联想网御网闸(SIS-3000)配置过程

合集下载

联想网御网闸(SIS-3000)配置过程

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘——管理证书文件夹下，密码：hhhhhh）,管理IP:10.0.0.200 ，掩码：255.255.255.0 。

2、登录内网：用网线连接内网专用管理口，在IE浏览器输入：https://10.0.0.1:88893、输入用户名/密码：administrator/ administrator (超级用户)或输入：admin/admin123(管理员用户)。

4、登录外网：用网线连接外网专用管理口，在IE浏览器输入：https://10.0.0.2:8889或输入用户名/密码：administrator/ administrator (超级用户) 或输入：admin/admin123(管理员用户)。

测试拓扑结构：192.168.20.2内：192.168.20.1外：192.168.10.1192.168.10.2FTP客户端网闸客户端网闸服务端FTP服务端注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要使用之一，根据外部使用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种使用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器；原理区别两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网闸服务端任务；2）客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同；访问目的地址网闸另一侧的真实服务器地址和客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图：◆登陆界面◆登陆首页◆更改密码（按需求修改）◆网口配置（按需求修改）◆配置网闸内侧任务，并启动服务（按需求修改）添加网闸内侧任务，如下图：若是【普通访问】，该地址为内侧网口地址【192.168.20.1】；若是【透明访问】，该地址为FTP 服务器地址对象【ftpsvr_192.168.10.2】。

联想网闸数据库同步用户手册

联想网御SIS安全隔离与信息交换系统数据库同步客户端操作手册声明♦本手册所含内容若有任何改动，恕不另行通知。

♦在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

♦本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层章节目录章节目录 (3)第1章前言 (4)1.1 导言 (4)1.2 本书适用对象 (4)1.3 本书适合的产品 (4)1.4 相关参考手册 (4)第2章如何开始 (5)2.1 系统概述 (5)2.2 工作原理 (5)2.3 产品特点 (5)2.3.1 与数据库的连接方式 (5)2.3.2 支持的数据库类型 (6)2.3.3 支持的数据库表结构 (6)2.3.4 支持的数据库表字段类型 (6)2.3.5 其他特点 (8)2.4 运行环境 (8)2.5 安装步骤 (9)第3章系统设置 (10)3.1 系统位置 (10)3.2 证书管理 (10)3.3 本机地址设置 (11)3.4 通信模式设置 (12)第4章发送任务 (13)4.1 新建任务 (13)4.2 删除任务 (15)4.3 修改任务 (15)第5章接收任务 (17)5.1 新建任务 (17)5.2 删除任务 (20)5.3 修改任务 (20)第6章任务调度 (22)6.1 任务调度 (22)第7章查看日志 (24)7.1 日志查看 (24)第8章附录 (25)8.1 常见问题说明 (25)第1章前言1.1 导言《数据库同步客户端操作手册》是联想网御SIS安全隔离与信息交换系统管理员手册中的一本。

联想SIS-3000P网闸数据库访问配置案例

联想网御网闸数据库访问功能配置案例2006-1-17目录1 网络拓扑 (1)2 客户需求 (1)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (4)4 网闸具体配置 (5)4.1 需求一配置 (5)4.1.1 内网模块配置 (5)4.1.1.1 添加Oracle 数据库客户端任务 (5)4.1.1.2 新建访问用户配置 (6)4.1.1.3 访问控制生效 (6)4.1.2 外网模块配置 (7)4.1.2.1 添加Oracle 数据库服务端任务 (7)4.1.2.2 新建访问用户配置 (7)4.1.2.3 访问控制生效 (8)4.1.3 内网客户端主机配置 (9)4.1.3.1 内网主机运行客户端软件并将数据库添加到树 (9)4.1.3.2 内网用户成功登录外网数据库 (9)4.2 需求二配置 (10)4.2.1 内网模块配置 (10)4.2.1.1 添加SQL Server 数据库客户端任务 (10)4.2.1.2 新建访问用户配置 (10)4.2.1.3 访问控制生效 (11)4.2.2 外网模块配置 (12)4.2.2.1 添加SQL Server 数据库服务端任务 (12)4.2.2.2 修改访问用户配置 (12)4.2.2.3 访问控制生效 (13)4.2.3 内网客户端主机配置 (14)4.2.3.1 内网主机数据库客户端配置 (14)4.2.3.2 内网主机成功登录外网SQL Server数据库 (14)1网络拓扑说明：1 网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：10.0.0.2，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

