实现地址透明访问; 点击访问控制,选择要配置策略的任务; 默认界面如下: 修改目的地址为需要用户透明访问的地址段,无明确地址段可以填any; 点击确定提交; 用户访问另一侧FTP服务器时,可以直接访问真实服务器地址即可。 5.4 数据库访问 说明: 1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。 2 管理主机与网闸的内外网管理端口相连接,分别以10.0.0,用户名和密码为:admin。 5.4.1 客户需求 内网做为客户端,外网做为服务器端,内网用户使用数据库客户端软件通过网闸开启的数据库访问服务登录到外网的数据库服务器 需求一:内网主机能够通过网闸访问外网的Oracle数据库服务器 需求二:内网主机能够通过网闸访问外网的SQL Server数据库服务器 需求三:内网主机能够通过网闸访问外网的多台SQL Server数据库服务器 5.4.2 网络配置 内网网络端口配置 修改地址为:内网管理端口地址 如与网络接口不冲突,可以为默认。 外网网络端口配置 修改地址为:,如此为公网地址请直接指定。 外网网关配置 此处网关为:,如此为公网地址请直接指定。 外网管理端口地址 如与网络接口不冲突,可以为默认。 5.4.3 网闸具体配置 5.4.3.1 需求一配置 1、在网闸内网配置及启用Oracle数据库客户端服务 2、在网闸外网配置及启用Oracle数据库服务端 3、内网用户可访问外Oracle网数据库 内网模块配置 添加Oracle 数据库客户端任务 数据库访问→数据库客户端→添加任务 数据库类型:oracle 本地地址: 数据通道IP: 本地端口:1521 任务号:11 注意:此任务号可以任意,但一定要与外网模块的相同;本地IP是与要连接的数据库建立联结的,而数据通道IP是为数据库专门做的一个数据传输的通道,且只用于ORACLE数据库。 外网模块配置 添加Oracle 数据库服务端任务 数据库访问→数据库服务端→添加任务 服务器地址: 本地端口:1521 任务号:11 注:此任务号可以任意,但一定要与内网模块的相同 内网客户端主机配置 内网主机修改tns配置文件 修改HOST参数为网闸内网本地监听地址内网用户成功登录外网数据库 通过数据库客户端软件成功访问外网数据库 5.4.3.2 需求二配置 1、在网闸内网配置及启用SQL Server数据库客户端服务 2、在网闸外网配置及启用SQL Server数据库服务端 3、在网闸内外网配置表中添加新的用户 4、内网用户可访问外SQL Server网数据库 内网模块配置 添加SQL Server 数据库客户端任务 数据库访问→数据库客户端→添加任务 数据库类型:SQL Server 本地地址: 数据通道IP: 本地端口:1433 任务号:12 注:此任务号可以任意,但一定要与外网模块的相同 外网模块配置 添加SQL Server 数据库服务端任务 数据库访问→数据库服务端→添加任务 服务器地址: 本地端口: 1433 任务号: 12 注:此任务号可以任意,但一定要与内网模块的相同 内网客户端主机配置 内网主机数据库客户端配置 在内网主机上启用SQL查询分析器 SQL Server处输入 登录名:sa(网闸内网上新建用户) 内网主机()可访问到外网数据库() 内网主机成功登录外网SQL Server数据库 内网主机()成功登录到外网数据库()上可进行对数据库相关操作 注:在界面上显示的SQL Server数据库IP为网闸内网端口地址(数据库代理) 5.4.3.3 需求三配置 1、在网闸内网配置及启用SQL Server数据库客户端服务 2、在网闸外网配置及启用SQL Server数据库服务端 3、内网配置访问控制 4、内网用户可访问外SQL Server网数据库 内网模块配置 添加SQL Server 数据库客户端任务 数据库访问→数据库客户端→添加任务 数据库类型:SQL Server 本地地址: 本地端口:1433 任务号:13 注:此任务号可以任意,但一定要与外网模块的相同 配置访问控制策略 点击访问控制,列表当前配置的数据库访问任务 点击访问配置,更改原来目的地址为any 外网模块配置 添加SQL Server 数据库服务端任务 数据库访问→数据库服务端→添加任务 服务器地址: any 本地端口: 1433 任务号: 13 注:此任务号可以任意,但一定要与内网模块的相同 内网客户端主机配置 内网主机数据库客户端配置 在内网主机上启用SQL事件探查器, SQL Server处输入 登录名:sa (网闸内网上新建用户) 内网主机(,网关指向网闸)可访问到外网数据库() 内网主机成功登录外网SQL Server数据库 内网主机()成功登录到外网数据库()上可进行对数据库相关操作。 