网神安全产品安装调试指导手册23358.docx-得力文库

资源描述

《网神安全产品安装调试指导手册23358.docx》由会员分享，可在线阅读，更多相关《网神安全产品安装调试指导手册23358.docx（78页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网神安全产品安装调试指导手册网神安全产产品安装装调试指指导手册册网神SeccSISS 36600安安全隔离离与信息息交换系系统目录1网神SSECSSIS 36000安全全隔离与与信息交交换系统统产品常常用功能能描述和和使用说说明42网神SSECSSIS 36000安全全隔离与与信息交交换系统统产品常常见应用用场景说说明52.1数数据库安安全同步步解决方方案52.2安安全邮件件收发解解决方案案62.3安安全文件件交换解解决方案案72.4安安全FTTP访问问解决方方案82.5安安全浏览览解决方方案83准备工工作93.1了了解实际际用户网网络环境境或主机机环境93.1.11网络环环境93.1.2

2、2主机环环境93.2了了解实际际用户应应用及安安全需求求103.2.11业务模模式103.2.22安全需需求103.3开开箱、加加电113.3.11设备开开箱113.3.22设备加加电113.3.33安全注注意事项项123.4管管理网神神SeccSISS 36600安安全隔离离与信息息交换系系统123.4.11WEBB界面方方式123.4.22命令行行方式143.4.33其它方方式163.5如如何申请请许可证证和激活活网神SSecSSIS 36000安全全隔离与与信息交交换系统统产品功功能模块块173.5.11申请Liicennse173.5.22导入Liicennse174初级“假设法法”手

3、把手手教您如如何快速速安装部部署网闸闸产品184.1网网闸网络络配置185中级“假设法法”手把手手教您如如何快速速调试网网闸产品品的基本本功能205.1安安全浏览览205.1.11客户需需求205.1.22网络配配置205.1.33网闸具具体配置置225.2安安全FTTP275.2.11客户需需求275.2.22网络配配置285.2.33网闸具具体配置置305.3FFTP访访问375.3.11客户需需求385.3.22网络配配置385.3.33网闸具具体配置置405.4数数据库访访问435.4.11客户需需求435.4.22网络配配置435.4.33网闸具具体配置置455.5邮邮件访问问505

4、.5.11客户需需求515.5.22网络配配置515.5.33网闸具具体配置置525.6定定制模块块555.6.11客户需需求555.6.22网络配配置565.6.33网闸具具体配置置586常见问问题答疑疑631 网神SeccSISS 36600安安全隔离离与信息息交换系系统产品常用功能能描述和和使用说明明网御神州SSecSSIS 36000安全全隔离与与信息交交换系统统根据不不同的应应用需求求，量身身定制功功能模块块，满足足用户的的不同应应用需求求，主要要包括：网络配置：完成设设备网络络参数的的基本配配置以及及高可用用性（双双机负载载）的配配置管理员配置置：管理理员源地地址的访访问控制制，

5、权限限分配，新新增管理理员及参参数设置置。文件交换：实现将将网闸一一侧的文文件安全全可控的的摆渡到到另外一一侧数据库同步步：实现现将网闸闸一侧数数据库中中的数据据摆渡到到另一侧侧的数据据库中安全浏览：在内外外网隔离离环境下下保证内内网用户户安全浏浏览外网网资源。安全FTPP：实现现对FTTP服务务器的安安全防护护FTP 访访问：在在内外网网隔离环环境下实实现安全全的 FFTP 访问。数据库访问问：在内内外网隔隔离环境境下实现现安全的的数据库库访问。邮件访问：在内外外网隔离离环境下下实现安安全的邮邮件访问问。视频模块：在内外外网隔离离环境下下实现安安全的视视频服务务器的访访问。定制模块：在

6、内外外网隔离离环境下下实现对对所有的的基于TTCP/UDPP服务的的访问。工具箱：系系统许可可证、配配置管理理、系统统时间、修修改口令令，版本本等信息息的管理理。2 网神SeccSISS 36600安安全隔离离与信息息交换系系统产品品常见应用用场景说说明网神SeccSISS 36600安安全隔离离与信息息交换系系统适合合部署在在需要在在不同安安全等级级的网络络间实现现信息共共享的环环境，可可应用在在不同的的涉密网网络之间间；同一一涉密网网络的不不同安全全域之间间；与互互联网物物理隔离离的网络络和秘密密级涉密密网络之之间；未未与涉密密网络连连接的网网络和互互联网络络之间，通通过网闸闸的安全全控制

