TIPTOP隔离网闸映射访问配置案例
np学习——7个典型的RIP配置案例
np学习——7个典型的RIP配置案例⽂章⽬录案例1:RIPv2基础配置R1的配置如下:[R1]int g0/0/2[R1-GigabitEthernet0/0/2]ip address 172.16.1.254 24[R1-GigabitEthernet0/0/2]int g0/0/1[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 30[R1-GigabitEthernet0/0/1]q[R1]rip 1[R1-rip-1]version 2[R1-rip-1]network 192.168.1.0[R1-rip-1]network 172.16.0.0R2的配置如下:[R2]int g0/0/1[R2-GigabitEthernet0/0/1]ip address 192.168.1.2 30[R2-GigabitEthernet0/0/1]int g0/0/2[R2-GigabitEthernet0/0/2]ip address 192.168.1.5 30[R2]rip 1[R2-rip-1]version 2[R2-rip-1]network 192.168.1.0R3的配置如下:[R3]int g0/0/1[R3-GigabitEthernet0/0/1]ip address 192.168.1.6 30[R3-GigabitEthernet0/0/1]int g0/0/2[R3-GigabitEthernet0/0/2]ip address 172.16.31.254 24.[R3]rip 1[R3-rip-1]version 2[R3-rip-1]network 192.168.1.0[R3-rip-1]network 172.16.0.0使⽤display rip 1 interface 查看路由器的那些接⼝激活了RIP,以R1为例:<R1>display rip 1 interface--------------------------------------------------------------------------Interface IP Address State Protocol MTU--------------------------------------------------------------------------GE0/0/2 172.16.1.254 UP RIPv2 Multicast 500GE0/0/1 192.168.1.1 UP RIPv2 Multicast 500使⽤display rip 1 database查看RIP进程1的数据库,以R1为例:<R1>display rip 1 database---------------------------------------------------Advertisement State : [A] - Advertised[I] - Not Advertised/Withdraw---------------------------------------------------172.16.0.0/16, cost 0, ClassfulSumm172.16.1.0/24, cost 0, [A], Rip-interface172.16.31.0/24, cost 2, [A], nexthop 192.168.1.2192.168.1.0/24, cost 0, ClassfulSumm192.168.1.0/30, cost 0, [A], Rip-interface192.168.1.4/30, cost 1, [A], nexthop 192.168.1.2使⽤display ip routing-table protocol rip查看学习到的RIP路由,以R1为例:<R1>display ip routing-table protocol ripRoute Flags: R - relay, D - download to fib------------------------------------------------------------------------------Public routing table : RIPDestinations : 2 Routes : 2RIP routing table status : \<Active\>Destinations : 2 Routes : 2Destination/Mask Proto Pre Cost Flags NextHop Interface172.16.31.0/24 RIP 100 2 D 192.168.1.2 GigabitEthernet0/0/1192.168.1.4/30 RIP 100 1 D 192.168.1.2 GigabitEthernet0/0/1RIP routing table status : \<Inactive\>Destinations : 0 Routes : 0案例⼆:Slient-Interface基本的IP配置省略。
网络隔离技术
隔离器Ⅲ型(如下页左图所示)是一种通过外置物理开关来 控制双硬盘电源、IDE数据线及双网切换的物理隔离器。它 具备Ⅰ型隔离器的全部功能,同时增加了单、双网线的跳线 设置及对硬盘IDE线的控制及切换,兼容性更好,单、双网 线环境通用,通过隔离卡上的跳线区分单、双网线,使用更 灵活、更方便。
隔离器IV型 隔离器IV型(如下面右图所示)是一种通过外置物理开 关来控制双硬盘电源及双网切换的物理隔离器,单、双网 线环境通用。
有的隔离卡采用了PCI结构,直接插到主板的PCI插槽中, 所以无须另外提供电源,也就没有这样一个电源接口了, 如下图所示。
2.物理隔离卡方案的主要特性 转换比较便 数据安全交 有效安全控 技术应用广泛
主要物理隔离模式
目前主流的隔离模式有以下几种: 双网/双机模式 双硬盘/双网线模式 双硬盘/单网线模式 单硬盘/双网线模式
