IPGUARD安全网关快速部署指南
ipguard4使用手册
IP-Guard是一款企业级的网络监控软件,用于全面审计、严格管控和安全稳定的加密企业信息。
以下是IP-Guard的使用手册:1. 安装和部署在安装和部署IP-Guard之前,需要先确认软硬件环境符合要求。
具体要求可参考IP-Guard的官方文档或者与供应商联系以获取支持。
安装和部署服务器和控制台时,需要按照IP-Guard的安装指南逐步进行。
这通常涉及到安装软件、配置网络设置、进行系统更新等步骤。
2. 配置管理在开始使用IP-Guard之前,需要对各项参数进行配置。
这包括但不限于:设定监控策略、配置加密方式、设置网络参数等。
具体的配置步骤和参数可能会因IP-Guard的版本和用户需求的不同而有所差异,建议参考具体的使用手册或者联系供应商以获取更详细的指导。
3. 使用操作IP-Guard的具体使用操作可能会因不同的功能模块而有所不同。
一般来说,操作步骤如下:* 文档操作管理:可以通过IP-Guard对电脑上的文档进行操作管理,如禁止复制、剪切、删除等操作,或者对特定文档进行加密保护。
* 即时通讯:可以监控员工使用即时通讯工具的行为,如QQ、微信等,并可以设置禁止使用或者限定使用时间等。
* 邮件管控:可以监控员工的邮件往来,并对邮件进行过滤和拦截。
* 资产管理:可以对企业的资产进行管理,如硬件设备、软件许可等,并可以实时监控其使用状态。
* 移动存储设备:可以限制员工使用移动存储设备,如U盘、移动硬盘等,以防止信息泄露。
* 上网行为管理:可以监控员工的上网行为,如访问网站、下载文件等,并可以设置禁止访问某些网站或者对特定文件进行过滤。
* 屏幕监控:可以实时监控员工的电脑屏幕,查看员工正在进行的操作。
* 系统管理:可以对操作系统进行管理,如禁用某些程序、设置系统参数等。
4. 维护与更新IP-Guard需要定期进行维护和更新以保证其稳定运行和持续更新。
维护和更新工作一般由专业人员负责,包括对系统进行定期检查、清理垃圾文件、升级软件等操作。
安全网关Web界面配置指导
安全网关Web界面配置指导在进行安全网关Web界面配置之前,首先要确保已经登录到安全网关的管理界面,并具有管理员权限。
以下是安全网关Web界面配置的步骤:1. 配置基本网络设置- 在安全网关管理界面中,点击“网络设置”或类似选项,进入基本网络设置页面。
- 配置安全网关的IP地址、子网掩码、网关地址和DNS服务器地址等基本网络参数。
- 点击“应用”或“保存”按钮,使配置生效。
2. 配置防火墙规则- 在安全网关管理界面中,点击“防火墙”或类似选项,进入防火墙规则配置页面。
- 添加、编辑或删除需要的防火墙规则,包括入站规则和出站规则。
- 为每条规则配置相应的源IP地址、目标IP地址、端口号、协议类型等参数。
- 点击“应用”或“保存”按钮,使配置生效。
3. 配置虚拟专网(VPN)服务- 在安全网关管理界面中,点击“VPN”或类似选项,进入VPN服务配置页面。
- 配置VPN服务器的IP地址、子网掩码、密钥和认证方式等参数。
- 配置VPN客户端连接的权限和策略。
- 点击“应用”或“保存”按钮,使配置生效。
4. 配置入侵检测系统(IDS)和入侵防御系统(IPS)- 在安全网关管理界面中,点击“IDS/IPS”或类似选项,进入入侵检测系统和入侵防御系统的配置页面。
- 配置IDS/IPS的防御策略、检测规则和报警方式。
- 点击“应用”或“保存”按钮,使配置生效。
5. 配置安全审计日志- 在安全网关管理界面中,点击“审计日志”或类似选项,进入安全审计日志的配置页面。
- 配置安全审计日志的记录方式、存储位置、日志等级和追踪策略。
- 点击“应用”或“保存”按钮,使配置生效。
以上是安全网关Web界面配置的基本步骤,根据具体的安全网关型号和功能需求,可能还需要进行其他配置操作。
在配置过程中,务必注意配置参数的正确性和合理性,以确保安全网关的正常运行和网络安全。
6. 配置内容过滤和安全策略- 在安全网关管理界面中,点击“内容过滤”或类似选项,进入内容过滤和安全策略配置页面。
IP-guard的实施安装
IP-guard的安装部署总结
IP企 业 信 息 监 管 系 统 guard
部署步骤
部署前调研 部署数据库 部署服务器
启动 注册 检验码
部署控制台 部署客户端
域脚本安装、推送安装 手工安装
控制台
控制台
Internet
客户端 客户端
分公司 总公司
IP-guard服务器
IP-guard跨网络的部署
情况五:分机构计算机较多,上传数据量较大
部署多个IP-guard服务器 使用控制台远程连到分机构的服务器管理分机构的计算机
IP企 业 信 息 监 管 系 统 guard
控制台
控制台
Internet
序列号升级
升级正式序列号
演示版
升级试用序列号
试用版
升级正式序列号
正式版
升 级 序 列 号
升级试用序列号
服务器的注册
IP企 业 信 息 监 管 系 统 guard
正式序列号注册
试用版 序列号 注 册 识别码 注册码 购买 提供序列号
序列号+识别码
公司信息
TEC
提供注册码
注册完成
试用序列号注册
我们提供试用序列号和注册码
客户端安装包
IP企 业 信 息 监 管 系 统 guard
在IP-guard服务器上生成安装包 打包步骤
服务器地址(IP、机器名或动态域名) 静默安装 管理员权限
域脚本安装
IP企 业 信 息 监 管 系 统 guard
适用环境
局域网内部署有域环境
安装步骤
复制LogonScript到与服务器上 生成一个客户端安装包,命名为ASetup.exe 把ASetup复制到LogonScript目录下 运行LgnManV3.exe对服务器的登录脚本做设置
IP-Guard加密模块使用介绍
IP-guard
客户端参数设置
登入离线授权状态
企业信息监管系统
离线时,自动进入 离线授权模式 拥有长期离线授权