7、，在在保证信信息安全全的前提提下更好好地促进进各个业业务系统统的互联联互通、资资源共享享。2.1 数据库安全全同步解解决方案案某政府部门门开展电电子政务务，允许许公众通通过互联联网提交交服务申申请并查查询结果果。如果果允许访访问者通通过Weeb服务务器直接接向核心心数据库库服务器器发起数数据访问问请求，则则黑客可可能穿透透防火墙墙的保护护直接侵侵入后台台数据库库系统，严严重威胁胁到业务务的正常常开展。如上图所示示，采用用网神SSecSSIS 36000安全全隔离与与信息交交换系统统，在核核心数据据库服务务器和外外部不可可信网络络间实现现安全隔隔离，则则来自互互联网的的用户只只能通过过Webb服

8、务器器访问到到前置数数据库服服务器。根根据安全全策略定定时将前前置数据据库和核核心数据据库的内内容进行行同步，既既可满足足对外服服务的要要求又提提供了安安全保障障。这种种方式强强化了应应用层的的安全控控制，可可有效防防止TCCP/IIP数据据包穿越越网络到到达核心心数据库库服务器器，大大大增强了了系统的的安全性性，为电电子政务务的有效效开展提提供了可可靠的保保证。网神SeccSISS 36600安安全隔离离与信息息交换系系统提供供多种数数据库同同步方式式，可定定制同步步周期及及方向，支支持Orraclle、Sybbasee、SQLL Seerveer、MySSQL、DB22等多种种主流数数据库

9、。系系统支持持基于触触发器和和快照两两种方式式的增量量数据复复制，可可实现异异类数据据库间的的数据同同步。系系统提供供C/CC+编编程接口口，可以以方便的的与其它它系统的的集成。2.2 安全邮件收收发解决决方案某机构强制制要求内内网禁止止与互联联网相连连，但根根据业务务需要必必须通过过电子邮邮件与外外界进行行信息交交流。如如采用人人工方式式，即由由专人负负责在公公众信息息网接收收电子邮邮件，再再通过移移动存储储介质复复制到内内部网进进行处理理，则信信息不能能得到及及时处理理，严重重影响工工作效率率；若采采用内外外网邮件件服务器器转发的的方式，安安全又得得不到保保证。为解决这一一问题，在在内外网

10、网间部署署网神SSecSSIS 36000安全全隔离与与信息交交换系统统。安全全隔离与与信息交交换系统统可以保保证可信信内网与与Intternnet安安全隔离离，内外外网邮件件服务器器间不存存在链路路层连接接，没有有数据包包的交换换，因此此无法通通过邮件件系统对对内部办办公网发发起攻击击。系统统可以为为每个用用户制定定各自的的邮件交交换策略略，对邮邮件内容容、附件件类型及及垃圾邮邮件、带带病毒邮邮件等进进行过滤滤，从而而使内网网用户可可以在内内网安全全地收发发邮件，保保证安全全的邮件件处理。2.3 安全文件交交换解决决方案网神SeccSISS 36600安安全隔离离与信息息交换系系统，由由安全

11、管管理员制制定相应应的信息息交换策策略，在在网络安安全隔离离的前提提下定时时进行文文件交换换。系统统还支持持交换方方向、文文件类型型的指定定，可对对被交换换文件进进行内容容检查、查查病毒等等处理，只只允许或或不允许许包含相相应内容容的文件件通过网网闸传递递。网神SeccSISS 36600 安全隔隔离与信信息交换换系统可可对数字字签名进进行校验验，以起起到身份份认证、防防抵赖的作作用。2.4 安全FTPP访问解解决方案案网神SeccSISS 36600安安全隔离离与信息息交换系系统，由由安全管管理员制制定相应应的FTTP访问问策略，在在网络安安全隔离离的前提提下进行行FTPP访问。系系统还支支

