中網(wǎng)物理隔離網(wǎng)閘X-Gap用戶手冊(cè)

公司隔離網(wǎng)閘X－GAP用戶操作手冊(cè)目錄TOC\o"1-3"前言關(guān)于本手冊(cè) 11.內(nèi)容 12.使用對(duì)象 13.使用指南 14.使用約定 35.獲得本手冊(cè) 46.技術(shù)支持 4第一章公司隔離網(wǎng)閘X-GAP原理介紹 61.1隔離網(wǎng)閘GAP概述 61.1.1為什么需要隔離網(wǎng)閘 61.1.2何謂隔離網(wǎng)閘GAP 81.2公司隔離網(wǎng)閘X-GAP的技術(shù)原理 111.3產(chǎn)品組成、功能及特點(diǎn) 191.3.1X-GAP產(chǎn)品組成 191.3.2X-GAP產(chǎn)品主要功能 221.3.3X-GAP產(chǎn)品主要特點(diǎn) 25第二章產(chǎn)品及安裝說明 262.1產(chǎn)品組成 262.2環(huán)境要求 262.2.1物理環(huán)境要求 262.2.2網(wǎng)絡(luò)環(huán)境要求 272.2.3輔助設(shè)備要求 282.3拆箱檢查 282.4安裝準(zhǔn)備 322.4.1安裝前的準(zhǔn)備工作 322.4.2安裝前的測(cè)試工作 322.5網(wǎng)閘X-GAP硬件安裝 332.5.1準(zhǔn)備工作 332.5.2安裝須知及考前須知 332.5.3安裝步驟 342.6X-GAP管理軟件的安裝 352.7啟動(dòng)網(wǎng)閘及管理軟件 382.7.1開啟網(wǎng)閘設(shè)備 382.7.2修改管理主機(jī)IP地址 382.7.3啟動(dòng)“客戶端管理軟件〞并登錄網(wǎng)閘 40第三章X-GAP系統(tǒng)配置 423.1系統(tǒng)配置 423.2系統(tǒng)狀態(tài) 443.3內(nèi)部主機(jī)的配置 453.4外部主機(jī)的配置 483.5冗余備份的配置 503.5.1雙機(jī)熱備工作原理 503.5.2雙機(jī)熱備實(shí)現(xiàn)方法 513.5.3真地址與虛地址設(shè)置考前須知 513.5.4“冗余備份〞的配置 523.6系統(tǒng)管理員 53第四章外出訪問效勞 564.1配置“瀏覽〞效勞 564.1.1瀏覽效勞 574.1.2“HTTP請(qǐng)求〞控制 614.1.3“HTTP內(nèi)容〞過濾 644.1.4高級(jí)選項(xiàng) 664.2FTP效勞 674.2.1配置“FTP效勞〞 674.2.2“FTP命令〞控制 704.2.3FTP文件內(nèi)容過濾 714.3收郵件效勞 724.3.1配置“收郵件〞效勞 724.3.2郵件內(nèi)容過濾 774.4發(fā)郵件效勞 784.4.1配置“發(fā)郵件〞效勞 784.4.2“SMTP命令〞過濾 804.4.3郵件內(nèi)容過濾 81第五章準(zhǔn)出交換效勞 825.1定制TCP 825.2FTP效勞 845.3Oracle數(shù)據(jù)庫 865.4定制UDP 88第六章準(zhǔn)入交換效勞 896.1定制TCP 906.2FTP效勞 926.3Oracle數(shù)據(jù)庫 936.4定制UDP 95第七章審計(jì)管理 977.1日志控制 977.2日志效勞器的設(shè)置 987.3日志告警設(shè)置 997.4日志查看 100第八章主機(jī)平安 1028.1防掃描 1028.2防入侵 1048.3防攻擊 105第九章認(rèn)證管理 1079.1認(rèn)證效勞器的配置 1089.2認(rèn)證規(guī)那么的配置 1099.2.1如何添加一條認(rèn)證規(guī)那么 1109.2.2如何刪除一條認(rèn)證規(guī)那么 1109.3認(rèn)證用戶管理 1119.3.1如何添加一個(gè)用戶 1129.3.2如何刪除一個(gè)用戶 1139.4客戶端的配置 1139.4.1安裝“客戶端認(rèn)證管理〞軟件 