网闸安装与 配置1

网闸基本全参数1网闸1.设备参数要求：指标要求系统架构采用“2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成。

采用安全操作系统平台，隔离交换矩阵基于专用芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议系统要求采用具有自主知识产权的多核多线程ASIC并行操作系统平台，并提供该安全操作系统的软件著作权；接口配置要求不少于6个10/100M自适应电口，内外网主机系统分别具有独立的网络口、管理口、HA口（热备口）、扩展口；内外网主机系统分别具有1个RJ45串口；性能系统吞吐量不小于91Mbps并发连接数不小于 1.2万延时小于1ms交换开关切换小于2ns文件交换支持病毒检测；支持NFS、SMBFS、SAMBA等文件系统；文件服务器可以是Windows、Linux/Unix等系统平台；支持文件传输方向可控，实现单向或双向传输；支持按任务进行分策略过滤；支持一源多目的及多源一目的文件交换；文件交换可以采用客户端方式和无客户端方式的部署；文件传输支持身份认证及加密传输；支持增量传输、发送后删除、发送后转移等发送策略；支持文件格式特征过滤，并且不依赖于文件扩展名；支持文件类型检查可扩展模式，方便用户自主增加特定文件类型，并提供工具帮助用户识别不常见文件类型；（要求功能界面截图）重发策略，在文件发送端设置发送次数支持时间策略；支持文件大小传输限制；重名策略，接收端客户端支持对重名文件的控制策略，提供“覆盖”、“丢弃”、“重命名”等重名策略。

具备详细的日志记录功能，方便日志查询、统计等操作；可根据异常条件进行报警；支持邮件报警方式；数据库同步支持病毒检测；支持Oracle、SQL Server、Sybase、Db2等主流数据库；数据库同步客户端支持Windows、Linux等多种平台；支持Oracle数据库RAC集群同步；支持同种数据间（同构）和不同种数据库间（异构）的同步；支持字段级数据库间的单向或双向同步（不改变用户的库结构）。

利谱网闸配置
2008-11-11 17:35:33| 分类：网闸配置| 标签：|字号大中小订阅
1、首先配置网闸网络参数:
内网网络参数设置: 设置内网网闸IP.192.168.4.251 MASK:255.255.252.0 网关.* （可以填上去）外网网络参数设置: 设置外网网闸IP.10.0.0.1 MASK:255.255.255.0 网关:*
2、网闸数据库服务设置
数据库端口：1433
远程端口：3389
vpn端口：1723
如果数据从内到外更新，按如下配置
选择映射模式，相当于外网的服务器IP映射到网闸内网网口IP，反之。

入口设备：内网网卡
出口设备：外网网卡
目的IP：外网服务器IP
入口设备IP：（网闸内网网口ip）
出口设备IP：（网闸外网网口ip）
外到内
3、SQL 数据库同步管理
在数据库内建username：lp password：lp 任务描述(最好写英文,中文不识别)
外到内同步任务
内到内同步（相当于数据库的订阅与发布，不过订阅与发布会在表里添加一个字段）建多一个用户，是为了内网服务器到备份服务器同步时与另一个任务产生触发。

文件共享
外到内远程
备注:
1.可以在配置测试完成后导出配置文件,下次导入的时候注意对于同步任务要每个任务都点击<修改> <保存>, 然后选择发送数据重启.否则导入不能生效.
2.为网闸程序添加数据库单独用户(权限给予systemadmin)
1.建议在配置过程中注意大小写的区分,以及在字段选择时不要加空格.。