12、持访问问方式、文文件类型型的指定定，可对对FTPP命令、用用户名进进行策略略配置，达达到FTTP用户户访问控控制和过过滤。2.5 安全浏览解解决方案案为了内网用用户能够够安全的的访问互互联网资资源，网网神SeecSIIS 336000安全隔隔离与信信息交换换系统，在在保障内内网安全全的前提提下提供供安全浏浏览功能能。安全全浏览功功能可进进行多种种策略设设置，以以达到UURL访访问控制制、网页页文件类类型限制制、上网网时段控控制等安安全功能能。内网网用户可可通过网网闸对互互联网资资源正常常、安全全的进行行访问。3 准备工作网闸的部署署与用户户的业务务系统息息息相关关，在网网闸项目目实施时时应特别

13、别注意，切切勿造成成用户业业务无法法正常使使用的状状况出现现。所以以，在网网闸上线线实施前前，应对对当前用用户的网网络环境境、业务务模式、安安全需求求等情况况进行详详细的了了解，充充分做好好产品上上线准备备，确保保网闸上上线后高高效、稳稳定，与与用户业业务安全全结合。3.1 了解实际用用户网络络环境或或主机环环境3.1.1 网络环境充分的网络络环境了了解，有有助于我我们明确确网闸的的部署位位置，IIP地址址的规划划等，对对与当前前用户整整个网络络的拓扑扑结构要要做到心心中有图图和手中中有图，网络拓扑网络拓扑图图可以请请用户网网络工程程师协助助提供。拓拓扑图中中应包含含网闸所所处网络络中的关关

14、键性设设备、设设备连接接方式等等信息。部署位置根据用户提提供拓扑扑，分清清安全域域界限，明明确网闸闸部署位位置。 IP规划明确网闸所所需的IIP地址址、掩码码、网关关地址，以以及各关关键设备备的地址址信息。3.1.2 主机环境明确用户现现场网络络拓扑后后，还需需要对用用户的主主机系统统，也就就是各类类与网闸闸应用相相关的服服务器进进行了解解，以确确保采用用正确的的网闸模模块与之之对应。服务器系统统平台信信息了解用户服服务器使使用何种种类型操操作系统统以及操操作系统统版本等等系统平平台信息息。了解解各服务务器网络络配置信信息，如如服务器器IP地地址、服服务器连连接位置置等。数据库信息息对具

15、有数据据库应用用需求的的用户，了了解其使使用的数数据库类类型、版版本等数数据库相相关信息息。软件信息了解用户主主机系统统所使用用的与网网闸业务务相关的的软件信信息。3.2 了解实际用用户应用用及安全全需求3.2.1 业务模式了解业务模模式，可可以针对对当前用用户的各各类业务务应用选选择最匹匹配的网网闸功能能模块，以以确保网网闸功能能与用户户应用的的无缝结结合。应用相关信信息了解业务所所采用的的协议类类型，业业务端口口开放情情况等业业务相关关信息。业务流程分分析通过对业务务流程的的分析，可可以确定定哪些功功能是必必须要实实现，从从而使得得我们可可以以更更合适的的方式来来实现所所需要的的功能

16、服服务。业务软件模模式针对业务应应用所使使用的软件模模式，BB/S架架构还是是C/SS架构，可以更好的选择功能模块采用的实现方式。3.2.2 安全需求了解用户安安全需求求，细化化网闸安安全功能能，确保保用户信信息及数数据的安安全。访问用户限限制针对不同的的访问用用户进行行业务应应用限制制，功能能使用限限制；对于不同的的管理员员赋予不不同的权权限。访问客户端端限制针对IP段段、MAAC地址址的访问限制制；应用层过滤滤针对业业务应用用进行的的策略限限制，黑黑白名单单策略、命命令限制制、文件件类型限限制等。3.3 开箱、加电电3.3.1 设备开箱设备开箱请请按装箱箱清单进进行清点点，并对对设

