《某安全产品安装调试指导手册13665.docx》由会员分享,可在线阅读,更多相关《某安全产品安装调试指导手册13665.docx(64页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 网神安全产品安装调试指导手册网神安全产产品安装调调试指导手手册网神SeccSIS 36000安全隔离离与信息交交换系统目 录录1网神SSECSIIS 36600安全全隔离与信信息交换系系统产品常常用功能描描述和使用用说明42网神SSECSIIS 36600安全全隔离与信信息交换系系统产品常常见应用场场景说明52.1数数据库安全全同步解决决方案52.2安安全邮件收收发解决方方案62.3安安全文件交交换解决方方案72.4安安全FTPP访问解决决方案82.5安安全浏览解解决方案83准备工工作93.1了了解实际用用户网络环环境或主机机环境93.1.11网络环境境93.1.22主机环境境93.2了了解
2、实际用用户应用及及安全需求求103.2.11业务模式式103.2.22安全需求求103.3开开箱、加电电113.3.11设备开箱箱113.3.22设备加电电113.3.33安全注意意事项123.4管管理网神SSecSIIS 36600安全全隔离与信信息交换系系统123.4.11WEB界面面方式123.4.22命令行方方式143.4.33其它方式式163.5如如何申请许许可证和激激活网神SSecSIIS 36600安全全隔离与信信息交换系系统产品功功能模块173.5.11申请Liccensee173.5.22导入Liccensee174初级“假设法”手把手教教您如何快快速安装部部署网闸产产品18
3、4.1网网闸网络配配置185中级“假设法”手把手教教您如何快快速调试网网闸产品的的基本功能能205.1安安全浏览205.1.11客户需求求205.1.22网络配置置205.1.33网闸具体体配置225.2安安全FTPP275.2.11客户需求求275.2.22网络配置置285.2.33网闸具体体配置305.3FFTP访问问375.3.11客户需求求385.3.22网络配置置385.3.33网闸具体体配置405.4数数据库访问问435.4.11客户需求求435.4.22网络配置置435.4.33网闸具体体配置455.5邮邮件访问505.5.11客户需求求515.5.22网络配置置515.5.33
4、网闸具体体配置525.6定定制模块555.6.11客户需求求555.6.22网络配置置565.6.33网闸具体体配置581 网神SeccSIS 36000安全隔离离与信息交交换系统产产品常用功能描述和和使用说明网神SeccSIS 36000安全隔离离与信息交交换系统根根据不同的的应用需求求,量身定定制功能模模块,满足足用户的不不同应用需需求,主要要包括: 网络配置:完成设备备网络参数数的基本配配置以及高高可用性(双双机负载)的配置管理员配置置:管理员员源地址的的访问控制制,权限分分配,新增增管理员及及参数设置置。文件交换:实现将网网闸一侧的的文件安全全可控的摆摆渡到另外外一侧 数据库同步步:实
5、现将将网闸一侧侧数据库中中的数据摆摆渡到另一一侧的数据据库中安全浏览:在内外网网隔离环境境下保证内内网用户安安全浏览外外网资源。 安全FTPP:实现对对FTP服服务器的安安全防护FTP 访访问:在内内外网隔离离环境下实实现安全的的 FTPP 访问。 数据库访问问:在内外外网隔离环环境下实现现安全的数数据库访问问。邮件访问:在内外网网隔离环境境下实现安安全的邮件件访问。视频模块:在内外网网隔离环境境下实现安安全的视频频服务器的的访问。定制模块:在内外网网隔离环境境下实现对对所有的基基于TCPP/UDPP服务的访访问。工具箱:系系统许可证证、配置管管理、系统统时间、修修改口令,版版本等信息息的管理
