中网物理隔离网闸用户操作手册

1、第一章网闸的配置本章将向用户介绍中网公司安全产品物理隔离网闸的配置方法，内容包 括系统配置、相关数据传输协议的配置、审计管理配置、主机安全性配置，等等。 请仔细阅读这一章，特别是在第一次启动网闸时。用户启动网闸后，将进入登录界面，如图11所示。图11登录界面网闸IP地址：这个IP地址在登录时已经默认设置，具体地址值根据用户实 际网络使用的IP地址域来确定，用户无须更改。管理员名称：不可更改。管理员口令：口令或密码的位数应长于6位，且开头字母必须是字母或者数 字。点击“确定”按钮后进入系统配置管理页面；点击“Demo进入”按钮后， 则进入演示页面，如图42所示。1. 1系统配置进入演示页面后，首

2、先默认选择“系统配置”（若选择其它配置服务，只需 用鼠标点击一下选中的配置选项），所列信息如下：版本信息：目前为2004年4月5日发布的1.0版本。许可证（License）：在“演示Demo”情况下，用户不能输入。系统关闭：点击“系统关闭”按钮将关闭网闸，点击“系统重启”将重新启 动网闸。1. 1. 1系统状态点击“系统配置”左边的“ + ”，即进入配置子目录选项。图1 3为“系统状态”的页面。| |X|文件(E)工具(I)帮助(tl)蜃系统找态 宣内部主机 曾外部主机 I系毓管理员 外出访问服务推出变换服务准入交换服务审计管理认证管理主机安全系统配置系统关闭|系统关闭| 系统重启|版本信息X

3、GapConf 73. 2 ( Build 20031203 )License图4 2演示页面廖XGAP配置管理文件 工具(!)帮助(to-晤系统配亶系毓配置系统状态系统状态S-.H-: .阊内部主机 曾外部主机 系统管理员 外出访问服务 推出宜换服务 准入交换服务 审计管理 认证管理 主机安全系统状态刷新：r自动刷新| 刷新 |系统运行总时长：StaticCPU 占用：Static磁盘占用：Static活动会话数 TOC o 1-5 h z OUT/TCP128OUT/UDP128OUT/FTP128OUT/ORA128IN/TCP128IN/UDP128IN/FTP128IN/ORA128

4、图1 3系统配置 系统状态 系统状态刷新：静态，无需用户更改。系统运行总时长：静态，无需用户更改。磁盘占用率：静态，无需用户更改。CPU占用率：静态，无需用户更改。 活动会话数：静态，无需用户更改。2内部主机图14示出了内部主机的配置页面。文件（已工具（I）帮助-I |X|系统配置 霸系统状态弱外部主机 蠢系统管理员 外出访问服荟待出交换服荟待入交换服荟审计管理认证管理主机安全内部主机主IF地址子网掩码I-配从置地址|内部主机系统日期（YYYY-MM-DD）:|0000-00-00系统时间|00:00 TOC o 1-5 h z 主机名称：|域名：|DNS：|: HYPERLINK l boo

5、kmark14 o Current Document 网关：I:接口名 状态图14系统配置内部主机系统日期：用户在设置日期的时候，必须按照左边括号内的格式输入，如， 2004-04-05。系统时间：举例：“13： 25： 38”（表示当前系统时间为13点25分38秒）。主机名称：即为本台计算机的名称，鼠标右击“我的电脑”，然后进入“属 性”一 “网络标识”，就能看到完整的计算机名称。在设置其它选项之前，应将用户的网络结构、各个IP地址与子网掩码划分 清楚，以免配置不当，影响网闸的正常使用。域名：在互联网出现之初，访问网络的形式主要是IP地址，后来又出现了 更容易记忆的形式，如，.等等，称为“域

6、名”。此处的 域名，可根据“我的电脑（右键）一属性一 网络标识一属性”来查看本机所 在的域，也可向网络管理员咨询。DNS：全称为“Domain Name System域名服务系统”，实际要填写的是一个 点分十进制的IP地址，可根据“（桌面）右键网上邻居一右键本地连接 一 属性一（选中）Internet Protocol （TCP/IP） 属性”，即可看到“首选 DNS 服务器的具体地址”。网关：根据“（桌面）右键网上邻居 一右键本地连接 一属性一（选 中网公司版权所有3地址：北京亚运村国际会议中心七层 电话：84979800 传真：84991784中）Internet Protocol （TC