17、备外外观进行行检查，若若有异常常请认真真详细地地做好记记录。打打开网闸闸包装后后，确认认包装箱箱内是否否包含以以下各物物品以及及状态是是否良好好：l 网神SeccSISS 36600网网闸l 配件盒：电电源线1 串口线11 网线2 软盘/CDD-ROOM 光光盘（包包括网闸闸相关信信息文件件和手册册）如果发现任任何物品品丢失或或出现损损坏，则则立即联联系网御御神州公公司。如如果需要要运输或或将网神神SeccSISS 336000安全隔隔离与信信息交换换系统保保存起来来以待后后用，那那么切勿勿丢掉包包装材料料或装运运纸箱。3.3.2 设备加电开箱检验确确认设备备外观无无异常后后，可对对设备进进

18、行加电电检验。加加电后请请注意观观察网闸闸前面板板指示灯灯，可初初步判断断网闸是是否正常常。内、网网外面板板各有33个指示示灯。按按顺序分分别为：电源指示灯灯：显示示网闸供供电是否否正常。状态指示灯灯：显示示网闸存存储读写写工作情情况。交换指示灯灯：显示示网闸交交换卡工工作情况况。网闸加电后后，正常常状态下下，电源源指示灯灯常量；状态指指示灯只只在存储储读写情情况下闪闪烁，无无工作状状态灭灯灯；交换换指示灯灯在无工工作情况况下为间间隔闪亮亮，间隔隔时间约约122秒，交交换卡工工作情况况下为快快速闪烁烁状态。注意：网闸闸配备冗冗余电源源，尽量量保证双双电源供供电。如如果使用用单一供供电，无无供电

19、电电源会产产生报警警。（可可按电源源模块上上红色按按钮取消消报警）3.3.3 安全注意事事项本节列出的的安全使使用注意意事项，请请在使用用网御神神州SeecSIIS 336000安全隔隔离与信信息交换换系统过过程中严严格执行行。这将将有助于于更好地地使用和和维护安安全隔离离与信息息交换系系统。1. 安全隔离与与信息交交换系统统应用环环境为温温度100 35和湿度度40% 80%；存储储环境为为温度00 70，湿度度20% 95%。2. 采用交流2220VV电源。3. 必须使用三三芯带接接地保护护的电源源插头和和插座。良良好的接接地是您您的安全全隔离与与信息交交换系统统正常工工作的重重要保证证。

20、对于于安全隔隔离与信信息交换换系统来来说，如如果缺少少接地保保护线，在在机箱的的金属背背板上可可能会出出现感应应电压。虽虽然不会会对人体体造成伤伤害，但但在接触触时，可可能会产产生麻、痛痛等轻微微触电的的感觉。另另外，如如果您擅擅自更换换标准电电源线，可可能会带带来严重重后果。3.4 管理网神SSecSSIS 36000安全全隔离与与信息交交换系统统网神SeccSISS 36600安安全隔离离与信息息交换系系统提供供两种管管理方式式，Weeb管理理和串口口管理，下下面介绍绍登陆界界面的操操作和管管理的菜菜单功能能。网神神SeccSISS 36600安安全隔离离与信息息交换系系统使用用了安全全套

21、接层层（SSSL）协协议，在网神安安全隔离离与信息息交换系系统连接接期间，所所有的交交换信息息均被SSSL加加密，默默认的访访问端口口为4443。3.4.1 WEB界面面方式网闸分内网网管理和和外网管管理内网默认管管理地址址为：hhttpps:/100.0.0.11 外网默认管管理地址址为：hhttpps:/100.0.0.22 默认管理用用户名：admmin 默认密密码：aadmiin默认日志用用户名：audditoor 默默认密码码：auudittor用户管理机机地址设设置与管管理地址址同一网网段（110.00.0.*/224），用用交叉线线与网闸闸的内网网管理口口和外网网管理口口相连。管

22、理机网卡卡设置(10.0.00.6/2555.2555.2255.0)打开IE浏浏览器，输输入htttpss:/10.0.00.1 (内网为为例) 配置管理员员：用户户名addminn，密码码admmin日志管理员员：用户户名auudittor，密密码auudittor进入管理界界面菜单区：系系统的所所有功能能菜单，不不同的功功能对应应不同的的菜单配置区：配配置系统统相关参参数的区区域显示区：显显示系统统在内网网或外网网管理页页面3.4.2 命令行方式式基于串口连连接，提提供命令令行方式式的基本本配置管管理和灾灾难恢复复功能，提提供了管管理的安安全、方方便与灵灵活性。可以提供恢复出厂设置、关闭