2 PC5为管理主机，其地址要求与网闸的管理端口地址在同一个网段。

3 管理主机与网闸的内外网管理端口相连接，分别以https://10.0.0.1和https://10.0.0.2访问，用户名和密码为：admin。

联想网御网闸(SIS-3000)配置过程

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构i 通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘一一管理证书文件夹下，密码：hhhhhh ）,管理 IP:10.0.0.200 ，掩码:255.255.255.0。

2、登录内网：用网线连接内网专用管理口，在 IE 浏览器输入：3、输入用户名/密码：administrator/administrator （超级用户）或输入：admin/admin123（管理员用户）。

4、登录外网：用网线连接外网专用管理口，在IE 浏览器输入：或输入用户名/密码：administrator/administrator （超级用户）或输入：admin/admin123（管理员用户）。

测试拓扑结构:注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访外部客户端通过访问相连网闸地址，再由问网闸另一侧的真实服务器地址；网闸连接真实服务器；原理区别两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网必须同时配置网闸客户端、服务端任务，闸服务端任务；且对应任务之间的任务号必须相同；2）客户端添加一条路由，指向网闸；访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络支持支持地址同网段FTP 客户端FTP 服务端网闸客户端 I 网闸服务端网闸两侧网络支持支持地址不同网段双机热备支持支持负载均衡不支持支持硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:内网陽离交换填坟交换芯片交换芯片I叫信网络仝抉子累统卄艾松剳r jfttr尸笑控制子茶统Leadsec AS I C 芯片内网主机系统〕外网隔涌交揀模块联韻网御安全隔需网闸非口 j 信网络登陆界面登陆首页；*rti碎曲日-n sew* -p卫#卫挺0 3Etti* 叮u"时i导11且际刁E送闾带崎用〈•'，巧：4P-勺訓抽灯P V JL A JL r勺咖士*■ -勺孚处托© ifiCJTH^wtrri 丽—3»Ma内IF魁和迥耳E理轴1納垃疋号■^-3flLjfl-£E!K犊忡嗾衣寻j.0.200.6fed?璋nan jifCfU料用3旳科n柑印•4QaV£H用・KMna««ew iriMb日创冬誓u^W9«B■Mil更改密码（按需求修改）© BTT 7鼠碗.a anm^-北屣舷鼻亏^T«3ft弓jjfljwi•号+ 口IJLBHSiBQ产上呷功任''i H'hrs +"砒只•■*幻扳鼻i m工H＞抚**+$ 3|EiS4 '鼻厚睥山闻t 1・TS晖诃歼+刁左±海査+ j "4Sfts.li；-暉理■ a ^r«昂啟号•号i ^XTErilrr sy^Qj? 4&neha?i 卜生茹* 辺起+a switBMLT 4L>MTr a^iia*4iT i a JR-L/廿F------------------------------------------------------------------------ /J ' iiisintrnt)□IP^RD*«ar(I ^r®ra?i卞•■认口卒!*»*< ■•■■■/ ifc^sa田HKWffiI-E曰妬计H"网口配置（按需求修改）-i E?二j j^-.wa a tinitf-l*、爵电礙T ?)««■■ q瑕戢・o用戶。

3网御sis-3000常见故障判断和处理方法三文件

文件交换模块1.问：为什么无法登陆文件交换共享目录及用户管理或登陆后显示不正常。

答：1、当无法登陆文件交换共享目录时，检查主机IP地址是否与网闸地址在同一网段，在有多IP地址时，与网闸通讯的IP的地址必须在多IP地址中的第一个；2、当无法登陆用户管理界面时，请检查密码是否被更改。

默认用户名：admin，密码：123456。

3、当登陆后显示不正常时，请关闭当前浏览器，重新打开一个浏览器窗口，清除已有的浏览器缓存后，再次登陆。

或登陆管理界面后，点击鼠标右键‚刷新‛此页面。

2.问：为什么文件传输后在目的网络中无法找到？答：1、确认文件发送方的日志中记录成功发送信息；2、检查在文件交换共享目录data中是否存在该文件；3、检查文件传输任务设置中的路径设置是否正确，特别注意任务的存储号是指目的网络中定义的文件传输模块的存储号；4、检查文件接收方的日志记录。