7、P/IP）- 属性”查看“默认网关”的设置。如果本机即 处于网关位置，此处不填。网络接口管理：此处的设置主要是定义和设置主IP地址及其相应的子网掩 码。设置主IP地址（点分十进制）后，将鼠标点击子网掩码栏，即可自动填充， 如果填充有误，还需要手工修改（将某个0变为255），具体向网络管理员咨询。点击“配置从地址”，即弹出图1-4 （a）所示页面。图1-4 （a） 系统配置内部主机（从地址配置）页面中的“接口”、“从地址”、“子网掩码”选中或填好后，在点击嘱定”， 就可在下面的列表中看到这个设置。如果发现列表中的某一项有错误，选中后， 再点击“删除”，即可清除。添加完毕后，点击确定”，将保存这些

8、设置并返回 图1-4页面。若点击“取消”，则所有的新设置全部无效，同时返回图1-4页 面。内部主机全部设置完毕，点击图1-4上的“确定”，就完成保存。3外部主机图1-5示出了 “外部主机”的配置页面，其配置与“内部主机”的配置相 同，具体参考以上配置过程。1. 1. 4系统管理员图1-6示出了系统管理员的配置页面。文件（日工具ffl 帮助（to系统配置蜃系统状态 蠢内部主机帽1系统管理员 外出访问服冬待出交换服蓉 准人.交换服芬 审计管理 认证管理 主机安全外部主机系统配置外部主机系统日期（YYYY-MM-DD）:|0000-00-00系统时间（|00:00主机名称：|域名：|DNS：|: H

9、YPERLINK l bookmark21 o Current Document 阿关：I:图15系统配置外部主机文件（日工具（I）帮助（5系统配置系统状态内部主机外部主机系统管理员外出访问服务准出交换服案准入交换服荟审计管理认证管理主机安全系统配置系统管理员管理员属性图1 6系统配置 系统管理员管理员类型：可在下拉菜单中选择。帐号：该帐号要与管理员类型相匹配。密码：密码的位数应长于6位，且开头字母必须是字母或者数字。此时，若点击“添加”按钮，就会将所选中及填写信息加入到下面的列表中； 若需要更改密码，则首先在“密码”框中输入新密码，同时在“密码确认”中重 新输入新密码，然后点击“更改密码”，

10、这样就改变了对应于该帐号的密码。所有需要填写或选择的内容填充完毕，点击“确定”即可关闭此页面；若点 击“取消”，则刚刚输入的内容全部无效，并关闭此页面。1. 2外出访问服务查看状态页面如图1一7所示。文件(E)工具(I)帮助E-S-S-.S-E-;+系统配置外出访问服苗外出访问服务准出交换服苗准入壹换服苗审计管理主机安全外出访问服务状态HTTP浏览:关闭场SMTP发邮件：关闭F0P3收邮件：关闭FTP访问:关闭图17外出访问服务点击“关闭”按钮后，网络内的计算机将不能进行上网、收发邮件等操作； 点击“开启”按钮，即可重新打开；当出现浏览网页或收发邮件的异常情况时， 可点击“重启”按钮，对外出访

11、问的控制状态进行重新默认设置；点击状态刷 新”按钮，将重新载入当前页面的配置动作。1. 2. 1 浏览点击“外出访问服务”左边的“ + ”，即弹出树型目录。图1 8为“浏览” 的状态控制窗口。该页面的“开启”、“关闭”、“重启”、“刷新”四个按钮将对浏览网页进行控 制，其意义与图17中的四按钮意义相同。史件 工具(I)帮助(K)国日田田田田国系统配置外出访问服务FTF服芬 收邮件 发邮件 准出变换服务准入变换服务审计管理认证管理主机安全 |xl出访问服荟洌览HTTP配置说明:外出访问HTTF启动后，将在网闸外端机器上监:听.0.0. 1:北端口；需要在准出交换服务中增加一条到此端口的定制TCF

12、服务；例如192. 168.8.202 :80 - 127. 0. 0. 1 : 30；浏览器中，需要设置代理服务器地址192. 163.8.202,端口即；如果不想更改浏览器的设置，可以更改DNS的设置，将所有域名都解析到网闸的IF 192. 168. 8. 202；当前状态：关闭状态控制：|开启| 关闭|重启|刷新|外出访问服务 浏览1. 2. 1. 1 HTTP 请求点击“浏览”左边的“ + ”，即弹出树型目录。图1 9为“HTTP请求”的 状态控制选择窗口。此页面是用户根据自己需要，对所使用的相应协议作出选择。htp协议：超文本传输协议。当用户在浏览器地址栏输入一个网站地址或者 单击一