5.5 邮件访问 说明: 1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。 3 管理主机与网闸的内外网管理端口相连接,分别以10.0.0,用户名和密码为:admin。 5.5.1 客户需求 内网主机使用客户端软件通过网闸访问互联网邮件服务器。 内网做为客户端,外网做为服务器端,内网用户使用foxmail邮件客户端软件,并在客户端软件属性配置的SMTP和POP3服务器文本框中添加网闸内网端口IP。在内外网闸添加相关任务后,内网用户可使用外网邮件服务器进行邮件的收发。 5.5.2 网络配置 内网网络端口配置 修改地址为:内网管理端口地址 如与网络接口不冲突,可以为默认。 外网网络端口配置 修改地址为:,如此为公网地址请直接指定。 外网网关配置 此处网关为:,如此为公网地址请直接指定。 外网管理端口地址 如与网络接口不冲突,可以为默认。 DNS配置 注:此处指定公网DNS服务器; 5.5.3 网闸具体配置 需求配置 1、在网闸内网添加SMTP和POP3客户端任务 2、在网闸外网添加与内网客户端对应的服务端任务(任务号需一致) 3、在内网主机上运行邮件客户端软件如Foxmail,并进行相关配置,实现对外网邮件服务的访问 内网模块配置 添加SMTP客户端任务配置 邮件访问→SMTP客户端 本地地址: 本地端口:25 任务号:30 注:此任务号可以任意,但一定要与外网模块的相同 添加POP3客户端任务配置 邮件访问→POP3客户端 本地地址: 本地端口:110 任务号:31 注:此任务号可以任意,但一定要与外网模块的相同 外网模块配置 添加服务端任务配置(与内网SMTP客户端对应) 邮件访问→smtp服务端 服务器地址: 服务器端口:25 任务号:30 注:此任务号可以任意,但一定要与内网模块的相同 邮件访问→pop3服务端 服务器地址: 服务器端口:110 任务号:31 内网客户端主机配置 内网主机邮件客户端设置 内网主机使用Foxmail邮件客户端软件 发送邮件服务器(SMTP):接收邮件服务器(POP3):以下是用户wangsj在客户端软件的基本配置 注:邮件服务器地址要添加网闸内网端口地址内网主机使用外网邮件服务器接发邮件 测试目的:内网主机用户wangsj通过外网邮件服务器(),发送邮件给内网主机用户wangsj1 测试结果:用户wangsj 邮件发送成功,用户wangsj1邮件接收成功 5.6 定制模块 说明: 1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。 2 管理主机与网闸的内外网管理端口相连接,分别以10.0.0,用户名和密码为:admin。 3 网闸配置及本文中的一段端口描述方式为“起始端口:结束端口”,中间冒号(英文半角)隔开。 5.6.1 客户需求 TCP访问 需求一:WEB服务器浏览 外网主机通过IE浏览器,,访问到内网的服务器基于8000端口的WEB服务。 需求二:端口透明(网闸通过一条任务开放一段端口) 外网客户端应用程序通过访问的40000:50000的端口,实际访问到内网的服务器基 于40000:50000的应用服务。 端口透明方式主要用于内网某应用服务器随机生成服务端口或者服务端口较多的情况。 需求三:地址透明(客户端程序直接访问服务器的地址及端口)) 外网主机通过IE浏览器,输入直接访问内网的 0的web服务。访问内网其它服务 器的web服务。 地址透明方式主要用于内网提供相同服务的服务器比较多的情况,拓扑中的大多数服务器()都提供基于8000端口的web服务。 需求四:地址透明+端口透明(客户端程序直接访问服务器的地址及一段端口) 外网客户端应用程序直接访问内网的()服务器基于40000:50000的应用服务。 此种方式主要用户地址透明中,应用服务器提供的应用服务随机生成服务端口或者服务端较多的情况。 5.6.2 网络配置 内网网络端口配置 修改地址为: 内网管理端口地址 如与网络接口不冲突,可以为默认。 外网网络端口配置 修改地址为:外网管理端口地址 如与网络接口不冲突,可以为默认。 