6、。2 网神SeccSIS 36000安全隔离离与信息交交换系统产产品常见应用场场景说明网神SeccSIS 36000安全隔离离与信息交交换系统适适合部署在在需要在不不同安全等等级的网络络间实现信信息共享的的环境,可可应用在不不同的涉密密网络之间间;同一涉涉密网络的的不同安全全域之间;与互联网网物理隔离离的网络和和秘密级涉涉密网络之之间;未与与涉密网络络连接的网网络和互联联网络之间间,通过网网闸的安全全控制,在在保证信息息安全的前前提下更好好地促进各各个业务系系统的互联联互通、资资源共享。2.1 数据库安全全同步解决决方案某政府部门门开展电子子政务,允允许公众通通过互联网网提交服务务申请并查查询
7、结果。如如果允许访访问者通过过Web服务务器直接向向核心数据据库服务器器发起数据据访问请求求,则黑客客可能穿透透防火墙的的保护直接接侵入后台台数据库系系统,严重重威胁到业业务的正常常开展。如上图所示示,采用网网神SeccSIS 36000安全隔离离与信息交交换系统,在在核心数据据库服务器器和外部不不可信网络络间实现安安全隔离,则则来自互联联网的用户户只能通过过Web服务务器访问到到前置数据据库服务器器。根据安安全策略定定时将前置置数据库和和核心数据据库的内容容进行同步步,既可满满足对外服服务的要求求又提供了了安全保障障。这种方方式强化了了应用层的的安全控制制,可有效效防止TCCP/IPP数据包
8、穿穿越网络到到达核心数数据库服务务器,大大大增强了系系统的安全全性,为电电子政务的的有效开展展提供了可可靠的保证证。网神SeccSIS 36000安全隔离离与信息交交换系统提提供多种数数据库同步步方式,可可定制同步步周期及方方向,支持持Oraccle、Sybaase、SQL Servver、MySQQL、DB2等多多种主流数数据库。系系统支持基基于触发器器和快照两两种方式的的增量数据据复制,可可实现异类类数据库间间的数据同同步。系统统提供C/C+编编程接口,可可以方便的的与其它系系统的集成成。2.2 安全邮件收收发解决方方案某机构强制制要求内网网禁止与互互联网相连连,但根据据业务需要要必须通过
9、过电子邮件件与外界进进行信息交交流。如采采用人工方方式,即由由专人负责责在公众信信息网接收收电子邮件件,再通过过移动存储储介质复制制到内部网网进行处理理,则信息息不能得到到及时处理理,严重影影响工作效效率;若采采用内外网网邮件服务务器转发的的方式,安安全又得不不到保证。为解决这一一问题,在在内外网间间部署网神神SecSSIS 33600安安全隔离与与信息交换换系统。安安全隔离与与信息交换换系统可以以保证可信信内网与IInterrnet安安全隔离,内内外网邮件件服务器间间不存在链链路层连接接,没有数数据包的交交换,因此此无法通过过邮件系统统对内部办办公网发起起攻击。系系统可以为为每个用户户制定各
10、自自的邮件交交换策略,对对邮件内容容、附件类类型及垃圾圾邮件、带带病毒邮件件等进行过过滤,从而而使内网用用户可以在在内网安全全地收发邮邮件,保证证安全的邮邮件处理。2.3 安全文件交交换解决方方案网神SeccSIS 36000安全隔离离与信息交交换系统,由由安全管理理员制定相相应的信息息交换策略略,在网络络安全隔离离的前提下下定时进行行文件交换换。系统还还支持交换换方向、文文件类型的的指定,可可对被交换换文件进行行内容检查查、查病毒毒等处理,只只允许或不不允许包含含相应内容容的文件通通过网闸传传递。网神SeccSIS 36000 安全隔隔离与信息息交换系统统可对数字字签名进行行校验,以以起到身
11、份份认证、防防抵赖的作用用。2.4 安全FTPP访问解决决方案网神SeccSIS 36000安全隔离离与信息交交换系统,由由安全管理理员制定相相应的FTTP访问策策略,在网网络安全隔隔离的前提提下进行FFTP访问问。系统还还支持访问问方式、文文件类型的的指定,可可对FTPP命令、用用户名进行行策略配置置,达到FFTP用户户访问控制制和过滤。2.5 安全浏览解解决方案为了内网用用户能够安安全的访问问互联网资资源,网神神SecSSIS 33600安安全隔离与与信息交换换系统,在在保障内网网安全的前前提下提供供安全浏览览功能。安安全浏览功功能可进行行多种策略略设置,以以达到URRL访问控控制、网页页