网闸基本配置步骤2篇网闸基本配置步骤（一）在网络环境中，网闸（Gateway）既可以理解为一个连接两个不同网络的设备，也可以理解为网络安全的门户。

当我们需要将局域网和互联网进行连接时，就需要进行网闸的基本配置。

接下来，我将介绍网闸的基本配置步骤。

步骤一：连接网闸设备首先，将网闸设备与局域网中的交换机进行连接。

找到交换机上的一个未使用的端口，将网闸设备的LAN口（局域网口）与该端口连接。

然后，将网闸设备的WAN口（广域网口）与互联网接入设备（如路由器、调制解调器）进行连接。

步骤二：设置网闸设备IP地址在网闸设备连接到局域网中后，需要设置网闸设备的IP地址。

通过一台连接到同一个局域网的电脑，打开浏览器，在地址栏中输入网闸设备的默认IP地址（通常为192.168.1.1或192.168.0.1），按下回车键。

如果默认IP地址无法打开网闸设备的配置界面，可以查阅设备的说明书或者联系设备厂商获取正确的IP地址。

步骤三：登录网闸设备管理界面在浏览器中输入正确的网闸设备IP地址后，会跳转到网闸设备的管理界面。

在该界面中，需要输入登录账号和密码进行登录。

默认情况下，账号和密码通常都是admin（具体情况可能会有所不同），请确认设备说明书或咨询设备厂商以获取正确的登录账号和密码。

步骤四：进行基本配置登录成功后，进入网闸设备的管理界面，可以进行各项基本配置。

首先，需要设置设备的基本信息，如设备名称、设备位置等。

其次，需要进行网络设置，配置网闸设备的LAN口和WAN口的IP地址、子网掩码、默认网关等。

同时，还需要设置DNS服务器的IP地址，以便设备可以解析互联网上的域名。

步骤五：保存配置并重启设备在进行完基本配置后，记得点击保存或应用按钮，将设置的参数保存到设备中。

然后，重新启动网闸设备，使配置生效。

注：在保存配置之前，最好先备份一份当前的配置，以便在配置出现问题时可以方便地还原。

至此，网闸设备的基本配置步骤就完成了。

网闸配置教程上电开机进入初始状态。

内外网接口机要设网关常规操作：1、用户名：admin(回车)，密码：84681142（直接回车），弹出是否查看ros相关信息，输入n。

2、进入最初配置这里输入/int pri查看已经安装的网卡信息3、出现网卡信息，R表示网卡已经激活了，如果是X那还需激活网卡：命令Int回车输入enable 0 表示激活第一张网卡4、我们看到ether1，如果是两张或者是三张，那么出现ether2、ether3...我们把网卡的名改一下便于后面操作。

改网卡名：int set 0(表示第一张网卡) name=Wan(也可以W AN表示外网)、如果还有网通的就命名为：int set 1 name=Lan1、第三张就命名为内网：set 2 name=LAN2。

5、给各网口分配IP命令：ip address add address 192.168.0.1/24 interface=lan回车IP.这里设置为192.168.0.1/24.24表示子网掩码.然后是要设置的网卡名字。

完整的命令是如下图:6、查看配置信息命令：ip add pri查看IP地址配置信息！7、修改密码命令：password8、重启命令：sys reboot9、关机命令：sys shutdown网闸配置脚本：[admin@MikroTik] interface set ether1 name=ether1-lan; set ether2 name= ether2-wan/给网卡1、2命名，1为内网，2为外网[admin@MikroTik] interface set ether3 name= ether3-lan; set ether2 name= ether4-lan/给网卡3、4命名，3为内网，4为外网[admin@MikroTik] ip address add address=192.168.0.1/24 interface=ether1-lan/设置网卡1 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip address add address=192.168.254.250/24 interface=ether2-wan/设置网卡2 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip address add address=192.168.1.1/24 interface=ether3-lan/设置网卡3 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip address add address=192.168.254.253/24 interface=ether4-wan/设置网卡4 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip route add gateway=192.168.254.1/设置网关[admin@MikroTik] ip dns set primary-dns=192.168.254.1/设置首选DNS服务器[admin@MikroTik] ip firewall nat add chain=srcnat action=masqueradeallow-remote-requests=yes/源地址伪装，允许远程响应[admin@MikroTik] ip firewall filter add chain=forward src-address=192.168.0.5 in-interface= ether1-lan dst-address=0.0.0.0 out-interface= ether2-wan action=accept/防火墙过滤，允许源地址192.168.0.5访问任何目的地址，但源端口限制为网口1，目的端口限制为网口2，网口从左往右依次为1、2、3、4。

