网闸基本配置步骤
网闸基本配置截图。
网闸管理口MAN口,管理地址192.168.1.168
第一步:
确定网络内外网的IP地址、子网掩码、网关。
第二步:
确定需要经过网闸传输的数据端口,及访问方向(内访外或外访内),确定需要经过网闸访问的目的地址IP。
第三步:
安装管理端:打开安装包,选择Setup.exe双机运行安装,不需要做修改,下一步到完成。
第四步:
本地计算机打开网络和共享中心,配置本地IPV4地址为192.168.1.*网段地址,掩码255.255.255.0 笔记本和网闸MAN口网线直连。
第五步:
开始菜单找到点击管理端登录。
管理地址查看上述,用户名和密码一样,都是admin2003。
第六步:
点击网闸左侧菜单栏服务设置,配置网闸内外端机eth0IP地址。
例:
第七步:
配置TCP应用通道,假如外访内应用,应用通道源就选择外端机。一律选择转发模式。通道名称可以根据访问目的服务器来区分,
应用类型选择选择NULL_ TCP
源机IP地址:因为是外访内,选择网闸外端机地址。
目的IP地址:需要经过网闸访问的目的服务器地址。
建立完成应用通道,右键选择应用通道选择启用。
需要在eth0网口添加或者修改IP地址时,需要把通道停用才可以允许修改。
网闸配置注意事项20140910
网闸调试注意事项 1、笔记本装上控制台也连接到了设备的管理口却搜索不到设备 可能笔记本存在多个网卡,首先确认一下安装完控制台后选择的通信网卡是否正确,如果选择的网卡正确,再确认下笔记本正确的连接到了网闸内网的管理口。选择网卡界面如下:可以根据网卡存在的IP地址区分哪一块是物理网卡 2、能搜索到设备却怎么都无法登录 先查看出错信息,如果信息提示未知错误,可能是设备密码输入错误,或者上次登录没有退出控制台就拔掉了网线,确认一下密码输入的是否正确,如果输入正确,重启一下设备尝试重新登录。 3、对象定义注意事项:定义对象以及对象组时,名称和备注等信息不能使用IP/MAC/MASK等关键字。
4、对象定义注意:定义一个地址范围要用“-”来间隔,如(192.168.1.1-192.168.1.253) 如果要定义所有客户端都可以访问内网服务器,IP地址MAC地址和子网掩码全为0。 示。
6、定义服务时注意:如果存在相应的处理模块要选择处理模块或者不选。选择处理模块可以控制的更加细密,如果用户的服务不属于内置模块的服务,勾选“此应用中未定义 的命令允许执行”选框。 7、安全通道选择要注意:默认存在两个安全通道,内网到外网的LAN1通道和外网到内网的LAN1方向,分别用InToOut和OutToIn来表示。如果部署模式没有使用默认的这两 个接口,可以自己修改或者重新建立安全通道。
8、定义系统规则:系统规则把系统模版和安全通道绑定在一起,确保通过网闸的数据 符合系统模版和安全通道的规定。 9、设备规则应用注意:在应用规则前要确认你定义的规则是正确的,可以到设备规则 栏下边双击当前系统规则栏内相应的规则名称,查看定义规则的全部信息。
最新联想网御网闸(SIS-3000)配置过程教学文稿
联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889 3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: FTP客户端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下 区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访 问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务,无需配置网 闸服务端任务; 2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络 地址同网段 支持支持 网闸两侧网络 地址不同网段 支持支持
网闸典型应用方案
网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案
目录
1.前言 Internet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,
成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
5.10网闸配置_配置安全通道
1.1 配置安全通道 ◆网络拓扑 FTP客户端 FTP服务端 ◆应用概述 如上图所示,今以FTP应用服务配置为例,其他应用服务类似(只要该C/S模式底层符合标准的TCP/UDP协议)。此应用要求实现内网FTP客户端主机通过安全隔离网闸安全地访问外网FTP服务器,通过安全通道模块达到对文件上传/下载的目的。该应用环境使用要点如下: 1、网闸内、外网络口各直连一台装有WindowsXP Professional系统的主机,与网闸外 侧相连的是FTP服务器(端口:21),与网闸内侧相连的是访问客户端主机; 2、今要求以透明和普通两种方式访问; 3、IP地址设置见网络拓扑图; ◆配置步骤 网闸WEB配置部分,下面以FTP应用为例展开叙述,其他应用与之类似,不再赘述。 1、配置网闸内侧任务,并启动服务 添加网闸内侧任务,如下图:
启动服务,如下图: 按下按钮,启动服务 2、配置网闸外侧任务,并启动服务 添加网闸外侧任务,仅对普通访问有效,如下图:
服务类型可选【tcp_any】;亦可 选【ftp】,但目的端口可不填。 启动服务,同上。 3、测试 针对普通访问,访问时如下图: 普通访问模式下,该 地址为网闸内侧地址 普通访问模式下,格式为: 用户名 针对透明访问,访问时如下图:
透明访问模式下,该地 址为真实FTP服务器地址 透明访问模式下,格式为:用户名 1、透明访问时,需配置默认网关或添加静态路由,详见《4.2.2 FTP访问》的“配置步骤”第4步; 2、支持日志访问; 3、支持一些动态端口应用服务,比如:ftp、tns、h.323等等; 4、支持源、目的端口范围; 5、不支持PPTP、IPSec、GRE、IGMP、IGRP及OSPF服务; 6、普通访问时,不支持服务器地址范围; 7、支持ping; 8、支持相同服务多服务器的应用模式; IE浏览器进行FTP访问; 1、配置客户端任务(针对普通访问和透明访问),并启动服务; 2、配置服务端任务(仅针对普通访问),并启动服务; 3、测试;
TIPTOP隔离网闸文件交换配置案例
TIPTOP隔离网闸文件交换功能配置案例 2009-4-17
版权声明 本手册中的内容是TIPTOP隔离网闸文件交换配置案例。 本手册的相关权力归深圳市利谱信息技术有限公司所有。手册中的任 何部分未经本公司许可,不得转印、影印或复印。 ? 2005-2007 深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. All rights reserved. TIPTOP隔离网闸 文件交换配置案例 本手册将定期更新,如欲获取最新相关信息,请访问 公司网站: 您的意见和建议请发送至: 深圳市利谱信息技术有限公司 地址:深圳市福田区泰然工业园泰然四路210栋东座7B 电话:0 邮编:518040 传真:8 网址: 电子信箱:
目录 1 网络拓扑 (1) 2 客户需求 (1) 3 网络配置 (2) 3.1 内网网络端口一配置 (2) 3.2 外网网络端口一配置 (2) 4 网闸具体配置 (3) 4.1 需求一文件交换配置 (3) 4.1.1 交换模块配置 (3) 4.1.1.1 内网文件交换配置............................................错误!未定义书签。 4.1.1.2 外网文件交换配置............................................错误!未定义书签。 4.1.1.3 内网主机配置操作............................................错误!未定义书签。 4.1.1.4 外网主机设置操作............................................错误!未定义书签。 4.2 需求二实现内外网主机共享目录之间文件自动交换 (8) 4.2.1 实现方式一:文件共享同步 (8) 4.2.2实现方式二:文件自动收发 (10)
联想SIS-3000P网闸数据库访问配置案例
联想网御网闸数据库访问功能配置案例 2006-1-17
目录 1 网络拓扑 (1) 2 客户需求 (1) 3 网络配置 (2) 3.1 内网网络端口配置 (2) 3.2 内网管理端口地址 (2) 3.3 外网网络端口配置 (3) 3.4 外网网关配置 (3) 3.5 外网管理端口地址 (4) 4 网闸具体配置 (5) 4.1 需求一配置 (5) 4.1.1 内网模块配置 (5) 4.1.1.1 添加Oracle 数据库客户端任务 (5) 4.1.1.2 新建访问用户配置 (6) 4.1.1.3 访问控制生效 (6) 4.1.2 外网模块配置 (7) 4.1.2.1 添加Oracle 数据库服务端任务 (7) 4.1.2.2 新建访问用户配置 (7) 4.1.2.3 访问控制生效 (8) 4.1.3 内网客户端主机配置 (9) 4.1.3.1 内网主机运行客户端软件并将数据库添加到树 (9) 4.1.3.2 内网用户成功登录外网数据库 (9) 4.2 需求二配置 (10) 4.2.1 内网模块配置 (10) 4.2.1.1 添加SQL Server 数据库客户端任务 (10) 4.2.1.2 新建访问用户配置 (10) 4.2.1.3 访问控制生效 (11) 4.2.2 外网模块配置 (12) 4.2.2.1 添加SQL Server 数据库服务端任务 (12) 4.2.2.2 修改访问用户配置 (12) 4.2.2.3 访问控制生效 (13) 4.2.3 内网客户端主机配置 (14) 4.2.3.1 内网主机数据库客户端配置 (14) 4.2.3.2 内网主机成功登录外网SQL Server数据库 (14)
安全隔离网闸疑难问题大全
安全隔离网闸疑难问题大全(40问) 1、网闸全称是什么?网闸的英文名称是什么? 网闸的全称是安全隔离网闸。网闸的英文名称是"GAP"。 2、安全隔离网闸是什么? 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 3、安全隔离网闸是硬件设备还是软件设备? 安全隔离网闸是由软件和硬件组成。 4、安全隔离网闸硬件设备是由几部分组成? 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 5、为什么要使用安全隔离网闸? 当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是最好的选择。 6、隔离了,怎么还可以交换数据? 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。 7、安全隔离网闸能够交换什么样的数据? 安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。 8、安全隔离网闸的主要性能指标有那些? 性能指标包括: 系统数据交换速率:120Mbps 硬件切换时间:5ms 9、安全隔离网闸通常具备的安全功能模块有那些? 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 10、为什么说安全隔离网闸能够防止未知和已知木马攻击? 通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
TIPTOP隔离网闸映射访问配置案例
TIPTOP隔离网闸映射访问配置案例 2009-4-7
版权声明 本手册中的内容是TIPTOP隔离网闸映射访问配置案例。 本手册的相关权力归深圳市利谱信息技术有限公司所有。手册中的任 何部分未经本公司许可,不得转印、影印或复印。 ? 2005-2007 深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. All rights reserved. TIPTOP隔离网闸映射访问配置案例 本手册将定期更新,如欲获取最新相关信息,请访问 公司网站:您的意见和建议请发送至 深圳市利谱信息技术有限公司 地址:深圳市福田区泰然工业园泰然四路210栋东座7B 电话:0 邮编:518040 传真:8
网址:电子信箱
目录 1网络拓扑 (1) 2客户需求 (1) 3网络配置 (2) 3.1内网网络端口一配置 (2) 3.2外网网络端口一配置 (2) 4网闸具体配置 (3) 4.1需求一FTP服务器的访问配置 (3) 4.1.1FTP访问规则配置 (3) 4.1.1.1透明方式访问FTP (5) 4.1.1.2网关模式访问数据库 (7) 4.1.1.3映射模式访问数据库 (10) 4.2需求二WEB访问端口自定义协议转换配置 (13) 4.2.1WEB访问配置规则 (13) 4.2.1.1透明方式访问数据库 (15) 4.2.1.2网关模式访问数据库 (17) 4.2.1.3映射模式访问数据库 (20)
1 网络拓扑 WEB 服务器94.4.19.103 客户端94.4.19.12/24客户端94.4.19.13/24 FTP 服务器94.4.19.123 说明: 1 网闸的内网管理端口地址默认为:,如果与已有网络冲突可以在管理界面上进行更 改。 2 管理主机为PC3,其地址要求与网闸的管理端口(内端网口一)地址在同一个网段。 3 管理主机与网闸的内网管理端口相连接,其管理登陆地址为: 用户名为:admin 密 码为:admin 注意:管理主机要使用管理端口进行管理时必须使用加密key 才可以使用。 2 客户需求 TCP 访问 需求一: FTP 服务器的访问。 内网主机通过访问规则不使用代理方式可以直接访问外网的FTP 服务器。
网闸典型应用方案范文
网御SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案
目录 1.前言错误!未定义书签。 2. 需求分析...................................... 错误!未定义书签。 3 网络安全方案设计错误!未定义书签。
