隔离网闸功能详细配置.ppt

《隔离网闸功能详细配置.ppt》由会员分享，可在线阅读，更多相关《隔离网闸功能详细配置.ppt（135页珍藏版）》请在三一办公上搜索。

1、,安全隔离网闸功能详细配置,目录,01、登录管理,02、无客户端文件交换,03、有客户端文件交换,04、数据库同步,05、安全浏览,06、FTP访问,07、邮件传输,08、数据库传输,09、定制访问,10、高可靠性,11、消息模块,12、统一用户认证,13、安全通道,14、数据交换,提纲,1、登录管理,2、模块介绍,前期工作准备工作管理方式登录网闸,功能概要WEB配置客户端配置(如果有)基本步骤 注意事项,1.1.1 登录管理前期工作拆箱检查,请按装箱清单检查所有配件：安全隔离网闸 随机光盘 电源线 网线 串口线 安装支架 保修卡,1.1.2 登录管理前期工作用户注册,1、填写保修回执卡，成为

2、我司永远服务对象。2、在线服务：http:/。3、产品注册，以便将新技术成果及时传递给您！,1.2 登录管理准备工作,1、接通电源，听到“滴滴滴”后，启动完毕；2、选用一带Windows系统PC作为管理主机；3、使用交叉线，管理网闸。,1.3 登录管理管理方式,支持多种管理方式：串口命令行管理-常用于灾难的恢复工作 Web页面管理-常用于正常管理 SSH远程管理-常用于管理调试 集中管理-方便管理,1.4.1 登录管理登录网闸概述,若需更新证书管理网闸，则需导入IE新证 书和与之配套的网闸新证书，步骤如下：1、使用默认证书登录网闸；2、导入网闸新证书，并启用；3、导入IE浏览器新证书。,1.4

3、.2 登录管理登录网闸网闸证书导入,2、在本地计算机文件夹中再选择admin.pem对应网闸中的管理员证书，点击“导入”。,1.4.2 登录管理登录网闸网闸证书导入,导入证书后选择生效选项,1.4.2 登录管理登录网闸网闸证书导入,保存配置,证书生效,1.4.3 登录管理登录网闸IE证书导入,在管理主机双击IE浏览器证书，按提示安装，密码为“hhhhhh”(默认证书密码)。,1.4.4 登录管理登录网闸用户登录,网闸与IE证书均导入成功后，在管理主机输入https:/网闸ip:8889，按证书提示点击“确定”。,1.4.4 登录管理登录网闸用户登录,出现安全警报后点击“是（Y)”就会出现安全隔

4、离网闸登录页面,XP系统请确认IE浏览器中internet选项-隐私选项-中的阻止弹出窗口选取去掉：如下图,1.4.4 登录管理登录网闸用户登录,用户名密码为:administrator/administrator,2.1 无客户端文件交换功能概要,支持各种类型文件在外部网和涉密网之间的安全传输。,传输方式：改名传输、增量传输、发送后删除,2.2 无客户端文件交换WEB配置,第一步：选择工作模式、启动后台服务,2.2 无客户端文件交换WEB配置,第二步：添加文件交换发送任务,2.2 无客户端文件交换WEB配置,第三步：添加文件交换接收任务,2.2 无客户端文件交换WEB配置,第四步：设置内容控

5、制选项,文件名控制内容黑名单内容白名单,2.3 无客户端文件交换基本步骤,1、配置本机工作模式、启动后台服务；2、配置文件交换任务发送任务、接收任务；3、配置文件过滤选项；,2.4 无客户端文件交换注意事项,1、Windows共享目录权限全部放开；2、除具有标准文本文件格式以外的文件均视为二进制文件；3、不支持负载均衡,支持双机热备；4、发送任务号与接收任务号一致，且同侧任务号唯一；,3.1 带客户端文件交换功能概要,支持各种类型文件在外部网和涉密网之间的安全传输。,传输方式：增量传输、发送后删除,3.2 带客户端文件交换WEB配置,第一步：是否设置证书、启动服务,3.2 带客户端文件交换WE

6、B配置,第二步：添加文件交换客户端任务,3.2 带客户端文件交换WEB配置,第二步：添加文件交换服务端任务,3.2 带客户端文件交换WEB配置,第三步：设置内容过滤选项,文件名控制内容黑名单内容白名单,3.3 带客户端文件交换客户端配置,第四步：配置接收端客户端 设置监听端口、接收用户、接收任务,3.3 带客户端文件交换客户端配置,第五步：配置发送端客户端 网闸配置、发送用户、发送任务,3.3 带客户端文件交换客户端配置,第六步：启动端服务,启动接收端服务：,启动发送端服务：,3.4 带客户端文件交换基本步骤,1、网闸WEB配置启动服务、配置客户端和服务端、设置过滤选项；2、客户端配置接收端配