网闸操作简易流程及说明1.登录1)运行管理控制端：选择“开始”菜单下“GoldenSecurity”下的“FerryWay 管理端”。

2)显示登录窗口。

如图：.3)在登录窗口中输入登录主机地址、用户帐号、密码，按“确定”，登录管理控制端。

4)FerryWay默认登录信息登录主机：192.168.1.168默认用户帐号：admin2003默认密码：admin20032.设置内端机 IP 地址选择“系统”菜单下的“设置”项，显示系统设置列表，可以看到eth0~eth6多个内外端IP设置（eth1~eth6用于多网口或扩展），选择“设置内端机eth0 IP地址”，显示设置窗口。

选择“高级…”，显示多个IP地址设置窗口。

3.设置外端机 IP 地址选择“系统”菜单下的“设置”项，显示系统设置列表，可以看到eth0~eth6多个内外端IP设置（eth1~eth6用于多网口或扩展），选择“设置外端机eth0 IP地址”，显示设置窗口。

选择“高级…”，显示多个IP地址设置窗口。

4.添加新的应用通道在“应用通道”菜单中选择“TCP应用通道”-->“添加”或在“TCP应用通道列表”右键快捷菜单中选择“添加”，显示添加界面。

4.1.设置应用通道应用通道源：发起访问的源方向。

工作模式：一般选转发模式通道名称：给该通道取的名称，可随意命名。

应用类型：除FTP需要选择FTP类型外，一般情况请选择Null_TCP。

源机IP地址：对外被访问的IP地址，为网闸接口地址。

源机端口：网闸内/外端机监听的端口号。

目的机IP地址：实际服务器的IP地址。

目的机端口：实际服务器监听的端口号。

允许的最大连接数：一般输入10000即可。

身份认证：默认为不需要即可。

4.2.使用时间安排的设置设置应用通道可以使用的时间段。

在指定的时间段内，该应用通道是可用的。

应用通道的起始使用时间必须早于结束时间。

4.3.允许使用的IP地址的设置如果选择“允许全部IP地址使用当前通道”，则对使用该通道的用户IP 地址没有限制；如果选择“设置允许使用的IP地址”，则只有在指定的IP地址列表中的用户才可以使用该通道。

网闸配置教程上电开机进入初始状态。

内外网接口机要设网关常规操作：1、用户名：admin(回车)，密码：84681142（直接回车），密码不显示2、弹出是否查看相关信息，输入n。

3、进入最初配置这里输入/int pri查看已经安装的网卡信息4、出现网卡信息，R表示网卡已经激活了，如果是X那还需激活网卡：命令Int enable 0 表示激活第一张网卡5、给各网口分配IP命令：ip address add address 192.168.1.0/24 interface=ether1回车IP.这里设置为192.168.1.0/24，24表示子网掩码。

然后是要设置的网卡名字。

6、查看配置信息命令：ip add pri查看IP地址配置信息！7、改网卡名便于后续操作：int set 0(表示第一张网卡) name=Lan(也可以WAN表示外网)。