12、文件类型型限制、上上网时段控控制等安全全功能。内内网用户可可通过网闸闸对互联网网资源正常常、安全的的进行访问问。3 准备工作网闸的部署署与用户的的业务系统统息息相关关,在网闸闸项目实施施时应特别别注意,切切勿造成用用户业务无无法正常使使用的状况况出现。所所以,在网网闸上线实实施前,应应对当前用用户的网络络环境、业业务模式、安安全需求等等情况进行行详细的了了解,充分分做好产品品上线准备备,确保网网闸上线后后高效、稳稳定,与用用户业务安安全结合。3.1 了解实际用用户网络环环境或主机机环境3.1.1 网络环境充分的网络络环境了解解,有助于于我们明确确网闸的部部署位置,IIP地址的的规划等,对对与当
13、前用用户整个网网络的拓扑扑结构要做做到心中有有图和手中中有图, 网络拓扑网络拓扑图图可以请用用户网络工工程师协助助提供。拓拓扑图中应应包含网闸闸所处网络络中的关键键性设备、设设备连接方方式等信息息。 部署位置根据用户提提供拓扑,分分清安全域域界限,明明确网闸部部署位置。 IP规划明确网闸所所需的IPP地址、掩掩码、网关关地址,以以及各关键键设备的地地址信息。3.1.2 主机环境明确用户现现场网络拓拓扑后,还还需要对用用户的主机机系统,也也就是各类类与网闸应应用相关的的服务器进进行了解,以以确保采用用正确的网网闸模块与与之对应。 服务器系统统平台信息息了解用户服服务器使用用何种类型型操作系统统以
14、及操作作系统版本本等系统平平台信息。了解各服务器网络配置信息,如服务器IP地址、服务器连接位置等。 数据库信息息对具有数据据库应用需需求的用户户,了解其其使用的数数据库类型型、版本等等数据库相相关信息。 软件信息了解用户主主机系统所所使用的与与网闸业务务相关的软软件信息。3.2 了解实际用用户应用及及安全需求求3.2.1 业务模式了解业务模模式,可以以针对当前前用户的各各类业务应应用选择最最匹配的网网闸功能模模块,以确确保网闸功功能与用户户应用的无无缝结合。 应用相关信信息了解业务所所采用的协协议类型,业业务端口开开放情况等等业务相关关信息。 业务流程分分析通过对业务务流程的分分析,可以以确定
15、哪些些功能是必必须要实现现,从而使使得我们可可以以更合合适的方式式来实现所所需要的功功能服务。 业务软件模模式针对业务应应用所使用用的软件模式式,B/SS架构还是是C/S架架构,可以以更好的选选择功能模模块采用的的实现方式式。3.2.2 安全需求了解用户安安全需求,细细化网闸安安全功能,确确保用户信信息及数据据的安全。 访问用户限限制针对不同的的访问用户户进行业务务应用限制制,功能使使用限制;对于不同的的管理员赋赋予不同的的权限。 访问客户端端限制针对IP段段、MACC地址的访问限制; 应用层过滤滤针对业务务应用进行行的策略限限制,黑白白名单策略略、命令限限制、文件件类型限制制等。3.3 开箱
16、、加电电3.3.1 设备开箱设备开箱请请按装箱清清单进行清清点,并对对设备外观观进行检查查,若有异异常请认真真详细地做做好记录。打打开网闸包包装后,确确认包装箱箱内是否包包含以下各各物品以及及状态是否否良好:l 网神SeccSIS 36000网闸l 配件盒:电电源线1 串口线11 网 线2 软盘/CDD-ROMM 光盘(包包括网闸相相关信息文文件和手册册)如果发现任任何物品丢丢失或出现现损坏,则则立即联系系网神公司。如如果需要运运输或将网网神SeccSIS 36000安全隔隔离与信息息交换系统统保存起来来以待后用用,那么切切勿丢掉包包装材料或或装运纸箱箱。3.3.2 设备加电开箱检验确确认设备
17、外外观无异常常后,可对对设备进行行加电检验验。加电后后请注意观观察网闸前前面板指示示灯,可初初步判断网网闸是否正正常。内、网网外面板各各有3个指示灯灯。按顺序序分别为:电源指示灯灯:显示网网闸供电是是否正常。状态指示灯灯:显示网网闸存储读读写工作情情况。交换指示灯灯:显示网网闸交换卡卡工作情况况。网闸加电后后,正常状状态下,电电源指示灯灯常量;状状态指示灯灯只在存储储读写情况况下闪烁,无无工作状态态灭灯;交交换指示灯灯在无工作作情况下为为间隔闪亮亮,间隔时时间约12秒,交交换卡工作作情况下为为快速闪烁烁状态。注意:网闸闸配备冗余余电源,尽尽量保证双双电源供电电。如果使使用单一供供电,无供供电电