1139.4.2設(shè)置“客戶端認(rèn)證管理〞軟件 115第十章數(shù)據(jù)庫同時(shí)管理 11810.1功能特點(diǎn) 11810.2數(shù)據(jù)庫要求 11910.2.1Oracle數(shù)據(jù)庫 11910.2.2SQLServer數(shù)據(jù)庫 12010.2.3Sybase數(shù)據(jù)庫 12010.3配置管理 12010.3.1數(shù)據(jù)源管理 12210.3.2同時(shí)任務(wù)管理 12310.3.3數(shù)據(jù)庫同時(shí)任務(wù)的運(yùn)行與終止 125附錄A常見故障原因及處理方法 126附錄B產(chǎn)品硬件規(guī)格說明 127附錄C隔離網(wǎng)閘常見問題及解答 128C.1網(wǎng)閘常見概念問題解答 128C.2網(wǎng)閘常見技術(shù)問題解答 132

1.2公司隔離網(wǎng)閘X-GAP的技術(shù)原理公司隔離網(wǎng)閘X-GAP是公司公司自主研制開發(fā)，具有自主知識(shí)產(chǎn)權(quán)的、新一代、高平安性的國產(chǎn)隔離防護(hù)設(shè)備，它是公司公司在網(wǎng)絡(luò)平安領(lǐng)域多年耕耘的技術(shù)結(jié)晶，是公司公司奉獻(xiàn)給業(yè)界的精品。下面我們對(duì)公司隔離網(wǎng)閘X-GAP的技術(shù)原理做一介紹。我們知道互聯(lián)網(wǎng)是基于TCP/IP來實(shí)現(xiàn)的，而所有的攻擊都可以歸納為基于對(duì)TCP/IP的OSI數(shù)據(jù)通信模型的某一層或多層的攻擊，因此公司隔離網(wǎng)閘X-GAP首先就是要斷開TCP/IP的OSI數(shù)據(jù)模型的所有層，由此消除目前TCP/IP網(wǎng)絡(luò)存在的攻擊，在此根底上再考慮如何平安地實(shí)現(xiàn)數(shù)據(jù)交換的問題。物理層的斷開物理層是可以被攻擊的。尤其物理層的邏輯表示是可以被攻擊的。對(duì)網(wǎng)絡(luò)層的邏輯表示的攻擊方法主要是欺騙和偽造，因此可以利用認(rèn)證和鑒別的方法來防止欺騙和偽造，這就是常用的IP和MAC地址綁定的方法。對(duì)MAC地址本身直接進(jìn)行訪問控制也是可行的，這就是MAC防火墻。最后的方法是把物理層完全斷開，沒有網(wǎng)絡(luò)功能，因而也就沒有來自網(wǎng)絡(luò)的攻擊。物理層的斷開是一個(gè)復(fù)雜的概念。并不是沒有人眼看得見的東西連接，就是物理層的斷開，如無線通信，人眼是看不見的，但物理層是連接的。也不是人眼看得見的東西有接觸就是物理層的連接，如用一個(gè)木頭把兩個(gè)計(jì)算機(jī)連著，盡管它是一個(gè)現(xiàn)實(shí)中的物理連接，卻不能基于該連接建立一個(gè)OSI模型中的數(shù)據(jù)鏈路的連接，因此不是一個(gè)OSI模型意義上的物理層的連接。從這個(gè)意義上講，要確定它是連接的也困難，要確定它不連接也是困難的。由于空氣和真空的普遍性，還無法對(duì)任何兩臺(tái)計(jì)算機(jī)確認(rèn)它們不存在某種現(xiàn)實(shí)中的連接，至少證明是困難的。而空氣和真空是可以傳播電磁波的。因此，不能簡單地給物理層的斷開下一個(gè)定義。從技術(shù)上來定義，一個(gè)物理層上的斷開，應(yīng)該是“不能基于一個(gè)物理層的連接，來完成一個(gè)OSI模型中的數(shù)據(jù)鏈路的建立〞。我們來檢查一下該定義的正確性。無線傳輸，基于電磁波這種人眼看不見的物理介質(zhì)的連接，可以建立一個(gè)OSI模型中的數(shù)據(jù)鏈路的連接，因此不是物理層的斷開。一個(gè)木頭連接兩個(gè)計(jì)算機(jī)，盡管它是一個(gè)現(xiàn)實(shí)中的連接，卻不是嚴(yán)格意義上OSI模型中的物理連接，也無法建立一個(gè)OSI模型中的數(shù)據(jù)鏈路，因此是斷開的。