8、修改密码命令：password9、重启命令：sys reboot10、关机命令：sys shutdown11、重置命令：sys reset12、系统备份并保存为test：sys backup save name=test13、导入备份文件test：sys backup load name=test14、查看防火墙配置：ip firewall filter pri15、返回上级菜单：..16、设置机器名：sy ide set name=机器名17、增加用户：ip hotspot user add name=user1 password=1网闸配置脚本：设内网1主机IP为192.168.0.5；内网2主机IP为192.168.1.5;外网1主机IP为192.168.254.168；外网2主机IP为192.168.250.168[admin@ MX-NSA-3000] interface set ether1 name= lan1/给网卡1命名为lan1[admin@ MX-NSA-3000] interface set ether2 name= wan1/给网卡2命名为wan1[admin@ MX-NSA-3000] interface set ether3 name= lan2/给网卡3命名为lan2[admin@ MX-NSA-3000] interface set ether4 name= wan2/给网卡4命名为wan2[admin@ MX-NSA-3000] ip address add address=192.168.0.1/24 interface=lan1/设置网卡1 IP地址和子网掩码，此处24代表子网掩码是255.255.255.0[admin@ MX-NSA-3000] ip address add address=192.168.254.250/24 interface= wan1/设置网卡2 IP地址和子网掩码，此处24代表子网掩码是255.255.255.0[admin@ MX-NSA-3000] ip address add address=192.168.1.1/24 interface=lan2/设置网卡3 IP地址和子网掩码，此处24代表子网掩码是255.255.255.0[admin@ MX-NSA-3000] ip address add address=192.168.254.253/24 interface= wan2/设置网卡4 IP地址和子网掩码，此处24代表子网掩码是255.255.255.0删除IP : ip address remove 0 删除第0编号ip[admin@ MX-NSA-3000] ip route add gateway=192.168.254.1/设置网关，如果没有网关可不设置[admin@ MX-NSA-3000] ip route add gateway=192.168.250.1/设置网关，如果没有网关可不设置[admin@ MX-NSA-3000] ip dns set primary-dns=192.168.250.1 allow-remote-requests=yes/设置首选DNS服务器，如果不联网可不设置；允许远程响应[admin@ MX-NSA-3000] ip dns set secondary-dns=192.168.254.1 allow-remote-requests=yes /设置第二DNS服务器，如果不联网可不设置；允许远程响应[admin@ MX-NSA-3000] ip firewall nat add chain=srcnat action=masqueradesrc-address=192.168.0.5 dst-address=192.168.254.168/源地址伪装，[admin@ MX-NSA-3000] ip firewall nat add chain=srcnat action=masqueradesrc-address=192.168.1.5 dst-address=192.168.250.168/源地址伪装，[admin@ MX-NSA-3000] ip firewall filter add chain=forward action=acceptsrc-address=192.168.0.5 dst-address=192.168.254.168 in-interface= lan1 out-interface= wan1/防火墙过滤，允许源地址192.168.0.5通过源端口lan1，目的端口wan1，访问192.168.254.168，网口从左往右依次为lan1、wan1、lan2、wan2。

网闸基本配置截图。

网闸管理口MAN口，管理地址192.168.1.168
第一步：
确定网络内外网的IP地址、子网掩码、网关。

第二步：
确定需要经过网闸传输的数据端口，及访问方向（内访外或外访内），确定需要经过网闸访问的目的地址IP。

第三步：
安装管理端：打开安装包，选择Setup.exe双机运行安装，不需要做修改，下一步到完成。

第四步：
本地计算机打开网络和共享中心，配置本地IPV4地址为192.168.1.*网段地址，掩码255.255.255.0 笔记本和网闸MAN口网线直连。

第五步：
开始菜单找到点击管理端登录。

管理地址查看上述，用户名和密码一样，都是admin2003。

第六步：
点击网闸左侧菜单栏服务设置，配置网闸内外端机eth0IP地址。

例：
第七步：
配置TCP应用通道，假如外访内应用，应用通道源就选择外端机。

一律选择转发模式。

通道名称可以根据访问目的服务器来区分，
应用类型选择选择NULL_ TCP
源机IP地址：因为是外访内，选择网闸外端机地址。

目的IP地址：需要经过网闸访问的目的服务器地址。

建立完成应用通道，右键选择应用通道选择启用。

需要在eth0网口添加或者修改IP地址时，需要把通道停用才可以允许修改。

网闸配置与应用（二）网闸产品配置实训一、实训目的1.掌握网闸基本配置方式。

2.掌握网闸基本配置步骤。

3.了解网闸的配置策略。

二、实训设备和工具安装有Windows 2003操作系统的计算机天融信的网闸（安全隔离与交换系统）。

三、实训内容和步骤任务1：掌握网闸基本配置方法任务2：网闸的规则配置任务3：上线测试步骤：第一步：熟悉网闸基本配置方法天融信TopRules系列网闸产品以仲裁机的端口做为管理和配置端口，管理和配置采用C/S模式，先要在管理机上安装管理端软件，通过管理端软件对网闸进行管理和配置，具体过程如下：1.管理端软件安装运行环境：Window 2000/XP/2003/Vista安装和初始化：运行随机光盘上TopRules目录下的安装文件setup.exe，设置管理控制端的安装路径，完成安装。

