联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告
一、设备管理、拓扑结构
1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889
3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。
测试拓扑结构:
FTP客户端
FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应用模式具体的比较如下
区别透明访问普通访问
含义外部客户端,“无视”网闸的存在,直接访
问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;
原理区别两者相同两者相同
配置区别1)只需配置网闸客户端任务,无需配置网
闸服务端任务;
2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;
最新联想网御网闸(SIS-3000)配置过程教学文稿
联想网御网闸(SIS-3000)设备测试报告
一、设备管理、拓扑结构
1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889
3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。
测试拓扑结构:
FTP客户端
FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应用模式具体的比较如下
区别透明访问普通访问
含义外部客户端,“无视”网闸的存在,直接访
问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;
原理区别两者相同两者相同
配置区别1)只需配置网闸客户端任务,无需配置网
闸服务端任务;
2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;
联想SIS-3000P网闸数据库访问配置案例
联想网御网闸数据库访问功能配置案例
2006-1-17
目录
1 网络拓扑 (1)
2 客户需求 (1)
3 网络配置 (2)
3.1 内网网络端口配置 (2)
3.2 内网管理端口地址 (2)
3.3 外网网络端口配置 (3)
3.4 外网网关配置 (3)
3.5 外网管理端口地址 (4)
4 网闸具体配置 (5)
4.1 需求一配置 (5)
4.1.1 内网模块配置 (5)
4.1.1.1 添加Oracle 数据库客户端任务 (5)
4.1.1.2 新建访问用户配置 (6)
4.1.1.3 访问控制生效 (6)
4.1.2 外网模块配置 (7)
4.1.2.1 添加Oracle 数据库服务端任务 (7)
4.1.2.2 新建访问用户配置 (7)
4.1.2.3 访问控制生效 (8)
4.1.3 内网客户端主机配置 (9)
4.1.3.1 内网主机运行客户端软件并将数据库添加到树 (9)
4.1.3.2 内网用户成功登录外网数据库 (9)
4.2 需求二配置 (10)
4.2.1 内网模块配置 (10)
4.2.1.1 添加SQL Server 数据库客户端任务 (10)
4.2.1.2 新建访问用户配置 (10)
4.2.1.3 访问控制生效 (11)
4.2.2 外网模块配置 (12)
4.2.2.1 添加SQL Server 数据库服务端任务 (12)
4.2.2.2 修改访问用户配置 (12)
4.2.2.3 访问控制生效 (13)
4.2.3 内网客户端主机配置 (14)
4.2.3.1 内网主机数据库客户端配置 (14)
4.2.3.2 内网主机成功登录外网SQL Server数据库 (14)
网闸典型应用方案
网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案
目录
1.前言
Internet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。
面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。
但是作为基于Internet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,
成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。
所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
安全隔离网闸功能详细配置 ppt课件
安全隔离网闸功能详细配置
1、普通访问时内外网任务号一致,同侧任务号唯一; 2、首次配置时,应复选”允许所有邮件地址通过”,否则邮件传输失
<用户名>+“@”+<FTP真实服务器地址:PORT>, 如:root@192.168.0.100:21 3、透明访问时, FTP客户端需要设置网关;
4、其他注意事项见相关用户手册;
安全隔离网闸功能详细配置
支持支持一侧网络用户访问另一侧网络的邮件服务器。
包括三个部分: SMTP任务配置 POP3 任务配置 过滤选项配置
第六步:启动端服务
启动接收端服务:
启动发送端服务:
安全隔离网闸功能详细配置
