安全隔离网闸功能详细配置.ppt

安全隔离网闸功能详细配置 目录 01 登录管理 02 无客户端文件交换 03 有客户端文件交换 04 数据库同步 05 安全浏览 06 FTP访问 07 邮件传输 08 数据库传输 09 定制访问 10 高可靠性 11 消息模块 12 统一用户认证 13 安全通道 14 数据交换 提纲 1 登录管理 2 模块介绍 前期工作准备工作管理方式登录网闸 功能概要WEB配置客户端配置 如果有 基本步骤注意事项 1 1 1登录管理 前期工作 拆箱检查 请按装箱清单检查所有配件 安全隔离网闸随机光盘电源线网线串口线安装支架保修卡 1 1 2登录管理 前期工作 用户注册 1 填写保修回执卡 成为我司永远服务对象 2 在线服务 http 3 产品注册 以便将新技术成果及时传递给您 1 2登录管理 准备工作 1 接通电源 听到 滴滴滴 后 启动完毕 2 选用一带Windows系统PC作为管理主机 3 使用交叉线 管理网闸 1 3登录管理 管理方式 支持多种管理方式 串口命令行管理 常用于灾难的恢复工作Web页面管理 常用于正常管理SSH远程管理 常用于管理调试集中管理 方便管理 1 4 1登录管理 登录网闸 概述 若需更新证书管理网闸 则需导入IE新证书和与之配套的网闸新证书 步骤如下 1 使用默认证书登录网闸 2 导入网闸新证书 并启用 3 导入IE浏览器新证书 1 4 2登录管理 登录网闸 网闸证书导入 2 在本地计算机文件夹中再选择admin pem对应网闸中的管理员证书 点击 导入 1 4 2登录管理 登录网闸 网闸证书导入 导入证书后选择生效选项 1 4 2登录管理 登录网闸 网闸证书导入 保存配置 证书生效 1 4 3登录管理 登录网闸 IE证书导入 在管理主机双击IE浏览器证书 按提示安装 密码为 hhhhhh 默认证书密码 1 4 4登录管理 登录网闸 用户登录 网闸与IE证书均导入成功后 在管理主机输入https 网闸ip 8889 按证书提示点击 确定 1 4 4登录管理 登录网闸 用户登录 出现安全警报后点击 是 Y 就会出现安全隔离网闸登录页面 XP系统请确认IE浏览器中internet选项 隐私选项 中的阻止弹出窗口选取去掉 如下图 1 4 4登录管理 登录网闸 用户登录 用户名密码为 administrator administrator 2 1无客户端文件交换 功能概要 支持各种类型文件在外部网和涉密网之间的安全传输 传输方式 改名传输 增量传输 发送后删除 2 2无客户端文件交换 WEB配置 第一步 选择工作模式 启动后台服务 2 2无客户端文件交换 WEB配置 第二步 添加文件交换 发送任务 2 2无客户端文件交换 WEB配置 第三步 添加文件交换 接收任务 2 2无客户端文件交换 WEB配置 第四步 设置内容控制选项 文件名控制内容黑名单内容白名单 2 3无客户端文件交换 基本步骤 1 配置本机工作模式 启动后台服务 2 配置文件交换任务 发送任务 接收任务 3 配置文件过滤选项 2 4无客户端文件交换 注意事项 1 Windows共享目录权限全部放开 2 除具有标准文本文件格式以外的文件均视为二进制文件 3 不支持负载均衡 支持双机热备 4 发送任务号与接收任务号一致 且同侧任务号唯一 3 1带客户端文件交换 功能概要 支持各种类型文件在外部网和涉密网之间的安全传输 传输方式 增量传输 发送后删除 3 2带客户端文件交换 WEB配置 第一步 是否设置证书 启动服务 3 2带客户端文件交换 WEB配置 第二步 添加文件交换 客户端任务 3 2带客户端文件交换 WEB配置 第二步 添加文件交换 服务端任务 3 2带客户端文件交换 WEB配置 第三步 设置内容过滤选项 