23、远程管理等基本管理功能。配置终端参参数：登陆用户名名为haawk，口口令haawk。命令表如下下：命令名称描述？|hellp帮助功能，列列表所有有串口命命令Clearr清屏Serviice webb 开启和关闭闭webb管理界界面Serviice sshh 开启和关闭闭sshh管理界界面Confiig ddefaaultt恢复出厂配配置Passwwd修改串口口口令Netcaap ip pportt抓包工具Ping Ping测测试Detecct检测对方主主机Show cpuu显示cpuu 信息息Show memmoryy显示内存信信息Show dissk显示存储器器信息Show prooc显示

24、当前进进程Show intterffacee显示端口信信息Show linnk显示连接信信息Show gw显示路由信信息Show arpp显示arpp表Show verr显示系统版版本Quit|exiit退出3.4.3 其它方式除了上述两两种管理理方式外外，网神神SeccSISS 36600安安全隔离离与信息息交换系系统暂不不提供其其他管理理方式。3.5 如何申请许许可证和和激活网神神SeccSISS 36600安安全隔离离与信息息交换系系统产品品功能模块块3.5.1 申请Liccensse网神SeccSISS 36600安安全隔离离与信息息交换系系统在初初次使用用时，产产品功能能模块需需要激

25、活活方可使使用。激激活前请请记录产产品硬件件序列号号并填写写liicennse申申请表。注意：此此处请务务必分清清内外网网硬件序序列号，避避免混淆淆。Licennse申申请：请请将上述述信息邮邮件至网网御神州州客户服服务部并并电话通通知。联系人：翟翟玉晶电电话：113400116689330 邮邮件地址址：liicennseleggenddsecc.coom3.5.2 导入Liccensse点击上传许许可证，浏浏览许可可证文件件，点击击上传。许许可证文文件必须须有厂商商正式签签发。签签发许可可证请参参照4.3获取取硬件序序列号，并并发送给给厂商进进行申请请。注意：1.内外网网Liccenss

26、e为同同一文件件。 2.导入LLiceensee时，如如果使用用的浏览览器为IIE 88，请将将安全级级别设置置降低，否否则会出出现找不不到上传传文件现现象。4 初级“假设设法”手把手手教您如如何快速速安装部部署网闸闸产品4.1 网闸网络配配置在了解完用用户网络络结构并并确认网网闸部署署位置后后，就可可以对网网闸进行行基本的的网络设设置，我我们以下下图的网网络环境境为基础础进行网网闸的网网络基本本设置。如上图所示示，网闸闸分别与与1922.1668.22.0/24、1192.1688.3.0/224网段段相连接接，内、外外网口IIP分别别为1992.1168.2.110/224和1192.16

27、88.3.10/24。确确认上述述IP信信息无误误后，即即可在网网闸上进进行操作作配置。以以内网为为例。登录网闸WWEB管管理界面面，点击击网络配配置：网卡配置置，选择择网络设设备属性性，此处处选择nnet，确确定。网络地址址，选择择网口，iip地址址栏填写写网闸内内网口实实际地址址。此处处填写1192.1688.3.10，子子网掩码码：2555.2255.2555.0。点点击确定定保存。外网IPP设置与与内网设设置方法法一致。实际应用用中，仅仅仅配置置完IPP并不能能保证网网闸的网网路连通通，还需需要根据据网络的的实际状状况添加加路由设设置。本本例中需需要分别别为网闸闸内、外外网添加加路由。

28、配配置如下下图所示示：外网路由由设置与与内网设设置方法法一致至此，本应应用中的的网闸网网络配置置已经完完成，可可以通过过网闸WWEB管管理界面面中工具具箱下的的调试工工具测试试网闸在在网络中中的连通通性。5 中级“假设设法”手把手手教您如如何快速速调试网网闸产品品的基本本功能5.1 安全浏览说明：1 网闸闸的内外外网管理理端口地地址分别别默认为为：内网网：100.0.0.11，外网网：100.0.0.22，建议议不要进进行更改改，如果果与已有有网络冲冲突可以以在管理理界面上上进行更更改。2 管理理主机与与网闸的的内外网网管理端端口相连连接，分分别以hhttpps:/100.0.0.11和htt