加密客户端-选项设置
IP-guard
在线状态申请
以外发申请为例:
选择外发对象 右键菜单 设置权限 本地扫描 管理员
企业信息监管系统
填写申请理由
IP-guard
外发申请
管理员审批后 生成外发文档
对外发对象 进行授权
IP-guard
外发文档查看
企业信息监管系统
如果生成外发文档时, 选择了“同步标准时 间”,打开外发文档 查看外发文档 会要求同步时间 的电脑无法访 问互联网
IP-guard
备用服务器设置
设置连接密码 设置备用服务 器连接参数
企业信息监管系统
IP-guard服务器 地址及连接密 码
企业信息监管系统
修改、删除只 能操作手动添 加的授权软件
IP-guard
安全区域管理
企业信息监管系统
IP-guard
加密权限设置
企业信息监管系统
可对单个计算机设置权限, 也可对计算机组设置权限 单个计算机没有设置权限 时,会继承计算机组的权 限
用户模式仅支持域用户
IP-guard
加密权限设置
企业信息监管系统
安全区域和级别
– 用来区分企业内部不同的客户端对加密文档的访问权限
在线与离线
– – 客户端连上服务器时为在线状态 客户端无法连上服务器时为离线状态
IP-guard
企业信息监管系统
紧急模式
– 主服务器存在问题无法启动时,客户端自动连接到备用服务器, 显示为紧急模式
iguard-安装部署指南
iGuard网页防篡改系统部署指南目录第1章基本部署 (1)1.1产品简介 (1)1.2结构描述 (2)1.3标准部署 (5)1.4产品型号 (8)第2章多虚拟主机/多WEB服务器 (10)2.1一对多支持 (10)2.2多虚拟主机 (11)2.3镜像W EB服务器 (12)2.4多W EB服务器 (13)第3章特殊情形部署 (14)3.1本机W EB内容管理系统 (14)3.2托管服务器 (16)3.3同机部署 (19)3.4无内容管理系统 (19)第4章发布服务器安全 (21)4.1问题的提出 (21)4.2基本考虑 (22)4.3W INDOW S操作系统加固措施 (23)4.4发布相关的安全加固措施 (27)第5章网站需提供的设备和准备工作 (31)5.1内容管理系统 (31)5.2发布服务器 (31)5.3W EB服务器 (31)5.4工程准备单 (31)第6章IGUARD工程准备单 (32)6.1总体情况 (32)6.2内容管理系统 (32)6.3 I G UA RD发布服务器 (33)6.4W EB服务器(编号1) (34)6.5W EB服务器(编号2) (36)图示目录图示1-1 I G UA RD两台服务器 (2)图示1-2标准部署图 (5)图示1-3基本网站结构 (6)图示1-4部署I G U AR D后的网站结构 (7)图示2-1多虚拟主机 (11)图示2-2镜像W EB服务器 (12)图示2-3多W EB服务器 (13)图示3-1本地W EB内容管理系统 (14)图示3-2本地W EB内容管理系统下的部署 (15)表格目录表格1-1产品型号 (9)表格1-2企业发布模块 (9)第1章基本部署1.1 产品简介iGuard网页防篡改系统是完全保护W eb网站不发送被篡改内容并进行自动恢复的W eb页面保护软件。
iGuard网页防篡改系统(以下简称iGuard)采用先进的W eb服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于W eb服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于W eb的攻击和篡改,彻底解决网页防篡改问题。
安全网关部署方案
安全网关部署方案随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。
一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。
计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。
这样,局域网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。
目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。
另外域网内部的信息安全更是不容忽视的。
网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。
因此,网络安全不仅要防范外部网,同时更防范内部网安全。
因此,企业采取统一的安全网关策略来保证网络的安全是十分需要的。
一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。
安全网关是各种技术有机融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,对保护计算机局域网起着关键性的作用。
安全网关部署拓扑图:(图1)上图为安全网关部署示意图,包含了组建局域网网的基本要素。
下面对其各个部分进行讲解。
一、安全网关接入网络。
安全网关一般具有2个W AN口以及4个LAN口。
如上图所示,外网IP为221.2.197.149,连接网线到W AN口上。
LAN的口IP地址是可以自由设置的,图中设定的2个LAN口的IP为192.168.0.1(局域网用户)以及10.0.0.1(服务器用网段)。
另外安全网关具有了无线网络功能,分配IP地址为192.168.10.1。
下面对上述接入方式进行详细说明。
1.路由NET部署图一所示接入方式即为路由NET部署拓扑图。
IP-guard终端安全整体解决方案
合法用户正常使用
外部用户
可限制打印、截屏、剪贴板 防止使用中泄密 外部用户
乱码
非法用户无法使用
加密模式
强制透明加密不够灵活,如何实现灵活的加密?