文件名控制内容黑名单内容白名单 3 3带客户端文件交换 客户端配置 第四步 配置接收端客户端 设置监听端口 接收用户 接收任务 3 3带客户端文件交换 客户端配置 第五步 配置发送端客户端 网闸配置 发送用户 发送任务 3 3带客户端文件交换 客户端配置 第六步 启动端服务 启动接收端服务 启动发送端服务 3 4带客户端文件交换 基本步骤 1 网闸WEB配置启动服务 配置客户端和服务端 设置过滤选项 2 客户端配置接收端配置 监听端口 接收用户 接收任务 启动服务等 发送端配置 网闸配置 发送用户 发送任务 启动服务等 3 测试 1 客户端发送端与网闸客户端相连 客户端接收端与网闸服务端相连 2 正确填写与对端相连的证书公共名 3 发送用户与接收用户确定唯一任务 4 客户端发送端测试连通性确保服务开启 5 客户端之间任务号 任务名称同侧仅需唯一 无对应关系要求 6 不支持透明访问 6 其他注意事项见相关用户手册 3 5带客户端文件交换 注意事项 4 1数据库同步 功能概要 支持Oracle SQLServer Sybase DB2等数据库内 外网间的数据库数据的同步传输 4 2数据库同步 WEB配置 第一步 是否设置证书 启动服务 4 2数据库同步 WEB配置 第二步 添加客户端任务 数据端口 消息端口 4 2数据库同步 WEB配置 第三步 添加服务端任务 数据端口 消息端口 4 3数据库同步 客户端配置 第四步 配置发送端客户端 系统配置 通道设置 4 3数据库同步 客户端配置 第四步 配置发送端客户端 数据源设置 发送任务设置 4 3数据库同步 客户端配置 第五步 配置接收端客户端 系统设置 数据源设置 4 3数据库同步 客户端配置 第五步 配置接收端客户端 接收任务设置 4 3数据库同步 客户端配置 第六步 配置发送端客户端 数据源相关操作 依次操作如下 数据源复位 保存数据源配置 发送配置到接收端 4 3数据库同步 客户端配置 第七步 配置发送端客户端 任务调度 4 4数据库同步 基本步骤 1 网闸WEB配置启动服务 配置客户端和服务端 2 客户端配置发送端配置 系统设置 通道配置 数据源配置 发送任务等 接收端配置 系统设置 数据源配置 接收任务等 3 测试启动发送端发送任务前 依次确认 数据源复位 保存数据源配置 发送配置到接收端 任务调度 启动发送任务 1 客户端发送端与网闸客户端相连 客户端接收端与网闸服务端相连 2 正确填写与对端相连的证书公共名 3 单向网闸需配两条任务 分别对应 数据端口 消息端口 双向同样反方向再配两条任务 4 内外网数据端口 消息端口任务号分别一致 5 消息端口任务号 内外网数据端口 1 6 需同步的数据表须有主键 且有DBA权限 7 其他注意事项见相关用户手册 4 5数据库同步 注意事项 5 1安全浏览 功能概要 在内外网隔离环境下保证内 外网用户安全浏览外网资源 多种用户认证 本机认证 第三方Radius认证 第三方LDAP认证 内容过滤全面 页面过滤 ActiveX Cookie JavaApplet Script URL过滤 文件名过滤 MIME类型过滤 多种访问方式 透明访问 普通访问 5 2安全浏览 WEB配置 第一步 启动服务 5 2安全浏览 WEB配置 第二步 配置 客户端 访问任务 透明访问 5 2安全浏览 WEB配置 第二步 配置 客户端 访问任务 普通访问 5 2安全浏览 WEB配置 第三步 配置 服务端 任务 无论透明访问 还是普通访问 只需启动相应服务即可 5 2安全浏览 WEB配置 第四步 在客户端配置安全过滤 用户认证内容过滤 5 3安全浏览 基本步骤 设置本机监听参数 并启动后台服务 配置任务 透明访问 普通访问 配置访问过滤选项 