13、个超级链接时，就确定了要浏览的地址。然后，浏览器需要通过http协议 将Web服务器站点上的网页代码提取出来，并翻译成漂亮的网页。https协议：使用http协议，在网络上传输的是没有加密的明文。若要求安 全传输，则要使用支持SSL的https协议。打开IE浏览器(或其它)，单击“工 具”菜单，然后进入“Internet选项一高级一安全”，就可看到已经默认选择了 “使用 SSL2.0、3.0”。ftp协议：文件传输协议。选中后，就可以在IE的地址栏中输入类似于 HYPERLINK ftp:/aaa.bbb.ccc ftp:/aaa.bbb.ccc 的FTP服务器地址，访问该服务器上的资源。go

14、pher协议:gopher是Internet上一个非常有名的信息查找系统，它将I nternet 上的文件组织成某种索引，很方便地将用户从Internet的一处带到另一处。这一 协议使得新用户不必成为专家，就能迅速找到Internet上的优秀资源。史件工具（I）帮助（也国：日系统配置 外出访问服务 屈刖览浏1览 HTTF请求HTTFiS 求|X|m-.m-.m-僵HTTF内容 _固高缀选项 FTF服芬收邮件 发邮件准出变换服务准入变换服务审计管理认证管理主机安全允许协议：F http,.r httP3I 确定 Ir ftp取消 |r gopher充许HTTP方法：F GETr postr其他

15、|目标域：旧白名单（只有在列表中的网站能被访问）黑名单（禁止访I可列表中的网站）网站列表|皿控制：厂启用（禁止皿路径/文件/参数中出现列表中的字符串）图19外出访问服务浏览HTTP请求允许HTTP方法：http方法get用来取回请求URI （requestURI）标志的 任何信息，并以实体的形式返回。http方法post用来要求服务器保存请求包中的 实体信息。例如，当选中了 post后，就会允许用户将信息发布到BBS、新闻组 或邮件列表中。若用户需要使用其它http方法，可选中“其它”，并在后面的文 本框中填入，如options head等。目标域：若对用户访问的站点有所限制，则可以点击“网站

16、列表”按钮进行 编写。点击后，如图19 （&）所小。配置说明：每个定义的域占用一行，回车直接输人下一域名；输入完之后按确定保存，按取消不保存并关闭窗口；取消图19 （a） 外出访问服务浏览HTTP请求（网站列表） 按照配置说明进行添加，添加之后点击“确定”即可。在“目标域”中，根据用户的需要，自主选择“白名单”或者“黑名单”对 列表中的网站地址进行访问控制。URL控制：若选中，则会禁止将下面文本框中所列出的各种各样的字符串 在URL路径、文件等中显示。1. 2. 1. 2 HTTP 内容页面如图1 10所示。-I |X|交件（已工具（I）帮助系统配置 外出访问服荟 削览El HTTFffig固

17、高缀选项FTF服与 收邮件 发邮件惟出交换服荟准入变换服荟审计管理认证管理主机安全E日E-E-E-E-EHTTF内容浏1览 HTTF内容脚本过滤:H JavaScript r TOScript n ActiveX字体下载:厂禁止文件类型:富白名单只充许下载列表中的文件类型）厂黑名单禁止下载列表中的文件类型）类型列表.|厂启用禁止UEL路径/文件/参数中出现列表中的字符串）关键词过滤:图1 10夕卜出访问服务浏览HTTP内容若用户浏览网页，不希望浏览器翻译网页中的某些脚本程序，或者不允许下 载字体格式，可选中“脚本过滤”或“字体下载”中的相应选项。“文件类型”和“关键词过滤”的使用与图1 10中