1、网闸WEB配置 启动服务、配置客户端和服务端、设置过滤选项;
2、客户端配置 接收端配置:监听端口、接收用户、接收任务、启动服务等; 发送端配置:网闸配置、发送用户、发送任务、启动服务等;
3、测试
安全隔离网闸功能详细配置
双向同样反方向再配两条任务; 4、内外网数据端口、消息端口任务号分别一致; 5、消息端口任务号 = 内外网数据端口 + 1; 6、需同步的数据表须有主键,且有DBA权限; 7、其他注意事项见相关用户手册;
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告
一、设备管理、拓扑结构
i 通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘一一管理证书文件夹下,
密码:hhhhhh ),管理 IP:10.0.0.200 ,掩码:255.255.255.0。
2、 登录内网:用网线连接内网专用管理口,在 IE 浏览器输入:
3、 输入用户名/密码:administrator/administrator (超级用户)或输入:admin/admin123(管理员 用户)。
4、 登录外网:用网线连接外网专用管理口,在
IE 浏览器输入:或输入用户名
/密码:
administrator/administrator (超级用户)或输入:admin/admin123(管理员用户)。
测试拓扑结构:
注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,
根据外部应用客户端跨网闸访问
“目的服务
器地址”的不同,分为“透明访问”
、“普通访问”两种模式。
两种应用模式具体的比较如下
区别
透明访问
普通访问
含义
外部客户端,“无视”网闸的存在,直接访 外部客户端通过访问相连网闸地址,再由
问网闸另一侧的真实服务器地址;
网闸连接真实服务器; 原理区别 两者相同
两者相同
配置区别
1)只需配置网闸客户端任务,无需配置网
必须同时配置网闸客户端、服务端任务, 闸服务端任务;
且对应任务之间的任务号必须相同;
2)客户端添加一条路由,指向网闸;
访问目的地址 网闸另一侧的真实服务器地址 与客户端相连一侧的网闸地址 网闸两侧网络 支持
支持
联想网御最终配置手册
联想网御防火墙配置手册
1 登陆方法
1.1 使用电子钥匙方式登陆防火墙
在Web 界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。默认的管理主机IP 地址是10.1.5.200,Web 界面管理使用SSL 协议来加密管理数据通信,因此使用IE 来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。
注意:用Web 界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。
管理员通过Web 方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。使用电子钥匙时,首先将电子钥匙插入管理主机的usb 口,启动用于认证的客户端ikeyc.exe,输入PIN 密码,默认为12345678,系统会读出用于认证的ikey 信息,此时窗口右边的灯是红的。(如下图所示)
选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后,就可以通过https://10.1.5.254:8888 连接防火墙了。(如下图所示)
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。
1.2使用管理证书认证方式远程登陆防火墙
1.2.1远程登陆防火墙的条件
网闸SIS-3000功能配置 — 安全浏览
!
"
!
SIS-3000网闸数据库同步配置文档
三、数据库同步客户端配置
2、打开内网pc的数据库同步客户端
a.打开数据库同步客户端输入默认用户名和密码 admin,点击确认,显示如下:
三、数据库同步客户端配置
三、数据库同步客户端配置
b.点击系统设置-本机地址:1.1.1100本机端口默认:16000
三、数据库同步客户端配置
3、打开外网pc的数据库同步客户端
一、网闸的配置
默认用户密码均为 administrator
一、网闸的配置
b.进入外网web管理主界面,点击 网络配 置 中的 网络设备,添加接口地址,如 2.2.2.254 ,该地址为连接外网的客户端中 的通道地址
一、网闸的配置
一、网闸的配置
(2)内网网闸配置
a.连接内网管理端口 在ie中输入https://10.0.0.1:8889/,回车即显示如下:
三、数据库同步客户端配置
h.点击下一步配置通道设置
ห้องสมุดไป่ตู้
三、数据库同步客户端配置
i.点击下一步-配置调度策略
三、数据库同步客户端配置
注:
• • 开始时间 用于选择本组时间策略的开始时间 结束时间 用于选择本组时间策略的结束时间
三、数据库同步客户端配置
j.点击下一步配置同步策略
三、数据库同步客户端配置
四、数据库同步测试
1.启动任务,插入、更新、删除数据,数据同步成功 利用oracle 数据库同步测试脚本往oracle数据库同步表中, 插入、更新、删除数据。或者第三方工具 2.如何查看数据同步成功?