1 客户端配置 启动后台服务 无需配置本机监听参数 2 服务端配置 5 4安全浏览 注意事项 1 选择HTTPS协议访问时 不支持各内容过滤 2 透明访问本地监听端口必须为80 3 透明访问不支持安全浏览自带的用户认证 4 透明访问时目的地址 目的端口 与真实的服务器设置一致 5 普通访问模式 必须在用户IE中配置代理服务器 6 三种认证方式 先选择认证方式 再配置具体认证参数 7 URL过滤时 如 表示禁止 也禁止了等子域名 8 其他注意事项见相关用户手册 6 1FTP访问 功能概要 提供内 外网用户实现内外网之间的双向的FTP访问 访问模式 透明访问普通访问 6 2FTP访问 WEB配置 第一步 启动服务 6 2FTP访问 WEB配置 第二步 配置 客户端 访问任务 透明访问 6 2FTP访问 WEB配置 第二步 配置 客户端 访问任务 普通访问 6 2FTP访问 WEB配置 第三步 服务端 配置 启动服务即可 各项配置选用默认配置 6 2FTP访问 WEB配置 访问用户过滤命令控制上传 下载控制 第四步 内容过滤 6 3FTP访问 基本步骤 配置本机参数 并启动FTP后台服务 配置FTP访问任务 透明访问 普通访问 配置各种过滤选项 1 客户端配置 启动FTP后台服务 无需配置本机参数 2 服务端配置 6 4FTP访问 注意事项 1 目的地址 目的端口 与真实的服务器设置一致 2 普通访问时 FTP客户端使用方法如下 如 root 192 168 0 100 213 透明访问时 FTP客户端需要设置网关 4 其他注意事项见相关用户手册 7 1邮件传输 功能概要 支持支持一侧网络用户访问另一侧网络的邮件服务器 包括三个部分 SMTP任务配置POP3任务配置过滤选项配置 7 2邮件传输 WEB配置 SMTP 第一步 启动服务 7 2邮件传输 WEB配置 SMTP 第二步 配置 客户端 访问任务 透明访问 7 2邮件传输 WEB配置 SMTP 第二步 配置 客户端 访问任务 普通访问 7 2邮件传输 WEB配置 SMTP 第三步 配置 服务端 访问任务 仅针对 普通访问 对于透明访问 系统已经默认配置 用户无需配置 7 2邮件传输 WEB配置 SMTP 第四步 配置 过滤选项 邮件地址主题关键字正文关键字附件 7 2邮件传输 WEB配置 POP3 配置方法与SMTP类似 7 3邮件传输 基本步骤 启动SMTP POP3后台服务 配置SMTP POP3访问任务 透明访问 普通访问 配置各种过滤选项 1 客户端配置 启动SMTP POP3后台服务 配置与客户端相应的任务 任务号必须与客户端任务保持一致 无须配置过滤选项 2 服务端配置 仅针对普通访问 7 4邮件传输 注意事项 1 普通访问时内外网任务号一致 同侧任务号唯一 2 首次配置时 应复选 允许所有邮件地址通过 否则邮件传输失败 3 主题 正文关键字过滤仅支持黑名单控制 不支持白名单控制 4 不配置任何扩展名 默认全部扩展均可通过 5 邮件附件控制单位 KB字节 6 其他注意事项见相关用户手册 8 1数据库传输 功能概要 支持内外网用户访问对方的数据库 通过配置数据库服务端和客户端任务 实现访问 同时通过 访问控制 中的数据库服务器IP地址 访问用户等选项 更大限度地控制数据库的访问请求 达到更加安全的效果 支持的数据库类型包括 Oracle SQLServer sybase DB2 MySQL 8 2数据库传输 WEB配置 第一步 启动服务 8 2数据库传输 WEB配置 第二步 配置 客户端 访问任务 透明访问 8 2数据库传输 WEB配置 第二步 配置 客户端 访问任务 普通访问 8 2数据库传输 WEB配置 仅针对 普通访问 对于透明访问 