18、的“目标域”和“URL 控制”近似，可参考上面已述的释义和使用方法。1. 2. 1. 3高级选项控制页面如图1 11所示。页面中，可根据用户自身的需要，对“个人隐私保护”、“防止通过URL泄 密”、“查杀病毒”进行选择。过滤浏览器包含的用户信息：禁止使用用户数据禁止使用用户证书禁止URL中包含文件路径和文件名史件 工具(I)帮助(也系统配置外出访问服务屈刖览固 HTTFiS求值.皿F四爸FTF服芬收邮件发邮件准出变换服务准入变换服务审计管理认证管理主机安全高缀选项外出访问服荟洌览高缀选项个人隐私保护:r过滤浏览器包含的用户信息r禁止使用用户数据r禁止选择用户证书防止通过皿泄密:查杀病毒:r禁止

19、皿中包含文件路径和文件名 r禁止Crossite交叉站点r开启系统配置 外出访问服荟 蓊刖览FTF服荟蜃收邮件 蠢发邮件 待出交换服荟 待入交换服荟 审计管理 认证管理 主机安全图1-11外出访问服务 浏览 高级选项禁止Crossit交叉站点：1. 2. 2FTP 服务图1-12为“FTP服务”的状态控制窗口。该页面的“开启、“关闭”、“重 启”、“刷新”四个按钮将对FTP访问服务进行控制设置。缪XGAP配置管理文件(曰工具(I)帮助(ti)外出访问服务 FTF服罟FTP配置说明：外出访问FTF启动后，将在网闸外端机器上监听12T.Cl.Cl. 1:21端口；需要在准出交换服务中增加一条到此端

20、口的FTP交换服务；例如192. 168.8.202 :21 - 127. 0. 0. 1 : 21；在使用F TP客户端如Cut eF TP/L唧F TP中，需要设置代理服务器地址为192. 16S. 8. 202,端021,使用模式Xlusersite的方式；如果使用命令行ftp,则先连接到192. 168.8.202 : 21,在后面输入用户名时输入 usernameftpsit e_ip_or_najne； 例如 anonyniousftp. microsoft. com；当前状态：关闭状态控制：|开启| 关闭|重启|刷新|图1-12夕卜出访问服务FTP服务1. 2. 2. 1 FTP

21、 命令页面如图1 13所示。-I |X|文件（曰工具（I）帮助（tl）系统配置外出访问服荟国日-+弱刖览-蠢FTF服荟固FTF文件内容FTF命令+弱收邮件+蠢发邮件-田田田田田待出交换服荟 待入交换服荟 审计管理 认证管理 主机安全禁止使用传输模式：F PORT （主动模式，客户端打开高端口）r PASV （被动模式，要求网闸打开高端口）禁止文件/目录操作：r RETR （下载文件）r STOR （上载文件）r LIST （列出目录下的文件）r DELE （删除FTP服务器上的文件）r MKD （在FTP服务器上创建目录）r ETO （删除FTF服务器上的目录） FTF服罟 FTF命令禁止其它

22、FTF命令：r其它 图1 13外出访问服务FTP服务FTP命令FTP协议的数据传输存在两种模式：即主动模式和被动模式。这两种模式发 起连接的方向截然相反，主动模式由服务器端向客户端发起，被动模式由客户端 向服务器端发起。一般来说，选用主动模式应慎重。因为此模式有可能造成由服 务器向客户机发起的ls、get和put等数据传输命令很难成功运行。对于访问服务器上资源的操作权限，如仅限浏览、禁止上传下载，等等，可 根据用户的自身需要在“禁止文件/目录操作”中做出选择。禁止其它FTP命令：填入要过滤的FTP命令，多个命令以逗号分隔。选择配置完毕后，可点击“确定”。1. 2. 2. 2 FTP文件内容页面

23、如图1 14所示。这一页面对文件的上传及下载做出若干访问控制。文件大小：选中，并填充限制传输的文件容量（单位：KB）。之后，客户端 上传或下载的数据文件，其容量都会限制此范围之内，超过此范围会拒绝。文件类型：在文本框中填入要限制的文件类型，如.doc、.exe等，多个文件 类型以空格或逗号分隔，为空表示无限制。白名单表示从严处理，选中后，用户 将只能上传或下载文件类型列表中的文件类型；黑名单表示从宽处理，选中后， 用户将不能上传或下载文件类型列表中的文件类型。若要求资源访问的安全性更高，可以在“文件类型深度检查”和“查杀病毒”做出选择。文件（日工具（!）帮助E.:日-系藐配置 外出访问服务+蜃

