网闸安装调试培训_26版本
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网闸双机部署不支持复杂环境交叉部署
由于网闸的应用层处理数据的原因,暂时不支持交叉部署。
11
分案例讲解各个模块
目录 1. 登录设备 2. 定制访问 3. 安全通道案例 4.文件交换
12
案例一、登录设备
13
在管理主机双击IE浏览器证书admin.p12,按提示安装, 密码为“hhhhhh”(默认证书密码) 。
名词解释
• 透明访问 • 普通访问
33
案例3.1 安全通道-普通访问
安全通道-不同网段普通访问
10.1.5.200/24
192.168.1.200/24 内:10.1.5.254 外:192.168.1.254
客户端
WEB服务器
• 根据网络拓扑,具体需求如下:
内网客户端主机通过安全隔离网闸安全地普通访问外网
Session Transport
Network
Data Link Physical
不可信网络
6
电子政务安全隔离解决方案
7
国税网上报税安全隔离解决方案
8
公安移动警务通安全隔离解决方案
9
财政安全隔离解决方案
核心应用安全域
核心数据库安全域
普通应用服务器安全域
财政、清算银行 应用服务器
财政、交换中心、清算银行 数据库服务器
3
网闸原理之有效数据摆渡
系统采用“2+1”(双主机+专用隔离 硬件)的体系架构,断开内外网络,确保 两个网络之间安全隔离。(相关政策)
可 信 任 网 络
内网主机系统
隔离交换模块
不 可 信 任 网 络
外网主机系统
4
网闸原理之重建会话
采用防火 客户端
墙等安全 设备
完整的防火墙连接会话
服务端
采用网闸 客户端
配置真实服务器地址。
29
案例1.1 定制访问-普通访问 定制访问-启动外网服务
30
案例1.1 定制访问-普通访问
配置要点
1、配置客户端任务,并启动服务 2、配置服务端任务,并启动服务 3、在服务器应用已经启动时测试
31
案例三、安全通道
32
案例3. 安全通道 安全通道—概述
• 安全通道模块支持用户从网闸一侧安全的访问网 闸另一侧的不同应用。
数据交换中心 报表服务器
防火墙
入侵检测系统 财政内网
代理银行
代理银行
应用服务器 数据库服务器
2M专线
网闸 带VPN功能的防火墙
512K专线
国际互联网
VPN客户端
VPN客户端
代理银行工作站(B/S) 结算银行工作站(B/S) 预算单位 预算单位数据库
代理银行安全域
预算与结算安全域
带VPN功能的防火墙 ××区财政网络
网御星云LSPE-SIS技术培训
1
目录
网闸技术原理 网闸适用环境要求
网闸模块案例 网闸FAQ
2
网闸原理之网闸的产生
互联网
数 据
WEB SERVER
数 据
DB SERVER
防火墙
边界类安全产品-政策性产物
数 据
网御星云 SIS-3000
双主机+隔离交换硬件
人工拷盘模式的电子自动化
与应用紧密结合
隔离断开的前提下进行安全可控的数据交换
案例二、定制访问
18
案例1.定制访问
定制访问—概述
• 定制访问模块用于配置通过SIS安全隔离网闸基于 TCP、UDP协议的访问任务,在SIS网闸两侧建立基 于TCP、UDP协议的一一对应的任务,通过加密传 输的方式搭建起一条单向安全访问通道。
19
名词解释
• 透明访问 • 普通访问
案例1.定制访问
1.4.4 登录管理-登录网闸-用户登录
出现安全警报后点击“是(Y)”就会出现安全隔 离网闸登录页面
XP系统请确认IE浏览器中internet选项->隐私选项->中的阻止弹出窗口选取去掉:如下图
1.4.4 登录管理-登录网闸-用户登录
用户名密码为:administrator/administrator
21
案例1.1 定制访问-普通访问
1、配置网络接口等系统选项 2、配置内网客户端任务,并启动服务 3、配置外网服务端任务,并启动服务
4、针对相关应用进行测试
22
案例1.1 定制访问-普通访问 定制访问-内网首页
23
案例1.1 定制访问-普通访问 定制访问-内网网络配置
24
案例1.1 定制访问-普通访问 定制访问-外网首页
20
案例1.1 定制访问-普通访问