18、源会会产生报警警。(可按按电源模块块上红色按按钮取消报报警)3.3.3 安全注意事事项本节列出的的安全使用用注意事项项,请在使使用网神SeccSIS 36000安全隔离离与信息交交换系统过过程中严格格执行。这这将有助于于更好地使使用和维护护安全隔离离与信息交交换系统。1. 安全隔离与与信息交换换系统应用用环境为温温度10 355和湿度400% 80%;存储环境境为温度00 700,湿度200% 95%。2. 采用交流2220V电电源。3. 必须使用三三芯带接地地保护的电电源插头和和插座。良良好的接地地是您的安安全隔离与与信息交换换系统正常常工作的重重要保证。对对于安全隔隔离与信息息交换系统统来
19、说,如如果缺少接接地保护线线,在机箱箱的金属背背板上可能能会出现感感应电压。虽虽然不会对对人体造成成伤害,但但在接触时时,可能会会产生麻、痛痛等轻微触触电的感觉觉。另外,如如果您擅自自更换标准准电源线,可可能会带来来严重后果果。3.4 管理网神SSecSIIS 36600安全全隔离与信信息交换系系统网神SeccSIS 36000安全隔离离与信息交交换系统提提供两种管管理方式,WWeb管理理和串口管管理,下面面介绍登陆陆界面的操操作和管理理的菜单功功能。网神神SecSSIS 33600安安全隔离与与信息交换换系统使用用了安全套套接层(SSSL)协协议,在网神安全全隔离与信信息交换系系统连接期期间
20、,所有有的交换信信息均被SSSL加密密,默认的的访问端口口为4433。3.4.1 WEB界面面方式网闸分内网网管理和外外网管理内网默认管管理地址为为:htttps:/10.0.0.1 外网默认管管理地址为为:htttps:/10.0.0.2 默认管理用用户名:aadminn 默认密密码:addmin默认日志用用户名:aaudittor 默默认密码:audiitor用户管理机机地址设置置与管理地地址同一网网段(100.0.00.*/224),用用交叉线与与网闸的内内网管理口口和外网管管理口相连连。管理机网卡卡设置(110.0.0.6/255.255.255.0)打开IE浏浏览器,输输入htttp
21、s:/10.0.0.1 (内网为为例) 配置管理员员:用户名名admiin,密码码admiin日志管理员员:用户名名audiitor,密密码audditorr进入管理界界面菜单区:系系统的所有有功能菜单单,不同的的功能对应应不同的菜菜单配置区:配配置系统相相关参数的的区域显示区:显显示系统在在内网或外外网管理页页面3.4.2 命令行方式式基于串口连连接,提供供命令行方方式的基本本配置管理理和灾难恢恢复功能,提提供了管理理的安全、方方便与灵活活性。可以以提供恢复复出厂设置置、关闭远远程管理等等基本管理理功能。配置终端参参数:登陆用户名名为hawwk,口令令hawkk。命令表如下下:命令名称描 述
22、述?|hellp帮助功能,列列表所有串串口命令Clearr清屏Serviice wweb 开启和关闭闭web管管理界面Serviice sssh 开启和关闭闭ssh管管理界面Confiig deefaullt恢复出厂配配置Passwwd修改串口口口令Netcaap iip portt抓包工具Ping Ping测测试Detecct检测对方主主机Show cpu显示cpuu 信息Show memoory显示内存信信息Show diskk显示存储器器信息Show procc显示当前进进程Show inteerfacce显示端口信信息Show linkk显示连接信信息Show gw显示路由信信息Sho
23、w arp显示arpp表Show ver显示系统版版本Quit|exitt退出3.4.3 其它方式除了上述两两种管理方方式外,网网神SeccSIS 36000安全隔离离与信息交交换系统暂暂不提供其其他管理方方式。3.5 如何申请许许可证和激激活网神SeccSIS 36000安全隔离离与信息交交换系统产产品功能模块3.5.1 申请Liccensee网神SeccSIS 36000安全隔离离与信息交交换系统在在初次使用用时,产品品功能模块块需要激活活方可使用用。激活前前请记录产产品硬件序序列号并填填写liicensse申请表表。注意:此此处请务必必分清内外外网硬件序序列号,避避免混淆。Licenns