5.6.3 网闸具体配置 5.6.3.1 需求一 :web服务器浏览 外网主机通过IE浏览器,,访问到内网的服务器基于8000端口的WEB服务。 内网模块配置 定制模块 → TCP访问→TCP服务端 服务器地址: 服务器端口:8000 任务号:1 注:此任务号范围为(1-1000),但一定要与外网客户端任务的相同。 外网模块配置 定制模块 →TCP访问 →TCP客户端 : 本地监听地址: 监听端口:8000 任务号:1 注:此任务号范围为(1-1999),但一定要与内网服务端任务号的相同。 5.6.3.2 需求二 端口透明 外网客户端应用程序通过访问的40000:50000的端口,实际访问到内网的服务器基于40000:50000的应用服务。 内网模块配置 定制模块 → TCP访问→TCP服务端 服务器地址: 服务器端口:40000:50000 任务号:2 注:服务器端口不支持输入一段端口,此处输入起始端口或结束端口即可。 外网模块配置 定制模块 →TCP访问 →TCP客户端 : 本地监听地址: 端口:40000:50000 任务号:2 注:监听端口项中输入一段端口即可完成端口透明任务的设置。 5.6.3.3 需求三 地址透明 外网主机通过IE浏览器,输入直接访问内网的的web服务。同样方式,访问内网其它服务器的web服务。 内网模块配置 定制模块 → TCP访问→TCP服务端 服务器地: 服务器端口:8000 任务号 :4 注:服务器地址不支持输入一段地址,此处输入其中一个服务器地址即可。 外网模块配置 定制模块 →TCP访问 →TCP客户端 : 本地监听地址: 监听端口:8000 任务号:4 点击“TCP访问控制”,设置地址透明方式中 点击“访问配置”,修改目的地址为“如果对地址透明方式的目的地址不做限制,目的地址可输入“any”。 5.6.3.4 需求四 地址透明+端口透明 外网客户端应用程序直接访问内网的()服务器基于40000:50000的应用服务。 内网模块配置 定制模块 → TCP访问→TCP服务端 服务器地址: 端口:40000 任务号:5 注:服务器端口不支持输入一段端口,此处输入起始端口或者结束端口即可。 服务器地址不支持输入一段地址,此处输入其中一个服务器地址即可 外网模块配置 定制模块 →TCP访问 →TCP客户端 : 本地监听地址: 端口:40000:50000 任务号:5 点击“tcp访问控制”,设置地址透明方式 点击“访问控制”,修改目的地址为“如果对地址透明方式的目的地址不做限制,目的地址可输入“any”。修改目的端口为“40000:50000”。 6 常见问题答疑 1. 问:忘记web管理登录密码怎么办 答:可通过串口登录网闸后台进行WEB管理界面密码恢复,webpass命令。 2. 问:忘记网闸管理口IP怎么办 答:可通过串口登录网闸后台进行恢复和查看。 3. 问:网闸加电后长鸣报警怎么回事 答:网闸配备冗余电源,尽量保证双电源供电。如果使用单一供电,无供电电源会产生报警。可按电源模块上红色按钮取消报警。 4. 问:导入license时,网闸提示“许可证校验失败”怎么办 答:提供正确硬件序列号,重新申请许可证。 5. 问:导入license时,网闸提示“无此文件” 答:此现象一般在使用IE8时出现,将浏览器安全级别调低可解决此问题。 6. 问:网闸登陆后,管理界面白屏无显示 答:造成管理界面白屏有两种情况: a. 网闸系统硬盘无空间;此种情况需要登录网闸后台进行查看,分析是什么状况将网闸硬盘写满并有针对性的解决; b. 添加网闸登录地址为信任站点可解决。 7. 问:邮件访问模块,邮件附件是否支持压缩包解包检查 答:不支持解包检查。 8. 问:在配置数据库同步时,外网管理界面无配置选项,只可启动 答:数据库同步配置均在内网管理界面进行,外网开启服务即可,此现象为正常现象。 9. 问:查看文件交换任务日志,日志报“文件交换内网任务与外网任务联系失败” 答:此现象一般由内外网任务配置不一致造成,可以检查配置,重新调试解决。 10. 问:安全浏览模块采用透明模式代理上网,任务配置正确,网闸服务启动正常, 访问客户端网关和DNS也指向网闸的外网口,但是无法访问互联网 答:在配置此种类型任务时,需要同时在定制模块的UDP访问功能中添加UDP协议的53号端口任务,以提供客户端能够通过DNS解析地址,达到访问功能。 因篇幅问题不能全部显示,请点此查看更多更全内容