3.问：为什么文件名或路径名中含有字符’+’时，传输后文件名发生了变化？答：1、因为字符’+’已经作为安全隔离与信息交换系统内部使用的符号。

当文件名或路径名中含有字符’+’时，系统会将该字符替换成空格。

4.问：文件无法正常传递？答：1、检查安全隔离与信息交换系统文件传输模块是否正常启动运行；2、检查是否对所要传输的文件作了格式的限制；3、检查文件传输配置文件中操作方式是否正确；4、检查是否启用了黑白名单，而文件中含有黑名单中的关键字或者没有包含白名单中的关键字；5、检查配置完毕后是否是已经启用配置。

查看文件传输日志记录，从日志中分析问题的具体所在。

5.问：怎么去除首页的日志报警提示？答：文件日志限定最大长度为512兆，超过系统将自动删除，但是警告信息需要手工删除日志才能清除。

6.问：文件配置的注意事项答：文件存储路径可以有20个（即发送端和接受端各20个），可在/home/admin/…/下建立新的存储和传输路径；允许的文件扩展名，多个扩展名时用英文逗号分隔，用中文逗号分隔文件将传送失败，日志记录。

联想_SIS-3000系列安全隔离网闸白皮书

2000 年 1 月 1 日，国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连，必须实行物理隔离”。该规定在互联网发展初期具有前瞻性地提出政府上网必须“物理隔离”，及时的把政府上网安全提到一个重要的高度，具有重大意义。并由此而发展出了安全隔离计算机、安全隔离卡等系列安全隔离安全产品。
2 网络隔离与信息交换系统技术原理......................................................................................1 2.1 工作原理 ........................................................................................................................1 2.2 技术特性 ........................................................................................................................2
6 标准与资质认证 ...................................................................................................................21
7 典型用户 ...............................................................................................................................22

联想网御网闸典型应用汇总表资料

联想网御网闸典型应用汇总表
联想网御安全隔离网闸典型应用汇总表
——网间安全渡轮，多网隔离专家
为了满足电子政务和电子商务发展的需要，某些行业原封闭的业务专网急需与其它相关业务网或国际互联网实现实时数据交换。

但网络外联可能导致业务专网发生病毒泛滥、入侵攻击、信息泄露等潜在的安全事故，因此网络管理者面对着推进应用和引入安全威胁的矛盾抉择。

基于联想网御防火墙和安全隔离网闸协同的网络外联安全隔离解决方案，可有效解决业务专网外联时面临的安全问题。

联想网御安全隔离解决方案示意图
在外联网与外网受理平台之间，部署联想网御防火墙实现安全访问控制，也可根据不同外联网的特性和外网受理平台的稳定性要求等因素，选择部署联想网御的UTM、防病毒网关、IPS等网关级安全产品；在业务专网与外网受理平台之间，部署联想网御安全隔离网闸，实现了对数据内容严格过滤和摆渡交换，从而满足了业务专网外联时的安全防护需求。

联想网御安全隔离网闸在过去六年中，主要为以下行业应用提供了安全、高效、可靠的数据隔离交换服务。

联想网御网闸典型应用汇总表
联想网御网闸典型应用汇总表
联想网御网闸典型应用汇总表
联想网御网闸典型应用汇总表
联想网御网闸典型应用汇总表
联想网御网闸典型应用汇总表
联想网御网闸典型应用汇总表。

网御星云SIS-3000-Z2101招标参数(完整版)