利普隔离卡产品
深圳市利谱信息技术有限公司的利普牌网络隔离产品非 常齐全,主要有以下几个系列的产品。 1. 单硬盘系列 利普公司的单硬盘物理隔离卡有两个主要的系列:TP60X和TP-608,前者均采用纯件分区,而后者均采用软件 分区。在TP-60X系列中又有以下几个型号的产品: TP-601隔离卡:单硬盘工作,适用于内外网时分开布线 (双布线)的用户。使用鼠标在屏幕上软件切换。 TP-602隔离卡:单硬盘工作,适用于单机拨号方式的用户。 适用于ISDN、ADSL、Modem等拨号上网方式。使用鼠标 在屏幕上软件切换。 TP-603隔离卡:单硬盘工作,适用于内外网共用一条网线 (单布线) 的用户,须配合网络线路选择器使用。使用鼠 标在屏幕上软件切换。 TP-60XH隔离卡:为半高单硬盘隔离卡。
物理隔离原理
物理隔离技术的指导思想与防火墙有很大的不同:防火 墙的思路是在保障互连互通的前提下,尽可能安全,而物 理隔离的思路是在保证必须安全的前提下,尽可能互连互 通。虽然物理隔离技术存在多种隔离方式,但是它们的隔 离原理却基本上一样。 主要物理隔离产品 物理安全隔离产品常见的有物理隔离卡、物理隔离集线 器和物理隔离网闸3大类。 物理隔离卡(也称“网络安全隔离卡”,NET SECURITY SEPARATE CARD)是物理隔离的低级实现形 式,是以物理方式将一台PC虚拟为两个电脑,实现工作站 的双重状态。网络结构如下面左图所示。
利谱隔离网闸百兆TIPTOPv20
应用访问控制
可根据来源、目的地、用户特权和时间来控制对特定的HTTP、SMTP或FTP等资源的访问。
视频支持
支持视频会议、流媒体、短信等特殊应用代理以及用户定制协议。
传输方向控制
支持单向、双向传输控制。
防病毒
支持病毒检查。
利谱隔离网闸百兆TIPTOPv2.0
指标项
指标要求
产品形态
产品采用“2+1”(即双主机系统+DTP物理隔离通道控制系统)体系结构,产品是自主研发,具备DTP物理隔离通道系统证书。
硬件配置
机架式机箱,带液晶菜单显示内外网IP地址等整机信息,面板可操控整机复位、关机,机箱高强度钢壳结构
网络接口
≥2个标准10/100M/Base-TX(RJ45)自适应以太网接口,可扩展到6个。
单双向访问控制
支持单双向数据访问控制。
文件交换防毒
安全文件交换模块支持防病毒文件过滤
文件类型过滤
支持传输文件类型控制。支持关键字黑白名单过滤等多种附加功能
日志模块
日志审计支持分模块日志控制策略
日志管理
支持日志浏览、查询、导出、删除
审计员认证
单独审计员用户认证
管理界面
友好的全中文GUI配置界面
硬件USB钥匙
采用硬件USB钥匙加密管理
负载均衡和双机热备
支持负载均衡和双机热备
产品证书
1、公安部销售许可证
2、国家保密局认证
3、国家信息安全测评中心认证
4、解放军信息安全产品认证
5、软件著作权证书
6、隔离部件专利证书;
管理接口
提供1个标准10/100MBase-TX(RJ45)自适应以太网接口,1个串口。
联想SIS-3000P网闸数据库访问配置案例
联想网御网闸数据库访问功能配置案例2006-1-17目录1 网络拓扑 (1)2 客户需求 (1)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (4)4 网闸具体配置 (5)4.1 需求一配置 (5)4.1.1 内网模块配置 (5)4.1.1.1 添加Oracle 数据库客户端任务 (5)4.1.1.2 新建访问用户配置 (6)4.1.1.3 访问控制生效 (6)4.1.2 外网模块配置 (7)4.1.2.1 添加Oracle 数据库服务端任务 (7)4.1.2.2 新建访问用户配置 (7)4.1.2.3 访问控制生效 (8)4.1.3 内网客户端主机配置 (9)4.1.3.1 内网主机运行客户端软件并将数据库添加到树 (9)4.1.3.2 内网用户成功登录外网数据库 (9)4.2 需求二配置 (10)4.2.1 内网模块配置 (10)4.2.1.1 添加SQL Server 数据库客户端任务 (10)4.2.1.2 新建访问用户配置 (10)4.2.1.3 访问控制生效 (11)4.2.2 外网模块配置 (12)4.2.2.1 添加SQL Server 数据库服务端任务 (12)4.2.2.2 修改访问用户配置 (12)4.2.2.3 访问控制生效 (13)4.2.3 内网客户端主机配置 (14)4.2.3.1 内网主机数据库客户端配置 (14)4.2.3.2 内网主机成功登录外网SQL Server数据库 (14)1网络拓扑说明:1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。
2 PC5为管理主机,其地址要求与网闸的管理端口地址在同一个网段。
3 管理主机与网闸的内外网管理端口相连接,分别以https://10.0.0.1和https://10.0.0.2访问,用户名和密码为:admin。
投标产品技术响应、偏离说明(模板)8.11
5
(4)漏洞扫描技术
通过对网络设备及服务器系统的扫描,可以了解安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员根据扫描结果更正系统中的错误配置、进行系统加固、安装补丁程序,或采用其它相关防范措施。
答:满足,本次投标中,我方配置的由绿盟公司生产的漏洞扫描设备,可以按制定的计划和策略,高速全面的扫描各种网络设备、安全设备、客户端PC、服务器中的安全配置和运行的应用服务,提供全面详细的漏洞分析报告,并对设备的网络安全风险等级进行评估和打分。提供的扫描结果分析报告中还为网络管理员提供弥补设备安全漏洞的配置和建议,网络管理员可以准确的根据扫描结果更正系统中的错误配置、进行系统加固、安装补丁程序,或采用其它有效的安全防范措施。
答:满足,本次投标中,我方保留了与原有省电子政务网络的互联链路,还在新部署的核心VPN设备上配置了到省电子政务网络的备份VPN链路。对于本次襄阳市电子政务专网平台建设我方将遵循以下以及其他有关电子政务建设的标准和规范:
《国家信息化领导小组关于我国电子政务建设指导意见》(中办发〔2002〕17号);
《国家信息化领导小组关于推进国家电子政务网络建设的意见》(中办发[2006]18号);
四、电子政务建设(硬件部分)总体要求
(一)网络规划技术响应、偏离说明
序号
竞争性谈判文件要求部分
投标货物响应部分
偏离说明
1
电子政务专网平台的核心层是襄阳市电子政务的网络交换中心,主要包括核心路由交换机、汇聚交换机、接入防火墙等。襄阳市电子政务专网主要采用星形网络互联技术。
答:满足,本次投标方案中明确说明了将襄阳市电子政务网络交换中心作为整个专网平台的核心层,将核心路由交换机、汇聚交换机、接入防火墙等核心网络设备设计部署在襄阳市电子政务网络交换中心。核心层内部设备以及核心层与其他网络节点及互联单位之间统一采用星型互联方式组网。
网闸FTP访问配置案例
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. 网闸FTP访问功能配置案例目录1 网络拓扑....................................................................................................错误!未定义书签。
2客户需求....................................................................................................错误!未定义书签。
3网络配置....................................................................................................错误!未定义书签。
3.1内网网络端口配置....................................................................错误!未定义书签。
3.2内网管理端口地址....................................................................错误!未定义书签。
3.3外网网络端口配置....................................................................错误!未定义书签。
3.4外网网关配置............................................................................错误!未定义书签。
3.5外网管理端口地址....................................................................错误!未定义书签。
力控网闸配置示例
目录1TCP协议21.1同网段配置实例21.2不同网段配置实例62UDP协议102.1同网段配置实例102.2不同网段配置实例143定制访问183.1映射模式184双机热备221TCP 协议1.1 同网段配置实例图6-1-1网络拓扑图实现目的:此配置实例主要包含TCP 协议相关基本功能配置及特殊应用配置的详细操作步骤,其中TCP 协议模块主要包含以下两个功能点。
•TCP 协议基本功能配置 •特殊点配置A 网配置为正向传输配置,外网配置为反向传输配置 A 由于正、反向配置相同,故此配置仅以正向操作为示例1.1.1 TCP 协议基本功能配置目的:通过基本功能配置,实现TCP 数据的正常传输;以PC1(192.168.10.10)向PC2(192.168.10.20)发送数据为例; 配置步骤:> 搭建如图6-1-1网络环境;> 通过配置机访问网管理地址192.168.0.201,登陆系统管理员账户(用户名:admin ,密码:cyberadmin),在控制台网络配置-地址配置中添加数据口eth0地址(网->eth0->192.168.10.100);> 通过配置机访问外网管理地址192.168.0.202,登陆系统管理员账户(用户名:admin 密码:cyberadmin),在控制台网络配置-地址配置中添加数据口eth0阳IQ,1阳.W.e 阳叫m 喀喻,口皿通世LUiMO :L!龙IB!IQ LOO配置机 J923JEWih 口的J 的源物通坦LL92.ItS.Lil2MI 外网地址(外网->eth0->192.168.10.200);> 进入TCP协议,添加一条任务配置如,图6-1-2;任务号:此任务的标识,围为:1〜2048;本地IP:网闸代理IP地址,此IP地址可选,需在设备上板网络设置中添加;端口:网闸本地代理地址监听端口;绑定网闸IP:选择网闸下板发出数据的地址,此地址可视为数据通过网闸后的源地址;实际服务器IP:实际目的地址,此为真实的目的地址;实际服务器端口:实际服务器监听端口,设置网闸接收到数据后,发给真实目的的监听端口;DSCP:数据优先级。
利谱医疗行业网闸解决方案(1)
医疗行业网闸解决方案(1)随着近年来全国各大医院信息化工作的迅速发展,大多医院基本完成了以医院信息系统(HIS)为中心,以检验科信息系统(LIS)、影像归档和通信系统(PACS)、电子病历系统等为支撑的核心业务系统建设,医院医疗工作全面进入信息化时代。
与此同时,医院为了开展便民工程及办公信息化工作还建设了网上挂号系统、OA办公系统、终端上网平台等,这些互联网业务应用与医院核心业务系统交叉混合,使得核心业务系统面临着病毒入侵、非法访问、非法外联、DDOS攻击等重大威胁。
为保护核心业务系统的安全,TIPTOP利谱根据业务、职能、信息安全级别的不同,将医院网络划分为:医院业务网和医院办公网。
业务网支撑医院的HIS、LIS、PACS等业务系统,办公网支撑医院OA系统、网上挂号系统及满足工作人员连接互联网需求。
网络划分如下图所示:▲图1医院网络划分医院网络划分隔离后,业务网和办公网之间又要进行实时或定时的数据交换,如网上挂号,OA系统文件流传,业务网病毒库升级等。