24、谢览-蠢FTF服苗固FTF命令函匚二+弱收邮件+蠢岌邮件n准出壹换服务I准入壹换服务I审计管理I认证管理I主机安全FTF史件内容 FTF服荟 FTF文件内容文件大小： 11F限制不大于（单位：K） |取消 |文件类型：行白名单（只充许传输列表中的文件类型）厂黑名单禁止传输列表中的文件类型）文件扩展名只写后缀，用逗号格开）:文件类型深度检查不仅根据文件扩展名，还根据文件的实际内容）：r启用查杀病毒：r启用图1 14夕卜出访问服务冬丁？服务FTP文件内容1. 2.3 收邮件页面如图1 15所示。回XGAP配置管理文件（日工具（!）帮助回曰系藐配置外出访问服务谢览FTF服苗外出访问服荟收邮件收邮件成

25、邮件准出壹换服务 准入壹换服务 审计管理认证管理主机安全F0F3配置说明:外出访问POP3启动后，将在网闸外端机器上监听127. 0.0. 1:110端口；需要在准出交换服务中增加一条到此端口的定制TCF服务，例如：192. 168.8.202 :110 - : 110在POF3邮件客户端的设置中，需要将邮件服务器IP地址设置为192. 1窗.8. 2典，端 110；邮件账号需要设置为umern卸觊regl pop3_ip_or_najne；例如 zhangpop3. sina. com. cn? 注意不能为zliang应wina. com!当前状态：关闭状态控制：|开启| 关闭|重启|刷新|

26、图1 15夕卜出访问服务 收邮件POP3 （Post Office Protocol 3）协议是Internet上用来接收电子邮件的协议，它允许客户端将邮件从服务器上下载到本地。这个协议使用110端口监听邮件收 取服务。该服务器协议通常包含三种状态：认可状态、处理状态和更新状态。当 客户端与服务器端建立连接时，连接会话处于认可状态；当客户通过了身份认证， 连接会话将处于处理事务状态；客户端发出了退出命令时，会话就进入了更新状 态；当更新状态结束后，又将回到认可状态。在网闸的POP3端口上运行POP3 代理服务器，配置所有的POP3请求连接到该服务器上，然后配置客户的程序访 问在网闸上POP3代

27、理服务器上。所有内部网络的用户可以通过POP3邮件服务器收取所有邮件，POP3代理 能够实现如下安全保护：避免内部电子邮件服务器的结构和信息暴露于公网。限制接收用于邮件发送的POP3指令外的其它指令。确认收件人的电子邮件服务器是否存在。拒绝/允许发送指定电子邮件服务器的邮件。限制发送的电子邮件容量。防止给特定用户发送超容量的邮件(邮件炸弹)。1. 2. 3.1邮件内容页面如图1 16所示。-I |X|系统配置 外出访问服荟 削览 FTF服与 收由职 剧二二 国发邮件 惟出交换服荟准入变换服荟审计管理认证管理主机安全E日E-E-E-E-E邮件内容交件(已工具(I)帮助收邮件邮件内容邮件正文：厂禁

28、止整个邮件大干(K) |r禁止正文含有代码r禁止邮件正文出现下面的字符串：邮件附件：r禁止邮件包含任何附件厂禁止邮件附件大干(K) |附件文件类型黑白名单：行白名单 黑名单附件文件类型深度检查：r启用附件文件进行病毒查杀：厂启用图1 16夕卜出访问服务 收邮件 邮件内容邮件正文：用户根据自身需求，对邮件正文的传输做出限制，如邮件传输的 容量限制、过滤正文中的代码及其它字符串(需要选中并在文本框中填充)。邮件附件：用户根据自身需求，对邮件附件的传输做出限制，如，禁止传输 附件、限制附件的大小、限制附件的类型(白/黑名单表示从严/宽处理，即，用户只能/不能 接收过滤文本框中列举的附件类型）、附件类

29、型深度检查、查杀病 毒等。4 发邮件页面如图1 17所示。1-1 |x|系藐配置外出访问服务谢览FTF服与收邮件国日国国国国田待出交换服荟 待入交换服荟 审计管理认证管理主机安全发邮件文件（日工具（!）帮助发邮件SMTF配置说明:外出访问SMTF启动后，将在网闸外端机器上监听127. 0.0. 1: 25端口；需要在准出交换服务中增加一条到此端口的定制TCF服务；例如：192. 168.8.202 :25 - 127. 0. 0. 1 : 25在SMTF邮件客户端的设置中，需要将邹TP服务器IF地址设置为192. 168.8. 202, 端口为技；还需要设置邮件服务器需要认证，us e rna

