网神SecSIS安全隔离与信息交换系统产品安装调试指导手册V

3.1了解实际用户网络环境或主机环境

3.1.1网络环境

充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，

网络拓扑

网络拓扑图可以请用户网络工程师协助提供。拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。

部署位置

根据用户提供拓扑，分清安全域界限，明确网闸部署位置。

IP规划

明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。3.1.2主机环境

明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。

服务器系统平台信息

了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。了解各服务器网络配置信息，如服务器IP地址、服务器连接位置等。

数据库信息

对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。

软件信息

了解用户主机系统所使用的与网闸业务相关的软件信息。

3.2了解实际用户应用及安全需求

3.2.1业务模式

了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。

应用相关信息

了解业务所采用的协议类型，业务端口开放情况等业务相关信息。

业务流程分析

通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更合适的方式来实现所需要的功能服务。

业务软件模式

针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现方式。

3.2.2安全需求

了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全。

访问用户限制

针对不同的访问用户进行业务应用限制，功能使用限制；

对于不同的管理员赋予不同的权限。

访问客户端限制

针对IP段、MAC地址的访问限制；

应用层过滤

针对业务应用进行的策略限制，黑白名单策略、命令限制、文件类型限

制等。

3.3开箱、加电

3.3.1设备开箱

设备开箱请按装箱清单进行清点，并对设备外观进行检查，若有异常请认真详细地做好记录。打开网闸包装后，确认包装箱内是否包含以下各物品以及状态是否良好：网神SecSIS 3600网闸

配件盒：电源线×1

串口线×1

网线×2

软盘/CD-ROM 光盘（包括网闸相关信息文件和手册）如果发现任何物品丢失或出现损坏，则立即联系网御神州公司。如果需要运输或将网神SecSIS 3600安全隔离与信息交换系统保存起来以待后用，那么切勿丢掉包装材料或装运纸箱。

3.3.2设备加电

开箱检验确认设备外观无异常后，可对设备进行加电检验。加电后请注意观察网闸前面板指示灯，可初步判断网闸是否正常。内、网外面板各有3个指示灯。按顺序分别为：

电源指示灯：显示网闸供电是否正常。

状态指示灯：显示网闸存储读写工作情况。

交换指示灯：显示网闸交换卡工作情况。

网闸加电后，正常状态下，电源指示灯常量；状态指示灯只在存储读写情况下闪

2 管理主机与网闸的内外网管理端口相连接，分别以10.0.0.1和访问，用户名和密码为：admin。

5.1.1客户需求

需求一：内网主机能够通过网闸访问互联网，采用代理服务器模式，即需要在客户端主机上添加代理服务，不需要添加网关地址和DNS地址。

需求二：内网主机能够通过网闸访问互联网，采用透明模式，即需在客户端主机添加网关地址和DNS地址

5.1.2网络配置

内网网络端口配置

修改地址为：

内网管理端口地址

如与网络接口不冲突，可以为默认。

外网网络端口配置

修改地址为：，如此为公网地址请直接指定。

外网网关配置

此处网关为：，如此为公网地址请直接指定。

外网管理端口地址

如与网络接口不冲突，可以为默认。

5.1.3网闸具体配置

5.1.3.1需求一配置

内网主机能够通过网闸访问互联网，采用代理服务器模式，即需要在客户端主机上添加代理服务，不需要添加网关地址和DNS地址。

内网模块配置

1.安全浏览→客户端→基本设置，进行安全浏览服务设置。

选择代理方式，选择侦听地址：，端口8080 ，其他选项默认。

2.安全浏览→基本设置→启动设置

点击启动服务按钮

外网模块配置

1.安全浏览→服务端→配置DNS，添加DNS地址（当地的DNS服务器地址）

2.安全浏览→基本设置→启动设置，选择启动服务按钮。

内网客户端主机配置

在用户的主机IE属性中选择连接/局域网连接，添加代理服务器地址（端口8080）5.1.3.2需求二配置

内网主机能够通过网闸访问互联网，采用透明模式，即需在客户端主机添加网关地址和DNS地址

内网模块配置

1.安全浏览→客户端→基本配置，选择透明方式，本地地址，服务端口80。

2.

3.安全浏览→客户端→启动配置，重启服务

4.内网允许DNS请求通过

网或外网的FTP服务器。可以使用LeapFTP、FlashFXP等FTP软件和命令行方式，顺利进行访问和数据操作。在百兆网络的测试环境中，FTP的平均传输速率可达91.2 Mbps。对于FTP服务端所在网络只是FTP代理服务器的情况，提供了很好的解决方案，仅需添加代理FTP服务器的IP地址和端口即可。

5.2.1客户需求

内网做为客户端，外网做为服务器端，实现内网用户可通过网闸访问到外网的FTP 服务器，并且内网用户对FTP服务器的上传、下载等操作正常运行。对访问的服务器进行目的地址控制。对访问ftp的用户进行源地址控制。隐藏真实服务器地址。

1、在网闸内网配置FTP代理监听并启用FTP客户端服务

2、在网闸外网启用FTP服务

3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP 服务器的正常访问及操作

5.2.2网络配置

内网网络端口配置

修改地址为：

内网管理端口地址

如与网络接口不冲突，可以为默认。