物理層的斷開，可能導(dǎo)致OSI模型其他層的工作機(jī)制失效。因此可以減少其他層的攻擊。但物理層的斷開，只解決基于物理層的攻擊，并不暗示可以解決對(duì)OSI模型其他層的攻擊。我們確實(shí)發(fā)現(xiàn)存在一個(gè)基于開關(guān)的FTP斷點(diǎn)續(xù)傳的應(yīng)用的例子，說明物理層斷開并不保證可以消除對(duì)其他層的攻擊?！窘獯稹浚哼@里所表述“物理層的斷開〞是一個(gè)技術(shù)概念，是強(qiáng)調(diào)OSI模型的物理層斷開的必要性，而政府的各項(xiàng)規(guī)定中所指的“物理隔離〞是一個(gè)政策性概念，是強(qiáng)調(diào)不存在網(wǎng)絡(luò)通信，網(wǎng)絡(luò)連接。數(shù)據(jù)鏈路層的斷開數(shù)據(jù)鏈路是在物理層上建立一個(gè)可以進(jìn)行數(shù)據(jù)通信的數(shù)據(jù)鏈路，是一個(gè)通信協(xié)議的概念。只要存在通信協(xié)議就可以被攻擊。數(shù)據(jù)鏈路是可以被攻擊的。例如，早期的電話公司如Bell公司就飽受通信黑客攻擊之苦，現(xiàn)在的許多TCP/IPOverPPP撥號(hào)連接，可以通過字典攻擊方法，不斷的猜想用戶的密碼，讓正常的用戶無法建立合法的連接，形成拒絕效勞攻擊。所以，隔離網(wǎng)閘X-GAP也必須斷開任何可能基于物理層建立的數(shù)據(jù)鏈路通信。數(shù)據(jù)鏈路的斷開意味著什么？首先，必須消除可以建立通信鏈路的控制信號(hào)，因?yàn)檫@些信號(hào)是可以被攻擊的、存在風(fēng)險(xiǎn)的。其次，每一次的數(shù)據(jù)傳輸，是否能夠到達(dá)或正確性方面是沒有保證的。再次，不能建立一個(gè)會(huì)話機(jī)制。因此，用技術(shù)術(shù)語來定義，數(shù)據(jù)鏈路的斷開是指上一次數(shù)據(jù)傳輸與下一次數(shù)據(jù)傳輸?shù)南嚓P(guān)性的概率為零。因此，沒有數(shù)據(jù)鏈路的傳輸數(shù)據(jù)是沒有可靠性保證的。數(shù)據(jù)鏈路的斷開，破壞了通信的根底，也因此消除了基于數(shù)據(jù)鏈路的攻擊。同上面的道理一樣，看起來數(shù)據(jù)鏈路的斷開大大降低了對(duì)其他層的攻擊，但不能排除。我們可以想像一下，不可靠的數(shù)據(jù)播送和傳輸，不代表不能正確的傳輸一次正確的數(shù)據(jù)，因此還是存在基于上層攻擊的可能性?！窘獯稹浚烘溌穼拥臄嚅_，就必須消除所有的通信鏈路協(xié)議。任何基于通信協(xié)議的數(shù)據(jù)交換技術(shù)，都無法消除數(shù)據(jù)鏈路的連接，如基于以太、串口通信或高速串口通信協(xié)議的USB和火線等均無法實(shí)現(xiàn)鏈路層斷開，通過不可路由協(xié)議〔如：IPX/SPX、NetBEUI等〕的協(xié)議轉(zhuǎn)換來實(shí)現(xiàn)數(shù)據(jù)交換，也沒有實(shí)現(xiàn)鏈路層的斷開。網(wǎng)絡(luò)層的斷開網(wǎng)絡(luò)層的攻擊是互聯(lián)網(wǎng)最主要的攻擊，如我們熟知的IP碎片攻擊、源路由攻擊、IP欺騙、IP偽造、PingFlooding、PingofDeath等大量的攻擊，都是針對(duì)IP協(xié)議來進(jìn)行攻擊的。網(wǎng)絡(luò)層的斷開，就是要?jiǎng)冸x所有的IP協(xié)議。因?yàn)閯冸x了IP，就不會(huì)基于IP包來暴露內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，就沒有真假IP地址之說，也沒有IP碎片，就消除了所有基于IP協(xié)議的攻擊。傳輸層的斷開利用TCP的三次握手機(jī)制，是可以攻擊TCP協(xié)議的，如目前流行的SYNFlooding攻擊、ACKFlooding攻擊等都是利用TCP的三次握手機(jī)制。