30、mer e al_ smt p_ ip_ o r_name ；例 zhangsmtp. sina. com. cn?注意不能为zhangsina. com!当前状态：关闭状态控制：|开启| 关闭|重启|刷新|图1 17夕卜出访问服务 发邮件SMTP （Simple Mail Transfer Protocol）简单邮件传输协议是 Internet 上一组 由源地址到目的地址传送邮件的规则，控制电子邮件的中转。SMTP服务器能为 本地（如Outlook）及其它站点提供邮件的转发服务。SMTP代理服务器保护内部网络中的电子邮件，使内部网络免遭外部的入侵 和破坏，并最大限度地隐藏内部网络信息，完善内

31、部电子邮件服务器，增强其安 全性。SMTP邮件服务服务主要是集中处理电子邮件的传输，并处理向外部网络发 送邮件。所有内部网络的用户可以向SMTP代理邮件服务器发送所有邮件。SMTP 邮件代理能实现如下安全保护：避免内部电子邮件Mail服务器的结构和信息暴露于公网。限制接收用于邮件发送的SMTP指令外的其它指令。确认发件人的电子邮件服务器是否存在。拒绝/允许接收来自指定电子邮件服务器的邮件。拒绝/允许接收指定发件人的邮件。限制接收电子邮件容量。防止给特定用户接收超容量的邮件（邮件炸弹）。【警告】SMTP代理服务器只有存在于内部网络中，才能保护电子邮件安全。1. 2. 4. 1 SMTP 命令页面

32、如图1 18所示。文件（曰工具（I）帮助（tl）国日田田田田田系统配置-I |X|待入交换服荟审计管理认证管理主机安全外出访问服荟置FTF服荟 置收邮件 蠢翩也 SB 固邮件内容 待出交换服荟发邮件 SMTF命令3MTF命令禁止5MTF命令：r泗Y （验证电子邮件地址，可能被利用来收集邮件帐号）| 确定 |厂其它I取消 |发件人，域名：行白名单 L黑名单收件人F域名：行白名单 厂黑名单图1 18外出访问服务发邮件SMTP命令禁止SMTP命令：用户选择此项，可以阻止某些来自公网的恶意操作。发件人/域名：填入要限制的发件人地址，如 HYPERLINK mailto:support support

33、多个地址之间以空格、逗号或换行符分隔。为空表示无限制。白名单表示从严处 理，代理用户只能发送发件人/域名为列表中的地址的邮件；黑名单表示从宽处 理，代理用户代理用户不能发送发件人/域名为列表中的地址的邮件。收件人/域名：填入要限制的收件人地址，如 HYPERLINK mailto:support support 多个地址之间以空格、逗号或换行符分隔。为空表示无限制。白名单表示从严处 理，代理用户只能发送收件人/域名为列表中的地址的邮件；黑名单表示从宽处 理，代理用户代理用户不能发送收件人/域名为列表中的地址的邮件。1. 2. 4. 2邮件内容页面如图1 19所示。邮件正文：用户根据自身需求，对

34、邮件正文的传输做出限制，如邮件传输的 容量限制、过滤正文中的代码及其它字符串（需要选中并在文本框中填充）。邮件附件：用户根据自身需求，对邮件附件的传输做出限制，如，禁止传输史件工具(I)帮助(也准入变换服务审计管理认证管理主机安全系统配置外出访问服务 刖览 FTF服芬 收邮件 发邮件 固.迎F.鱼令.准出变换服务邮件内容发邮件邮件内容邮件正文：厂禁止整个邮件大干(K) Ir禁止正文含有代妈r禁止邮件正文出现下面的字符串：邮件附件：r禁止邮件包含任何附件厂禁止邮件附件大干(K) |附件文件类型黑白名单：什白名单厂黑名单附件文件类型深度检查：r启用附件文件进行病毒查杀：厂启用图 1 19外出访问服