系统已经默认配置 用户无需配置 第二步 配置 服务端 访问任务 8 2数据库传输 WEB配置 第三步 配置 访问控制 选项 8 3数据库传输 基本步骤 启动数据库后台服务 配置客户端访问任务 透明访问 普通访问 配置访问控制 1 客户端配置 启动数据库后台服务 配置服务端任务 配置与客户端相应的任务 任务号必须与客户端任务保持一致 无须配置过滤选项 2 服务端配置 仅针对普通访问 8 4数据库传输 注意事项 1 普通访问时内外网任务号一致 同侧任务号唯一 2 配置 访问控制 应注意 配置位置 客户端 服务端无需配置 服务器IP地址 用户访问的数据库服务器地址Oracle 透明访问时为数据通道地址 普通访问为 本机地址 SQLServer 透明访问时为真实的服务器地址 普通访问为 本机地址 用户名列表 空时默认没有用户 多个用户之间由逗号隔开 对访问控制中的任何选项更改时 均立即刷新访问任务 使其生效 3 Oracle透明访问时 需配置数据通道IP地址 针对oracle8i 4 其他注意事项见相关用户手册 9 1定制访问 功能概要 支持基于TCP UDP协议的 针对固定服务器地址和端口号的常规访问 访问类型 定制TCP访问 定制UDP访问 访问方式 透明访问 普通访问 9 2定制访问 WEB配置 定制TCP 第一步 启动服务 9 2定制访问 WEB配置 定制TCP 第二步 配置 客户端 访问任务 透明访问 9 2定制访问 WEB配置 定制TCP 第二步 配置 客户端 访问任务 普通访问 9 2定制访问 WEB配置 定制TCP 第三步 配置 服务端 访问任务 仅针对 普通访问 对于透明访问 系统已经默认配置 用户无需配置 9 2定制访问 WEB配置 定制UDP 配置方法与定制TCP访问类似 9 3定制访问 基本步骤 1 启动客户端 服务端的后台服务 2 配置客户端任务 3 配置服务端任务 透明访问不需要 系统已内置 9 4定制访问 注意事项 1 普通访问时内外网任务号一致 同侧任务号唯一 2 不支持内容过滤 3 通过定制访问方式 FTP访问不支持 4 透明访问时 客户端需加网闸IP作为默认网关 5 其他注意事项见相关用户手册 10 1高可靠性 功能概要 在复杂网络环境下 确保设备稳定 可靠 高效运行 功能分类 1 网口备份支持将几个物理端口捆绑在一起组成一个虚拟的冗余端口 2 链路聚合 链路负载均衡 通过捆绑多个物理端口到冗余端口可以使网闸提供更大的带宽 3 双机热备4 多机集群 多机负载均衡 10 1高可靠性 功能概要 10 2高可靠性 WEB配置 网口备份 链路聚合 第一步 设置待绑定的物理网口的工作模式为 冗余模式 10 2高可靠性 WEB配置 网口备份 链路聚合 第二步 添加冗余设备 并绑定相应的物理网口 10 2高可靠性 WEB配置 双机热备 负载均衡 第一步 配置设备角色 启动HA服务 双机热备 10 2高可靠性 WEB配置 双机热备 负载均衡 第二步 配置虚拟地址 添加监控网口 双机热备 10 2高可靠性 WEB配置 双机热备 负载均衡 第三步 配置负载均衡 10 3高可靠性 基本步骤 网口备份 链路聚合 1 配置待绑定物理网口 工作模式为冗余模式 2 创建冗余设备 并绑定相应物理网口 3 配置相应的访问任务 10 3高可靠性 基本步骤 双机热备 负载均衡 1 配置本机工作角色 启动HA服务 双机热备 2 配置虚拟地址 添加监控网口 双机热备 3 配置负载均衡 添加真实地址 客户端配置 只需配置步骤1 2 无需配置步骤3 服务端配置 10 4高可靠性 注意事项 1 双机热备时物理接口为网络口 且为该接口的IP别名 2 多机集群 负载均衡 支持2 16台网闸 3 冗余端口必须网络口 物理接口 4 其他注意事项见相关用户手册 