强制 加密
明文
编辑、保存
核心研发
密文
只解密
编辑、保存
不加密
密文
高层领导
明文
只读
加密
普通员工
密文
只能读取 不可编辑
智能 明文 加密
密文
编辑、保存
部门主管
编辑、保存
未知交 流途径
加密
管控
合法交 流途径
优势:
✓ 一套整体系统 ✓ 三个管理维度
审计
详尽细致的审计
文档全生命周期操作审计
删除
创建
访问
重命名
文档全 生命周期
修改
上传/下载 /刻录
移动
复制
文档传播全途径审计
文档传播 途径
打印
移动 存储
邮件
聊天 工具
网络 上传
审计打印内容,并自定义打印浮水印 审计拷贝行为及备份拷贝内容 审计外发邮件主题、正文内容、附件等 审计聊天内容,备份外发文件 审计HTTP、FTP上传行为,备份上传文件
明文 密文
权限管理
如何实现敏感数据仅限于部门内部流通? 如何区分部门领导与普通员工的文档访问权限?
通过划分安全区域、设置文档密级,建立分部门分级别的保密机制
经理
秘密
销售部
经理 秘密
财务部
员工 内部
出差办公
如何确保出差人员能够正常使用加密文档? 如何确保出差人员加密文档的安全?
1. 出差迫切、未及时申请 2. 出差延期,如何延续?
IP-guard内网安全解决方案
IP-guard内⽹安全解决⽅案IP-guard内⽹安全管理整体解决⽅案⼴州⽹宝信息科技有限公司⼴州⽹宝信息科技有限公司⽬录⼀、概述 (1)⼆、企业内⽹安全需求分析: (3)三、IP-guard内⽹安全整体解决⽅案 (6)3.1信息防泄漏的三重保护 (6)3.1.1第⼀重,详尽细致的操作审计 (6)3.1.2第⼆重,全⾯严格的操作控制 (9)3.1.3第三重,安全稳定的透明加密 (11)3.1.4客户收益 (13)3.2 应⽤效率的管理 (14)3.2.1 对⼯作情况进⾏统计分析 (14)3.2.2 ⽹络流量统计分析 (14)3.2.3 对⾏为进⾏控制管理 (14)3.2.4 对⽹络流量的控制管理 (15)3.2.5 客户收益 (15)3.3系统的维护和资产管理 (16)3.3.1 对计算机基本属性的保护 (16)3.3.2 实时查看客户端运⾏状态 (16)3.3.3 对使⽤者进⾏远程协助 (16)3.3.4 系统补丁和漏洞管理 (17)3.3.5资产管理 (17)3.3.6客户收益 (18)四、IP-guard⽅案优势 (19)5.1 易部署 (19)5.2 易使⽤ (19)5.3 易管理 (19)5.4 功能全⾯ (19)5.5 运⾏稳定,值得信赖 (19)5.6灵活扩展 (20)5.7 强⼤的技术⽀持 (20)五、IP-guard介绍 (21)六、关于我们 (27)IP-guard成功案例 (29)IP-guard荣誉客户 (35)内⽹安全法律法规 (37)⼀、概述内⽹安全系统管理的市场背景随着⽹络的⾼度发达,⼈、数据和各种事物已经以不同⽅式联⼊⽹络,各个领域的边界也正在逐渐溶解,领域之间交互的信息量激增,新的协作⽅式导致信息的流转变得更为复杂。
对于企业来说,在进⾏商务活动的时候始终⾯临着各种风险,这些风险是固有的,不仅存在于企业与客户和合作伙伴的⽇常接触之中,也存在于企业内部。
信息系统作为企业商务活动的重要组成系统,同样也⽆法避免各种风险的威胁。
IP-guard功能简介与安装部署(new)
➢ 从多维度对流量使用作以统计,帮助管理者对带宽的应用 做细致的分析
流量控制
➢ 按IP地址、端口限制流量,帮助企业合理分配带宽 ➢ 限制BT下载、在线试听等对网络资源的占用,保证关键业
务的带宽需求
网络控制
IPguar企d 业 信 息 监 管 系 统
防止未经授权的外部计算机访问内部网络
网络控制
IP-guard功能简介 与安装部署
内容
IPguar企d 业 信 息 监 管 系 统
1 IP-guard简介 2 IP-guard功能模块介绍 3 IP-guard解决方案 4 IP-guard安装部署
企业信息化对安全带来的挑战
IPguar企d 业 信 息 监 管 系 统
文档修改或删除前备份
文档传输备份
移动存储加密和文档透明加密
主动防御,最大限度保护文档安全
文档安全管理方案
事后 审计
所有操作都以日 志记录下来 部分操作内容同 样记录下来
IPguar企d 业 信 息 监 管 系 统
•文档操作日志 •打印内容记录 •打印操作日志
•移动存储使用日志
•邮件内容记录 •收发邮件日志
监控通讯工具,保护信息安全,提高工作效 率
即时通讯记录
➢ 完整记录对话的时间,联系人和对话内容,保证信息不被 人为外泄
即时文件传送控制
➢ 限制传送指定名称或类型的文件或超过规定大小的文件
传输文件备份
➢ 备份传送的文件
应用程序管控
IPguar企d 业 信 息 监 管 系 统
监控应用程序使用情况,提高工作效率
远程控制
➢ 远程协助或者进行操作示范
远程文件传输
➢ 远程传送文件,辅助更快速地更新文件和收集故障样本
IP-guard功能简介与组成架构(演讲)
文档备份
在敏感的文件被更改或被破坏前备份,确保重要文件不会丢失
IP-guard
企 业 信 息 监 管 系 统
文档打印管控
全面的打印记录帮助评估资源使用
评估各用户打印资源,根据数据查看打印使用效率
IP-guard
企 业 信 息 监 管 系 统
文档打印管控
控制打印权限,防止打印泄露 记录文档打印映像审计打印内容
企 业 信 息 监 管 系 统
邮件管控
邮件控制
通过对普通邮件和Exchange邮件外发文档控制,避免文档经由
邮件外泄出去
限定收发件人,实现控制仅允许使用企业规定邮箱收发邮件,
并可控制是否允许包含附件的邮件发送。
IP-guard
企 业 信 息 监 管 系 统
即时通讯管控
支持主流即时通讯工具聊天内容审计
IP-guard
企 业 信 息 监 管 系 统
内容
内网安全管理的内容 IP-guard功能模块介绍 三种解决方案
IP-guard组成架构
1 2 3
4
IP-guard
企 业 信 息 监 管 系 统
IP-guard的三大组成部分
存储系统数据 管理规则策略
控制台
查看系统数据 设定管理策略 进行实时维护
资产管理
•软硬件管理 •补丁管理 •安全漏洞管理 •软件分发
远程支持
•远程维护 •远程控制 •远程文件传送
IP-guard
企 业 信 息 监 管 系 统
客户收益
•将IT管理人员从整日装系统、装程序、东奔西跑 解决终端小问题的状态中解放出来;
IP-guard终端安全整体解决方案
• 限制非法应用程序 的使用
• 防止木马感染,提 高工作效率
桌面安全管理
应用程序
系统安全
• 统一检测、下载 并安装微软补丁
• 对系统漏洞进行 检测
安全稳定的加密
文档透明加密
透明——加密过程自 动完成、不影响用户使 用习惯
加密算法 敏感文档
密文
三大系统平台:支持Windows、Linux和Mac 移动智能终端:支持在Android\iOS上查看加密文档
未知交 流途径
加密
管控
合法交 流途径
优势: 一套整体系统 三个管理维度
审计
详尽细致的审计
文档全生命周期操作审计
删除
创建
访问
重命名
文档全 生命周期
修改
上传/下载 /刻录
移动
复制
文档传播全途径审计
文档传播 途径
打印
移动 存储
邮件
聊天 工具
网络 上传
审计打印内容,并自定义打印浮水印 审计拷贝行为及备份拷贝内容 审计外发邮件主题、正文内容、附件等 审计聊天内容,备份外发文件 审计 、FTP上传行为,备份上传文件
