IPGUARD安全网关快速部署指南

加密安全网关使用说明

1设备介绍

IP-guard安全网关控制设备（以下简称控制器），分为三个型号：

IPG-2000：

3个千兆网卡，其中管理端口为EMP；

IPG-3000：

4个千兆网卡，一组BYPASS（ETH0和ETH1），其中管理端口为EMP；

IPG-4000：

4个千兆网卡，一组BYPASS（ETH0和ETH1），其中管理端口为EMP；

说明管理端口的固定IP为190.190.190.190，初始配置时使用；

BYPASS功能，可以在控制器断电或死机的情况下，将控制器所连接的两端

直接物理上导通，不影响网络的使用。

2部署前提

先部署好需要保护的服务器环境。

3具体部署过程

3.1安装安全网关管理器

运行网络准入管理器安装程序SGManSetup.exe，根据默认提示安装。

3.2部署安全网关

3.2.1安全网关IP设置

首先要确定安全网关串联接入网络中的具体位置，据此确定安全网关的IP地址，接着便要开始设置安全网关的IP。

安全网关管理端口的固定IP为190.190.190.190，通过管理端口进行安全网关IP配置。设置的具体操作如下：

1)计算机A安装了安全网关管理器，使计算机A脱离内网环境，而直接用网线将安全

网关的管理端口与计算机A连接，修改计算机A的IP，让它能与安全网关通讯。如修改计算机A的IP如下：

IP地址：190.190.190.1

子网掩码：255.255.255.0

默认网关：可不填

2)在计算机A上开始菜单中运行安全网关管理器，操作：【工具→控制器连接参数】，

如图1：

图1

控制器：输入控制器的固定IP，即190.190.190.190；

密码：初始为空

3)输入完毕，点击【确定】，此时【工具->控制器管理】为可选状态，点击进入，弹

出控制器管理窗口，如图2：

图2

4)点击【设置网络参数】，弹出安全网关设置IP的对话框，如图3：

图3

5) 点击【确定】，设置的网络参数需要重启生效，点击控制器管理界面的【重启控制

器】，重启之后，安全网关IP 修改成功。

3.2.2 安全网关桥接入网络

客户端客户端客户端ERP 服务器邮件服务器安全网关控制器

客户端OA 服务器

连接方法：使用设备的ETH0和ETH1端口将其连入网络；

3.3 安全控制前的设置

3.3.1 连接安全网关

启动安全网关管理器，【菜单栏->工具->控制器连接参数】，弹出控制器连接设置窗口（图1）。

对应的输入内容：

控制器：输入修改后的控制器IP ；

密码：初始密码为空

成功连接之后，能在状态列表内看到默认IP范围的计算机状态情况；

3.3.2设置管理范围

在安全网关管理器界面，切换到管理配置标签页，如图4：

图4

设置控制器所能管理的计算机范围，此范围的计算机有通信经过控制器时，就会出现在“状态信息”内。支持“IP/掩码，IP”的输入，如：192.168.1.1/24,192.168.2.102。

3.3.3设置控制范围

在安全网关管理器界面，切换到管理配置标签页，如上图4。

在“控制范围”中添加要控制的计算机范围，支持“IP/掩码，IP”的输入，如：192.168.1.1/24,192.168.2.102。

3.3.4设置服务器连接参数

在安全网关管理器界面，切换到管理配置标签页，如上图4。指定受保护的服务器IP 和TCP协议端口。支持“IP:端口”的输入，如：192.168.1.2:8080。

3.3.5设置转发的URL

计算机访问网络受阻后，将其引导至“转发的url”。

可使用IP-guard提供web服务器架设程序（WebServerSetup.exe）进行部署。

1）双击运行该程序，根据默认提示安装。成功安装之后，web服务自动在后台运行，默认开放8282端口。

2）把客户端安装程序改名为Agent3.exe，放置在TEC\WebServer安装目录下的html文件夹里即可。

以上步骤完成之后，则可在管理配置标签页中的转发设置处填写：

转发的url：设置好的转发网页地址+/index_sg.html，即

http://192.168.1.2:8282/index_sg.html

(192.168.1.2为安装web服务的机器IP)

4加密客户端的配置

1)设置平时访问OA等系统的软件为授权软件。如SVN客户端或浏览器。如果预定义

中没有此软件，可使用自定义授权软件。例如设定IE为自定义授权软件。

2)对加密客户端指定授权软件，例如对加密客户端指定IE为授权软件。

3)对授权软件启动安全通讯功能。启动控制台，在【策略->客户端配置】中设置客户

端配置策略：

a)如果授权软件是SVN，新建客户端配置safe_netconnect_svn，值为1

b)如果授权软件是其他软件，如IE，新建客户端配置策略safe_netconnect_process，

值为iexplore.exe （支持多进程，以分号分隔）

c)如果授权软件需要访问安全网关之外的服务器，在客户端配置策略中设置白名单。

名称：safe_netconnect_whitelist，值为OA或SVN服务器IP，如：192.168.1.2

注意设置白名单之后，加密文档可以上传到这些网站并解密，这样会存在泄密风险，设置白名单须谨慎。

5安全网关的使用

6.1开启/停止控制

在安全网关管理器，【菜单栏->系统->启动】，则开启安全网关控制的功能。

【菜单栏->系统->停止】，则关闭安全网关控制的功能。

6.2设置白名单

对访问受阻的计算机启用白名单，则在该计算机中使用浏览器访问任一个网站，可正常访问。

添加白名单的方法有两种方法：

1）安全网关管理器主界面，切换至“状态信息”窗口，选中一台或多台计算机，右键菜单->设置白名单，也可取消白名单。

2）安全网关管理器主界面，切换至“白名单”标签页，右键->添加白名单，如图5:

图5

填入要设为白名单的计算机IP，多个IP使用“,”分隔开，支持IP、IP段输入，如：192.168.3.0,192.168.0.2-192.168.1.160。点击【确定】之后，设置成功，列表中出现添加的IP 机器。

删除白名单：在“白名单”列表中选择一个或多个计算机，右键菜单->删除白名单，这些机器将不再具有白名单功能。

6加密客户端的使用

加密客户端不改变平时使用习惯，加解密操作对用户透明。不过启动了安全通讯功能的浏览器只能访问受保护的OA服务器，不能访问其他网站；如需要刚问其他网站，请使用其他浏览器，如360浏览器。未启用安全通讯功能的浏览器不能访问受保护的OA系统。