安全隔离与信息交换系统FerryWay配置实用手册.docx

金电网安安全隔离与信息交换系统FerryWay V2.0配置实用手册2012年3月金电网安安全隔离与信息交换系统FerryWay V2.0配置实用手册版权说明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于上海金电网安科技有限公司所有。未经上海金电网安科技有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约保护。版权所有，翻版必究前言文档范围本文将以实例方式指导操作人员安装、实施金电网安安全隔离与信息交换系统FerryWay V2.0（俗称“网闸”）。本文适用于硬件2+1架构、三机三系统架构，软件版本号20110308及20120202版本，两个版本主要功能基本相同，仅在部分细节处做简单修改，具体细节文档中将做提示。期望读者期望了解本产品主要技术特性和安装方法的系统管理员、网络管理员等。本文假设您对下面的知识有一定的了解：可能需要的相关知识，如： LINUX系统基础知识 Windows系统软件安装 网络基本架构内容总结一、介绍金电网安安全隔离与信息交换系统FerryWay V2.0的硬件需求信息；二、以实例方式采用图文并茂的方法对金电网安安全隔离与信息交换系统FerryWay V2.0部署、安装、实施做一简单介绍；三、介绍金电网安安全隔离与信息交换系统FerryWay V2.0安装之前的准备工作和注意事项；四、成功安装、配置、使用时的注意事项；五、介绍金电网安安全隔离与信息交换系统FerryWay V2.0在实施中可能遇到的突发情况及问题。格式约定文本框使用粗体字按钮使用斜体字本文中所有图例均为实际拍摄或屏幕截取图标表示的含义： 有用的使用技巧、建议和对其他文档的引用等信息。 表示需要读者注意的信息，比如：当前的操作失误会导致数据的丢失。目录一、安装概述21.1产品简介21.1.1 产品外观21.2安装准备51.3管理端软件安装、登录5二、配置实例62.1实例配置环境62.1.1 拓扑图62.1.2 应用说明62.1.3 名词解释72.2 FerryWay V2.0配置实例72.2.1 HTTP应用通道配置72.2.2 FTP应用通道配置92.2.3 SMTP/POP3配置实例132.2.4 数据库访问应用通道配置182.2.5 目录同步应用通道配置19三、高级应用203.1 双机热备配置实例203.1.1 双机热备简介203.1.2 双机热备配置方法203.2产品升级配置实例233.2.1前期准备233.2.2内端机升级操作（以Putty工具为例）233.2.3外端机升级操作253.2.4安装新的管理端程序253.3 现场故障排除实例263.3.1查看版本263.3.2查看内核263.3.3查看驱动263.3.4查看网口263.4 管理端IP地址冲突排除实例273.4.1 现象273.4.2 解决方法27四、F&Q28一、安装概述1.1产品简介金电网安安全隔离与信息交换系统FerryWay V2.0，依据硬件架构不同划分为2+1架构、及三机三系统架构等系列分别适用于有不同安全级别要求的用户环境。金电网安安全隔离与信息交换系统FerryWay V2.0，管理方式采用C/S架构即客户端、服务器端管理方式，管理时需在专用设备上安装管理配置软件，通过专用接口连接端口对设备进行管理。1.1.1 产品外观 三机三系统产品外观 硬件采用左、中、右结构设计，； 2+1架构产品外观1.2安装准备A拥有RJ45网络接口及COM接口（可用USB转接COM代替）笔记本电脑或PC机一台，预装Windows 98 /2000 /XP /2003 /Vista /W7或以上版本操作系统，用于安装管理端软件；注：非正版操作系统可能会导致管理控制端无法正常连接FerryWay V2.0。（例如：某简化版XP操作系统在输入正确用户名密码连接FerryWay V2.0时会提示登录用户名、密码错误，无法建立管理连接。）B. 直连网线一根，用于管理终端与FerryWay V2.0连接；C. 配置安装管理端计算机的网络IP地址为192.168.0.