明文 密文
权限管理
如何实现敏感数据仅限于部门内部流通? 如何区分部门领导与普通员工的文档访问权限?
通过划分安全区域、设置文档密级,建立分部门分级别的保密机制
经理
秘密
销售部
经理 秘密
财务部
员工 内部
出差办公
如何确保出差人员能够正常使用加密文档? 如何确保出差人员加密文档的安全?
1. 出差迫切、未及时申请 2. 出差延期,如何延续?
截屏、打开次数、查看时限、打开密码等), 防止二次泄密
多样化审批流:支持单级审批、多级审批和会签审批 跨平台审批:支持控制台审批、web审批和移动APP审批
网神安全网关配置方法
1. 将计算机IP地址设置为10.50.10.44,掩码255.255.255.0,网关10.50.10.45,连接在VPN网关的FE1口。
2. 打开VPN网关配套光盘中的Admin Cert目录,双击证书文件SecGateAdmin.p12,弹出如下窗口。
按提示进行安装,密码为“123456”,其它按默认即可安装成功。
3. 在IE浏览器中输入:https://10.50.10.45:8889,密码为firewall进入VPN网关管理界面。
4. 进入VPN网关管理界面。
5. 选择系统配置——》导入导出。
点击“浏览”,选择配置文件fwconfig.txt。
fwconfig.txt 如下:# hardware version: SecGate 3600-F3(SJW79)A# software version: 3.6.4.26# hostname: SecGate# serial number: f6f335072669bb05defaddr delalladdrdefaddr add DMZ 0.0.0.0/0.0.0.0 comment "DMZ"defaddr add Trust 0.0.0.0/0.0.0.0 comment "Trust"defaddr add Untrust 0.0.0.0/0.0.0.0 comment "Untrust"vpn set default prekey PleaseInputPrekey ikelifetime 28800 ipseclifetime 3600 vpnstatus on vpnbak offvpn onvpn add remote static main psk name xian addr 222.91.74.218 prekey PleaseInputPrekey ike 3des-sha1-dh5,aes-sha1-dh5 initiate on obey off nat_t on ikelifetime 28800 dpddelay 0 dpdtimeout 0vpn add tunnel name xian_qianxian local 61.185.40.23 remote xian auth esp ipsec aes128-md5,3des-sha1 pfs on dh_group 5 ipseclifetime 3600 proxy_localip 0.0.0.0 proxy_localmask 0.0.0.0 proxy_remoteip 0.0.0.0 proxy_remotemask 0.0.0.0anti synflood fe1 200anti icmpflood fe1 1000anti pingofdeath fe1 800anti udpflood fe1 1000anti pingsweep fe1 10anti tcpportscan fe1 10anti udpportscan fe1 10anti synflood fe2 200anti icmpflood fe2 1000anti pingofdeath fe2 800anti udpflood fe2 1000anti pingsweep fe2 10anti tcpportscan fe2 10anti udpportscan fe2 10anti synflood fe3 200anti icmpflood fe3 1000anti pingofdeath fe3 800anti udpflood fe3 1000anti pingsweep fe3 10anti tcpportscan fe3 10anti udpportscan fe3 10anti synflood fe4 200anti icmpflood fe4 1000anti pingofdeath fe4 800anti udpflood fe4 1000anti pingsweep fe4 10anti tcpportscan fe4 10anti udpportscan fe4 10sysif set fe1 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysif set fe2 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysif set fe3 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysif set fe4 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysip add fe1 10.50.10.45 255.255.255.0 ping off admin on adminping on traceroute onsysip add fe4 61.185.40.23 255.255.255.128 ping on admin on adminping off traceroute offsysip add fe3 172.24.40.100 255.255.255.0 ping on admin on adminping off traceroute offvrrpbunch delay 10route add droute any 61.185.40.1mngglobal set cpu 80 mem 80 fs 80 rcomm "public" wcomm "private" trapc "public" username "snmpuser" level "AuthnoPriv" authpass "12345678"crypt "MD5"mngglobal add snmpip 222.91.74.218mngglobal onlogsrv set 222.91.74.218 514 udpmngacct set admin password "firewall"mngacct multi onmngacct failtime 5 blocktime 30 period 120dns set sysname SecGateipcftcheck offlongconn set 1800statetable udp 20 icmp 5statetable overtime establish 1800 syn 120dnsrelay set autordweb srcaddr any dstaddr anyrdweb