29、tpss:/10.0.00.2访访问，用用户名和和密码为为：addminn。5.1.1 客户需求需求一：内内网主机机能够通通过网闸闸访问互互联网，采采用代理理服务器器模式，即即需要在在客户端端主机上上添加代代理服务务，不需需要添加加网关地地址和DDNS地地址。需求二：内内网主机机能够通通过网闸闸访问互互联网，采采用透明明模式，即即需在客客户端主主机添加加网关地地址和DDNS地地址5.1.2 网络配置内网网络端端口配置置修改地址为为：1992.1168.2.1100 内网管理端端口地址址如与网络接接口不冲冲突，可可以为默默认。外网网络端端口配置置修改地址为为：1992.1168.1.1100

30、，如如此为公公网地址址请直接接指定。外网网关配配置此处网关为为：1992.1168.1.2254，如如此为公公网地址址请直接接指定。外网管理端端口地址址如与网络接接口不冲冲突，可可以为默默认。5.1.3 网闸具体配配置5.1.3.1 需求一配置置内网主机能能够通过过网闸访访问互联联网，采采用代理理服务器器模式，即即需要在在客户端端主机上上添加代代理服务务，不需需要添加加网关地地址和DDNS地地址。内网模块配配置1. 安全浏览客户端端基本设设置，进进行安全全浏览服服务设置置。选择代理方方式，选择侦侦听地址址：1922.1668.22.1000 ，端口80080 ，其他他选项默默认。2. 安

31、全浏览基本设设置启动设设置点击启动服服务按钮钮外网模块配配置1. 安全浏览服务端端配置DNNS，添加DNNS地址址 2002.1106.0.220（当当地的DDNS服服务器地地址）2. 安全浏览基本设设置启动设设置，选选择启动动服务按按钮。内网客户端端主机配配置在用户的主主机IEE属性中中选择连连接/局域网网连接，添添加代理理服务器器地址（192.168.2.100,端口8080）5.1.3.2 需求二配置置内网主机能能够通过过网闸访访问互联联网，采采用透明明模式，即即需在客客户端主主机添加加网关地地址和DDNS地地址内网模块配配置1. 安全浏览客户端端基本配配置，选选择透明明方式，本本

32、地地址址 1992.1168.2.1100 ，服务务端口 80。2. 安全浏览客户端端启动配配置，重重启服务务3. 内网允许DDNS请请求通过过定制模块 UDPP访问 UDPP客户端端添加任任务，地地址1992.1168.2.1100 端口 553 任任务号11 （此此任务号号可以任任意，但但一定要要与外网网模块的的相同）外网模块配配置1. 网络配置配置DNNS ：2022.1006.00.2002. 安全浏览”基本设设置启动设设置确定，启启动服务务3. 外网允许DDNS请请求通过过定制模块 UDPP访问 UDDP服务务端，地址址：2022.1006.00.200，端口：53，任务

33、号号：1（此任任务号可可以任意意，但一一定要与与内网模模块的相相同）内网客户端端主机配配置1. 在本地PCC机的“TTCP/IP”属性设置如下：默认网关：192.168.2.100 ，DNS服务器：192.168.2.1002. 浏览器的设设置（把把代理去去掉）5.2 安全FTPP说明：1 网闸闸的内外外网管理理端口地地址分别别默认为为：内网网：100.0.0.11，外网网：100.0.0.22，建议议不要进进行更改改，如果果与已有有网络冲冲突可以以在管理理界面上上进行更更改。2 管理理主机与与网闸的的内外网网管理端端口相连连接，分分别以hhttpps:/100.0.0.11和htttpss