如何保证业务网和办公网在安全隔离的前提下,进行业务系统间安全可控的信息交换,是医院信息化安全面临的又一个问题。
TIPTOP利谱公司网闸产品基于对医院网络和业务系统的深入研究,通过“2+1”产品架构设计,即内外主机加隔离交换部件(隔离交换部件基于DTP隔离通道控制技术专,实现主机系统间隔离和自有协议数据摆渡),确保医院办公网和业务网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议。
医院办公网络与业务网安全隔离的同时还要实现两网业务系统间的数据实时、双向安全交换,以深圳某三甲医院为例,部署TIPTOP利谱安全隔离网闸于业务网和办公网之间,如下图所示:图2医疗信息系统网间安全解决方案拓扑根据该院业务的需求,TIPTOP利谱网闸在两网安全隔离的前提下,实现如下业务系统的数据交换:1、网上挂号系统:网上挂号业务系统是医院便民工程的一个重要系统,需要将互联网用户提交的挂号信息同步到医院业务网中,实现病人的远程挂号需求。
有关网闸的配置案例
有关网闸配置的案例1.1配置网闸的基本步骤有哪些?答:1)在PC上安装客户端;本地IP为192.168.1.1/24,用交叉线与仲裁机相连(默认无法ping);2)通过客户端连接仲裁机(192.168.1.254)用户名/口令superman/talent123登录;3)设置内端机IP地址,设置外端机地址(一般均为eth0)4)为了调试方便,通过命令行的方式允许ping 通内外端机;5)设置TCP应用通道,启用通道6)配置安全策略1.2通过一个案例来说明如何配置网闸来保证内外数据安全交换1.2.1拓扑图如下:1.2.2基本说明:1.在OA区域里有服务器,安全管理和终端,边界由网闸来隔离,只允许有限的访问。
2.目前具体的要求是只允许外部的终端10.10.1.1访问OA服务器,内部机器可以访问外部的WEB 10.10.1.53.不能泄漏内(外)部的网络结构。
1.2.3基本配置:设置内外端地址1.2.4测试验证:由于是端口转发,客户端的IE无需作代理设置,只是将访问的目的设为外(内)端机地址10.10.1.2(10.10.0.1)即可。
1.2.5效果用户只需访问本地的服务器,通过网站作代理映射,就可以到达从内部(外部)访问外部(内部)的目的。
以下为链接:http: //10.10.0.1 (可以访问到10.10.1.5)http://10.10.1.2(可以访问到10.10.0.109)1.3 对于级联的网闸的配置如何来做在等级保护的实际案例中,需要两个或以上的网闸来配置一条完整的通道,如以下图1.3.1基本要求OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3 门户网站区域()可以访问位于OA区域的OA服务器10.10.0.109 1.3.2基本配置1.3.2.1 OA区域网闸配置说明:从内到外的访问目的就是门户网闸的外端机地址(192.168.4.2)从外到内的访问目的是真实的服务器地址10.10.0.1091.3.2.2门户区域网闸配置说明:从内到外的访问目的就是OA网闸的外端机地址(10.10.1.2)从外到内的访问目的是真实的服务器地址192.168.2.31.3.3测试验证:OA和门户的终端只需访问自己的网闸的内端机地址就可以访问到对端的服务器资源,这样做到了隐藏内部拓扑的目的OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3OA访问门户:http: //10.10.0.1门户网站区域(192.168.*.*)可以访问位于OA区域的OA服务器10.10.0.109门户访问OA:http: //192.168.3.2。
网闸FTP访问配置案例
网闸FTP访问功能配置案例目录1 网络拓扑 (1)2 客户需求 (2)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (3)4 网闸具体配置 (4)4.1 代理模式配置 (4)4.1.1 内网模块配置 (4)4.1.2 外网模块配置 (5)4.1.3 内网客户端主机访问FTP服务器设置 (6)4.2 透明模式配置 (8)4.2.1 内网模块配置 (8)4.2.2 外网模块配置 (9)4.2.3 内网客户端主机访问FTP服务器设置 (9)1网络拓扑说明:1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。
2 PC5为管理主机,其地址要求与网闸的管理端口地址在同一个网段。
3 管理主机与网闸的内外网管理端口相连接,分别以https://10.0.0.1和https://10.0.0.2访问,用户名和密码为:admin。
网闸FTP工作原理:FTP是常用的文件传输手段,我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号,就可以通过代理方式访问内网或外网的FTP服务器,还可以用LeapFTP、FlashFXP等FTP软件和命令行方式,顺利进行访问和数据操作;在百兆网络的测试环境中,FTP的平均传输速率可达91.2 Mbps;对于FTP服务端所在网络只是FTP 代理服务器的情况,提供了很好的解决方案,仅需添加代理FTP服务器的IP地址和端口即可。
2客户需求内网做为客户端,外网做为服务器端,实现内网用户可通过网闸访问到外网的FTP服务器,并且内网用户对FTP服务器的上传、下载等操作正常运行。
1、在网闸内网配置FTP代理监听并启用FTP客户端服务2、在网闸外网启用FTP服务3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作3网络配置3.1 内网网络端口配置修改地址为:192.168.2.1003.2 内网管理端口地址如与网络接口不冲突,可以为默认。
安全隔离网闸功能详细配置
3.1 带客户端文件交换-功能概 要
支持各种类型文件在外部网和涉密网之间的安全传输。
传输方式:增量传输、发送后删除
192.168.20.2
文件交换服务器 客户端发送端
内:192.168.20.1 外:192.168.10.1 192.168.10.2