*（三机架构）192.168.1.*（2+1架构）(*为1-255范围内除168以外的任何数字)，子网掩码；D. RJ45串口线一根，用于调试使用（三机设备无串行接口）。1.3管理端软件安装、登录 将设备配套管理端光盘放入光盘驱动器，并点击运行Setup.exe； 管理端软件默认安装于C:Program Files文件夹下； 安装完成后将在Windows开始菜单中快捷方式； 启动管理控制端程序，界面见图： 管理控制端默认登录IP地址为：68（三机架构）、68（2+1架构）； 用户帐号：admin2003密码：admin2003 点击确定即可登录管理端软件。二、配置实例2.1实例配置环境2.1.1 拓扑图2.1.2 应用说明 内网用户访问互联网的Web站点、通过互联网邮箱收发邮件、使用QQ聊天软件、下载一些工具软件。 客户端以远程桌面的方式维护防火Web服务器。 外网和内网数据库同步和文件同步。2.1.3 名词解释2.2 FerryWay V2.0配置实例2.2.1 HTTP应用通道配置 HTTP应用通道简介配置HTTP应用通道可实现内网用户通过网闸访问互联网或外部网络指定站点（例如：外WEB网服务器），配置方式分为代理模式、转发模式两种。 如果用户配置通道为转发模式，则被访问的实际目标应为指定IP的服务器，用户实际的访问地址为网闸相应端口地址而不是实际服务器IP地址。 HTTP代理模式通道配置方法 配置代理模式的通道，主要是为满足用户内网人员访问互联网络的需求而设置。通道配置截图如下：HTTP 代理模式应用通道配置的方法如上图所示，此通道配置成功后并启用后，内网计算机将可以通过网闸对互联网进行访问。 如果用户配置通道为代理模式，则其相应需要从内网通过网闸访问互联网的计算机设备需要加设代理服务器；正常使用浏览器输入相应互联网域名即可上网。 身份认证的用户名认证在此处不起作用； 源机端口可以任意进行修改； HTTP转发模式通道配置方法 HTTP转发模式通道，主要是为满足用户对其内网或外网架设的WEB服务器的访问， HTTP应用安全策略配置HTTP应用安全策略，可以禁止用户访问指定的网站，或域名。禁止打开百度首页，在管理端配置安全策略如下：HTTP 代理模式配置完成。2.2.2 FTP应用通道配置 FTP应用通道简介配置FTP应用通道可实现，内网用户通过网闸访问FTP 服务器，配置方式只有转发模式一种。 FTP转发模式配置方法这里需要做要求的是目的机IP地址和目的机端口，分别为FTP服务器IP地址和21，身份认证在这章最后补充。在DOS命令下进行操作：Serv_U 服务器的IP 地址是5，过网闸登录FTP 服务器，如图所示：此时默认身份认证为不需要，设置身份认证为普通认证，允许使用的用户名为：admin2003设置的密码为：admin1234567。在DOS命令下输入的格式为：用户名：testuseftpuse密 码:testpasswordftppassword在DOS命令操作下：现在我要禁止上传以rar为扩展名的文件，在管理端配置安全策略如下：FTP 转发模式配置完成。注意：在Linux操作系统是区分大小写的，故在安全策略配置的所有后缀名及邮件服务器都要以小写字母才为有效。2.2.3 SMTP/POP3配置实例 SMTP和POP3应用通道简介配置FTP应用通道可实现，内网用户通过网闸访问邮件服务器，配置方式只有代理模式一种。 SMTP和POP3代理模式配置方法这里源机端口不一定为25，所做要求的是身份认证为不需要。这里源机端口不一定为110，所做要求的是身份认证为不需要。安装好Foxmail 客户端软件，打开主页面，点击菜单中的邮箱，选择修改邮箱帐户属性，左侧选择邮件服务器，在发送邮件服务器填写SMTP 应用通道的源机IP地址，在POP3服务器填写POP3应用通道的源机IP地址，在POP3帐户填写用户邮箱，在后面加上pop3，这里是：在密码输入邮箱密码，点击设置，同理在帐户输入邮箱，在后面加上smtp，这里是：在密码输入邮箱密码，点击高级，此处分别输入SMTP 应用通道的源机端口和POP3 应用通道的源机端口。注意：网闸安全策略默认发送和接收的邮件大小为1024字节，如需正常发送接收，需在管理端安全策略中配置。