24、e申请请:请将上上述信息邮邮件至网神神客户服务务部并电话话通知。联系人:翟翟玉晶 电话:1340011688930 邮邮件地址:liceenselegeendseec.coom3.5.2 导入Liccensee点击上传许许可证,浏浏览许可证证文件,点点击上传。许许可证文件件必须有厂厂商正式签签发。签发发许可证请请参照4.3获取硬硬件序列号号,并发送送给厂商进进行申请。注意:1.内外网LLicennse为同同一文件。 2.导导入Liccensee时,如果果使用的浏浏览器为IIE 8,请请将安全级级别设置降降低,否则则会出现找找不到上传传文件现象象。4 初级“假设设法”手把手教您您如何快速速安装部
25、署署网闸产品4.1 网闸网络配配置在了解完用用户网络结结构并确认认网闸部署署位置后,就就可以对网网闸进行基基本的网络络设置,我我们以下图图的网络环环境为基础础进行网闸闸的网络基基本设置。如上图所示示,网闸分分别与1992.1668.2.0/244、1922.1688.3.00/24网网段相连接接,内、外外网口IPP分别为1192.1168.22.10/24和1192.1168.33.10/24。确确认上述IIP信息无无误后,即即可在网闸闸上进行操操作配置。以以内网为例例。登录网闸WWEB管理理界面,点点击网络配配置:网卡配置置,选择网网络设备属属性,此处处选择neet,确定定。网络地址址,选择
26、网网口,ipp地址栏填填写网闸内内网口实际际地址。此此处填写1192.1168.33.10,子子网掩码:255.255.255.0。点击击确定保存存。外网IPP设置与内内网设置方方法一致。实际应用用中,仅仅仅配置完IIP并不能能保证网闸闸的网路连连通,还需需要根据网网络的实际际状况添加加路由设置置。本例中中需要分别别为网闸内内、外网添添加路由。配配置如下图图所示:外网路由由设置与内内网设置方方法一致至此,本应应用中的网网闸网络配配置已经完完成,可以以通过网闸闸WEB管管理界面中中工具箱下下的调试工工具测试网网闸在网络络中的连通通性。5 中级“假设设法”手把手教您您如何快速速调试网闸闸产品的基基
27、本功能5.1 安全浏览说明:1 网闸闸的内外网网管理端口口地址分别别默认为:内网:110.0.0.1,外外网:100.0.00.2,建建议不要进进行更改,如如果与已有有网络冲突突可以在管管理界面上上进行更改改。2 管理理主机与网网闸的内外外网管理端端口相连接接,分别以以httpps:/10.00.0.11和htttps:/10.0.0.2访问,用用户名和密密码为:aadminn。5.1.1 客户需求需求一:内内网主机能能够通过网网闸访问互互联网,采采用代理服服务器模式式,即需要要在客户端端主机上添添加代理服服务,不需需要添加网网关地址和和DNS地址址。需求二:内内网主机能能够通过网网闸访问互互
28、联网,采采用透明模模式,即需需在客户端端主机添加加网关地址址和DNSS地址5.1.2 网络配置 内网网络端端口配置修改地址为为:1922.1688.2.1100 内网管理端端口地址如与网络接接口不冲突突,可以为为默认。 外网网络端端口配置修改地址为为:1922.1688.1.1100,如如此为公网网地址请直直接指定。 外网网关配配置此处网关为为:1922.1688.1.2254,如如此为公网网地址请直直接指定。 外网管理端端口地址如与网络接接口不冲突突,可以为为默认。5.1.3 网闸具体配配置5.1.3.1 需求一配置置内网主机能能够通过网网闸访问互互联网,采采用代理服服务器模式式,即需要要在
29、客户端端主机上添添加代理服服务,不需需要添加网网关地址和和DNS地址址。 内网模块配配置1. 安全浏览客户端基本设置置,进行安安全浏览服服务设置。选择代理方方式,选择侦听听地址:192.168.2.1000 ,端口80880 ,其其他选项默默认。2. 安全浏览基本设置置启动设置置点击启动服服务按钮 外网模块配配置1. 安全浏览服务端配置DNSS,添加DNSS地址 2002.1006.0.20(当当地的DNNS服务器器地址)2. 安全浏览基本设置置启动设置置,选择启启动服务按按钮。 内网客户端端主机配置置在用户的主主机IE属性中中选择连接接/局域网连连接,添加加代理服务务器地址(192.168.
