IPGUARD安全网关快速部署指南
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
加密安全网关使用说明
1设备介绍
IP-guard安全网关控制设备(以下简称控制器),分为三个型号:
IPG-2000:
3个千兆网卡,其中管理端口为EMP;
IPG-3000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
IPG-4000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
说明管理端口的固定IP为190.190.190.190,初始配置时使用;
BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端
直接物理上导通,不影响网络的使用。
2部署前提
先部署好需要保护的服务器环境。
3具体部署过程
3.1安装安全网关管理器
运行网络准入管理器安装程序SGManSetup.exe,根据默认提示安装。
3.2部署安全网关
3.2.1安全网关IP设置
首先要确定安全网关串联接入网络中的具体位置,据此确定安全网关的IP地址,接着便要开始设置安全网关的IP。
安全网关管理端口的固定IP为190.190.190.190,通过管理端口进行安全网关IP配置。设置的具体操作如下:
1)计算机A安装了安全网关管理器,使计算机A脱离内网环境,而直接用网线将安全
网关的管理端口与计算机A连接,修改计算机A的IP,让它能与安全网关通讯。如修改计算机A的IP如下:
IP地址:190.190.190.1
子网掩码:255.255.255.0
默认网关:可不填
2)在计算机A上开始菜单中运行安全网关管理器,操作:【工具→控制器连接参数】,
如图1:
图1
控制器:输入控制器的固定IP,即190.190.190.190;
密码:初始为空
3)输入完毕,点击【确定】,此时【工具->控制器管理】为可选状态,点击进入,弹
出控制器管理窗口,如图2:
图2
4)点击【设置网络参数】,弹出安全网关设置IP的对话框,如图3:
图3
5)点击【确定】,设置的网络参数需要重启生效,点击控制器管理界面的【重启控制
器】,重启之后,安全网关IP修改成功。
3.2.2 安全网关桥接入网络
客户端客户端客户端ERP 服务器邮件服务器安全网关控制器
客户端OA 服务器
连接方法:使用设备的ETH0和ETH1端口将其连入网络;
3.3 安全控制前的设置
3.3.1 连接安全网关
启动安全网关管理器,【菜单栏->工具->控制器连接参数】,弹出控制器连接设置窗口(图1)。
对应的输入内容:
控制器:输入修改后的控制器IP ; 密码:初始密码为空
成功连接之后,能在状态列表内看到默认IP 范围的计算机状态情况;
3.3.2 设置管理范围
在安全网关管理器界面,切换到管理配置标签页,如图4:
图4
设置控制器所能管理的计算机范围,此范围的计算机有通信经过控制器时,就会出现在“状态信息”内。支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
3.3.3设置控制范围
在安全网关管理器界面,切换到管理配置标签页,如上图4。
在“控制范围”中添加要控制的计算机范围,支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
3.3.4设置服务器连接参数
在安全网关管理器界面,切换到管理配置标签页,如上图4。指定受保护的服务器IP 和TCP协议端口。支持“IP:端口”的输入,如:192.168.1.2:8080。
3.3.5设置转发的URL
计算机访问网络受阻后,将其引导至“转发的url”。
可使用IP-guard提供web服务器架设程序(WebServerSetup.exe)进行部署。
1)双击运行该程序,根据默认提示安装。成功安装之后,web服务自动在后台运行,默认开放8282端口。
2)把客户端安装程序改名为Agent3.exe,放置在TEC\WebServer安装目录下的html文件夹里即可。
以上步骤完成之后,则可在管理配置标签页中的转发设置处填写:
转发的url:设置好的转发网页地址+/index_sg.html,即
http://192.168.1.2:8282/index_sg.html
(192.168.1.2为安装web服务的机器IP)
4加密客户端的配置
1)设置平时访问OA等系统的软件为授权软件。如SVN客户端或浏览器。如果预定义
中没有此软件,可使用自定义授权软件。例如设定IE为自定义授权软件。
2)对加密客户端指定授权软件,例如对加密客户端指定IE为授权软件。
3)对授权软件启动安全通讯功能。启动控制台,在【策略->客户端配置】中设置客户
端配置策略:
a)如果授权软件是SVN,新建客户端配置safe_netconnect_svn,值为1
b)如果授权软件是其他软件,如IE,新建客户端配置策略safe_netconnect_process,
值为iexplore.exe (支持多进程,以分号分隔)
c)如果授权软件需要访问安全网关之外的服务器,在客户端配置策略中设置白名单。
名称:safe_netconnect_whitelist,值为OA或SVN服务器IP,如:192.168.1.2
注意设置白名单之后,加密文档可以上传到这些网站并解密,这样会存在泄密风险,设置白名单须谨慎。
5安全网关的使用
6.1开启/停止控制
在安全网关管理器,【菜单栏->系统->启动】,则开启安全网关控制的功能。
【菜单栏->系统->停止】,则关闭安全网关控制的功能。
6.2设置白名单
对访问受阻的计算机启用白名单,则在该计算机中使用浏览器访问任一个网站,可正常访问。
添加白名单的方法有两种方法: