网闸培训(1).ppt

2008年9月,网络安全隔离系统 安装调试培训,提纲,简述网闸组网要求网闸产品说明公共网络及管理配置主要模块配置及注意事项其他注意事项,简述,什么是网络安全隔离系统?网络安全隔离系统，简称网闸。网闸简单的说就是实现物理断开的网络数据的交换，有点类似与使用U盘或者是移动硬盘的感觉。,简述,此次培训使用的版本是什么?适用于SecSIS-E和SecSIS-H,实施准备,网闸实施前准备1、设备是否适合使用？设备的接口款式、接口数量、随机线缆是否合用，设备是否需要上机架。2、用户的网络环境是否已经了解？预计部署位置周边设备;周边网络设备重点是核心交换、路由工作状况;,实施准备二,1、与实施相关的用户网络应用是否已经了解？网闸的内外网需要什么样的服务，服务器的位置，相关服务的端口号等事先沟通了解清楚2、Lincensec是否已经申请？拿到设备之后，观察一下产品的序列号（如SS00032768)发送给 咨询电话400-610-8220;010-87002000。注意：提前申请license，此产品license在1至5个工作日才能生成,组网要求,1、网闸产品一般部署在内网和外网之间。内网一般为公司的办公网或者是保密网；外网一般为我们所说的公网。由于上线的时候需要断网，所以上线的时间有一定的要求2、网闸为B/S的架构，通过IE浏览器登录即可，无需单独架设管理主机,网闸产品说明,1、结构 网闸是一个比较特殊的设备，具有两套系统，称之为内网和外网。2、登录内网和外网均有一个管理口，内网的地址默认为10.0.0.1；外网的为10.0.0.2。在进行登录的时候使用IE浏览器输入http:/10.0.0.1登录内网（或者http:/10.0.0.2登录外网）账号密码均为admin,公共网络及管理配置,一、网闸的网络配置,公共网络及管理配置,1、网卡设置,公共网络及管理配置,2、网络地址配置,公共网络及管理配置,3、管理地址配置,公共网络及管理配置,4、路由配置,公共网络及管理配置,5、DNS配置,公共网络及管理配置,6、其他配置,公共网络及管理配置,二、工具箱的主要配置,公共网络及管理配置,1、许可证管理,公共网络及管理配置,公共网络及管理配置,公共网络及管理配置,2、配置管理,公共网络及管理配置,公共网络及管理配置,公共网络及管理配置,3、管理员分权管理,公共网络及管理配置,公共网络及管理配置,公共网络及管理配置,公共网络及管理配置,4、修改系统时间,公共网络及管理配置,5、修改口令,公共网络及管理配置,6、系统升级,公共网络及管理配置,7、导出诊断信息,公共网络及管理配置,8、网闸状态信息,公共网络及管理配置,9、日志服务器配置,公共网络及管理配置,10、版本信息,公共网络及管理配置,11、系统资源,公共网络及管理配置,12、路由信息表,主要模块配置,一、文件交换,主要模块配置,1、修改配置文件,主要模块配置,2、添加文件传输任务,主要模块配置,主要模块配置,3、启动设置,主要模块配置,4、其他配置说明,主要模块配置,操作流程,1、手动传输模式将PC连接至网闸的网络口，并且配置为与网闸网络口相同的网段，然后做以下操作，输入正确的用户名和密码（默认为admin/123456）,操作流程,登录成功弹出以下界面,操作流程,2、自动传输流程前提：内/外网主机都有一个gapcopy工具,操作流程,运行gapcopy工具，进行正确的配置,操作流程,配置成功后运行,注意事项,1、存储号1和2设备本身已经默认配置好，存储号3一般不使用。2、文件传输的方向默认是只接收，若想双向传输，需要配置成双向才行3、上传文件的大小为0k的时候可能不会传递 4、进行关键字过滤的时候，必须启用相应的黑白名单,主要模块配置,二、安全浏览,主要模块配置,代理模式内网安全浏览配置1、安全浏览服务设置,主要模块配置,2、访问控制,主要模块配置,3、启动设置,主要模块配置,4、更新配置,主要模块配置,外网安全浏览配置1、DNS的配置,主要模块配置,2、启动服务并更新配置,主要模块配置,PC侧配置1、设置内网的PC的地址与网闸内网网络口地址同一网段,主要模块配置,2、在IE上设置代理服务器,主要模块配置,设置代理服务器,主要模块配置,透明模式内网的安全浏览的配置1、安全浏览服务设置,主要模块配置,2、访问控制,主要模块配置,3、透明端口代理,主要模块配置,4、启动设置,主要模块配置,5、更新配置,主要模块配置,6、UDP定制客户端透传DNS服务,主要模块配置,外网的安全浏览的配置1、启动服务并更新配置,主要模块配置,2、UDP定制服务端透传DNS服务,主要模块配置,PC侧配置配置IP与网闸内网网络口同网段并设置网关和DNS,注意事项,1、对所有的安全浏览的配置更改之后，必须重新更新一次配置，否则更改的配置无法生效2、外网DNS配置时，若选中“使用操作系统的DNS”则此处定义的DNS不生效，使用的为网络配置中配置的DNS3、透明模式注意DNS的设置为网闸内网网络口的地址，而不是真正的DNS服务器的地址,主要模块配置,三、FTP访问,主要模块配置,代理模式外网FTP配置1、配置FTP客户端,主要模块配置,2、启动设置并更新配置,主要模块配置,内网FTP配置配置FTP服务端，启动服务并更新配置,主要模块配置,PC设置通过命令行键入ftp 192.168.10.1登录FTP登录的时候输入用户名真实服务器的地址，再输入密码即可登录操作,主要模块配置,透明代理模式外网FTP配置FTP客户端设置,主要模块配置,内网FTP设置FTP服务器配置,主要模块配置,PC设置PC在登录的时候通过命令行的形式键入ftp 192.168.10.1 登录FTP输入正确的用户名和密码即可,注意事项,1、代理模式缺点是会在网闸的外网暴露内网的服务器的IP地址，安全性较差，一般不使用2、透明模式直接透传FTP的访问，访问的地址为网闸外网网络口的地址，有效保护内网FTP服务器的安全3、两种模式不能够同时使用，配置了透明之后可能导致代理模式服务起不来4、FTP客户端的监听地址要修改成网闸网络口的地址，不能使用默认的地址和端口,主要模块配置,四、定制模块TCP定制模块透传传输层基于TCP协议的应用服务，如常用的telnet、ssh、ftp等服务UDP定制模块透传传输层基于UDP协议的应用服务，如常用的dns、tftp等服务,主要模块配置,主要模块配置,1、外网定制模块配置,主要模块配置,2、内网定制模块配置,主要模块配置,这样外网用户只要访问192.168.10.1的ssh服务就可以访问到内网172.16.1.254上所提供的ssh的服务同理，外网用户只要访问192.168.10.1的dns服务就可以访问到内网172.168.1.254上的dns服务器,注意事项,1、使用定制模块一定不要与原有的功能模块冲突，如FTP模块、安全浏览模块等，否则会导致相应的功能模块无法正常的运行2、使用定制模块的任务号的范围为1-1000，不能超出这个范围3、定制模块内外网的客户端与服务端的任务号必须一直，否则无法生效4、用户发起访问的时候必须访问的是定制模块客户端侧所监听的地址，否则定义的访问无法生效,其他注意事项,1、由于网闸本身就是一个物理隔离的设备，所以从内网（或者外网）的PC去ping外网（或者内我哪敢）的主机是不可能ping通的（同一网段也不行）2、测试网闸相关的端口和服务是否开启，可以使用telnet+网闸的网络口地址+相应的端口号，如果成功则说明相应的端口已经打开3、网闸两套系统是通过交换卡来通信的，所以一旦发现网闸报警提示说交换模块异常，此为核心部件故障，请拨打相关的电话返修，切勿自行打开网闸的硬件机壳。,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,