30、2.100,端口8080)5.1.3.2 需求二配置置内网主机能能够通过网网闸访问互互联网,采采用透明模模式,即需需在客户端端主机添加加网关地址址和DNSS地址 内网模块配配置1. 安全浏览客户端基本配置置,选择透透明方式,本本地地址 192.168.2.1000 ,服务端端口 80。2. 安全浏览客户端 启动配置置,重启服服务3. 内网允许DDNS请求求通过定制模块 UDP访问问 UDP客户户端添加任务务,地址1192.1168.22.1000 端口 533 任务号号1 (此任任务号可以以任意,但但一定要与与外网模块块的相同) 外网模块配配置1. 网络配置 配置DNSS :202.106.0
31、.2002. 安全浏览”基本设置置 启动设置置 确定,启启动服务3. 外网允许DDNS请求求通过定制模块 UDP访问问 UDPP服务端 ,地址:202.106.0.200,端口:53,任务号:1(此任务务号可以任任意,但一一定要与内内网模块的的相同) 内网客户端端主机配置置1. 在本地PCC机的“TCCP/IPP”属性设设置如下:默认网关关:1922.1688.2.1100 ,DNSS服务器:192.168.2.10002. 浏览器的设设置(把代代理去掉)5.2 安全FTPP说明:1 网闸闸的内外网网管理端口口地址分别别默认为:内网:110.0.0.1,外外网:100.0.00.2,建建议不要
32、进进行更改,如如果与已有有网络冲突突可以在管管理界面上上进行更改改。2 管理理主机与网网闸的内外外网管理端端口相连接接,分别以以httpps:/10.00.0.11和htttps:/10.0.0.2访问,用用户名和密密码为:aadminn。网闸FTPP工作原理理:FTP是常常用的文件件传输手段段,我们只是是分别在内内外网的FFTP客户户端模块中中设置了监监听网闸接接口的IPP地址和端端口号,就就可以通过过代理方式式,透明方方式,混合合模式访问问内网或外外网的FTTP服务器器。可以使使用LeaapFTPP、FlaashFXXP等FTTP软件和和命令行方方式,顺利利进行访问和和数据操作作。在百兆网
33、网络的测试试环境中,FFTP的平平均传输速速率可达991.2 Mbpss。对于FTTP服务端端所在网络络只是FTTP代理服服务器的情情况,提供供了很好的的解决方案案,仅需添添加代理FFTP服务务器的IPP地址和端端口即可。5.2.1 客户需求内网做为客客户端,外外网做为服服务器端,实实现内网用用户可通过过网闸访问问到外网的的FTP服服务器,并并且内网用用户对FTTP服务器器的上传、下下载等操作作正常运行行。对访问问的服务器器进行目的的地址控制制。对访问问ftp的的用户进行行源地址控控制。隐藏藏真实服务务器地址。1、在网闸闸内网配置置FTP代代理监听并并启用FTTP客户端端服务2、在网闸闸外网启
34、用用FTP服服务3、内网用用户可通过过DOS命命令行方式式和使用FFTP客户户端软件方方式实现对对外网FTTP服务器器的正常访访问及操作作5.2.2 网络配置 内网网络端端口配置修改地址为为:1922.1688.2.1100 内网管理端端口地址如与网络接接口不冲突突,可以为为默认。 外网网络端端口配置修改地址为为:1922.1688.10.100 外网网关配配置此处网关为为:1922.1688.10.254 外网管理端端口地址如与网络接接口不冲突突,可以为为默认。5.2.3 网闸具体配配置5.2.3.1 代理模式配配置u 在网闸内网网配置FTTP代理监监听并启用用FTP客客户端服务务。u 通过