定制访问-不同网段普通访问
百度文库
10.1.5.200/24
192.168.1.200/24 内:10.1.5.254 外:192.168.1.254
客户端
WEB服务器
• 根据网络拓扑,具体需求如下:
内网客户端主机通过安全隔离网闸安全地普通访问外网
WEB服务器的80端口。
将本机IP地址设置为10.0.0.200/255.255.255.0
1.4.4 登录管理-登录网闸-用户登录
将电脑用网线连接到网闸管理接口(内网管理接口IP是 10.0.0.1,外网是10.0.0.2)
网闸与IE证书均导入成功后,在管理主机输入https://网 闸ip:8889,按证书提示点击“确定”。
WEB服务器的80端口。
34
案例3.1 安全通道-普通访问
1、配置网络接口等系统选项 2、配置内网客户端任务,并启动服务 3、配置外网服务端任务,并启动服务
4、针对相关应用进行测试
35
案例3.1 安全通道-普通访问 安全通道-内网网络配置
防火墙 防火墙
连接会话被截断
服务端
5
格式化数据块
Application Presentation
Session Transport
Network
Data Link Physical
可信网络
网闸原理之细粒度检测
传输策略
格式化 数据块
隔离交换 模块
格式化数据块
Application Presentation
25
案例1.1 定制访问-普通访问 定制访问-外网网络配置
26
案例1.1 定制访问-普通访问 定制访问-内网任务配置
源地址可以为any, 或者包含10.1.5.200 本机地址选择内网 网络接口地址
27
案例1.1 定制访问-普通访问 定制访问-启动内网服务
28
案例1.1 定制访问-普通访问 定制访问-启动外网任务
××县财政网络 区县财政安全域
10
网闸适用环境及要求(重要)
不要拿网闸当防火墙上线
因网闸和防火墙原理不同,一定不要拿网闸当防火墙上线。
TCP、UDP协议支持,其它协议不支持;
如OSPF协议是不可以透传网闸的,同理二层协议也是无法 穿越的。
网闸支持双机热备
透明访问是不支持负载均衡,但可以改为双机热备方式,数 据访问可以均衡和热备并存。
由于网闸的应用层处理数据的原因,暂时不支持交叉部署。
11
分案例讲解各个模块
目录 1. 登录设备 2. 定制访问 3. 安全通道案例 4.文件交换
12
案例一、登录设备
13
在管理主机双击IE浏览器证书admin.p12,按提示安装, 密码为“hhhhhh”(默认证书密码) 。
名词解释
• 透明访问 • 普通访问
33
案例3.1 安全通道-普通访问
安全通道-不同网段普通访问
10.1.5.200/24
192.168.1.200/24 内:10.1.5.254 外:192.168.1.254
客户端
WEB服务器
• 根据网络拓扑,具体需求如下:
内网客户端主机通过安全隔离网闸安全地普通访问外网
Session Transport
Network
Data Link Physical
不可信网络
6
电子政务安全隔离解决方案
7
国税网上报税安全隔离解决方案
8
公安移动警务通安全隔离解决方案
9
财政安全隔离解决方案
核心应用安全域
核心数据库安全域
普通应用服务器安全域
财政、清算银行 应用服务器
财政、交换中心、清算银行 数据库服务器
3
网闸原理之有效数据摆渡
系统采用“2+1”(双主机+专用隔离 硬件)的体系架构,断开内外网络,确保 两个网络之间安全隔离。(相关政策)
可 信 任 网 络
内网主机系统
隔离交换模块
不 可 信 任 网 络
外网主机系统
4
网闸原理之重建会话
采用防火 客户端
墙等安全 设备
完整的防火墙连接会话
服务端
采用网闸 客户端
配置真实服务器地址。
29
案例1.1 定制访问-普通访问 定制访问-启动外网服务
30
案例1.1 定制访问-普通访问
配置要点
1、配置客户端任务,并启动服务 2、配置服务端任务,并启动服务 3、在服务器应用已经启动时测试
31
案例三、安全通道
32
案例3. 安全通道 安全通道—概述
• 安全通道模块支持用户从网闸一侧安全的访问网 闸另一侧的不同应用。
数据交换中心 报表服务器
防火墙