★具备公安部信息安全产品检测中心检测报告（三级）；
具备保密局《涉密信息系统产品检测证书》；
具有国家版权局颁发给产品的《计算机软件著作权登记证书》；
具备《军用信息安全产品认证证书》军B级；
具备《中国国家信息安全产品认证证书》（3C）二级；
★具有安全操作系统平台:多核多线程ASIC并行操作系统的《计算机软件著作权登记证书》；
支持TCP/UDP的透明访问和普通访问；
支持源地址、目的地址、目的断开的访问控制。
支持时段控制策略，时间模式可以是一次性执行、周循环两种方式；
提供访问任务的单独启停控制；
消息传输
网闸通用接口；提供外部API函数及说明；消息模块中内置了身份认证、访问用户控制、通信加密、数据传输模式、时间控制策略、内容过滤控制、访问控制、高可靠性等应用；身份认证支持客户端与网闸认证，认证方式可以是数字证书、X509格式的数字证书、本地用户口令认证；通信加密可以实现客户端与网闸之间的SSL加密，实现密文传输；传输模式可以是以文件、字符串、文件和字符串组合等三种传输方式；
系统要求
主机系统采用具有自主知识产权的多核多线程ASIC并行操作系统平台，并提供该安全操作系统的软件著作权作为证明；自主研发的通用安全操作系统V.S.P（提供证明文件）。
接口配置要求
不少于6个10/100/1000M自适应电口，内外网主机系统分别具有独立的网络口、管理口、HA口（热备口）；4个USB口；最大可扩展至12个电口；
安全管理
支持HTTPS的Web方式管理，实现了远程管理信息加密传输；
支持命令行方式管理，可通过命令行完成全部管理配置工作；可以通过命令方式进行资源分配、深层次管理；
内/外网主机系统分别具有独立管理接口，而不是采用低安全的管理方式，如通过网络接口管理、通过内网一个管理接口完成全部管理等；

SIS-3000百兆产品硬件规格

工作环境
工作温度0℃～45℃；存储温度-40℃～70℃
5%-95% RH不凝结
SIS-3000-SE22
（百兆精简型）
内网：2个10/100M网络电口；1个管理口，1个双机热备口（HA）；1个串口
外网：2个10/100M网络电口；1个管理口，1个双机热备口（HA）；1个串口
MTBF
不小于50000小时
百兆病毒防护（SIS-3000-AV-F）
SE、FE系列产品病毒防护模块；
千兆病毒防护（SIS-3000-AV-G）
GE、GF系列产品病毒防护模块；
外网：1个10/100/1000M自适应网络口，3个10/100/1000M网络扩展口；各1个10/100/1000M管理口和HA口；1个串口；
MTBF
不小于50000小时
SIS-3000-FE24
（百兆标准型）
内网：2个10/100/1000M自适应网络口，各1个10/100/1000M管理口和HA口；1个串口；
SIS-3000硬件平台的产品规格
SIS-3000-FE
基本参数
形态
2U机架型，单电源
性能参数
系统吞吐量
>150Mbps
系统架构
2+1
并发连接数
>2万
隔离技术
LeadsecGAPTM
系统延时
<5ms
多网隔离功能
支持
硬件延时
<1ns
操作系统：
Leadsec-VSP
物理接口
网络接口
10个10/100/1000M自适应电口
2个
主机重量
6.2KG
电源功率
最大输出功率为250W
电压范围

网御网闸SIS-3000-Z2101技术参数

网闸SIS-3000-Z2101
技术指标
指标要求
基本要求
★2U标准机架式机箱；单电源；必须采用“2+1”系统架构，即由两个主机系统和一个隔离交换专用硬件组成；
安全系统
★主机系统具有自主知识产权的VSP或LOS或Unimas操作系统平台(提供原厂证明文件)
接口性能Βιβλιοθήκη 不少于6个10/100/1000M自适应电口，内外网主机系统分别具有独立的网络口、管理口、HA口（热备口）；4个USB口；最大可扩展至12个电口；内外网主机系统分别具有1个RJ45串口；
★出于对整个网络安全性和漏洞的考虑，要求厂商具备《一级风险评估服务资质》；
★要求厂商提供针对本次项目的授权。
★双机热备支持配置同步（提供功能界面截图）；支持负载均衡；
★双机热备支持抢占模式，支持主、备设备状态图表实时显示（提供功能界面截图）；
★产品资质
具备公安部《计算机信息系统安全专用产品销售许可证》；
具备《军用信息安全产品认证证书》军B级
具备《中国国家信息安全产品认证证书》（3C）二级；
具有《北京市自主创新产品证书》；
从事网闸产品研发生产时间超过10年，提供公安部销售许可证书影印件证明；
具备IPv6 Ready认证证书；
通过国家下代互联网信息安全专项（高性能安全隔离与信息交换系统）测试，并提供相关测试报告；
国家信息安全测评信息技术产品安全测评证书EAL3+
应急服务能力要求
★要求设备生产商具有信息安全应急处理服务一级资质；
★具有抗DoS、DDoS攻击功能（提供功能界面截图）；
管理审计
管理方式采用B/S架构的Web方式管理，基于数字证书管理；支持内外网分别采用专用管理口管理，支持专用管理主机管理；