35、务 发邮件 邮件内容附件、限制附件的大小、限制附件的类型(白/黑名单表示从严/宽处理，即，用 户只能/不能 接收过滤文本框中列举的附件类型)、附件类型深度检查、查杀病 毒等。1. 3准出交换服务图120为“准出交换服务”的状态控制窗口。该页面的“开启、“关闭”、 “重启”、“刷新状态”四个按钮将对TCP、UDP、数据库等准出访问服务进行控 制设置。系统配置外出访问服务准出壹换服资国：国：日E S . H匾ll准出交换服苗弱定制TCFg FTF服蓉量Oracle数据库蠹1定制皿准入交换服务审计管理主机安全准出TCF信息交换：关闭准出UDP信息交换：关闭FTP信息交换：关闭数据库_ORACLE:关

36、闭推出交换服务当前状态图120准出交换服务1. 3.1 定制TCP页面如图121所示。| |x|史件 工具(I)帮助国国日系统配置外出访问服务准出变换服务 定制TCF FTF服芬 Oracle数据库 定制皿F推出交换服荟定制TCF准入变换服务审计管理认证管理主机安全服务方向：1出代理协议：| TCP/TCPZ1当前状态：状态控制：关闭开启关闭| 重启刷新图121准出交换服务定制TCP服务的内容包括规定数据的传输方向(当前为“出”)、使用的代理协议，这 两项服务无须用户修改。页面上的“开启”、“关闭”、“重启”、“刷新”四个按钮将仅对定制TCP的 访问服务进行控制设置。用户点击“服务/规则管理”

37、按钮，可对TCP的传输规程进行详细配置，如 图1一21 (a)所小。图121 (a)准出交换服务定制TCP (服务管理规则)标识名：用户可填写自己熟悉并能够识别的服务名称。代理地址/端口：指供内部网络用户访问外界公网的代理服务器上的某一地 址及端口，该地址/端口负载与外部网络相连，具体设置请向系统管理员咨询。目标地址/端口：指要访问的目的网络或主机，端口为目的网络或主机提供 的服务所对应的端口号。内容：用户可在下拉菜单中选择。时间：用户可在下拉菜单中选择。以上内容全部填充、选择完毕后，点击“添加”按钮，即可把这些内容填写 到下面的列表中；若某一行已经无效，选中并点击“删除”按钮，即可将其删除

38、掉；若某一行需要修改，选中并点击“修改”，即可将该条信息调入上面各个文 本框及下拉框中，用户可自行修改，修改完毕，点击“添加”，即可重新加入到歹0表中。用户点击“内容管理”，可对认证内容信息进行详细配置管理。用户点击“时间管理”，可对时间信息进行详细配置管理。完成所有“服务/规则”的配置后，点击“确定”按钮以示确认；点击“取 消”按钮，则先前配置全部无效。1. 3. 2 FTP 服务FTP服务页面及其配置规程与图120相似，请参考上面所述方法。1. 3. 3 Oracle 数据库Oracle数据库页面及其配置规程与图120相似，请参考上面所述方法。1. 3. 4 定制 UDP定制UDP页面及其

39、配置规程与图120相似，请参考上面所述方法。1. 4 准入交换服务图122为“准入交换服务”的状态控制窗口。该页面的“开启、“关闭”、 “重启”、“刷新状态”四个按钮将对TCP、UDP、数据库等准入访问服务进行控 制设置。文件(E)工具ffl帮助(M系统配置外出访问服蓉准出壹换服蓉定制TCFFTF服务Oracle数据库定制诃ESB审计管理主机安全定制TCP信息交换：关闭定制UDP信息交换：关闭FTF信息交换：关闭数据库_ORACLE8i：关闭图122准入交换服务这一部分的各个配置细节与1.3节相似，其配置方法可参考1.3节之所述。1.5审计管理图123为“审计管理”的状态控制窗口。该页面的“开

40、启”、“关闭”、“重 启”、“刷新状态”四个按钮将对告警、日志进行控制设置。文件（已工具（I）帮助系统配置外出访问服荟待出交换服荟待入交换服荟申计管理认证管理主机安全审计管理日志实时传送服务当前状态：开启/关闭（活动连接数：%.）状态控制：I开启I 关闭I 重启I 刷新I图1 23审计管理1.5.1告警设置页面如图124所示。系统配置外出访问服务准出变换服务准入变换服务审计管理日志查看告警设置E-.E8认证管理 主机安全告警设置r SNMPTRAP:r扬声器：I Email ：图 124审计管理告警设置告警设置：中网物理隔离网闸将监测非法登录系统和尝试管理员口令这两个 安全事件，并当其中一个或