dstport 80vpn set dhcp active off dhcpserver 127.0.0.1 interface lotimeout set web 600bandwidth add p2p_band priority 3 minbw 60 maxbw 160 comment "建议仅用于P2P带宽限制"ftpactive port20 keep offtcpmss set 1460defsvc set ftp ftp 21defsvc set h323 h323 1720defsvc set sqlnet sqlnet 1521defsvc set sip sip 5060defsvc set rtsp rtsp 554defsvc set mms mms 1755defsvc set pptp pptp 1723defsvc set gk gk 1719defsvc set tftp tftp 69defsvc set ftp comment "文件传输协议"defsvc set h323 comment "Netmeeting服务"defsvc set sqlnet comment "oracle数据库网络连接"defsvc set sip comment "基于sip协议的动态服务"defsvc set rtsp comment "RTSP服务"defsvc set mms comment "MMS服务"defsvc set pptp comment "点到点隧道协议的动态服务"defsvc set gk comment "H.323网守服务"defsvc set tftp comment "TFTP协议"defsvc set icmp icmp comment "ICMP服务"defsvc set ping icmp type 8 comment "PING请求"defsvc set pong icmp type 0 comment "PING回应"defsvc set tcp proto tcp any any comment "tcp协议的所有服务"defsvc set udp proto udp any any comment "udp协议的所有服务"defsvc set gre proto 47 comment "封装协议"defsvc set esp proto 50 comment "VPN加密认证协议"defsvc set ah proto 51 comment "加密协议"defsvc set vrrp proto 112 comment "HA负载均衡协议"defsvc set ssh proto tcp any 22 comment "远程加密登录"defsvc set telnet proto tcp any 23 comment "远程登录协议"defsvc set smtp proto tcp any 25 comment "邮件发送服务"defsvc set http proto tcp any 80 comment "www服务"defsvc set pop3 proto tcp any 110 comment "邮件接收服务"defsvc set ntp proto tcp any 123 comment "时间服务器服务"defsvc set netbios proto tcp any 137 proto tcp any 139 proto udp any 137 proto udp any 138 comment "windows文件共享"defsvc set dhcp proto udp any 67:68 proto tcp any 67:68 comment "dhcp & bootp"defsvc set https proto tcp any 443 comment "https服务"defsvc set pptp_server proto tcp any 1723 proto 47 comment "点到点隧道协议(用于防火墙作为PPTP服务器)"defsvc set dns proto tcp any 53 proto udp any 53 comment "域名解析服务"defsvc set snmp proto udp any 161 comment "简单网络管理协议"defsvc set snmptrap proto udp any 162 comment "snmp trap发送服务" defsvc set syslog proto udp any 514 comment "日志传输协议"defsvc set oicqc proto udp any 4000 comment "QQ客户端打开端口"defsvc set oicqs proto udp any 8000 comment "QQ服务器打开端口"defsvc set secgate_auth proto tcp any 9998 proto udp any 9998 comment "SecGate安全网关用户认证"defsvc set secgate_global proto tcp any 161 proto udp any 161 comment "SecGate安全网关集中管理"defsvc set secgate_https proto tcp any 8889 proto tcp any 8888 comment "SecGate安全网关WEB管理"defsvc set secgate_ha_conf proto tcp any 9223 proto udp any 9455 comment "SecGate安全网关HA功能配置同步服务"defsvc set virus_blaster proto tcp any 135:139 proto udp any 135:139 proto tcp any 4444 proto udp any 69 comment "冲击波影响端口"defsvc set virus_sasser proto tcp any 445 proto tcp any 1025 proto tcp any 1068 proto tcp any 5554 proto tcp any 9995:9996 proto udp any 9995:9996 comment "震荡波影响端口"defsvc set virus_sqlworm proto udp any 1434 comment "SQL蠕虫影响端口" defsvc set pcanywhere proto tcp any 5631:5632 proto udp any 5631:5632 comment "pcanywhere"defsvc set lotusnote proto tcp any 1352 proto udp any 1352 comment "lotus notes"defsvc set ike proto udp any 500 proto udp any 4500 comment "Internet 密钥交换协议"defsvc set l2tp proto udp any 1701 comment "第二层隧道协议"defsvc set thunder proto