联想网御网闸配置实例

联想网御网闸配置实例背景：XX局为了组建区域XX平台内网，需要在我们内网中搭建一台服务器，用XX局直接远程到院内网服务器，分配给我们的外网IP：172.17.3.50，255.255.255.0,172.17.3.254，内网服务器IP：192.168.102.64，另外我们还需要一个虚拟的内网转换地址，192.168.102.65。

拓扑结构如下：网闸管理地址：内网口https://10.0.0.1:8889、外网口https://10.0.0.2:8889将本机IP配置成10.0.0.200，直连网闸管理口，下面进行设置：内网口设置首先进入内网口进行配置，输入上述地址后进入管理登录界面账号：administrator 密码：administrator 进入以下界面点击左侧的网络管理选中对应接口fe6点击编辑输入192.168.102.65，这个地址是设置给fe6这个接口的，设置后在允许ping上打钩,最后确定。

接下来需要配置内网地址的安全通道，这个会出现两个安全通道，分别是：客户端的和服务端的，当XX局的172.17.3.x号段进行访问的时候，我们是接受访问的一方，所以在内网上我们就作为服务端，点开服务端的安全通道，点击添加这里注意1、填入的任务号必须是未经使用的。

2、网闸内部的连接是通过内部硬件实现内外网隔离，但却实用任务号关联，所以所设置的任务号、服务类型、端口号必须要与接下来设置的外网口的客户端安全通道一致。

填写好确定保存内网设置完毕点击上部保存按键保存设置外网口设置输入外网口管理地址，输入账号密码进去之后，进行外网的客户端配置（账号密码与内网口账号密码一致）进入系统之后，点击接口配置，配置外网口地址与内网口配置相同注意在允许ping上勾选，确认保存后，点击客户端的安全通道，点击添加点击添加注意选择普通访问，内网口添加时提到的，任务号必须与内网的服务端添加的任务号、服务类型保持一致，原地址选择any，目的地址选择172.17.3.50，确认保存后点击顶端保存。

SIS3000产品介绍PPT-20110315

恶意命令:HTTP,FTP的GET,PUT POST命令等的恶意命令命令等
IDC
越权客户端
GET命令 GET命令
FTP服务器服务器
2.4、安全控制示意图
协议分析内容检查服务服务
自有协议包
内网主机系统
Application Presentation Session Transport Network Data Link Physical
终止所有网络协议，终止所有网络协议，没有任何TCP/IP协议穿透网闸；在两个主机协议穿透网闸；系统之间采用自有协议，进行应用层数据的摆渡。系统之间采用自有协议，进行应用层数据的摆渡。采用自有协议
会话终结
安全决策
协议检查
数据提取
病毒检查
内容检查
格式化数据
2.7安全隔离网闸与防火墙的对比
对比项目
传统防火墙
联想网御安全隔离网闸
硬件结构操作系统协议处理安全机制管理安全
单主机单一OS 采用在OSI协议栈的网络层进行包过滤简单的进行包头检查攻击者获得了管理权限，可调整防火墙的安全策略
“2+1”结构两主机系统各有独立OS 主机系统终止所有协议，隔离模块采用自有协议进行数据“摆渡” 综合了访问控制、内容过滤、抗攻击、硬件隔离等安全防护技术两主机系统分别有独立的管理接口，安全策略分别下达，不可能被控制
自有协议数据包
数据块数据块
通用协议数据包
2.6、数据隔离交换过程（详细描述）
4 3 2
5
1
6 7 8
10 9
1.内网主机系统获取数据，进行协议分离，安全检测，形成任务队列，供通讯交换 2.隔离交换模块断开彼此连接，连接内外网主机系统，内网主机系统写数据到交换缓冲区 3.隔离交换模块断开内外网主机系统，彼此连接，进行通讯协商，完成数据交换 4.隔离交换模块断开彼此连接，连接内外网主机系统，外网主机系统从交换缓存读取数据 5.外网主机系统获取数据，进行数据重组，安全检测，与外网主机建立连接 6.6~10从外网往内网交换数据，工作流程相同1~5