41、两个同时发生时，网闸将向外告警。所有告警方式依 如下的设置进行。SNMPTRAP:选中后，将向陷阱接收器发送SNMPTRAPO扬声器：选中后，将通过声音报警，用户可以在文本框中根据自己需要设置 报警的扬声时间，单位为“秒”。Email:选中后，将会给邮件接收者发送告警日志，Email的各项设置与使 用Outlook或Foxmail等工具发送邮件时的设置相同。发件人地址：用户填写发件人的Email地址。收件人地址一(二)用户填写收件人的Email地址，并且至少要填写收件 人一。SMTP服务器地址：用户填写发送邮件时候需要连接到的SMTP服务器地 址，可向系统管理员咨询。如果发送邮件时SMTP服务

42、器需要认证，则用户必须在“用户名”和“用户 口令”文本框中正确输入。1. 5. 2日志服务器页面如图125所示。E-.E系统配置外出访问服务准出变换服务准入变换服务审计管理告警设置日志服芬器_日志查看 8认证管理主机安全日志服荟器图 125审计管理 日志服务器网闸在本机上保存部分日志，但日志会不断增长，为了避免日志占满网闸的 所有存储空间，必须限制日志的总容量。存放本地电子盘：网闸系统总是在本地电子盘中存放当前产生的日志，用户 需要在这里给出一个存储空间限制。总空间限制：设置网闸日志所能占据的最大总空间，当日志总容量超过这个 限制时，新产生的日志将会覆盖原有日志。存放日志服务器：将这个指定的日

43、志服务器用于存储、维护和管理网闸系统 的日志信息，同时更便于审计。服务器地址：如果需要实时地将网闸日志从网闸发送到指定的日志服务器， 用户就必须在这里的文本框中填写日志服务器的IP地址。服务器端口：如果需要实时地将网闸日志从网闸发送到指定的日志服务器， 用户就必须在这里的文本框中填写日志服务器用于接收日志的端口号。网闸会自动探测日志服务器的当前状态，能够发现日志服务器失效和“满” 状态，针对不同状态，用户管理员可选择相应措施。这些措施包括忽略、告警和 宕机。忽略：当日志服务器失效或存储空间已满时，网闸系统对此不予理睬，忽略 该状态，这不会影响网闸的正常运行。告警:当日志服务器失效或存储空间已满

44、时，网闸将向网闸系统管理员告警， 同时不影响网闸的正常运行。宕机：当日志服务器失效或存储空间已满时，网闸将停机，这将会影响网闸 的正常运行。【建议】“忽略”和“宕机”都是较极端的处理方式，在对日志安全性要求不高的情况下，可以考虑“忽略”设置；若对日志的完整性要求很高，应当采取宕 机”设置，而“告警”则是一种折衷的设置选择。1.5.3 日志查看页面如图126所示。用户可在“日志类型”下拉菜单中自行选择，然后，点击“查看”按钮，即 可把这一类型的全部日志列在下面的表中。-I |x|文件(曰工具(I)帮助(ti)E.E系统配置外出访问服荟待出交换服荟 待入交换服荟 审计管理告警设置日志服荟器日志查看

45、8认证管理主机安全日志查看日志类型：|三 查看 |图126审计管理日志查看1. 6认证管理图127为“认证管理”的状态控制窗口。网闸除了提供基于IP的过滤和访问控制机制外，还要提供基于用户的身份 认证、授权和审计等，即要实现AAA认证体系的功能，实现对所有用户进行分 组，对用户组进行授权管理。在高安全的场所，当用户通过网闸进行访问时，首 先要进行的身份认证是非常必要的，认证的方式可通过任何支持认证的网页浏览 器。身份认证是基于密码技术的，对管理员用户名和口令在传输前进行加密，并 对网闸和控制端之间传输的所有数据进行加密，这样就可以有效防范数据在传输 过程中被窃听或篡改。在用户通过身份认证之后，确定用户所属的用户组，并根 据该用户组所拥有的权限来进行访问控制，同时对用户被授权后的所有访问进行 中网公司版权所有23地址：北京亚运村国际会议中心七层 电话：84979800 传真：84991784系统配置外出访问服务推出交换服务准入交换服务审计管理认证管理国ee;e:s:r.内端认证服务外端认证服荟认证规则认证用户管理屈主机安全文件(曰工具(!)帮助(to图 1 27认证管理记录以实现审计。因此，这就可以避