以下是安装截图：（图1-3：网闸管理程序安装）2.登录运行管理控制端：选择开始 > 程序 > TopSec > TopRules管理端。

（图1-4：网闸管理程序登录界面）将管理计算机与网闸的仲裁机相连，在登录窗口中输入登录主机地址、用户帐号、密码，点击“确定”，登录管理控制端。

主机的出厂IP为：192.168.1.254；用户帐号为：superman；密码为：talent123。

3.内外端机接口配置登录到设备以后将会看到如下的截图：（图1-5：网闸系统设置界面）网闸最大配置为内外各7个接口，标准配置为内外各1个接口，这里分别为eth0。

以配置外端机的接口地址为例：在如上图的界面中红色圈住部份点击系统> 设置> 设置外端机eth0 IP 地址（图1-6：网闸外端机IP配置界面）上图是外端机接口地址配置图例（内端机相同），192.168.5.181这个地址应该和相连网络是同一个网段，如果有其他网段需要访问这个地址设置默认网关，这个地址的每一个端口都可以映射为接内端机网络中的一个应用服务端口，如果出现有两个应用服务使用了相同的端口（如http服务的80端口）还可以点击高级添加多个虚拟地址，如下图：（图1-7：网闸虚拟IP配置界面）4.网闸用户设置天融信网闸设备可以通过用户设置多个管理用户，点击管理菜单中用户> 添加，按照对话框中的提示输入用户名、密码、管理用户的MAC地址再点击确定即可，如下图所示：（图1-8：网闸用户设置界面）第二步：网闸规则配置网闸规则配置，简言之就是要落实如何配置网闸，那么就需要明确网闸部署的位置，接口的IP地址，以及应用通道规则。

网闸调试注意事项1、笔记本装上控制台也连接到了设备的管理口却搜索不到设备可能笔记本存在多个网卡，首先确认一下安装完控制台后选择的通信网卡是否正确，如果选择的网卡正确，再确认下笔记本正确的连接到了网闸内网的管理口。

选择网卡界面如下：可以根据网卡存在的IP地址区分哪一块是物理网卡2、能搜索到设备却怎么都无法登录先查看出错信息，如果信息提示未知错误，可能是设备密码输入错误，或者上次登录没有退出控制台就拔掉了网线，确认一下密码输入的是否正确，如果输入正确，重启一下设备尝试重新登录。

3、对象定义注意事项：定义对象以及对象组时，名称和备注等信息不能使用IP/MAC/MASK等关键字。

4、对象定义注意：定义一个地址范围要用“-”来间隔，如（192.168.1.1-192.168.1.253）如果要定义所有客户端都可以访问内网服务器，IP地址MAC地址和子网掩码全为0。

5、修改对象或者对象组，要点击确定，而不是添加。

否则会提示相应的修改栏目已存在提示。

6、定义服务时注意：如果存在相应的处理模块要选择处理模块或者不选。

选择处理模块可以控制的更加细密，如果用户的服务不属于内置模块的服务，勾选“此应用中未定义的命令允许执行”选框。

7、安全通道选择要注意：默认存在两个安全通道，内网到外网的LAN1通道和外网到内网的LAN1方向，分别用InToOut和OutToIn来表示。

如果部署模式没有使用默认的这两个接口，可以自己修改或者重新建立安全通道。

8、定义系统规则：系统规则把系统模版和安全通道绑定在一起，确保通过网闸的数据符合系统模版和安全通道的规定。

9、设备规则应用注意：在应用规则前要确认你定义的规则是正确的，可以到设备规则栏下边双击当前系统规则栏内相应的规则名称，查看定义规则的全部信息。

10确认规则配置没有错误之后，在应用规则之前要确认设备中没有运行相同的规则，在当前运行规则处右击选择读取当前运行的规则。

如果不存在相同的规则，则可以在当前系统规则栏，右击规则名称选择应用指定规则12、规则审查报告：如果此处出现错误，请确认网线的连接。

网闸具体配置步骤（以内蒙赤峰为例）具体的配置步骤：输入密码：ZHHRSOFT。

进入以下画面：如果这个时候，配置用的电脑没有用串口线链接到网闸上的话，就会出现这种情况。

可能你连上了，也会出现这种情况。

（可以直接点确定就可以，然后进去设置下，关闭这个程序，然后再次重新进入就可以了。

）点击确定后，出现下面的画面：这个时候我们点击确定后，然后找到工具栏上的“系统”选项，里面有“基本参数设置”，其中的内网MAC地址与外网MAC地址不用更改，都是虚拟出来的。