1.前言 Internet 作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580 万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet 中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet 如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet 这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet 的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
网闸FTP访问配置案例
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. 网闸FTP访问功能配置案例
目录 1 网络拓扑....................................................................................................错误!未定义书签。2客户需求....................................................................................................错误!未定义书签。3网络配置....................................................................................................错误!未定义书签。 3.1内网网络端口配置....................................................................错误!未定义书签。 3.2内网管理端口地址....................................................................错误!未定义书签。 3.3外网网络端口配置....................................................................错误!未定义书签。 3.4外网网关配置............................................................................错误!未定义书签。 3.5外网管理端口地址....................................................................错误!未定义书签。4网闸具体配置............................................................................................错误!未定义书签。 4.1代理模式配置............................................................................错误!未定义书签。 4.1.1内网模块配置....................................................................错误!未定义书签。 4.1.2外网模块配置....................................................................错误!未定义书签。 4.1.3内网客户端主机访问FTP服务器设置 ...........................错误!未定义书签。 4.2透明模式配置............................................................................错误!未定义书签。 4.2.1内网模块配置....................................................................错误!未定义书签。 4.2.2外网模块配置....................................................................错误!未定义书签。 4.2.3内网客户端主机访问FTP服务器设置 ...........................错误!未定义书签。
有关网闸的配置案例