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告
一、设备管理、拓扑结构
1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889
3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。
测试拓扑结构:
FTP客户端
FTP服务端
注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
◆两种应用模式具体的比较如下
区别透明访问普通访问
含义外部客户端,“无视”网闸的存在,直接访问
网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;
原理区别两者相同两者相同
配置区别1)只需配置网闸客户端任务,
无需配置网闸服务端任务;
2)客户端添加一条路由,指向
网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;
网御事件服务器配置使用手册
联想网御事件服务器
配置使用手册
联想信息安全服务事业部
声明
本手册所含内容若有任何改动,恕不另行通知。
在法律法规的最大允许范围内,联想(北京)有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
在法律法规的最大允许范围内,联想(北京)有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。
本手册含受版权保护的信息,未经联想(北京)有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。
联想(北京)有限公司
中国北京海淀区上地信息产业基地创业路6号
目录
目录 (3)
第一章 前言 (5)
1. 导言 (5)
2. 本书适用对象 (5)
3. 本书适合的产品 (5)
4. 手册章节组织 (5)
第二章 系统安装 (5)
第三章 启动和配置 (5)
1. 事件服务启动和配置 (6)
1.1. 事件服务启动 (6)
1.2. 事件服务配置 (6)
1.3. 关闭事件服务配置 (11)
2. 控制台启动和用户登录 (11)
2.1. 控制台启动 (11)
2.2. 登录说明 (11)
3. 审计系统登录 (12)
第四章 设备管理 (12)
1. 设备管理 (12)
1.1. 设备 (13)
1.2. 添加管理设备 (14)
1.3. 删除管理设备 (17)
1.4. 查看和修改设备属性 (17)
2. 设备监控 (18)
SIS3000产品介绍PPT-20110315
国家信息安全产品认证证书(3C)二级---网 2010162303000067 闸百兆产品(网御星云) 国家信息安全产品认证证书(3C)二级---网 2010162303000071 闸千兆产品(网御星云) 北京自主创新产品证书 CX2009DZ1001
5.2SIS3000产品资质(续)
目 录
网闸产品政策标准 SIS3000产品原理 SIS3000产品功能 SIS3000产品型录 SIS3000产品资质
千兆
百兆
目 录
网闸产品政策标准 SIS3000产品原理 SIS3000产品功能 SIS3000产品型录
SIS3000产品资质
SIS3000应用案例
5.1SIS3000产品资质
证书名称 证书编号 证书有效期 2011-9-25 计算机信息系统安全专用产品销售许可证(网 XKC35216 御星云) 公安部信息安全产品检测报告 网闸产品公安信息通信网边界接入平台入围 检测报告 涉密信息系统产品检测证书(网御星云) 军用信息安全产品认证证书(网御星云) 计算机软件著作权登记证书 ISSTEC2010YT1087 军密认字第0634号 登记号:2005SR00059 2015-4-29 2015-5-20 2013-8-25 2011-10 三级
自有协议 数据包
数据块 数据块
通用协议 数据包
2.6、数据隔离交换过程(详细描述)
联想网御网闸解决方案-操作系统补丁管理资料
典型应用四–主机操作系统补丁管理:
1、需求分析
目前,很多单位的内网按照网络安全防护要求不能直接与国际互联网相连,但是内网主机操作系统又需要补丁升级,通常做法是采用了微软SUS服务器接入外网获取补丁数据,在特定时间改接入内网为内网机器升级。
采用这种升级方式,首先,不符合单台服务器不得同时接入内外网的要求;其次,无法避免外网的木马病毒渗透的入侵方式;第三,也无法提供实时的补丁升级能力,一旦发生如冲击波等恶性病毒时,内网往往由于补丁升级的延迟而无法阻止病毒的大规模泛滥。
为了解决这个问题,部署一套需要更合适的补丁升级系统,来完成补丁的实时获取和分发工作。