网闸客户端
网闸服务端
文件交换服务器 客户端接收端
5.1 安全浏览-功能概要
在内外网隔离环境下保证内、外网用户安全浏览外网资源。
多种用户认证: ➢本机认证; ➢第三方Radius认证; ➢第三方LDAP认证;
内容过滤全面: ➢页面过滤:ActiveX、Cookie、Java Applet、Script; ➢URL过滤; ➢文件名过滤; ➢MIME类型过滤;
5.2 安全浏览-WEB配置
第四步:在客户端配置安全过滤
用户认证 内容过滤
5.3 安全浏览-基本步骤
1、客户端配置: ① 设置本机监听参数,并启动后台服务; ② 配置任务:透明访问/普通访问; ③ 配置访问过滤选项;
2、服务端配置: ① 启动后台服务;——无需配置本机监听参数
5.4 安全浏览-注意事项
4.2 数据库同步-WEB配置
第一步:是否设置证书、启动服务
4.2 数据库同步-WEB配置
第二步:添加客户端任务——数据端口、消息端口
4.2 数据库同步-WEB配置
第三步:添加服务端任务——数据端口、消息端口
4.3 数据库同步-客户端配置
第四步:配置发送端客户端 – 系统配置、通道设置
4.3 数据库同步-客户端配置
表示禁止,也禁止了 等子域名。 8、其他注意事项见相关用户手册;
6.1 FTP访问-功能概要
网闸FTP访问配置案例
网闸FTP访问功能配置案例目录1 网络拓扑 (1)2 客户需求 (2)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (3)4 网闸具体配置 (4)4.1 代理模式配置 (4)4.1.1 内网模块配置 (4)4.1.2 外网模块配置 (5)4.1.3 内网客户端主机访问FTP服务器设置 (6)4.2 透明模式配置 (8)4.2.1 内网模块配置 (8)4.2.2 外网模块配置 (9)4.2.3 内网客户端主机访问FTP服务器设置 (9)1网络拓扑说明:1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。
2 PC5为管理主机,其地址要求与网闸的管理端口地址在同一个网段。
3 管理主机与网闸的内外网管理端口相连接,分别以https://10.0.0.1和https://10.0.0.2访问,用户名和密码为:admin。
网闸FTP工作原理:FTP是常用的文件传输手段,我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号,就可以通过代理方式访问内网或外网的FTP服务器,还可以用LeapFTP、FlashFXP等FTP软件和命令行方式,顺利进行访问和数据操作;在百兆网络的测试环境中,FTP的平均传输速率可达91.2 Mbps;对于FTP服务端所在网络只是FTP 代理服务器的情况,提供了很好的解决方案,仅需添加代理FTP服务器的IP地址和端口即可。
2客户需求内网做为客户端,外网做为服务器端,实现内网用户可通过网闸访问到外网的FTP服务器,并且内网用户对FTP服务器的上传、下载等操作正常运行。
1、在网闸内网配置FTP代理监听并启用FTP客户端服务2、在网闸外网启用FTP服务3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作3网络配置3.1 内网网络端口配置修改地址为:192.168.2.1003.2 内网管理端口地址如与网络接口不冲突,可以为默认。
4-4 网络隔离产品介绍与解决方案
《信息安全产品配置与应用》之网闸原理介绍
在TP-608系列隔离卡系列中又有如下几个型号产品: TP-608A隔离卡:单硬盘工作,适用于内外网时分开布线(双布线) 的用户。它使用鼠标在屏幕上软件切换。 TP-608B隔离卡:单硬盘工作,适用于内外网共用一条网线(单布线 ) 的用户,须配合网络线路选择器使用。使用鼠标在屏幕上软件切换 。 TP-608H隔离卡:为半高单硬盘隔离卡。 2. 双硬盘系列 利普公司的单硬盘物理隔离卡有两个主要的系列:TP-90X和TP-80X在 TP—90X系列双硬盘隔离卡系列中又有以下几个型号的产品: TP-901隔离卡:双硬盘工作,适用于内外网时分开布线(双布线)的 用户。使用鼠标在屏幕上软件切换。 TP-902隔离卡:双硬盘工作,适用于单机拨号方式的用户。 适用于 ISDN、ADSL、Modem等拨号上网方式。使用鼠标在屏幕上软件切换 。 TP-903隔离卡:双硬盘工作,适用于内外网共用一条网线(单布线) 的用户,须配合网络线路选择器使用。使用鼠标在屏幕上软件切换。
TIPTOP v2.0 物理 隔离网闸
2.中网物理隔离网闸X-GAP 中网物理隔离网闸X-GAP真正实现了两个网络之间的物理 隔离。物理隔离网闸中断了两个网络之间的直接连接,所 有的数据交换必须通过物理隔离网闸,网闸从网络层的第 七层将数据还原为原始数据(文件),然后以“摆渡文件 ”的形式来传递数据。X-GAP方案在工商行政系统中的应 用方案示例如下图所示。
《信息安全产品配置与应用》之网闸原理介绍
TP-90X隔离卡:采用切换硬盘电源方式。 TP-90XD隔离卡:采用切换硬盘数据线方式。 TP-90XK隔离卡:既可采用鼠标点击软件切换,也可采用扭动
钥匙切换。 0XS隔离卡:适用于SATA标准的串口硬盘。 TP-90XQ隔离卡:快速切换隔离卡,采用特殊技术缩短重新 启动时间。 TP-90XH隔离卡:为半高隔离卡。 TP-80X系列双硬盘隔离卡有如下主要型号产品: TP-801隔离卡:双硬盘工作,适用于内外网时分开布线(双 布线)的用户.使用外置选择开关硬件切换。 TP-802隔离卡:双硬盘工作,适用于单机拨号方式的用户。 适用于ISDN、ADSL、Modem等拨号上网方式,使用外置选 择开关硬件切换。
网闸配置具体案例(图文并茂)
网闸具体配置步骤(以内蒙赤峰为例)具体的配置步骤:输入密码:ZHHRSOFT。
进入以下画面:如果这个时候,配置用的电脑没有用串口线链接到网闸上的话,就会出现这种情况。
可能你连上了,也会出现这种情况。
(可以直接点确定就可以,然后进去设置下,关闭这个程序,然后再次重新进入就可以了。