有关网闸配置的案例 1.1配置网闸的基本步骤有哪些? 答: 1)在PC上安装客户端;本地IP为192.168.1.1/24,用交叉线与仲裁机相连(默认无法ping);2)通过客户端连接仲裁机(192.168.1.254)用户名/口令superman/talent123登录; 3)设置内端机IP地址,设置外端机地址(一般均为eth0) 4)为了调试方便,通过命令行的方式允许ping 通内外端机; 5)设置TCP应用通道,启用通道 6)配置安全策略 1.2通过一个案例来说明如何配置网闸来保证内外数据安 全交换 1.2.1拓扑图如下: 1.2.2基本说明: 1.在OA区域里有服务器,安全管理和终端,边界由网闸来隔离,只允许有限的访问。 2.目前具体的要求是只允许外部的终端10.10.1.1访问OA服务器,内部机器可以访问外
部的WEB 10.10.1.5 3.不能泄漏内(外)部的网络结构。 1.2.3基本配置: 设置内外端地址 1.2.4测试验证: 由于是端口转发,客户端的IE无需作代理设置,只是将访问的目的设为外(内)端机地址10.10.1.2(10.10.0.1)即可。 1.2.5效果 用户只需访问本地的服务器,通过网站作代理映射,就可以到达从内部(外部)访问外部(内部)的目的。以下为链接: http: //10.10.0.1 (可以访问到10.10.1.5) http://10.10.1.2(可以访问到10.10.0.109) 1.3 对于级联的网闸的配置如何来做 在等级保护的实际案例中,需要两个或以上的网闸来配置一条完整的通道,如以下图
1.3.1基本要求 OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3 门户网站区域()可以访问位于OA区域的OA服务器10.10.0.109 1.3.2基本配置 1.3. 2.1 OA区域网闸配置 说明:从内到外的访问目的就是门户网闸的外端机地址(192.168.4.2) 从外到内的访问目的是真实的服务器地址10.10.0.109
力控网闸配置示例
目录 1TCP协议-------------------------------------------------------------------------- 2 1.1 同网段配置实例 --------------------------------------------------------------- 2 1.2不同网段配置实例 -------------------------------------------------------- 6 2UDP协议 ------------------------------------------------------------------------ 10 2.1同网段配置实例--------------------------------------------------------------- 10 2.2不同网段配置实例------------------------------------------------------------ 14 3定制访问 ------------------------------------------------------------------- 18 3.1映射模式 ----------------------------------------------------------------------- 18 4双机热备 ------------------------------------------------------------------- 22
300网闸配置
伟思安全隔离网闸Vigap300型号的配置说明 与注意事项 配置前的准备工作: 1)网闸外观和接口 2)实施前要知道客户的网络拓扑图,根据客户应用决定网闸需要安装在哪个节点,和 网闸需要的IP地址数 3)先把用来配置网闸的电脑IP修改成10.119.119.*(119除外),掩码255.255.255.0, 安装控制平台后会在桌面生成一个快捷图标,对应的是所在安装目录的 4)用直连网线(B类线)连上网闸可信端网口(网闸默认内网口和外网口各两个,只 有中间的两个可以用),ping 10.119.119.119测试网络连接是否正常,然后进行配置。 5)网闸开箱默认模式是set模式,根据需要可以在控制平台里进行模式转换。(透明 模式管理IP:172.26.78.1,禁ping,可以telnet ip 112测试) 网闸配置的一般步骤: 1)双击桌面快捷图标启动管理平台,默认用户名:admin,密码:admin05。进入管 理平台,如下图:主页面分三部分,安全隔离与信息交换设备,系统安全审计功能,访问控制规则表。一般很少用到系统安全审计功能。
2)安全隔离与信息交换设备页面,右键点击隔离设备,选择添加(注意:一定要保证 设备已经开机,笔记本已经连接设备可信端接口,并配置IP已经测试连通性,如果笔记本与设备之间的网络不通的情况下,在该页面添加设备会报错),然后弹出 如下图对话框 点下一步会跳到配置IP信息及系统名的页面如下图