7、置：监听端口、接收用户、接收任务、启动服务等；发送端配置：网闸配置、发送用户、发送任务、启动服务等；3、测试,1、客户端发送端与网闸客户端相连；客户端接收端与网闸服务端相连；2、正确填写与对端相连的证书公共名；3、发送用户与接收用户确定唯一任务；4、客户端发送端测试连通性确保服务开启；5、客户端之间任务号、任务名称同侧仅需唯一，无对应关系要求；6、不支持透明访问；6、其他注意事项见相关用户手册；,3.5 带客户端文件交换注意事项,4.1 数据库同步功能概要,支持Oracle、SQL Server、Sybase、DB2等数据库内、外网间的数据库数据的同步传输。,4.2 数据库同步WEB配置,第一

8、步：是否设置证书、启动服务,4.2 数据库同步WEB配置,第二步：添加客户端任务数据端口、消息端口,4.2 数据库同步WEB配置,第三步：添加服务端任务数据端口、消息端口,4.3 数据库同步客户端配置,第四步：配置发送端客户端 系统配置、通道设置,4.3 数据库同步客户端配置,第四步：配置发送端客户端 数据源设置、发送任务设置,4.3 数据库同步客户端配置,第五步：配置接收端客户端 系统设置、数据源设置,4.3 数据库同步客户端配置,第五步：配置接收端客户端 接收任务设置,4.3 数据库同步客户端配置,第六步：配置发送端客户端 数据源相关操作,依次操作如下：“数据源复位”、“保存数据源配置”、

9、“发送配置到接收端”,4.3 数据库同步客户端配置,第七步：配置发送端客户端 任务调度,4.4 数据库同步基本步骤,1、网闸WEB配置启动服务、配置客户端和服务端；2、客户端配置发送端配置：系统设置、通道配置、数据源配置、发送任务等；接收端配置：系统设置、数据源配置、接收任务等；3、测试 启动发送端发送任务前，依次确认“数据源复位”、“保存数据源配置”、“发送配置到接收端”、“任务调度-启动发送任务”。,1、客户端发送端与网闸客户端相连；客户端接收端与网闸服务端相连；2、正确填写与对端相连的证书公共名；3、单向网闸需配两条任务(分别对应：数据端口、消息端口)，双向同样反方向再配两条任务；4、内

10、外网数据端口、消息端口任务号分别一致；5、消息端口任务号=内外网数据端口+1；6、需同步的数据表须有主键，且有DBA权限；7、其他注意事项见相关用户手册；,4.5 数据库同步注意事项,5.1 安全浏览功能概要,在内外网隔离环境下保证内、外网用户安全浏览外网资源。,多种用户认证：本机认证；第三方Radius认证；第三方LDAP认证；,内容过滤全面：页面过滤：ActiveX、Cookie、Java Applet、Script；URL过滤；文件名过滤；MIME类型过滤；,多种访问方式：透明访问、普通访问,5.2 安全浏览WEB配置,第一步：启动服务,5.2 安全浏览WEB配置,第二步：配置“客户端”

11、访问任务透明访问,5.2 安全浏览WEB配置,第二步：配置“客户端”访问任务普通访问,5.2 安全浏览WEB配置,第三步：配置“服务端”任务,无论透明访问，还是普通访问，只需启动相应服务即可。,5.2 安全浏览WEB配置,第四步：在客户端配置安全过滤,用户认证内容过滤,5.3 安全浏览基本步骤,设置本机监听参数，并启动后台服务；配置任务：透明访问/普通访问；配置访问过滤选项；,1、客户端配置：,启动后台服务；无需配置本机监听参数,2、服务端配置：,5.4 安全浏览注意事项,1、选择HTTPS协议访问时，不支持各内容过滤；2、透明访问本地监听端口必须为80；3、透明访问不支持安全浏览自带的用户认

12、证；4、透明访问时目的地址、目的端口，与真实的服务器设置一致；5、普通访问模式，必须在用户IE中配置代理服务器；6、三种认证方式：先选择认证方式，再配置具体认证参数；7、URL过滤时，如：.表示禁止，也禁止了 等子域名。8、其他注意事项见相关用户手册；,6.1 FTP访问功能概要,提供内、外网用户实现内外网之间的双向的FTP访问。,访问模式：透明访问普通访问,6.2 FTP访问WEB配置,第一步：启动服务,6.2 FTP访问WEB配置,第二步：配置“客户端”访问任务透明访问,6.2 FTP访问WEB配置,第二步：配置“客户端”访问任务普通访问,6.2 FTP访问WEB配置,第三步：“服务端”配

13、置,启动服务即可，各项配置选用默认配置,6.2 FTP访问WEB配置,访问用户过滤命令控制上传/下载控制,第四步：内容过滤,6.3 FTP访问基本步骤,配置本机参数，并启动FTP后台服务；配置FTP访问任务；(透明访问/普通访问)配置各种过滤选项；,1、客户端配置,启动FTP后台服务；无需配置本机参数,2、服务端配置,6.4 FTP访问注意事项,1、目的地址、目的端口：与真实的服务器设置一致；2、普通访问时，FTP客户端使用方法如下：+“”+，如：root192.168.0.100:213、透明访问时，FTP客户端需要设置网关；4、其他注意事项见相关用户手册；,7.1 邮件传输功能概要,支持支

14、持一侧网络用户访问另一侧网络的邮件服务器。包括三个部分：SMTP任务配置POP3 任务配置过滤选项配置,7.2 邮件传输WEB配置(SMTP),第一步：启动服务,7.2 邮件传输WEB配置(SMTP),第二步：配置“客户端”访问任务透明访问,7.2 邮件传输WEB配置(SMTP),第二步：配置“客户端”访问任务普通访问,7.2 邮件传输WEB配置(SMTP),第三步：配置“服务端”访问任务,仅针对“普通访问”。对于透明访问，系统已经默认配置，用户无需配置,7.2 邮件传输WEB配置(SMTP),第四步：配置“过滤选项”,邮件地址主题关键字正文关键字附件,7.2 邮件传输WEB配置(POP3),

15、（配置方法与SMTP类似）,7.3 邮件传输基本步骤,启动SMTP/POP3后台服务；配置SMTP/POP3访问任务；(透明访问/普通访问)配置各种过滤选项；,1、客户端配置,启动SMTP/POP3后台服务；配置与客户端相应的任务，任务号必须与客户端任务保持一致；（无须配置过滤选项）；,2、服务端配置仅针对普通访问,7.4 邮件传输注意事项,1、普通访问时内外网任务号一致，同侧任务号唯一；2、首次配置时，应复选”允许所有邮件地址通过”，否则邮件传输失败；3、主题/正文关键字过滤仅支持黑名单控制，不支持白名单控制；4、不配置任何扩展名：默认全部扩展均可通过；5、邮件附件控制单位：KB字节；6、其

16、他注意事项见相关用户手册；,8.1 数据库传输功能概要,支持内外网用户访问对方的数据库。通过配置数据库服务端和客户端任务，实现访问。同时通过“访问控制”中的数据库服务器IP地址、访问用户等选项，更大限度地控制数据库的访问请求，达到更加安全的效果。,支持的数据库类型包括：Oracle/SQL Server/sybase/DB2/MySQL,8.2 数据库传输WEB配置,第一步：启动服务,8.2 数据库传输WEB配置,第二步：配置“客户端”访问任务透明访问,8.2 数据库传输WEB配置,第二步：配置“客户端”访问任务普通访问,8.2 数据库传输WEB配置,仅针对“普通访问”。对于透明访问，系统已经

17、默认配置，用户无需配置,第二步：配置“服务端”访问任务,8.2 数据库传输WEB配置,第三步：配置“访问控制”选项,8.3 数据库传输基本步骤,启动数据库后台服务；配置客户端访问任务；(透明访问/普通访问)配置访问控制；,1、客户端配置,启动数据库后台服务；配置服务端任务；配置与客户端相应的任务，任务号必须与客户端任务保持一致；（无须配置过滤选项）；,2、服务端配置仅针对普通访问,8.4 数据库传输注意事项,1、普通访问时内外网任务号一致，同侧任务号唯一；2、配置“访问控制”应注意：,配置位置：客户端。服务端无需配置；服务器IP地址：用户访问的数据库服务器地址Oracle透明访问时为数据通道地

18、址；普通访问为“本机地址”；SQL Server透明访问时为真实的服务器地址；普通访问为“本机地址”；用户名列表：空时默认没有用户，多个用户之间由逗号隔开。对访问控制中的任何选项更改时，均立即刷新访问任务，使其生效；,3、Oracle透明访问时，需配置数据通道IP地址(针对oracle8i)；4、其他注意事项见相关用户手册；,9.1 定制访问功能概要,支持基于TCP/UDP协议的、针对固定服务器地址和端口号的常规访问。,访问类型：定制TCP访问、定制UDP访问,访问方式：透明访问、普通访问,9.2 定制访问WEB配置(定制TCP),第一步：启动服务,9.2 定制访问WEB配置(定制TCP),第

19、二步：配置“客户端”访问任务透明访问,9.2 定制访问WEB配置(定制TCP),第二步：配置“客户端”访问任务普通访问,9.2 定制访问WEB配置(定制TCP),第三步：配置“服务端”访问任务,仅针对“普通访问”。对于透明访问，系统已经默认配置，用户无需配置,9.2 定制访问WEB配置(定制UDP),配置方法与定制TCP访问类似。,9.3 定制访问基本步骤,1、启动客户端、服务端的后台服务；2、配置客户端任务；3、配置服务端任务；透明访问不需要（系统已内置）,9.4 定制访问注意事项,1、普通访问时内外网任务号一致，同侧任务号唯一；2、不支持内容过滤；3、通过定制访问方式，FTP访问不支持；4

20、、透明访问时，客户端需加网闸IP作为默认网关；5、其他注意事项见相关用户手册；,10.1 高可靠性功能概要,在复杂网络环境下，确保设备稳定、可靠、高效运行。,功能分类：1、网口备份支持将几个物理端口捆绑在一起组成一个虚拟的冗余端口；2、链路聚合(链路负载均衡)通过捆绑多个物理端口到冗余端口可以使网闸提供更大的带宽；3、双机热备4、多机集群（/多机负载均衡）,10.1 高可靠性功能概要,10.2 高可靠性WEB配置(网口备份/链路聚合),第一步：设置待绑定的物理网口的工作模式为：冗余模式；,10.2 高可靠性WEB配置(网口备份/链路聚合),第二步：添加冗余设备，并绑定相应的物理网口；,10.2

21、 高可靠性WEB配置(双机热备/负载均衡),第一步：配置设备角色，启动HA服务；(双机热备),10.2 高可靠性WEB配置(双机热备/负载均衡),第二步：配置虚拟地址，添加监控网口；(双机热备),10.2 高可靠性WEB配置(双机热备/负载均衡),第三步：配置负载均衡；,10.3 高可靠性基本步骤(网口备份/链路聚合),1、配置待绑定物理网口：工作模式为冗余模式；2、创建冗余设备，并绑定相应物理网口；3、配置相应的访问任务；,10.3 高可靠性基本步骤(双机热备/负载均衡),1、配置本机工作角色，启动HA服务；(双机热备)2、配置虚拟地址，添加监控网口；(双机热备)3、配置负载均衡，添加真实地

22、址；,客户端配置：,(只需配置步骤1、2、，无需配置步骤3、),服务端配置：,10.4 高可靠性注意事项,1、双机热备时物理接口为网络口，且为该接口的IP别名；2、多机集群(负载均衡)支持2-16台网闸；3、冗余端口必须网络口(物理接口)；4、其他注意事项见相关用户手册；,11.1 消息模块功能概要,支持各种类型文件、字符串消息在外部网和涉密网之间的安全传输。,11.2 消息模块WEB配置,第一步：是否设置证书、启动服务,11.2 消息模块WEB配置,第二步：添加客户端任务,11.2 消息模块WEB配置,第三步：添加服务端任务,11.2 消息模块WEB配置,第四步：设置内容过滤选项,文件名控制

23、内容黑名单内容白名单,11.2 消息模块WEB配置,第五步：用户管理,本地用户认证用户权限,11.3 消息模块测试客户端配置,第六步：Server配置,11.3 消息模块测试客户端配置,第七步：Client配置,11.4 消息模块基本步骤,1、网闸WEB配置启动服务、配置客户端任务和服务端任务、设置过滤选项及用户管理配置；2、测试客户端配置测试Server端配置：监听端口设置、启动服务等；测试Client配置：网闸配置、连接、选择文件或字符串开始发送等；3、测试,1、Client与网闸客户端任务相连；Server与网闸服务端任务相连；2、正确填写与对端相连的证书公共名；3、非SSL认证加密时，

24、需采用本地用户认证方式；4、发送用户/接收用户解决权限(发送权限/接收权限)问题；5、接收端保存文件时需指定具体文件名；6、其他注意事项见相关用户手册；,11.5 消息模块注意事项,12.1 统一用户认证功能概要,该模块用于网闸分隔网络间的控制，提供了基于用户的IP层认证访问控制、流量控制和时间控制等功能。下面以定制访问开放Telnet透明访问为例。,12.2 统一用户认证WEB配置,第一步：选择用户认证服务器,12.2 统一用户认证WEB配置,第二步：分配用户和用户组创建用户,12.2 统一用户认证WEB配置,第二步：分配用户和用户组创建用户,12.2 统一用户认证WEB配置,第二步：分配用

25、户和用户组创建用户组,12.2 统一用户认证WEB配置,第二步：分配用户和用户组创建用户组,12.2 统一用户认证WEB配置,第三步：启动服务,12.2 统一用户认证WEB配置,第四步：添加客户端透明访问任务,12.3 统一用户认证Telnet客户端测试,第五步：客户端登录,12.3 统一用户认证Telnet客户端测试,第六步：客户端Telnet测试,12.4 统一用户认证基本步骤,1、选择用户认证服务器本地帐号服务器、RADIUS认证服务器；2、创建用户和用户组，并将给用户隶属于该用户组；3、启动网闸两侧定制访问TCP服务；4、客户端添加透明访问任务，服务端不添加任务；透明访问任务中是否引用

26、用户组来决定是否采用用户认证；5、若采用用户认证，Telnet客户端登录用户进行认证；6、验证Telnet是否成功(分登录与不登录)。,1、Client与网闸客户端任务相连；Server与网闸服务端任务相连；2、正确填写与对端相连的证书公共名；3、非SSL认证加密时，需采用本地用户认证方式；4、发送用户/接收用户解决权限(发送权限/接收权限)问题；5、接收端保存文件时需指定具体文件名；6、其他注意事项见相关用户手册；,12.5 统一用户认证注意事项,13.1 安全通道功能概要,支持用户安全快速、方便地访问应用服务。,特点：该模块类似于定制访问，效率比定制访问高；不支持内容过滤；,13.2 安全

27、通道WEB配置,第一步：启动服务,13.2 安全通道WEB配置,第二步：添加安全通道任务,客户端 服务端,13.2 安全通道WEB配置,第二步：添加安全通道任务客户端任务,13.2 安全通道WEB配置,第二步：添加安全通道任务服务端任务,13.3 安全通道基本步骤,1、网闸WEB配置启动服务、配置客户端和服务端；2、辅助配置FTP服务器配置，FTP客户端配置；3、测试,1、普通访问或内外网同网段需同时添加任务号一致的客户端与服务端任务；透明访问仅需添加客户端任务；2、普通访问目的地址必须是IP地址形式(当网闸内外网同网段时，该IP为真实服务器IP地址，且必须绑定到网闸上)；透明访问，目的地址是

28、地址对象，且为真实服务器IP地址对象；3、透明访问时客户端需添加网关(网闸IP)；4、支持源、目的端口范围；5、内、外网同网段时，GRE、IGMP、IGRP及OSPF服务不支持；6、支持ping、支持相同服务多服务器；7、其他注意事项见用户手册；,13.4 安全通道注意事项,14.1 数据交换功能概要,在网闸两侧添加前置机方式进行数据交换(包括文件交换、数据库交换)。,14.2 数据交换WEB配置(文件交换),第一步：针对服务器A、服务器B开共享目录,14.2 数据交换WEB配置(文件交换),第二步：配置前置机B发布平台,14.2 数据交换WEB配置(文件交换),第二步：配置前置机B接收引擎并

29、启服务,14.2 数据交换WEB配置(文件交换),第三步：配置外网侧网闸添加服务端任务并启服务,14.2 数据交换WEB配置(文件交换),第四步：配置内网侧网闸添加客户端任务并启服务,14.2 数据交换WEB配置(文件交换),第五步：配置前置机A采集平台,14.2 数据交换WEB配置(文件交换),第五步：配置前置机A发送引擎并启服务,14.3 数据交换基本步骤,1、配置服务器A、服务器B 开共享目录、配置数据库等；2、网闸WEB配置启动服务、添加客户端和服务端任务完成转发策略；3、配置前置机启动服务、配置过滤/发送/接收等策略；4、测试,1、数据库交换配置与文件交换配置方式类似；2、前置机上的任务号仅作序号使用，只要模块内唯一即可；3、网闸上的任务号不但模块内唯一，还需内外一致；4、注意采集平台、发送引擎、发布平台、接收引擎等概念；5、内容控制在前置机A完成；6、网闸负责数据转发功能，前置机负责数据转储、过滤及策略控制；7、其他注意事项见用户手册；,14.4 数据交换注意事项,让每一个人放心地使用互联网,谢谢!,