)点击确定后,出现下面的画面:这个时候我们点击确定后,然后找到工具栏上的“系统”选项,里面有“基本参数设置”,其中的内网MAC地址与外网MAC地址不用更改,都是虚拟出来的。
我们需要做的就是选择“通信端口”,当我们连接上串口线后,点击下拉箭头,里面会出现一个COM1,选择这个后,点击确定,然后退出软件,再次重新进入,就可以了。
选择好端口后,确定,然后退出软件。
按照上面的步骤,重新进入!然后就是开始配置了:工具栏---规则---智能设置信息。
如果有必要使用到NAT功能的话,还会需要设置NAT地址。
添加链路:给这个链路起一个名字,容易记忆。
选择协议,一般就是TCP,不用去更改。
接下来就是设置IP地址,其中的输出端配置中有一个端口需要填写,就是9090。
默认的就可以了。
点击确定,出现下面的画面:点击确定,出现下面的画面:设置好了规则后,还得需要设“系统”中的“IP与MAC地址”,点击“IP与MAC地址”选项,出现下面的画面:上述图片中出现的IP地址与MAC地址的对应关系,是系统中自带的,我们根据自己的需要进行更改。
需要填写的就是刚才在设置智能规则的时候,那个输入端与输出端的IP地址与他们分别对应的网卡的MAC地址。
如下图:然后点击“保存”,“关闭”。
接下来的工作就是将这些我们已经配置的信息导入到网闸设备中,犹如下图操作:最后会显示一个成功导入的信息。
这个时候将串口线从网闸的一个控制口上拔下来,然后插在另外一个控制口上,再传输一次。
且保证,这个时候网闸背面的防写开关,是拨向右边的(即靠向控制口1那边),这个时候配置是可以写入的。
当我们将配置信息完全导入后,重新启动网闸,这些配置就会生效,并且记得将防写开关拨向左边,这个状态下,配置信息就不会被写入了,增加了安全性。
利谱网闸
—TIPTOP网闸 TIPTOP网闸
深圳市利谱信息技术有限公司
网络安全隐患网络安全隐患-网络是把双刃剑
影响
互联网 飞速发展 Interne t
积极正面
消极负面
网络安全威胁的几种类型
冒名顶替 拨号进入 窃听 废物搜寻 间谍行为 身份识别错误
偷窃
算法考虑不周
线缆连接
不安全服务 物理威胁 配置 系统漏洞 编程 乘虚而入 初始化
DTP隔离硬件 隔离硬件
独特数据合法性 检查技术, 检查技术,杜绝 非法数据进入。 非法数据进入。
产品功能模块
多任务处理 模块 浏览模块 邮件模块
基本模块 必需) (必需)
文件交换模块 定制需求模块 数据库模块
网闸的应用范围( 网闸的应用范围(一)
(1) 秘密级的电子政务涉密信息系统 或安全域 和电子政务非涉密信 秘密级的电子政务涉密信息系统(或安全域 或安全域)和电子政务非涉密信 息系统(或安全域 在全部满足下列条件的情况下, 或安全域), 息系统 或安全域 ,在全部满足下列条件的情况下,可采用国家保 密工作部门批准的“安全隔离与信息交换系统”进行连接, 密工作部门批准的“安全隔离与信息交换系统”进行连接,如图所
桌面级隔离技术
1、双机隔离 、 2、硬盘隔离 、 3、线路隔离 、
完全的物理隔离
Internet
政府內部网络
上不了网 收发不了邮件… 收发不了邮件…
双机隔离
政府內部网络
上外部网 上内部网
Internet
每人2台电脑! 每人 台电脑! 台电脑 太浪费了
硬盘隔离(双硬盘) 硬盘隔离(双硬盘)
Internet
示:
(第三级)
TIPTOP隔离网闸映射访问配置案例
TIPTOP隔离网闸映射访问配置案例2009-4-7版权声明本手册中的内容是TIPTOP隔离网闸映射访问配置案例。
本手册的相关权力归深圳市利谱信息技术有限公司所有。
手册中的任何部分未经本公司许可,不得转印、影印或复印。
© 2005-2007 深圳市利谱信息技术有限公司Shenzhen Tiptop Information Technology Co., Ltd.All rights reserved.TIPTOP隔离网闸映射访问配置案例本手册将定期更新,如欲获取最新相关信息,请访问公司网站:您的意见和建议请发送至深圳市利谱信息技术有限公司地址:深圳市福田区泰然工业园泰然四路210栋东座7B电话:0 邮编:518040传真:8网址:电子信箱目录1 网络拓扑..................................................错误!未定义书签。
2 客户需求..................................................错误!未定义书签。
3 网络配置..................................................错误!未定义书签。
内网网络端口一配置................................错误!未定义书签。
外网网络端口一配置................................错误!未定义书签。
4 网闸具体配置..............................................错误!未定义书签。
需求一FTP服务器的访问配置........................错误!未定义书签。
FTP访问规则配置..............................错误!未定义书签。
透明方式访问FTP ......................错误!未定义书签。
利谱网闸设备介绍
Internet
双机隔离
上外部网 上内部网
政府內部网络
每人2台电脑! 太浪费了
. 8
硬盘隔离(双硬盘)
Internet
Windows …
内网
外
外网
内
. 9
硬盘隔离(单硬盘)
Internet
Windows …
Reboot… Win2000/xp…
外区
内区
外
内
. 10
线路隔离
Internet
开/关
只是延时! 共用同一系统、硬盘
并不能达到物理 隔离效果!!!
. 11
网络物理隔离的定义
网络对应OSI模型的七层 网络隔离,断开全部的七层 在七层之外,以非网络方式交换数据 交换的数据是非网络数据(可以是文件,但不
会是IP包)
. 12
物理隔离的网络间如何交换数据?