如上图标注,其中可信端的IP地址是灰色,鼠标无法选中并配置(300的设备可信端的接口地址是没办法在这个页面进行配置的,即使IP不配,配置上网关和掩码也是不生效的),配置好IP信息后点击下一步会跳到选择设备配置中需要用到的内网和外网所需要开放的对应服务端口信息页面,默认全选上(在后面的文档中会介绍到这一部分)。最后点击完成,回到如下图的界面。
网神IPS_SecSIS3600_M1_文件交换配置案例
网闸文件交换功能配置案例
目录 1 网络拓扑 (1) 2 客户需求 (1) 3 网络配置 (2) 3.1 内网网络端口配置 (2) 3.2 内网管理端口地址 (2) 3.3 外网网络端口配置 (2) 3.4 外网管理端口地址 (3) 4 网闸具体配置 (3) 4.1 需求一使用基本方式实现文件交换 (3) 4.1.1 内网(主)<->外网与内网<->外网(主) 传输方式 (3) 4.1.2 文件名过滤 (5) 4.1.3 关键字过滤 (8) 4.1.4 内网->-外网与内网-<-外网传输方式 (12) 4.2 需求二使用filesync实现文件交换 (19) 4.3 需求三使用外部共享目录实现文件交换 (22)
1网络拓扑 说明: 1 网闸的内、外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。 2 PC5为管理主机,其地址要求与网闸的管理端口地址在同一个网段。 3 管理主机与网闸的内外网管理端口相连接,分别以https://10.0.0.1和https://10.0.0.2访问,用户名和密码为:admin。 4 具体配置细节也可参考管理员手册。 2客户需求 需求一:使用基本方式实现文件交换; 需求二:使用filesync 实现文件交换; 需求三:使用外部共享目录实现文件交换;
3网络配置 3.1 内网网络端口配置 网卡配置:网络配置:net1 属性:net 网络地址:192.168.10.6 子网掩码:255.255.255.0 3.2 内网管理端口地址 如与网络接口不冲突,可以为默认。 3.3 外网网络端口配置 网卡配置:网络设备net1 属性net 地址:192.168.20.100,子网掩码:255.255.255.0
平安城市网闸视频应用成功案例
平安城市网闸视频应用成功案例 1、福建XX平安城市网闸视频应用: 1.1项目介绍 福建XX平安城市的视频应用系统厂商是杭州天视。业务应用是公安内网的用户,通过网闸访问视频服务器的WEB页面,然后选择相应监控点以察看视频,最高同时传输20多路视频信号,每路视频带宽2-3M。 1.2网闸应用 在该项目中使用的网闸是SIS-3000-FE安全通道模块。网闸内做普通访问规则将外网视频服务器172.26.0.1映射到公安网(网闸内网)网口10.133.162.38上,公安网用户通过访问http://10.133.162.38:8080/sc页面,选择其中所列监视点进行查看。读取http://10.133.162.38:8080/sc页面正常,但选择监视点后不能查看到该监视点的录像。 根据抓包分析发现,客户端获取视频的连接SYN包是发向172.26.0.1真实服务器地址的,而网闸中配置的是普通访问规则,是不允许访问真实服务器的连接通过。研发根据这一问题做一个升级包,很好的解决了该问题。升级包的使用说明见附件(天视升级包使用说明)。 目前福建XX的网闸视频应用正常。 2、广西XX平安城市网闸视频应用 2.1项目介绍
视频设备1 IP:189.1.255.10 视频设备2 IP:189.2.255.10 视频设备3 IP:189.3.255.10 广西XX平安城市视频应用系统厂商是H3C,视频系统平台是VC8000。业务应用是公安内网用户通过H3C客户端访问或控制摄像机,客户端首先访问视频认证服务器,通过认证后,视频服务器给用户一个视频列表,列表是摄像机的名称信息(如地理位置),当用户选择某个摄像机时,视频服务器会要求摄像机将图像信息传给流媒体服务器,然后流媒体服务器将图像信息返回客户端。客户端在与视频服务器通信时,视频服务器接收端口是TCP12000/UDP6060;流媒体服务器返回视频信息给客户端时,客户端接收端口是UDP50000:50031(经流媒体转发接收端口)和UDP60000:63202(实时监听端口); 2.2网闸应用 在该项目使用的网闸是SIS-3000-XX安全通道模块。在前期的测试中,与H3C的视频平台VC9000配合,能够正常使用,但后期H3C将系统升级到目前的VC8000,就出现了视频信息无法返回客户端的问题。 在与H3C工程师沟通的过程中,我们了解到,VC8000与VC9000最主要的区别是,加入了对客户端的源IP地址进行认证的功能,即客户端在认证的时候,数据包中应用层负载有客户端的源IP地址,这个源IP地址是公安内网的地址,在视频服务器和流媒体服务器给客户端返回视频信息时,目的地址就是使用的这
联想网御网闸配置实例