2、解决方案
联想网御主机操作系统补丁管理系统由内外网补丁接收服务器、内外网补丁分发服务器、联想网御安全隔离网闸和防火墙共同构成,此解决方案物理模型如下图:。
内网升级平台内网主机
补丁接收服务器部署于外网通过防火墙后连接微软补丁升级服务器。为了保障安全,在防火墙上设定仅允许该服务器连接微软的相应服务不打开其他端口,同时禁止外部对该服务器的连接。
在外网补丁接收服务器获取了最新补丁后,将这些补丁文件化后以纯文件的形式,通过联想网御SIS-3000安全隔离网闸的文件交换功能传送至内网的补丁分发服务器。用户可
以使用联想网闸的专用文件传输客户端软件,通过联想网御SIS-3000安全隔离网闸在内外网络间进行单向文件交换“摆渡”,同时对传输的文件类型过滤、关键字过滤、病毒检查、签名校验等机制对传输的文件进行过滤,防止内部信息泄漏、病毒入侵、网络侦听、身份冒充等危害。从而确保外网向内网传达补丁文件时的安全性和禁止了内网信息的泄漏。
SIS-3000网闸数据库同步配置文档
三、数据库同步客户端配置
2、打开内网pc的数据库同步客户端
a.打开数据库同步客户端输入默认用户名和密码 admin,点击确认,显示如下:
百度文库
三、数据库同步客户端配置
三、数据库同步客户端配置
b.点击系统设置-本机地址:1.1.1100本机端口默认:16000
三、数据库同步客户端配置
3、打开外网pc的数据库同步客户端
a.打开数据库同步客户端输入默认用户名和密码 admin,点击确认,显示如下:
三、数据库同步客户端配置
三、数据库同步客户端配置
b.点击系统设置-本机地址:2.2.2.200本机端口默认:16000
三、数据库同步客户端配置
c.点击通道管理-添加
三、数据库同步客户端配置
d.点击数据源管理-添加按钮-添加源数据源-测试连接
b.使用数据库同步客户端的统计管理-选择数据源-点击查询
四、数据库同步测试
c.查询服务端的数据库,是否有同步的数据记录(这种方式最准确)
五、数据库同步性能优化
1.同步表中字段的个数 同步表中的个数越少越好,比如一个表中只有一个字段,大小为10个字节,肯 定比一个表中有10个字段,每个字段大小为10个字节的快。 2.同步表中单条记录的大小 比如一个表中的单条记录大小为10个字节,肯定比一个表中的单条记录大小为 10M的快。 3.数据库同步客户端同步记录数的设置 数据库同步客户端同步记录数最大为5000,设置客户端在数据源发生变化时, 客户端一次处理记录数,取值范围从0—10000,默认值为100 。这个大小主要 看同步表中的结构。表结构中字个数多,字段类型比较大.建议设置同步记录数 较小,也可以根据用户业务数据量大小来设置同步记录数。 4.网闸是否开启病毒扫描功能 病毒扫描就是对数据库客户端的记录进行病毒检测,分全扫描:对每个字段都 逐个扫描;二进制文件扫描:只对二进制字段扫描。建议关闭病毒扫描功能 5.数据加密传输 对同步的数据进行加密和解密的过程,建议不使用加密传输
联想网御网闸产品培训文档
HA 管理 网络 扩展 Console HA 管理 网络 扩展1 扩展2 扩展3 Console
内网 外网
HA 管理 网络1 网络2 Console HA 管理 网络1 网络2 网络3 网络4 Console
内网 外网
• 网络连接接口全部为10/100/1000M自适应电口
• SIS-3000-GE11可通过上传许可证升级为SIS-3000GE24,可实现1000M 4进2出
物理隔离带来的问题
• 无法实现网络间信息的实时交换 • 已严重阻碍电子政务和电子商务的发展
网闸产品背景
1.1 物理隔离的问题 1.2 网闸的初步认识 1.3 网闸的技术要求 1.4 网闸的产品定位
安全隔离网闸解决方案
互联网
防火墙
数 据
WEB SERVER
数 据
DB SERVER
数 据
联想网御 SIS-3000
内网 外网
• 接口全部为10/100M自适应电口
• SIS-3000-FE11可通过上传许可证升级为SIS-3000FE24 ,可实现4进2出
• 网络吞吐量: SIS-3000-FE24单向150Mbps
她们将陪伴我们勇往前行——3000-GE系列
SIS-3000-GE11 SIS-3000-GE24
– 自有协议格式化处理 – 数据并行处理
她们的魅力(3)——无敌的处理性能
安全隔离网闸功能详细配置
6.1 FTP访问-功能概要
提供内、外网用户实现内外网之间的双向的FTP访问。 访问模式: 透明访问 普通访问
6.2 FTP访问-WEB配置
第一步:启动服务
6.2 FTP访问-WEB配置
第二步:配置“客户端” 访问任务——透明访问
6.2 FTP访问-WEB配置
1.3 登录管理-管理方式
支持多种管理方式:
串口命令行管理 Web页面管理 ---SSH远程管理 ---集中管理 ------常用于灾难的恢复工作 常用于正常管理 常用于管理调试 方便管理