我们需要做的就是选择“通信端口”，当我们连接上串口线后，点击下拉箭头，里面会出现一个COM1，选择这个后，点击确定，然后退出软件，再次重新进入，就可以了。

选择好端口后，确定，然后退出软件。

按照上面的步骤，重新进入！然后就是开始配置了：工具栏---规则---智能设置信息。

如果有必要使用到NAT功能的话，还会需要设置NAT地址。

添加链路：给这个链路起一个名字，容易记忆。

选择协议，一般就是TCP，不用去更改。

接下来就是设置IP地址，其中的输出端配置中有一个端口需要填写，就是9090。

默认的就可以了。

点击确定，出现下面的画面：点击确定，出现下面的画面：设置好了规则后，还得需要设“系统”中的“IP与MAC地址”，点击“IP与MAC地址”选项，出现下面的画面：上述图片中出现的IP地址与MAC地址的对应关系，是系统中自带的，我们根据自己的需要进行更改。

需要填写的就是刚才在设置智能规则的时候，那个输入端与输出端的IP地址与他们分别对应的网卡的MAC地址。

如下图：然后点击“保存”，“关闭”。

接下来的工作就是将这些我们已经配置的信息导入到网闸设备中，犹如下图操作：最后会显示一个成功导入的信息。

这个时候将串口线从网闸的一个控制口上拔下来，然后插在另外一个控制口上，再传输一次。

且保证，这个时候网闸背面的防写开关，是拨向右边的（即靠向控制口1那边），这个时候配置是可以写入的。

当我们将配置信息完全导入后，重新启动网闸，这些配置就会生效，并且记得将防写开关拨向左边，这个状态下，配置信息就不会被写入了，增加了安全性。

网闸配置安全要求网络安全是当今互联网时代中十分重要的一部分。

在网络世界中，网闸被誉为企业网络的后门守卫，是企业网络安全的第一道防线。

在配置网闸时，有一些必要的安全要求需要遵守和执行。

本文将介绍这些安全要求。

准确的网闸配置信息正确的网闸配置信息是网闸安全要求的基础。

配置信息应该确保准确无误，包括IP地址、掩码、网关、DNS服务器等，以确保它们与企业网络环境相适应。

此外，应该清楚地了解本地网络上各个服务的所需端口，将必要的端口进行开放和控制，以确保网络服务正常运行。

安全的身份验证登录后台进行管理需要至少一个合格的用户账户，应该使用强密码，并要求密码定期更改。

其他登录的策略可以通过指定IP地址或限制登录次数来提高安全性。

限制用户的权限是提高系统安全性的重要措施，应该根据用户的职责与权限来进行划分，且应该控制用户授权进行的活动范围，以避免额外的风险。

防火墙要求防火墙系统是保护企业内部安全的核心组件。

要正确配置防火墙，应该断开不必要的连接，包括不常用的协议和端口。

在远程访问过程中，应该使用VPN等加密协议来实现安全的远程访问。

此外，为了避免病毒和恶意代码的传播，应该控制出站流量，以确保安全的网络环境。

这是非常重要的，因为恶意程序常常通过网络传播，因此应该对所有进出网络的数据流进行控制和过滤。

安全的网络服务网络服务在不断发展，为企业提供了更多的服务和便捷，在实际应用中，同样也带来了更多安全隐患。

应该在服务端口中关闭所有不必要的和危险的端口，以防止未授权的访问和攻击。

对于必需的服务，应该开启通讯加密等措施，以确保数据传输过程的安全。

安全的系统管理网闸管理者应该定期更新设备的系统，以确保系统的稳健和安全。

此外，应该注意安全的备份措施，以便在出现意外情况时对重要数据进行恢复。

在日志记录和相机监控等方面也应该进行必要的安全审查，以及随时注意潜在的威胁和攻击。

结论本文介绍了配置网闸时的六个安全要求，包括准确的配置信息、安全的身份验证、防火墙要求、安全的网络服务、安全的系统管理等，这些要求是确保企业网络安全的基本之处。