35、允许服服务器控制制用户访问问的目的地地址u 通过访问控控制对访问问ftp的的用户源地地址进行控控制u 通过重定向向隐藏真实实服务器地地址u 在网闸外网网启用FTTP服务内网用户可可通过DOOS命令行行方式和使使用FTPP客户端软软件方式实实现对外网网FTP服服务器的正正常访问及及操作。 内网模块配配置安全ftpp客户端基本配置置,运行方式式:代理模模式,本地地址址:1922.1688.2.1100,本地端口口:21,其它参数数项默认不不修改即可可。安全FTPP客户端启动设置置,点击启动动服务按钮钮,启用FFTP客户户端模块。客户要求只只允许通过过网闸访问问指定的FFTP服务务器,即1192.1
36、168.110.2550和1992.1668.100.28两两台,其他他ftp服服务器不允允许访问。通通过配置允允许的服务务器可以进进行目的地地址控制。点击安全fftp客户端允许的服服务器,添添加允许用用户访问的的服务器地地址即可。注意:默认认不填,为为全部都允允许;如果果添加了允允许的服务务器,未添添加的就都都不允许;在添加允允许的服务务器时,首首先应该将将网闸FTTP访问的的监听地址址允许访问问,否则就就全部都无无法访问了了。源地址访问问控制通过配置客客户端的访访问控制规规则,可以以对使用安安全ftpp访问的用用户的源地地址进行控控制,例如如只允许1192.1168.22.0这个个网段的用
37、用户使用该该模块。配置如下:点击安全FFTP客户端访问控制制;选择默默认禁止,除以下配置策略外的其他任何地址都是禁止访问的;添加允许访问的客户端地址段,格式如下;客户端端口为任意;动作为允许许;重定向通过配置重重定向,可可以隐藏用用户的实际际服务器地地址。比如如用户要求求访问fttp服务器器的终端不不知道实际际服务器的的地址,只只告诉他们们一个虚拟拟的访问地地址,1992.1668.100.2500虚拟成为为192.168.2.1000,1992.1668.100.28虚虚拟成为1192.1168.22.2000;配置如下:点击安全FFTP客户端重定向;添加虚拟拟服务器地地址和真实实服务器地地
38、址;用户通过网网闸访问时时访问方式式不变,但但是只需访访问虚拟地地址就可以以重定向到到真实的服服务器地址址; 外网模块配配置安全FTPP基本设置置启动设置置,点击启动动服务按钮钮,启用FFTP服务务端模块 内网客户端端主机访问问FTP服服务器设置置1. 命令行方式式一内网用户主主机(1992.1668.2.56),通过命令令行方式访访问FTPP 1. fttp 1992.1668.2.1002.用户名名输入:rroot192.168.10.22502. 命令行方式式二内网用户主主机(1992.1668.2.46),通过命令令行方式访访问FTPP数据库1. fttp 1992.1668.2.10
39、02.用户名名输入:aa1922.1688.10.28:221213. 使用FTPP客户端软软件方式 内网用户户主机(1192.1168.22.56),FTPP客户端软软件访问FFTP服务务器 1.添加代代理服务器器2.运行快快速连接服务器:1192.1168.110.2550代理服务器器:安全fftp代理理模式(上上一步添加加的代理服服务器名称称)点击“连接接”,连接成成功。3在使用用FlasshFXPP软件时,可可以不设置置代理服务务器。配置置方式如下下图。5.2.3.2 透明模式配配置1、在网闸闸内网配置置FTP透透明模式并并启用FTTP客户端端服务2、在网闸闸外网启用用FTP服服务3、