入侵检测系统 财政内网
代理银行
代理银行
应用服务器 数据库服务器
2M专线
网闸 带VPN功能的防火墙
512K专线
国际互联网
VPN客户端
VPN客户端
代理银行工作站(B/S) 结算银行工作站(B/S) 预算单位 预算单位数据库
代理银行安全域
预算与结算安全域
带VPN功能的防火墙 ××区财政网络
网御星云LSPE-SIS技术培训
1
目录
网闸技术原理 网闸适用环境要求
网闸模块案例 网闸FAQ
2
网闸原理之网闸的产生
互联网
数 据
WEB SERVER
数 据
DB SERVER
防火墙
边界类安全产品-政策性产物
数 据
网御星云 SIS-3000
双主机+隔离交换硬件
人工拷盘模式的电子自动化
与应用紧密结合
隔离断开的前提下进行安全可控的数据交换
案例二、定制访问
18
案例1.定制访问
定制访问—概述
• 定制访问模块用于配置通过SIS安全隔离网闸基于 TCP、UDP协议的访问任务,在SIS网闸两侧建立基 于TCP、UDP协议的一一对应的任务,通过加密传 输的方式搭建起一条单向安全访问通道。
19
名词解释
• 透明访问 • 普通访问
案例1.定制访问
1.4.4 登录管理-登录网闸-用户登录
出现安全警报后点击“是(Y)”就会出现安全隔 离网闸登录页面
XP系统请确认IE浏览器中internet选项->隐私选项->中的阻止弹出窗口选取去掉:如下图
1.4.4 登录管理-登录网闸-用户登录
用户名密码为:administrator/administrator
21
案例1.1 定制访问-普通访问
1、配置网络接口等系统选项 2、配置内网客户端任务,并启动服务 3、配置外网服务端任务,并启动服务
4、针对相关应用进行测试
22
案例1.1 定制访问-普通访问 定制访问-内网首页
23
案例1.1 定制访问-普通访问 定制访问-内网网络配置
24
案例1.1 定制访问-普通访问 定制访问-外网首页
20
案例1.1 定制访问-普通访问
定制访问-不同网段普通访问
百度文库
10.1.5.200/24
192.168.1.200/24 内:10.1.5.254 外:192.168.1.254
客户端
WEB服务器
• 根据网络拓扑,具体需求如下:
内网客户端主机通过安全隔离网闸安全地普通访问外网
WEB服务器的80端口。
将本机IP地址设置为10.0.0.200/255.255.255.0
1.4.4 登录管理-登录网闸-用户登录
将电脑用网线连接到网闸管理接口(内网管理接口IP是 10.0.0.1,外网是10.0.0.2)
网闸与IE证书均导入成功后,在管理主机输入https://网 闸ip:8889,按证书提示点击“确定”。
WEB服务器的80端口。
34
案例3.1 安全通道-普通访问
1、配置网络接口等系统选项 2、配置内网客户端任务,并启动服务 3、配置外网服务端任务,并启动服务
4、针对相关应用进行测试
35
案例3.1 安全通道-普通访问 安全通道-内网网络配置
防火墙 防火墙
连接会话被截断
服务端
5
格式化数据块
Application Presentation
Session Transport
Network
Data Link Physical
可信网络
网闸原理之细粒度检测
传输策略
格式化 数据块
隔离交换 模块
格式化数据块
Application Presentation
25
案例1.1 定制访问-普通访问 定制访问-外网网络配置
26
案例1.1 定制访问-普通访问 定制访问-内网任务配置
源地址可以为any, 或者包含10.1.5.200 本机地址选择内网 网络接口地址
27
案例1.1 定制访问-普通访问 定制访问-启动内网服务
28
案例1.1 定制访问-普通访问 定制访问-启动外网任务
××县财政网络 区县财政安全域
10
网闸适用环境及要求(重要)
不要拿网闸当防火墙上线
因网闸和防火墙原理不同,一定不要拿网闸当防火墙上线。
TCP、UDP协议支持,其它协议不支持;
如OSPF协议是不可以透传网闸的,同理二层协议也是无法 穿越的。
网闸支持双机热备
透明访问是不支持负载均衡,但可以改为双机热备方式,数 据访问可以均衡和热备并存。