對(duì)UDP協(xié)議的攻擊，那么可以通過流量攻擊、強(qiáng)化UDP通信的不可靠性，到達(dá)拒絕效勞的目的。傳輸層的斷開，就是剝離TCP或UDP協(xié)議。由此，消除基于TCP或UDP的攻擊。會(huì)話層的斷開攻擊者通過竊取合法用戶的會(huì)話信息，然后冒充該用戶，以到達(dá)非授權(quán)訪問的目的，或竊取合法用戶的權(quán)限和信息，這是一種典型的應(yīng)用攻擊，如基于Cookies或Token會(huì)話的攻擊。在一些電子商務(wù)、電子政務(wù)或BBS的應(yīng)用中，用戶進(jìn)行身份認(rèn)證登陸后，有一套完整的用戶權(quán)限控制機(jī)制，而這種機(jī)制很多是利用會(huì)話來實(shí)現(xiàn)的。一旦黑客成功地對(duì)會(huì)話進(jìn)行攻擊，就掌握了用戶的權(quán)限。會(huì)話層的斷開實(shí)際上是斷開一個(gè)應(yīng)用會(huì)話的連接，消除交互式的應(yīng)用會(huì)話，從而防止基于會(huì)話的各種攻擊。表現(xiàn)層的斷開OSI的表現(xiàn)層是通過格式翻譯，數(shù)據(jù)的壓縮與解壓縮，數(shù)據(jù)的加密與解密來提供標(biāo)準(zhǔn)的應(yīng)用接口，保證不同的系統(tǒng)可以進(jìn)行正常的應(yīng)用通信。對(duì)表現(xiàn)層的攻擊，當(dāng)然是針對(duì)格式翻譯和數(shù)據(jù)處理來進(jìn)行攻擊的如Unicode攻擊、以及計(jì)算溢出攻擊等。表現(xiàn)層的斷開，就是剝離表現(xiàn)層的編碼或協(xié)議，剝離了表現(xiàn)層就消除了跨平臺(tái)應(yīng)用的風(fēng)險(xiǎn)和攻擊。應(yīng)用層的斷開對(duì)應(yīng)用層的攻擊是目前最為嚴(yán)重的攻擊。對(duì)應(yīng)用層的攻擊包括的面非常寬，如對(duì)應(yīng)用協(xié)議漏洞的攻擊、對(duì)應(yīng)用數(shù)據(jù)的攻擊、對(duì)應(yīng)用操作系統(tǒng)平臺(tái)的攻擊等。應(yīng)用層的斷開，就是消除或剝離了所有的應(yīng)用協(xié)議。應(yīng)用層的斷開不完全是應(yīng)用層的代理。有些應(yīng)用層的代理只是檢查應(yīng)用協(xié)議是否符合標(biāo)準(zhǔn)，并不去實(shí)現(xiàn)剝離和重組的功能，因此，并沒有真正實(shí)現(xiàn)應(yīng)用層的斷開，只是實(shí)現(xiàn)了應(yīng)用層的檢查。對(duì)OSI每一層的斷開，盡管降低了其他層被攻擊的概率，但并沒有從理論上排除其他層的攻擊。斷開了某一層，照樣存在對(duì)其他層攻擊的風(fēng)險(xiǎn)。因此，公司隔離網(wǎng)閘X-GAP要求對(duì)OSI模型所有各層進(jìn)行全面的斷開。公司隔離網(wǎng)閘X-GAP把網(wǎng)絡(luò)OSI各層斷開了、不連接、不連通，但是隔離網(wǎng)閘X-GAP不是為了斷開而斷開，不是只考慮隔離，不講交換，而是為了平安地交換數(shù)據(jù)才進(jìn)行網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)斷開。因此，在網(wǎng)絡(luò)隔離的環(huán)境下如何交換數(shù)據(jù)，才是X-GAP真正的目的。以下的組圖可以給用戶一個(gè)清晰的概念，X-GAP基于網(wǎng)絡(luò)隔離的數(shù)據(jù)交換是如何實(shí)現(xiàn)的。以下所有的組圖定義，外網(wǎng)是平安性不高的互聯(lián)網(wǎng)，內(nèi)網(wǎng)是平安性很高的內(nèi)部專用網(wǎng)絡(luò)。正常情況下，隔離設(shè)備的外部主機(jī)和外網(wǎng)相連，隔離設(shè)備的內(nèi)部主機(jī)和內(nèi)網(wǎng)相連，外網(wǎng)和內(nèi)網(wǎng)是完全斷開的。