联想网御网闸技术培训-交换类例子V1

26
案例3.数据库访问同网段普通访问数据库访问-同网段普通访问
192.168.1.101/24 别名:192.168.1.253 192.168.1.253/24 内：192.168.1.100 外：192.168.1.254
客户端POP3
MAIL服务器
• 根据网络拓扑，具体需求如下：内网客户端主机通过安全隔离网闸安全地普通访问外网数据库服务器的25端口，并通过110端口接收数据库。
4
案例1.文件交换-不同网段无客户端文件交换-不同网段文件交换配置
10.1.5.200/24 内：10.1.5.254 192.168.1.200/24 外：192.168.1.254
发送端
接收端
• 根据网络拓扑，具体需求如下：内网客户端主机通过安全隔离网闸安全地与外网服务器的共享文件夹进行文件交换。
联想网御网闸技术培训-交换类案例
（软件版本：1.0.200.20）
2009年12月
1
目录
一、网闸原理培训
二、网闸访问类案例培训
三、网闸交换类案例培训
2
案例一、文件交换
3
案例1.文件交换-无客户端文件交换（无客户端）—概述
• 在不用使用客户端的前提下，各类文件在外部网和涉密网之间的安全传输。
12
案例2.邮件传输不同网段透明访问邮件访问-内网配置步骤
• • • • 配置网闸物理设备资源定义内外网段邮件访问-smtp设置邮件访问-pop3设置（配置方法和smtp相同）
13
案例2.邮件传输不同网段透明访问邮件访问-内网配置步骤
14
案例2.邮件传输不同网段透明访问邮件访问-外网配置步骤
名词解释

联想网御防火墙界面操作手册系统配置

第3章系统配备3.1 本章重要简介防火墙旳系统配备, 由如下部分构成: 日期时间, 系统参数, 系统更新, 管理配备, 联动, 报告设立, 入侵检测和产品许可证。

3.2 日期时间防火墙系统时间旳精确性是非常重要旳。

可以采用两种方式来同步防火墙旳系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配备防火墙时间与管理主机时间同步1.调节管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.设定同步周期3.点击“拟定”按钮系统参数注意事项:3.3 防火墙旳诸多操作依赖于系统时间, 变化系统时间会对这些操作发生影响, 例如更改时间后配备管理界面登录超时等。

3.4 系统参数系统参数设立防火墙名称和动态域名注册所使用旳顾客名、密码。

防火墙名称旳最大长度是14个英文字符, 不能有空格。

默认旳防火墙名称是themis, 顾客可以自己修改这个名称。

动态域名注册所使用旳顾客名、密码旳最大长度是31个英文字符, 不能有空格。

动态域名旳设立在网络配备>>网络设备旳物理网络配备中。

图3-2系统参数配备图3.5 系统更新3.5.1 模块升级防火墙系统升级功能可以迅速响应安全需求, 保证防火墙功能与安全旳迅速升级。

图3-3导入升级文献模块升级界面涉及如下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮, 选择管理主机上旳升级包2.点击“升级”按钮点击“重启防火墙”按钮, 重启防火墙完毕升级导出升级历史点击“导出升级历史”按钮, 导出升级历史做备份。

检查最新升级包管理员可以查看”系统目前软件版本”, 点”检查最新升级包”, 系统会弹出新旳IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