1.4.1 登录管理-登录网闸-概述
若需更新证书管理网闸,则需导入IE新证 书和与之配套的网闸新证书,步骤如下: 1、使用默认证书登录网闸; 2、导入网闸新证书,并启用; 3、导入IE浏览器新证书。
第三步:添加文件交换——接收任务
2.2 无客户端文件交换-WEB配置
第四步:设置内容控制选项
文件名控制 内容黑名单
内容白名单
2.3 无客户端文件交换-基本步骤
1、配置本机工作模式、启动后台服务;
2、配置文件交换任务——发送任务、接收任务; 3、配置文件过滤选项;
2.4 无客户端文件交换-注意事项
外:192.168.10.1 192.168.10.2 文件交换服务器 客户端接收端
网闸客户端
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
联想网御网闸(SIS-3000)设备测试报告
一、设备管理、拓扑结构
1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889
3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。测试拓扑结构:
192.168.20.2内:192.168.20.1外:192.168.10.1
192.168.10.2
FTP客户端网闸客户端网闸服务端
FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要使用之一,根据外部使用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种使用模式具体的比较如下
区别透明访问普通访问
含义外部客户端,“无视”网闸的存在,直接访
问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;
原理区别两者相同两者相同
配置区别1)只需配置网闸客户端任务,无需配置网
闸服务端任务;
2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;
访问目的地址网闸另一侧的真实服务器地址和客户端相连一侧的网闸地址网闸两侧网络
地址同网段
支持支持
网闸两侧网络
地址不同网段
支持支持
双机热备支持支持
负载均衡不支持支持◆硬件架构原理图如下
二、网闸主要配置抓图
2.1、内网配置抓图:
◆登陆界面
◆登陆首页
◆更改密码(按需求修改)
◆网口配置(按需求修改)
◆配置网闸内侧任务,并启动服务(按需求修改)添加网闸内侧任务,如下图:
若是【普通访问】,该地址为内侧网
口地址【192.168.20.1】;若是【透明访问】,该地址为FTP 服务器地址对象【ftpsvr_192.168.10.2】。
源地址为FTP 客户端地址,可选择any ,亦可自定义范围;但若为【透明访
问】,则与目的地址不能同时选择any 。
若选择【普通访问】,网闸内、外两侧均需配置;若选择【透明访问】,仅需配置网闸内侧。
服务类型可选【tcp_any 】;亦可选【ftp 】,但目的端口可不填。
若是【普通访问】,则任务号与服务端任务号一致
源端口采用默认值即可目的端口【21】
◆ 启动服务,如下图
按下按钮,启动服务
2.2外网配置抓图: ◆ 登陆界面
◆ 登陆首页
◆更改密码(按需求修改)
◆网口配置(按需求修改)
◆ 配置网闸外侧任务,并启动服务(按需求修改) 添加网闸外侧任务,仅对普通访问有效,如下图:
服务器地址为真实FTP 服务器地址【192.168.10.2】
任务号与客户端任务号一致
流出网口IP 指:作为发起方,数据包应从哪个网口流出。
服务类型可选【tcp_any 】;亦可选【ftp 】,但目的端口可不填。
服务器端口【21】
◆ 启动服务,同上。
三、配置测试
◆ 针对普通访问,访问时如下图
普通访问模式下,该地址为网闸内侧地址
普通访问模式下,格式为:用户名
◆针对透明访问,访问时如下图
透明访问模式下,该地
址为真实FTP服务器地址
透明访问模式下,格式为:用户名◆设备外网端的配置导入、导出
◆日志审计
注意:
1、透明访问时,需配置默认网关或添加静态路由,详见FTP(说明手册)访问的“配置步骤”第4步。
2、支持日志访问。
3、支持一些动态端口使用服务,比如:ftp、tns、h.323等等。
4、支持源、目的端口范围。
5、不支持PPTP、IPSec、GRE、IGMP、IGRP及OSPF服务。
6、普通访问时,不支持服务器地址范围。
7、支持ping。
8、支持相同服务多服务器的使用模式。
9、支持用IE浏览器进行FTP访问。
步骤总结:
1、配置客户端任务(针对普通访问和透明访问),并启动服务。
2、配置服务端任务(仅针对普通访问),并启动服务。
3、测试。