tcp any 3075:3079 proto tcp 3075:3079 any comment "迅雷端口"defproxy set http port 80 java permit javascript permit activex permit defproxy set ftp port 21 get permit put permit multi permitdefproxy set telnet port 23defproxy set smtp port 25 domain server maildomain mailserver 1.1.1.1 maxlength 5120 maxreceiver 5 sendinterval 10 sendamount 100defproxy set pop3 port 110 maxlength 5120ips atkresp onlogips backdoor onlogips info onlogips multimedia onlogips p2p onlogips porn onlogips scan onlogips virus onlogips webcf onlogips webcgi onlogips webclient onlogips webfp onlogips webiis onlogips webmisc onlogips webphp onloglimitp2p set apple denylimitp2p set ares denylimitp2p set bt denylimitp2p set dc denylimitp2p set edonkey denylimitp2p set gnu denylimitp2p set kazaa denylimitp2p set msn denylimitp2p set qq denylimitp2p set skype denylimitp2p set soul denylimitp2p set winmx denydefdomain detect offpolicy add permit id 1 name p1 in any out any service ike time none log on active onpolicy add permit id 2 name 集中管理主机 from222.91.74.218/255.255.255.255 to 219.145.109.30/255.255.255.255 in any out any service secgate_global time none log on active onpolicy add permit id 3 name p2 from 172.24.40.0/255.255.255.0 to 192.168.5.0/255.255.255.0 in any out any time none log on tunnelxian_qianxian active onpolicy add permit id 4 name p3 from 192.168.5.0/255.255.255.0 to 172.24.40.0/255.255.255.0 in any out any time none log on tunnelxian_qianxian active onpolicy add nat id 5 name p5 from 172.24.40.0/255.255.255.0 sat61.185.40.23 in any out any time none active onwormfilter set sobig ignorewormfilter set ramen ignorewormfilter set welchia ignorewormfilter set agobot ignorewormfilter set opaserv ignorewormfilter set blaster ignorewormfilter set sadmind ignorewormfilter set slapper ignorewormfilter set novarg ignorewormfilter set slammer ignorewormfilter set zafi ignorewormfilter set bofra ignorewormfilter set dipnet ignorewormfilter offdefantivirus set smtp discard on alarm ondefantivirus set smtpfile filenum 500 filesize 10 dirnum 8 defantivirus set pop3file filenum 500 filesize 10 dirnum 8 defantivirus set ftp discard ondefantivirus set ftpfile filenum 500 filesize 10 dirnum 8 defantivirus set http discard ondefantivirus set httpfile filesize 10 check htmldefantivirus update offpolicy stateless offmnghost add 10.50.10.44 "出厂默认管理主机"mnghost add 117.32.132.10mnghost add 222.91.74.218mnghost add 172.24.40.10mnghost limitless onauthsrv local 9998 9998authsrv radius 1.1.1.1 1812 1813 123456authsrv on localsyncfg set if none state backup backupif offstp set priority 32768stp startrouter rip interface fe1 auth offrouter rip interface fe2 auth offrouter rip interface fe3 auth offrouter rip interface fe4 auth offrouter rip set version 2 metric 16 update 30 garbage 120 timeout 180router ospf interface fe1 auth off mode text passwd none cost 10 router ospf interface fe2 auth off mode text passwd none cost 10 router ospf interface fe3 auth off mode text passwd none cost 10 router ospf interface fe4 auth off mode text passwd none cost 10router ospf set routerid 1 rfc1583 on以上另存为 TXT 文本即可这时会出现提示“重启安全网关”,点击即可。