SIS-3000网闸数据库同步配置文档

注：
•增量类型增加类型：对应与数据库中的操作为insert数据；修改类型：对应与数据库中的操作为update数据；删除类型：对应与数据库中的操作为delete数据；设置本任务所处理的操作类型，只有钩定了的类型才会被本任务进行同步。 •导出初始数据表示在任务第一次运行时是否将当前所有数据进行同步处理，请注意，如当前同步数据表中记录过多，该过程会非常耗时，请慎重考虑是否有必要进行该项配置。选择“是“系统配置完后会进行同步，选择“否”不进行同步。特别说明：如配置任务初发送端纪录很多，建议采取硬盘拷贝或数据库自身机制方式调平发送端和接收端数据。此配置只能在添加任务时才能选择，修改任务时不能被使用。 •查看同步表此项目是方便用户查看已经配置的表映射关系的，添加任务状态当然没有可查看的。
三、数据库同步客户端配置
e.点击数据源管理-添加按钮-添加目的数据源-测试连接
三、数据库同步客户端配置
f.选择正确的通道，通道是用来建立网闸和服务端的客户端通信
三、数据库同步客户端配置
g.点击添加任务-添加数据库同步任务
三、数据库同步客户端配置
注：
•任务名称用于表示该任务名称，可以由字母和数字组成，最长8位。不能与已建立的任务重名。该选项为必填项，它是在整个系统中作为任务唯一标识。 •同步记录数设置客户端在数据源发生变化时，客户端一次处理记录数，取值范围从0—10000，默认值为100 ，建议不要随便改动。 •随系统启动如选择该项，该任务会在客户端启动时自动进入启动状态，否则为停止状态，需要手工启动，任务才能正常执行
三、数据库同步客户端配置
h.点击下一步配置通道设置
三、数据库同步客户端配置
i.点击下一步-配置调度策略

联想网御防火墙配置实例

联想网御防火墙配置实例配置说明：先安装USBkey的驱动程序，驱动程序在安装光盘随机软件包中，（IKEY DRIVER）。

然后在ADMINISTRATOR文件夹中打开IKEY客户端，用交叉线连接电脑和设备的FE1口。

然后将配置电脑的IP改成.200/24.然后点IKEY界面上，如果连接成功就会显示“连接成功”。

然后在IE浏览器中输入https：//.254：8888 用户名和密码都是administrator如上图进入配置界面，在左边栏“管理主机”进入右边的面板，可以看到可以提供配置防火墙电脑的IP，如果需要，可以自己更改。

该防火墙支持4种接入方式，我们一般采用第1，2种连接方式。

远程WEB管理需要使用USBKEY和证书认证。

进入左边栏“网络设备”，进入端口配置，具体端口配置如上图。

在防火墙出站口上绑定多个公网IP地作法就是在“别名设备”里添加多个IP。

在“静态路由”配置里，谨记要配置“静态路由”即默认网关在“安全选项”里勾选所有项进入“资源定义”，这里的设置是非常重要的。

对于需要进行策略配置的主机和网段都必须在这里做定义。

在“地址池”定一个外网口的IP。

在“服务器地址”定义几个服务器的地址在“服务组”中定义几个vlan网段策略，进行协议通讯限制，其中包括了vlan4 B级用户地策略，vlan3 用户的策略，服务器的策略。

在防火墙“NAT规则”中，配置内外网映射规则，具体规则属性，见下图。

VLAN 3到外网地址的映射，中间服务选项是策略组名称，具体策略见服务器协议策略定义。

以上几张图就是nat规则中设计地几条映射规则，具体映射方法，详见各图配置方式。

“包过滤规则”能够有效地控制网段ip的访问策略，类似于访问控制列表。

具体策略定义如下图只需要配置“源地址”“流入端口”“目的地址”在“端口映射规则”中将三个公网地址的远程控制接口打开“3389”，并将其映射到内网相对服务器的3389端口。

具体配置规则如下图的3389端口映射到主域控服务器的3389端口。

联想网御网闸(SIS-3000)配置过程

联想网御网闸(SIS-3000)配置过程

联想网闸数据库同步用户手册

最新联想网御网闸(SIS-3000)配置过程教学文稿

联想SIS-3000P网闸数据库访问配置案例

联想网御网闸(SIS-3000)配置过程

3网御sis-3000常见故障判断和处理方法三 文件

联想_SIS-3000系列安全隔离网闸白皮书

联想网御网闸典型应用汇总表资料

网御星云SIS-3000-Z2101招标参数(完整版)

SIS-3000百兆产品硬件规格

网御网闸SIS-3000-Z2101技术参数

联想网御网闸配置实例

SIS3000产品介绍PPT-20110315

联想网御网闸技术培训-交换类例子V1

联想网御防火墙界面操作手册系统配置

SIS-3000网闸数据库同步配置文档

联想网御防火墙配置实例

3网御sis-3000常见故障判断和处理方法三文件