11 1消息模块 功能概要 支持各种类型文件 字符串消息在外部网和涉密网之间的安全传输 11 2消息模块 WEB配置 第一步 是否设置证书 启动服务 11 2消息模块 WEB配置 第二步 添加客户端任务 11 2消息模块 WEB配置 第三步 添加服务端任务 11 2消息模块 WEB配置 第四步 设置内容过滤选项 文件名控制内容黑名单内容白名单 11 2消息模块 WEB配置 第五步 用户管理 本地用户认证用户权限 11 3消息模块 测试客户端配置 第六步 Server配置 11 3消息模块 测试客户端配置 第七步 Client配置 11 4消息模块 基本步骤 1 网闸WEB配置启动服务 配置客户端任务和服务端任务 设置过滤选项及用户管理配置 2 测试客户端配置测试Server端配置 监听端口设置 启动服务等 测试Client配置 网闸配置 连接 选择文件或字符串开始发送等 3 测试 1 Client与网闸客户端任务相连 Server与网闸服务端任务相连 2 正确填写与对端相连的证书公共名 3 非SSL认证加密时 需采用本地用户认证方式 4 发送用户 接收用户解决权限 发送权限 接收权限 问题 5 接收端保存文件时需指定具体文件名 6 其他注意事项见相关用户手册 11 5消息模块 注意事项 12 1统一用户认证 功能概要 该模块用于网闸分隔网络间的控制 提供了基于用户的IP层认证访问控制 流量控制和时间控制等功能 下面以定制访问开放Telnet透明访问为例 12 2统一用户认证 WEB配置 第一步 选择用户认证服务器 12 2统一用户认证 WEB配置 第二步 分配用户和用户组 创建用户 12 2统一用户认证 WEB配置 第二步 分配用户和用户组 创建用户 12 2统一用户认证 WEB配置 第二步 分配用户和用户组 创建用户组 12 2统一用户认证 WEB配置 第二步 分配用户和用户组 创建用户组 12 2统一用户认证 WEB配置 第三步 启动服务 12 2统一用户认证 WEB配置 第四步 添加客户端透明访问任务 12 3统一用户认证 Telnet客户端测试 第五步 客户端登录 12 3统一用户认证 Telnet客户端测试 第六步 客户端Telnet测试 12 4统一用户认证 基本步骤 1 选择用户认证服务器本地帐号服务器 RADIUS认证服务器 2 创建用户和用户组 并将给用户隶属于该用户组 3 启动网闸两侧定制访问TCP服务 4 客户端添加透明访问任务 服务端不添加任务 透明访问任务中是否引用用户组来决定是否采用用户认证 5 若采用用户认证 Telnet客户端登录用户进行认证 6 验证Telnet是否成功 分登录与不登录 1 Client与网闸客户端任务相连 Server与网闸服务端任务相连 2 正确填写与对端相连的证书公共名 3 非SSL认证加密时 需采用本地用户认证方式 4 发送用户 接收用户解决权限 发送权限 接收权限 问题 5 接收端保存文件时需指定具体文件名 6 其他注意事项见相关用户手册 12 5统一用户认证 注意事项 13 1安全通道 功能概要 支持用户安全快速 方便地访问应用服务 特点 该模块类似于定制访问 效率比定制访问高 不支持内容过滤 13 2安全通道 WEB配置 第一步 启动服务 13 2安全通道 WEB配置 第二步 添加安全通道任务 客户端服务端 13 2安全通道 WEB配置 第二步 添加安全通道任务 客户端任务 13 2安全通道 WEB配置 第二步 添加安全通道任务 服务端任务 13 3安全通道 基本步骤 1 网闸WEB配置启动服务 配置客户端和服务端 2 辅助配置FTP服务器配置 FTP客户端配置 3 测试 1 普通访问或内外网同网段需同时添加任务号一致的客户端与服务端