联想网御网闸配置实例 背景:XX局为了组建区域XX平台内网,需要在我们内网中搭建一台服务器,用XX局直接远程到院内网服务器,分配给我们的外网IP:172.17.3.50,255.255.255.0,172.17.3.254 ,内网服务器IP:192.168.102.64,另外我们还需要一个虚拟的内网转换地址,192.168.102.65。拓扑结构如下: 网闸管理地址:内网口https://10.0.0.1:8889、外网口https://10.0.0.2:8889 将本机IP配置成10.0.0.200,直连网闸管理口,下面进行设置: 内网口设置 首先进入内网口进行配置, 输入上述地址后进入管理登录界面
账号:administrator 密码:administrator 进入以下界面 点击左侧的网络管理 选中对应接口fe6点击编辑
输入192.168.102.65,这个地址是设置给fe6这个接口的,设置后在允许ping上打钩,最后确定。 接下来需要配置内网地址的安全通道,这个会出现两个安全通道,分别是:客户端的和服务端的,当XX局的172.17.3.x号段进行访问的时候,我们是接受访问的一方,所以在内网上我们就作为服务端, 点开服务端的安全通道, 点击添加 这里注意 1、填入的任务号必须是未经使用的。 2、网闸内部的连接是通过内部硬件实现内外网隔离,但却实用任务号关联,所以所设置的
任务号、服务类型、端口号必须要与接下来设置的外网口的客户端安全通道一致。 填写好确定保存 内网设置完毕点击上部保存按键保存设置 外网口设置 输入外网口管理地址,输入账号密码进去之后,进行外网的客户端配置(账号密码与内网口账号密码一致) 进入系统之后,点击接口配置,配置外网口地址 与内网口配置相同 注意在允许ping上勾选,确认保存后,点击客户端的安全通道,点击添加
新品网闸HA及负载均衡配置手册
新品网闸HA及负载均衡配置文档 网闸HA及负载均衡简单介绍: 网络应用的稳定性考虑,用户可以配置两台SIS安全隔离网闸,分别作为主机和备份机,当主机断电或无法正常工作的情况下,备份机可自动代替主机的部分功能。 双机热备功能可支持以下模块:文件交换、安全浏览、邮件访问、FTP访问、数据库访问、定制访问、安全通道。 双机热备功能在系统的客户端一侧的主机和备份机分别进行配置。当用户的网络流量过大时,可以考虑使用多台SIS安全隔离网闸进行负载均衡,将流量均分到每一台SIS安全隔离网闸。 负载均衡功能目前支持如下模块:安全浏览、邮件访问、FTP访问、数据库访问,以及定制访问。 网络拓扑结构如下: inter_A:1.1.1.2outer_A:2.2.2.2 :1.1.1.3outer_B 虚拟IP:1.1.1.1虚拟IP:2.2.2.1
HA双机热备及负载均衡配置信息 主闸内网设置 1、登陆WEB管理界面 在浏览器里输入默认内网管理地址:https://10.0.0.1:8889,管理主机为网闸上设定好的管理主机地址(默认为10.0.0.200/24)。 2、网络配置
网络配置>>网络设备:配置主闸内网网络地址 Fe1为HA接口IP地址(主备网闸内网或外网接口IP地址需在同一网段); Fe2管理口地址;fe3为网络口地址;和别名地址fe3_0。 Fe3_0为Fe3的别名地址,后续将作为HA内网的虚拟IP地址。 3、修改网闸名称 系统配置》》系统参数中修改网闸名称为inter_A。 4、HA的配置 (1)网络配置》》高可靠性设置》》基本配置: 设置网闸工作角色、对端主机名,及HA服务的启动;
网闸(GAP)
网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 闸门的组成 安全隔离网闸是由软件和硬件组成。安全隔离网闸的硬件设备由三部分组成:外部处 宇宙盾隔离网闸 理单元、内部处理单元、隔离硬件。 使用闸门的意义 为什么要使用安全隔离网闸呢?其意义是: (一)当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是最好的选择。 (二)对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。 (三)安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。主要性能指标和功能 性能指标 安全隔离网闸的主要性能指标有那些呢?其性能指标包括: 系统数据交换速率:120Mbps