人工拷盘方式:
不方便、不及时、不安全
. 22
第三代网闸(数据通道型)
----TIPTOP隔离网闸图示
信任网络
非信任网络 或Internet
连接系统
连接系统 隔离装置
安全隔离系统
. 23
结构示意图
硬件结构原理图
. 24
工作示意图
不 可 信 网 络
可
外网单元 A
内网单元 B
信
网
病毒扫描 入侵检测 日志审计 内容过滤
专用硬件通道 私有交换协议
. 32
TIPTOP隔离网闸产品资质
公安部销售许可证
国家保密局
军用产品销售许可证 国家信息安全证书
. 33
成功案例
大连市政府办公厅 大连市城建局 大连市统计局 大连市委组织部 大连市沙河口区公安局 大连市交强险系统 大连市水务局 大连市审计局 大连市临港开发区 辽宁省气象局 东北电监局 沈阳市信产局 沈阳市科技局 丹东市电力局 黑龙江水利厅 哈尔滨市委党校
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
v1.0 可编辑可修改TIPTOP隔离网闸映射访问配置案例2009-4-7版权声明本手册中的内容是TIPTOP隔离网闸映射访问配置案例。
本手册的相关权力归深圳市利谱信息技术有限公司所有。
手册中的任何部分未经本公司许可,不得转印、影印或复印。
© 2005-2007 深圳市利谱信息技术有限公司Shenzhen Tiptop Information Technology Co., Ltd.All rights reserved.TIPTOP隔离网闸映射访问配置案例本手册将定期更新,如欲获取最新相关信息,请访问公司网站:您的意见和建议请发送至深圳市利谱信息技术有限公司地址:深圳市福田区泰然工业园泰然四路210栋东座7B电话:0 邮编:518040传真:8网址:电子信箱目录1网络拓扑 (1)2客户需求 (1)3网络配置 (2)3.1内网网络端口一配置 (2)3.2外网网络端口一配置 (2)4网闸具体配置 (3)4.1需求一FTP服务器的访问配置 (3)4.1.1FTP访问规则配置 (3)4.1.1.1透明方式访问FTP (5)4.1.1.2网关模式访问数据库 (7)4.1.1.3映射模式访问数据库 (10)4.2需求二WEB访问端口自定义协议转换配置 (13)4.2.1WEB访问配置规则 (13)4.2.1.1透明方式访问数据库 (15)4.2.1.2网关模式访问数据库 (17)4.2.1.3映射模式访问数据库 (20)1 网络拓扑WEB 服务器94.4.19.103客户端94.4.19.12/24客户端94.4.19.13/24FTP 服务器94.4.19.123说明:1 网闸的内网管理端口地址默认为:,如果与已有网络冲突可以在管理界面上进行更改。
2 管理主机为PC3,其地址要求与网闸的管理端口(内端网口一)地址在同一个网段。
3 管理主机与网闸的内网管理端口相连接,其管理登陆地址为: 用户名为:admin 密码为:admin注意:管理主机要使用管理端口进行管理时必须使用加密key 才可以使用。
2 客户需求TCP 访问需求一: FTP 服务器的访问。
内网主机通过访问规则不使用代理方式可以直接访问外网的FTP 服务器。
需求二:WEB服务器浏览端口自定义协议转换内网主机通过IE浏览器,,访问到外网的服务器基于tcp80端口的WEB服务3网络配置3.1内网网络端口一配置默认IP地址为:子网掩码:如需修改按如下方法配置:在左边窗口中选择“网闸网络设置”->“内网网络参数设置”,系统显示以下界面内网网络端口配置在上面的相应项输入网闸内网网络的IP地址及其它网络设置,网闸内端机上有三个网络接口(标准配置),可连接三个不同的内网网段。
如果内端机还有更多的网络接口,可以继续添加。
(注:设置的该内端机IP必须是合法的未被占用的IP)3.2外网网络端口一配置默认IP地址为:子网掩码:如需修改按如下方法配置:在左边窗口中选择“网闸网络设置”->“外网网络参数设置”,系统显示以下界面:在上面的相应项输入网闸外网网络的IP地址,外网网络的IP地址与内网网络的IP 地址没有关联, 外端机上也有三个网络接口(标准配置),可连接三个不同的外网网段。
4网闸具体配置4.1需求一FTP服务器的访问配置4.1.1FTP访问规则配置网闸其他服务设置→网络映射与路由设置系统显示如下界面:该项功能提供各种复杂环境下内外网之间的数据库访问。
网络映射和路由设置有三种工作方式:透明模式、网关模式和映射方式:透明模式:提供内(外)网到外(内)网的透明代理(Transparent Proxy)访问,这种模式下保留源地址的真实IP,访问时访问真实目的IP。
网关模式:提供内(外)网到外(内)网通过网关模式(NAT)访问,这种模式下所有的源地址经过了SNAT(源地址转换)。
映射方式:提供内(外)网到外(内)网通过映射方式(PNAT)访问,这种模式把目的ip和端口转化外网闸外(内)端的虚拟IP,访问时访问映射的虚拟IP。
注释:(透明模式:提供内(外)网到外(内)网的透明访问,这种模式下网闸对内外网的主机是透明的。
映射方式:提供内(外)网到外(内)网的都通过内网或外网的接口的访问或接受服务,这种模式下,对内外网的主机相互之间都是不可见的。
通过网闸来提供或者接受服务。
网关模式:提供内(外)网到外(内)网的统一接口的访问,这种模式下内网的主机对外网来说都是不可见的,内(外)网(即访问源)都通过网闸向外访问服务。
)4.1.1.1透明方式访问FTP网闸其他服务设置→网络映射与路由设置→添加新任务协议类型:FTP设置方式如下图表示:在内网机器上,使用已有的FTP用名密码直接访问外网FTP的服务器注意:此方式访问时内网机器的网关必须指向网闸的内网口一,外网的机器的网关必须指向外网口一。