34、:/10.0.00.2访访问，用用户名和和密码为为：addminn。网闸FTPP工作原原理：FTP是常常用的文文件传输输手段，我们只只是分别别在内外外网的FFTP客客户端模模块中设设置了监监听网闸闸接口的的IP地地址和端端口号，就就可以通通过代理理方式，透透明方式式，混合合模式访访问内网网或外网网的FTTP服务务器。可可以使用用LeaapFTTP、FFlasshFXXP等FFTP软软件和命命令行方方式，顺顺利进行行访问和和数据操操作。在百兆兆网络的的测试环环境中，FFTP的的平均传传输速率率可达991.22 Mbbps。对于FFTP服服务端所所在网络络只是FFTP代代理服务务器的情情况，提提供

35、了很很好的解解决方案案，仅需需添加代代理FTTP服务务器的IIP地址址和端口口即可。5.2.1 客户需求内网做为客客户端，外外网做为为服务器器端，实实现内网网用户可可通过网网闸访问问到外网网的FTTP服务务器，并并且内网网用户对对FTPP服务器器的上传传、下载载等操作作正常运运行。对对访问的的服务器器进行目目的地址址控制。对对访问fftp的的用户进进行源地地址控制制。隐藏藏真实服服务器地地址。1、在网闸闸内网配配置FTTP代理理监听并并启用FFTP客客户端服服务2、在网闸闸外网启启用FTTP服务务3、内网用用户可通通过DOOS命令令行方式式和使用用FTPP客户端端软件方方式实现现对外网网FTP

36、P服务器器的正常常访问及及操作5.2.2 网络配置内网网络端端口配置置修改地址为为：1992.1168.2.1100 内网管理端端口地址址如与网络接接口不冲冲突，可可以为默默认。外网网络端端口配置置修改地址为为：1992.1168.10.1000 外网网关配配置此处网关为为：1992.1168.10.2544 外网管理端端口地址址如与网络接接口不冲冲突，可可以为默默认。5.2.3 网闸具体配配置5.2.3.1 代理模式配配置u 在网闸内网网配置FFTP代代理监听听并启用用FTPP客户端端服务。u 通过允许服服务器控控制用户户访问的的目的地地址u 通过访问控控制对访访问fttp的用用户源地地

37、址进行行控制u 通过重定向向隐藏真真实服务务器地址址u 在网闸外网网启用FFTP服服务内网用户可可通过DDOS命命令行方方式和使使用FTTP客户户端软件件方式实实现对外外网FTTP服务务器的正正常访问问及操作作。内网模块配配置安全ftpp客户端端基本配配置，运行方方式：代代理模式式，本地地地址：1192.1688.2.1000，本地端端口：221，其它参参数项默默认不修修改即可可。安全FTPP客户端端启动设设置，点击启启动服务务按钮，启启用FTTP客户户端模块块。客户要求只只允许通通过网闸闸访问指指定的FFTP服服务器，即即1922.1668.110.2250和和1922.1668.110.

38、228两台台，其他他ftpp服务器器不允许许访问。通通过配置置允许的的服务器器可以进进行目的的地址控控制。点击安全fftp客户端端允许的的服务器器，添加加允许用用户访问问的服务务器地址址即可。注意：默认认不填，为为全部都都允许；如果添添加了允允许的服服务器，未未添加的的就都不不允许；在添加加允许的的服务器器时，首首先应该该将网闸闸FTPP访问的的监听地地址允许许访问，否否则就全全部都无无法访问问了。源地址访问问控制通过配置客客户端的的访问控控制规则则，可以以对使用用安全fftp访访问的用用户的源源地址进进行控制制，例如如只允许许1922.1668.22.0这这个网段段的用户户使用该该模块。配置

39、如下：点击安全FFTP客户端端访问控控制；选选择默认认禁止，除以下配置策略外的其他任何地址都是禁止访问的；添加允许访问的客户端地址段，格式如下；客户端端口为任意；动作为允许许；重定向通过配置重重定向，可可以隐藏藏用户的的实际服服务器地地址。比比如用户户要求访访问fttp服务务器的终终端不知知道实际际服务器器的地址址，只告告诉他们们一个虚虚拟的访访问地址址，1992.1168.10.2500虚拟成成为1992.1168.2.1100，1192.1688.100.288虚拟成成为1992.1168.2.2200；配置如下：点击安全FFTP客户端端重定向向；添加加虚拟服服务器地地址和真真实服务务器地