硬件切换时间:5ms 主要功能 1。有哪些功能模块:安全隔离闸门的功能模块有: 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 2。防止未知和已知木马攻击: 为什么说安全隔离网闸能够防止未知和已知木马攻击? 通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。 3。具有防病毒措施: 安全隔离网闸具有防病毒措施吗? 作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。 与其它装置的区别 与物理隔离卡的区别 安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。 与路由器、交换机在网络之间交换信息的区别 安全隔离网闸在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。 与防火墙的区别
网闸操作简易流程及说明
网闸操作简易流程及说明 1.登录 1)运行管理控制端:选择“开始”菜单下“GoldenSecurity”下的“FerryWay 管理端”。 2)显示登录窗口。如图: . 3)在登录窗口中输入登录主机地址、用户帐号、密码,按“确定”,登录管理控制端。 4)FerryWay默认登录信息 登录主机:192.168.1.168 默认用户帐号:admin2003 默认密码:admin2003 2.设置内端机 IP 地址 选择“系统”菜单下的“设置”项,显示系统设置列表,可以看到eth0~eth6多个内外端IP设置(eth1~eth6用于多网口或扩展),选择“设置内端机eth0 IP地址”,显示设置窗口。选择“高级…”,显示多个IP地址设置窗口。
3.设置外端机 IP 地址 选择“系统”菜单下的“设置”项,显示系统设置列表,可以看到eth0~eth6多个内外端IP设置(eth1~eth6用于多网口或扩展),选择“设置外端机eth0 IP地址”,显示设置窗口。选择“高级…”,显示多个IP地址设置窗口。
4.添加新的应用通道 在“应用通道”菜单中选择“TCP应用通道”-->“添加”或在“TCP应用通道列表”右键快捷菜单中选择“添加”,显示添加界面。 4.1.设置应用通道 应用通道源:发起访问的源方向。 工作模式:一般选转发模式 通道名称:给该通道取的名称,可随意命名。 应用类型:除FTP需要选择FTP类型外,一般情况请选择Null_TCP。
源机IP地址:对外被访问的IP地址,为网闸接口地址。 源机端口:网闸内/外端机监听的端口号。 目的机IP地址:实际服务器的IP地址。 目的机端口:实际服务器监听的端口号。 允许的最大连接数:一般输入10000即可。 身份认证:默认为不需要即可。 4.2.使用时间安排的设置 设置应用通道可以使用的时间段。在指定的时间段内,该应用通道是可用的。应用通道的起始使用时间必须早于结束时间。
500网闸配置
伟思安全隔离网闸Vigap500型号的配置说明与注意事项 (500的设备是基于b/s结构的,即可以通过浏览器直接访问来配置的,另外500的设备配置过程中要注意的是设备默认是不支持可信端与非可信端一个网段,如果需要,可以修改某些参数来实现。) 1)配置前的准备工作: 1)500设备的默认管理地址是https://192.168.0.254:10000,用户名:admin,密码:888888。 如果来配置一台新设备,首先我们将用来配置网闸的电脑IP修改成192.168.0.*(254除外),掩码255.255.255.0。然后用直连网线(B类网线)连接设备可信端的NIC0口,然后ping 192.168.0.254,测试网络连通性。如果没问题,直接打开IE,地址栏输入https://192.168.0.254:10000,回车登录。 2)新设备如果网络不通,重新启动下设备,观察设备前面板左下角的两个硬盘指示灯,开机过程中, 有没有硬盘数据灯闪烁,2个都闪烁,可以排除硬盘和主板的故障,可以尝试下串口恢复下设备配置。(发货过程中,由于物流方面的拿放不当,可能造成设备出现故障) 2)网闸配置的一般步骤: 1)IE地址栏直接输入https://IP:10000(IP为可信端或者非可信端IP,其中如果客户不需要从非可信端 IP访问配置页面,可以在隐藏页面关闭,登录进设备后,隐藏页面为https://IP:10000/firewall),回车,弹出证书页面,选择是,用户名:admin,密码:888888。弹出如下登录界面: 2)接口配置: “接口配置”包括:模式选择和接口配置。
模式选择:系统默认模式为SAT+NAT模式,该模式是转源的(注意:有些认证系统是从源mac来登记的,该情况只能用不转源模式来实现)。如果需要可以转换成SAT模式,该模式不转源。 接口配置:如下图,其中不可信端可以直接配置接口IP地址及网关,可信端只能配置相应的IP地址,如果下面挂的有三层设备,需要指回程路由,可以在下面的网络配置下静态路由中可信端添加。 配置完成后点击“保存”按钮保存当前接口配置,点击“重启” 重启系统后配置才会生效。下次访问管理地址需要以改动后的可信端或者非可信端IP来访问。(非可信端IP访问可以在隐藏页面中关闭掉——该隐藏页面为https://IP:10000/firewall)。