解释:访问过程数据包走向为:源IP(内网客户端主机,可缺省)→入口设备(即为网闸的内网网卡一,不可缺省)→出口设备(即为网闸的外网网卡一,不可缺省)→目的IP(所要访问的外网数据库IP,不可缺省)1.源IP若加了限定则表明访问时只能限定在IP 为(掩码根据需要也可不加)这一个段的机器上对目的IP 为的FTP进行访问,可缺省。
2.源端口是指限定访问机器的源访问端口,可缺省。
3.内网网关接口是指当内网的客户端(源IP主机)与入口设备不在同一个网段需要经过路由时添加的如下图:表明为一个连接10.0.0.3与网闸的内网端的路由设备IP .4.入口设备表示数据包进入网闸的网络接口,不可缺省。
5.入口设备IP为数据包进入网闸入口设备时使用的IP,可缺省。
6.入口设备端口表示数据包经过网闸入口设备是走的端口,可缺省。
7.出口设备表示数据包转发出网闸的网络接口,不可缺省。
8.出口设备IP为数据包转发出网闸出口设备时使用的IP,可缺省。
9.出口设备端口表示数据包经过网闸出口设备是走的端口,可缺省。
10.外网网关接口指当外网的目的端(目的IP主机)与出口设备(即网闸外端IP )不在同一个网段需要经过路由时添加的如下图:表明为一个连接目的IP为与网闸的外网端的路由设备的IP 。
11.目的端口为访问目的主机的数据库端口,如FTP服务端口为21,不可缺省12.目的IP为访问的目的数据库IP,不可缺省。
4.1.1.2网关模式访问数据库网闸其他服务设置→网络映射与路由设置→添加新任务协议类型:FTP设置方式如下图表示:在内网机器上,使用已有的FTP用户名密码直接访问外网FTP的服务器注意:此方式访问时内网机器的网关必须指向网闸的内网口一解释:访问过程数据包走向为:源IP(内网客户端主机,可缺省)→入口设备(即为网闸的内网网卡一,不可缺省)→出口设备(即为网闸的外网网卡一,不可缺省)→目的IP(所要访问的外网FTP服务器IP,不可缺省)1.源IP若加了限定则表明访问时只能限定这一个段的机器上对目的IP 为的数据库进行访问,可缺省。
2.源端口是指限定访问机器的源访问端口,可缺省。
3.内网网关接口是指当内网的客户端(源IP主机)与入口设备不在同一个网段需要经过路由时添加的如下图:表明为一个连接10.0.0.3与网闸的内网端的路由设备IP .4.入口设备表示数据包进入网闸的网络接口,不可缺省。
5.入口设备IP为数据包进入网闸入口设备时使用的IP,不可缺省。
6.入口设备端口表示数据包经过网闸入口设备是走的端口,不可缺省。
7.出口设备表示数据包转发出网闸的网络接口,不可缺省。
8.出口设备IP为数据包转发出网闸出口设备时使用的IP,可缺省。
9.出口设备端口表示数据包经过网闸出口设备是走的端口,可缺省。
10.外网网关接口指当外网的目的端(目的IP主机)与出口设备(即网闸外端IP )不在同一个网段需要经过路由时添加的如下图:表明为一个连接目的IP为与网闸的外网端的路由设备的IP 。
11.目的端口为访问目的主机的数据库端口,如FTP为21,不可缺省12.目的IP为访问的目的数据库IP,不可缺省。
4.1.1.3映射模式访问数据库网闸其他服务设置→网络映射与路由设置→添加新任务协议类型:FTP设置方式如下图表示在内网机器上,使用已有的FTP用户名密码直接访问映射后的IP ,就相当于访问的是外网FTP的服务器。
解释:访问过程数据包走向为:源IP(内网客户端主机,可缺省)→入口设备(即为网闸的内网网卡一,不可缺省)→出口设备(即为网闸的外网网卡一,不可缺省)→目的IP(所要访问的外网数据库IP,不可缺省)1.源IP若加了限定则表明访问时只能限定IP与之相同的机器上对目的IP 为的FTP进行访问,可缺省。
2.源端口是指限定访问机器的源访问端口,可缺省。
3.内网网关接口是指当内网的客户端(源IP主机)与入口设备不在同一个网段需要经过路由时添加的如下图:表明为一个连接10.0.0.3与网闸的内网端的路由设备IP .4.入口设备表示数据包进入网闸的网络接口,即也就是将目的IP地址映射到入口IP地址上,访问的目的IP的时候实际上是访问入口设备IP这个地址,不可缺省。
5.入口设备IP为数据包进入网闸入口设备时使用的IP,也就是将目的IP映射到内网的入口设备IP上,不可缺省。
6.入口设备端口表示数据包经过网闸入口设备是走的端口,也就是将目的端口映射到内网的入口设备端口,不可缺省。
7.出口设备表示数据包转发出网闸的网络接口,不可缺省。
8.出口设备IP为数据包转发出网闸出口设备时使用的IP,不可缺省。
9.出口设备端口表示数据包经过网闸出口设备是走的端口,可缺省。
10.外网网关接口指当外网的目的端(目的IP主机)与出口设备(即网闸外端IP )不在同一个网段需要经过路由时添加的如下图:表明为一个连接目的IP为与网闸的外网端的路由设备的IP 。
11.目的端口为访问目的主机的FTP服务器端口,如FTP为21,不可缺省12.目的IP为访问的目的数据库IP,不可缺省。
4.2需求二WEB访问端口自定义协议转换配置4.2.1WEB访问配置规则网闸其他服务设置→网络映射与路由设置系统显示如下界面:该项功能提供各种复杂环境下内外网之间的数据库访问。
网络映射和路由设置有三种工作方式:透明模式、网关模式和映射方式:透明模式:提供内(外)网到外(内)网的透明代理(Transparent Proxy)访问,这种模式下保留源地址的真实IP,访问时访问真实目的IP。
网关模式:提供内(外)网到外(内)网通过网关模式(NAT)访问,这种模式下所有的源地址经过了SNAT(源地址转换)。
映射方式:提供内(外)网到外(内)网通过映射方式(PNAT)访问,这种模式把目的ip和端口转化外网闸外(内)端的虚拟IP,访问时访问映射的虚拟IP。