40、址址；用户通过网网闸访问问时访问问方式不不变，但但是只需需访问虚虚拟地址址就可以以重定向向到真实实的服务务器地址址；外网模块配配置安全FTPP基本设设置启动设设置，点击启启动服务务按钮，启启用FTTP服务务端模块块内网客户端端主机访访问FTTP服务务器设置置1. 命令行方式式一内网用户主主机（1192.1688.2.56),通过过命令行行方式访访问FTTP 1. fttp 1192.1688.2.10002.用户名名输入：rooot1192.1688.100.25502. 命令行方式式二内网用户主主机（1192.1688.2.46),通过过命令行行方式访访问FTTP数据据库1. fttp

41、1192.1688.2.10002.用户名名输入：a1192.1688.100.288:211213. 使用FTPP客户端端软件方方式内网用户户主机（1192.1688.2.56),FTTP客户户端软件件访问FFTP服服务器 1.添加代代理服务务器2.运行快快速连接接服务器：1192.1688.100.2550代理服务器器：安全全ftpp代理模模式（上上一步添添加的代代理服务务器名称称）点击“连接接”，连接接成功。3在使用用FlaashFFXP软软件时，可可以不设设置代理理服务器器。配置置方式如如下图。5.2.3.2 透明模式配配置1、在网闸闸内网配配置FTTP透明明模式并并启用FFTP客客

42、户端服服务2、在网闸闸外网启启用FTTP服务务3、内网用用户可通通过DOOS命令令行方式式和使用用FTPP客户端端软件方方式实现现对外网网FTPP服务器器的正常常访问及及操作，直直接访问问真实服服务器地地址即可可。不需需要先访访问代理理服务器器，或者者设置代代理服务务器。4、内网客客户端机机器的网网关指向向网闸，或或者路由由可达。透透明模式式下，外外网服务务器地址址不能与与网闸内内网地址址在同一一网段。基本配置置中的运运行方式式选择“透明方方式”。其余余配置方方式与代代理模式式一致。客户端机器器的网关关指向网网闸（1192.1688.2.1000），直直接访问问外网服服务器。如如下图所所示5.

43、2.3.3 混合模式配配置1、在网闸闸内网配配置FTTP混合合模式并并启用FFTP客客户端服服务2、在网闸闸外网启启用FTTP服务务3、内网用用户可通通过DOOS命令令行方式式和使用用FTPP客户端端软件方方式实现现对外网网FTPP服务器器的正常常访问及及操作。4、用户可可采用代代理模式式访问外外网fttp服务务器，或或者使用用透明模模式访问问。5、基本配配置中运运行方式式中选择择“混合模模式”，使用用方式见见4.11，4.25.3 FTP访问问说明：1 网闸闸的内外外网管理理端口地地址分别别默认为为：内网网：100.0.0.11，外网网：100.0.0.22，建议议不要进进行更改改，如果果与

44、已有有网络冲冲突可以以在管理理界面上上进行更更改。2 管理理主机与与网闸的的内外网网管理端端口相连连接，分分别以hhttpps:/100.0.0.11和htttpss:/10.0.00.2访访问，用用户名和和密码为为：addminn。网闸FTPP工作原原理：FTP是常常用的文文件传输输手段，我们只只是分别别在内外外网的FFTP客客户端模模块中设设置了监监听网闸闸接口的的IP地地址和端端口号，就就可以通通过代理理方式，透透明方式式，混合合模式访访问内网网或外网网的FTTP服务务器。可可以使用用LeaapFTTP、FFlasshFXXP等FFTP软软件和命命令行方方式，顺顺利进行行访问和和数据操操作。在百兆兆网络的的测试环环境中，FFTP的的平均传传输速率率可达991.22 Mbbps。对于FFTP服服务端所所在网络络只是FFTP代代理服务务器的情情况，提提供了很很好的解解决方案案，仅需需添加代代理FTTP服务务器的IIP地址址和端口口即可。5.3.1 客户需求内网做为客客户端，外外网做为为服务器器端，实实现内网网用户可可通过网网闸访问问到外网网的FTTP服务务器，并并且内网网用户对对FTPP服务器器的上传、下载载等操作作正常运运行。有限数量的的FTPP服务器器，通过过独立任任务实现现

展开阅读全文