ipguard使用技巧
ipguard使用技巧IPGuard是一款网络安全工具,用于保护服务器和网络免受恶意攻击。
以下是一些使用IPGuard的技巧:1. 定期更新IPGuard:确保你使用的是最新版本的IPGuard软件,以便获取最新的安全补丁和功能改进。
这有助于保持系统的安全性。
2. 配置访问控制列表(ACL):使用IPGuard的ACL功能,可以限制允许访问服务器的IP地址范围。
通过仅允许特定的IP地址或IP地址段访问服务器,可以减少潜在的攻击风险。
3. 启用防火墙功能:IPGuard具有内置的防火墙功能,可以通过配置规则来限制传入和传出的网络连接。
合理设置防火墙规则,可以阻止不明来源的连接,提高网络安全性。
4. 监控日志:IPGuard会生成详细的日志文件,记录所有尝试访问服务器的活动。
定期检查日志文件,可以及时发现潜在的攻击行为,并采取相应的措施。
5. 配置报警通知:IPGuard支持设置报警通知,当检测到异常活动时,可以通过电子邮件或短信发送警报。
配置报警通知可以及时获知可能存在的安全威胁。
6. 定期备份数据:无论使用任何安全工具,都不能保证完全防止攻击。
因此,定期备份服务器数据是非常重要的。
如果发生安全事件,可以通过备份数据进行恢复,减少损失。
7. 学习和了解最新的安全威胁:网络安全威胁不断演变,新的攻击技术和漏洞不断出现。
保持学习和了解最新的安全威胁,可以帮助你更好地配置和使用IPGuard来应对这些威胁。
请注意,这些只是一些IPGuard的使用技巧,具体的配置和操作可能因个人需求和实际情况而有所不同。
建议在使用IPGuard之前,详细阅读相关文档和指南,以确保正确、安全地使用该工具。
UPS-IPGuard 使用说明书
SNMP网络适配器UPS-IPGuard使用说明书感谢您购置广州市竣达智能软件技术有限公司UPS-IPGuard产品。
在使用之前,请您详读本说明书,以确保正确使用。
此外,请将此说明书妥善保存以便随时查阅。
本手册仅适用于UPS-IPGuard的配置和使用。
注意:�此使用说明书可能改变,恕不另行通知�我们尽最大努力确保本手册的准确性,然而如您仍有疑问或发现错误,请直接与我公司或我公司授权代理商联系�对于说明书内容如有不同理解,以本公司技术支持解释为准�第一次打开包装箱时,请您对照装箱清单检查配件,发现设备或配件错误、配件不齐或不正常,请与我公司联系�检查主机型号与您订购的是否一致目录1、安装配置需求 (4)2、UPS-IPGuard的外观 (4)(一)、外置卡 (4)(二)、内置卡 (5)短卡尺寸:58*59(MM)长卡尺寸60*119(MM) (5)3、接口及指示灯定义 (5)(一)、前面板 (5)(二)、后面板(内置卡,置于UPS机箱内,故无后面板) (6)4、安装UPS-IPGuard (6)5、配置UPS-IPGuard IP地址 (6)6、配置UPS-IPGuard功能 (9)(一)Web浏览器网络远程配置方式 (9)1、SNMP功能设置 (10)2、邮件告警功能设置 (11)4、用户配置功能设置 (13)5、网络参数功能设置 (14)6、PMcenter集中监控功能设置 (14)7、设备总线(温湿度或modbus地址)功能设置 (15)8、系统时间功能配置 (15)9、远程控制功能设置 (16)10、远程唤醒功能设置 (16)11、历史事件记录 (16)12、设备数据接口 (16)(二)、串口终端配置: (17)1、Network configuration(网络配置) (20)2、NMS配置 (22)3、Trap主机配置 (22)4、设置系统日期和时间 (23)5、略 (24)6、系统功能配置 (24)9:关于我们:略 (26)10、保存并重启 (26)(三)Telnet网络远程配置方式 (26)6、故障排除: (28)7、系统参数: (29)1、安装配置需求�一台具有RS-232通讯接口的UPS;�一台具有RS-232通讯接口和10M/100M以太网络适配卡的计算机(具有管理权限的),以做初始参数设置;�完整的网络环境;�用于网络监控、监测、管理UPS电源和计算机机房环境及周边设备的系列功能扩展选件(可选);2、UPS-IPGuard的外观本产品分为内置和外置两种。
安全网关部署方案
安全网关部署方案随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。
一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。
计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。
这样,局域网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。
目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。
另外域网内部的信息安全更是不容忽视的。
网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。
因此,网络安全不仅要防范外部网,同时更防范内部网安全。
因此,企业采取统一的安全网关策略来保证网络的安全是十分需要的。
一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。
安全网关是各种技术有机融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,对保护计算机局域网起着关键性的作用。
安全网关部署拓扑图:(图1)上图为安全网关部署示意图,包含了组建局域网网的基本要素。
下面对其各个部分进行讲解。
一、安全网关接入网络。
安全网关一般具有2个W AN口以及4个LAN口。
如上图所示,外网IP为221.2.197.149,连接网线到W AN口上。
LAN的口IP地址是可以自由设置的,图中设定的2个LAN口的IP为192.168.0.1(局域网用户)以及10.0.0.1(服务器用网段)。
另外安全网关具有了无线网络功能,分配IP地址为192.168.10.1。
下面对上述接入方式进行详细说明。
1.路由NET部署图一所示接入方式即为路由NET部署拓扑图。
IPGUARD信息安全解决方案
IPGUARD信息安全解决方案
1.防火墙:IPGUARD信息安全解决方案提供了高性能的防火墙,可以
对企业的内部网络和外部网络进行隔离,阻止来自外部网络的恶意攻击和
未经授权的访问。
同时,防火墙还可以检测和过滤网络上的恶意流量,保
护网络免受DDoS攻击和其他网络威胁的影响。
2.入侵检测系统(IDS):IPGUARD信息安全解决方案提供了全面的
入侵检测系统,可以实施实时监测和分析企业网络中的流量,识别和阻止
潜在的入侵行为。
IDS可对网络中的异常行为进行监控和警报,并提供实
时的响应和排查措施,防止潜在的攻击事件。
3.数据加密:IPGUARD信息安全解决方案提供了全面的数据加密功能,可以对企业内部和外部传输的敏感数据进行加密,确保数据在传输过程中
不被篡改或窃取。
数据加密可以应用于网络通信、存储设备以及移动设备
等各个环节,有效地保护企业的隐私和敏感信息。