现在我要禁止163邮箱发送邮件，在管理端配置安全策略如下：SMTP 代理模式和POP3代理模式配置完成。注意：在Linux操作系统是区分大小写的，故在安全策略配置的所有后缀名及邮件服务器都要以小写字母才为有效。2.2.4 数据库访问应用通道配置 数据库访问应用通道简介配置数据库访问应用通道可实现，内网用户通过网闸访问专用数据库服务器，配置方式只有转发模式一种。2.24.2 数据库访问转发模式配置方法这里目的机IP地址为数据库服务器IP地址，目的机端口为数据库服务器监听端口。2.2.5 目录同步应用通道配置 目录同步应用通道简介配置目录同步应用通道可实现，内网用户通过网闸实现两台PC机文件同步，配置方式只有转发模式一种。 目录同步转发模式配置方法这里目的机IP地址为放置服务端IP地址，目的机端口为该服务端监听端口。三、高级应用此部分文档包含网闸设置的高级应用实例，例如：产品系统升级、双机设备、现场故障检测等3.1 双机热备配置实例3.1.1 双机热备简介在系统版本安装完成的前提下，安装双机热备。需要操作的是拓包，修改配置文件，管理端界面配置双机热备。3.1.2 双机热备配置方法1.网闸内部操作 1.1拓包 vrrp_addon_v71.9_20111216_RH8.tar 注：此文件适用于三机硬件设备vrrp_addon_v71.9_20111216_AS5.tar注：此文件适用于2+1硬件设备。 1.2配置双机热备文件文件路径：/etc/rc.local内端机添加（只加蓝色即可）insmod /boot/bonding.o mode=1 miimon=1000 arp_interval=5000 /不用bond的此行不写/usr/local/etc/ferryway/bin/ha_assi F /usr/local/etc/ferryway/conf/ha_assi.conf G 1/usr/local/etc/ferryway/bin/ha_config 0 / 0表示内端机sleep 2 /添加ifenslave bond0 eth1 eth2 /用于bond，若没有bond则不要。外端机添加（只加蓝色即可）insmod /boot/bonding.o mode=1 miimon=1000 arp_interval=5000 /不用bond的此行不写sleep 5 /添加ifenslave bond0 eth1 eth2 /用于bond，若没有bond则不要。/usr/local/etc/ferryway/bin/ha_main F /usr/local/etc/ferryway/conf/ha_main.conf G 1/usr/local/etc/ferryway/bin/ha_config 1 / 1表示外端机重启2.管理端界面操作2.1配置IP，同侧端口不要配相同的网段2.2通道配置，需要配置一条双机热备通道，从外端机eth0到内端机eth0，端口号是33367.2.3设置双机热备，在管理端的系统下的服务设置里，第一个就是设置双机热备，双击它，出现一个配置表。心跳网口就是热备口，二机网闸就是外端机的HA口eth3。HA口的IP自己设置，不能与别的网口同网段即可。通讯口：需要几个钩几个，钩完下面的通讯地址也需要钩。如果一个网口有多个IP，则需要的通讯IP在下面的通讯地址中都要钩上。如下图：3.启动后查看内端机/root/HA_log1看到这个，恭喜，升级成功，下面就是配置客户的IP和通道了，继续配置另外一台网闸吧。注意：双机热备两台网闸唯一不同的是热备口即eth3IP不同，其他的都一样。3.2 产品升级配置实例3.2.1前期准备准备升级文件并放到ftp服务器的文件夹下把以上文件放入ftp服务器文件夹，以供下载ssh工具（Putty、SecureCRT）或者console线用于登录到网闸3.2.2内端机升级操作（以Putty工具为例）用Putty登录到网闸内端机步骤ftp下载文件到/home目录步骤在/home目录下移动、安装相应的文件步骤3.2.3外端机升级操作外端机升级操作与内端机相同，请参照外端机，这里不再赘述注： 3.2.4安装新的管理端程序1.