40、内网用用户可通过过DOS命命令行方式式和使用FFTP客户户端软件方方式实现对对外网FTTP服务器器的正常访访问及操作作,直接访访问真实服服务器地址址即可。不不需要先访访问代理服服务器,或或者设置代代理服务器器。4、内网客客户端机器器的网关指指向网闸,或或者路由可可达。透明明模式下,外外网服务器器地址不能能与网闸内内网地址在在同一网段段。基本配置置中的运行行方式选择择“透明方式式”。其余配配置方式与与代理模式式一致。客户端机器器的网关指指向网闸(1192.1168.22.1000),直接接访问外网网服务器。如如下图所示示5.2.3.3 混合模式配配置1、在网闸闸内网配置置FTP混混合模式并并启用
41、FTTP客户端端服务2、在网闸闸外网启用用FTP服服务3、内网用用户可通过过DOS命命令行方式式和使用FFTP客户户端软件方方式实现对对外网FTTP服务器器的正常访访问及操作作。4、用户可可采用代理理模式访问问外网fttp服务器器,或者使使用透明模模式访问。5、基本配配置中运行行方式中选选择“混合模式式”,使用方方式见4.1,4.25.3 FTP访问问说明:1 网闸闸的内外网网管理端口口地址分别别默认为:内网:110.0.0.1,外外网:100.0.00.2,建建议不要进进行更改,如如果与已有有网络冲突突可以在管管理界面上上进行更改改。2 管理理主机与网网闸的内外外网管理端端口相连接接,分别以
42、以httpps:/10.00.0.11和htttps:/10.0.0.2访问,用用户名和密密码为:aadminn。网闸FTPP工作原理理:FTP是常常用的文件件传输手段段,我们只是是分别在内内外网的FFTP客户户端模块中中设置了监监听网闸接接口的IPP地址和端端口号,就就可以通过过代理方式式,透明方方式,混合合模式访问问内网或外外网的FTTP服务器器。可以使使用LeaapFTPP、FlaashFXXP等FTTP软件和和命令行方方式,顺利利进行访问和和数据操作作。在百兆网网络的测试试环境中,FFTP的平平均传输速速率可达991.2 Mbpss。对于FTTP服务端端所在网络络只是FTTP代理服服务
43、器的情情况,提供供了很好的的解决方案案,仅需添添加代理FFTP服务务器的IPP地址和端端口即可。5.3.1 客户需求内网做为客客户端,外外网做为服服务器端,实实现内网用用户可通过过网闸访问问到外网的的FTP服服务器,并并且内网用用户对FTTP服务器器的上传、下载载等操作正正常运行。有限数量的的FTP服服务器,通通过独立任任务实现一一对一fttp访问。大量的FTTP服务器器,通过一一个任务实实现对多个个FTP服服务器的透透明访问。对访问fttp的用户户进行源地地址控制。5.3.2 网络配置 内网网络端端口配置修改地址为为:1922.1688.2.1100 内网管理端端口地址如与网络接接口不冲突突
44、,可以为为默认。 外网网络端端口配置修改地址为为:1922.1688.10.100,如如此为公网网地址请直直接指定。 外网网关配配置此处网关为为:1922.1688.10.254,如如此为公网网地址请直直接指定。 外网管理端端口地址如与网络接接口不冲突突,可以为为默认。5.3.3 网闸具体配配置5.3.3.1 需求一 内网模块配配置内网为客户户端一侧,主主要配置是是模块的客客户端配置置和访问控控制。点击FTPP访问客户端;填写任务号号,要求为为1-999范围内数数字,内外外网客户端端和服务端端任务号要要求一一对对应;配置监听地地址,选择择网络口地地址为监听听地址,该该地址为用用户访问的的地址;监听端口,为为用户访问问的端口,该该端口可以以自定义;数据通道,选选则与监听听地址相同同的地址;配置工作时时间段,默默认为全天天运行,可可以自定义义该任务运运行时间段段;配置运行标标记,可以以指定该任任务是否运运行; 源地址访问问控制通过配置客客户端的访访问控制规规则,可以以对使用fftp访问问的用户的的源地址进进行控制,例例如只允许许192.168.2.0这这个网段的的用户使用用该模块,配配置如下:
黑公网安备:91230400333293403D