5.恶意软件防护:IPGUARD信息安全解决方案提供了多种恶意软件防
护技术,可以识别和阻止企业网络中的恶意软件,如病毒、木马、间谍软
件等。
解决方案可以实时监测企业网络中的流量和文件,对潜在的恶意行
为进行识别和阻止。
同时,IPGUARD还提供了实时的病毒库更新功能,确
保企业网络的安全性。
综上所述,IPGUARD信息安全解决方案是一种综合性、高效的信息安
全解决方案,可以帮助企业保护其信息系统和网络不受黑客和恶意软件的
攻击。
通过集成多种安全策略和技术,IPGUARD能够实现对企业网络的全
面保护,确保企业的网络和数据的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
加密安全网关使用说明
1设备介绍
IP-guard安全网关控制设备(以下简称控制器),分为三个型号:
IPG-2000:
3个千兆网卡,其中管理端口为EMP;
IPG-3000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
IPG-4000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
说明管理端口的固定IP为190.190.190.190,初始配置时使用;
BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端
直接物理上导通,不影响网络的使用。
2部署前提
先部署好需要保护的服务器环境。
3具体部署过程
3.1安装安全网关管理器
运行网络准入管理器安装程序SGManSetup.exe,根据默认提示安装。
3.2部署安全网关
3.2.1安全网关IP设置
首先要确定安全网关串联接入网络中的具体位置,据此确定安全网关的IP地址,接着便要开始设置安全网关的IP。
安全网关管理端口的固定IP为190.190.190.190,通过管理端口进行安全网关IP配置。
设置的具体操作如下:
1)计算机A安装了安全网关管理器,使计算机A脱离内网环境,而直接用网线将安全
网关的管理端口与计算机A连接,修改计算机A的IP,让它能与安全网关通讯。
如修改计算机A的IP如下:
IP地址:190.190.190.1
子网掩码:255.255.255.0
默认网关:可不填
2)在计算机A上开始菜单中运行安全网关管理器,操作:【工具→控制器连接参数】,
如图1:
图1
控制器:输入控制器的固定IP,即190.190.190.190;
密码:初始为空
3)输入完毕,点击【确定】,此时【工具->控制器管理】为可选状态,点击进入,弹
出控制器管理窗口,如图2:
图2
4)点击【设置网络参数】,弹出安全网关设置IP的对话框,如图3:
图3
5)点击【确定】,设置的网络参数需要重启生效,点击控制器管理界面的【重启控制
器】,重启之后,安全网关IP修改成功。
3.2.2 安全网关桥接入网络
客户端客户端客户端ERP 服务器邮件服务器安全网关控制器
客户端OA 服务器
连接方法:使用设备的ETH0和ETH1端口将其连入网络;
3.3 安全控制前的设置
3.3.1 连接安全网关
启动安全网关管理器,【菜单栏->工具->控制器连接参数】,弹出控制器连接设置窗口(图1)。
对应的输入内容:
控制器:输入修改后的控制器IP ; 密码:初始密码为空
成功连接之后,能在状态列表内看到默认IP 范围的计算机状态情况;
3.3.2 设置管理范围
在安全网关管理器界面,切换到管理配置标签页,如图4:
图4
设置控制器所能管理的计算机范围,此范围的计算机有通信经过控制器时,就会出现在“状态信息”内。
支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
3.3.3设置控制范围
在安全网关管理器界面,切换到管理配置标签页,如上图4。
在“控制范围”中添加要控制的计算机范围,支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
3.3.4设置服务器连接参数
在安全网关管理器界面,切换到管理配置标签页,如上图4。
指定受保护的服务器IP 和TCP协议端口。
支持“IP:端口”的输入,如:192.168.1.2:8080。
3.3.5设置转发的URL
计算机访问网络受阻后,将其引导至“转发的url”。
可使用IP-guard提供web服务器架设程序(WebServerSetup.exe)进行部署。
1)双击运行该程序,根据默认提示安装。
成功安装之后,web服务自动在后台运行,默认开放8282端口。
2)把客户端安装程序改名为Agent3.exe,放置在TEC\WebServer安装目录下的html文件夹里即可。
以上步骤完成之后,则可在管理配置标签页中的转发设置处填写:
转发的url:设置好的转发网页地址+/index_sg.html,即
http://192.168.1.2:8282/index_sg.html
(192.168.1.2为安装web服务的机器IP)
4加密客户端的配置
1)设置平时访问OA等系统的软件为授权软件。
如SVN客户端或浏览器。
如果预定义
中没有此软件,可使用自定义授权软件。
例如设定IE为自定义授权软件。
2)对加密客户端指定授权软件,例如对加密客户端指定IE为授权软件。
3)对授权软件启动安全通讯功能。
启动控制台,在【策略->客户端配置】中设置客户
端配置策略:
a)如果授权软件是SVN,新建客户端配置safe_netconnect_svn,值为1
b)如果授权软件是其他软件,如IE,新建客户端配置策略safe_netconnect_process,
值为iexplore.exe (支持多进程,以分号分隔)
c)如果授权软件需要访问安全网关之外的服务器,在客户端配置策略中设置白名单。
名称:safe_netconnect_whitelist,值为OA或SVN服务器IP,如:192.168.1.2
注意设置白名单之后,加密文档可以上传到这些网站并解密,这样会存在泄密风险,设置白名单须谨慎。
5安全网关的使用
6.1开启/停止控制
在安全网关管理器,【菜单栏->系统->启动】,则开启安全网关控制的功能。
【菜单栏->系统->停止】,则关闭安全网关控制的功能。
6.2设置白名单
对访问受阻的计算机启用白名单,则在该计算机中使用浏览器访问任一个网站,可正常访问。
添加白名单的方法有两种方法:
1)安全网关管理器主界面,切换至“状态信息”窗口,选中一台或多台计算机,右键菜单->设置白名单,也可取消白名单。
2)安全网关管理器主界面,切换至“白名单”标签页,右键->添加白名单,如图5:
图5
填入要设为白名单的计算机IP,多个IP使用“,”分隔开,支持IP、IP段输入,如:192.168.3.0,192.168.0.2-192.168.1.160。
点击【确定】之后,设置成功,列表中出现添加的IP 机器。
删除白名单:在“白名单”列表中选择一个或多个计算机,右键菜单->删除白名单,这些机器将不再具有白名单功能。
6加密客户端的使用
加密客户端不改变平时使用习惯,加解密操作对用户透明。
不过启动了安全通讯功能的浏览器只能访问受保护的OA服务器,不能访问其他网站;如需要刚问其他网站,请使用其他浏览器,如360浏览器。
未启用安全通讯功能的浏览器不能访问受保护的OA系统。