保證網(wǎng)絡(luò)之間是完全斷開的。隔離設(shè)備存在一個(gè)獨(dú)立的純粹的存儲(chǔ)介質(zhì)，和一個(gè)單純的調(diào)度和控制電路。圖1-1：內(nèi)外網(wǎng)與固態(tài)存儲(chǔ)介質(zhì)都沒有連接當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時(shí)候，以電子郵件為例，隔離設(shè)備的外部主機(jī)先接受數(shù)據(jù)，并發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲(chǔ)介質(zhì)。根據(jù)不同的應(yīng)用，可能有必要對(duì)數(shù)據(jù)進(jìn)行完整性和平安性檢查，如防病毒和惡意代碼等。圖1-2：外網(wǎng)主機(jī)向固態(tài)存儲(chǔ)介質(zhì)寫操作一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。這個(gè)時(shí)候內(nèi)網(wǎng)電子郵件系統(tǒng)就收到了外網(wǎng)的電子郵件系統(tǒng)通過隔離設(shè)備轉(zhuǎn)發(fā)的電子郵件。圖1-3：內(nèi)網(wǎng)主機(jī)向固態(tài)存儲(chǔ)介質(zhì)讀操作在控制臺(tái)收到完整的交換信號(hào)之后，隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接。圖1-4：內(nèi)外網(wǎng)與固態(tài)存儲(chǔ)介質(zhì)都沒有連接如果這時(shí)，內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備的內(nèi)部主機(jī)先接受內(nèi)部的數(shù)據(jù)后，并建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，對(duì)其進(jìn)行防病毒處理和防惡意代碼檢查，然后中斷與內(nèi)網(wǎng)的直接連接。圖1-5：內(nèi)網(wǎng)主機(jī)向固態(tài)存儲(chǔ)介質(zhì)寫操作一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給系統(tǒng)。圖1-6：外網(wǎng)主機(jī)向固態(tài)存儲(chǔ)介質(zhì)讀操作控制臺(tái)收到信息處理完畢后，立即中斷隔離設(shè)備與外網(wǎng)的連接，恢復(fù)到完全隔離狀態(tài)。圖1-7：內(nèi)外網(wǎng)與固態(tài)存儲(chǔ)介質(zhì)都沒有連接每一次數(shù)據(jù)交換，隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接收，存儲(chǔ)和轉(zhuǎn)發(fā)三個(gè)過程。網(wǎng)絡(luò)隔離的一個(gè)特征，就是內(nèi)網(wǎng)與外網(wǎng)永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接。其數(shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)。X-GAP的網(wǎng)絡(luò)隔離好處是明顯的，即使外網(wǎng)在最壞的情況下，內(nèi)網(wǎng)都不會(huì)有任何破壞，修復(fù)外網(wǎng)系統(tǒng)也是非常容易的。因此，公司隔離網(wǎng)閘X-GAP至少是三模塊架構(gòu)，有兩個(gè)是主機(jī)，一個(gè)是基于獨(dú)立的控制電路控制的固體存儲(chǔ)介質(zhì)，我們通常稱之為“2+1〞架構(gòu)。其中，雙主機(jī)之間是永遠(yuǎn)網(wǎng)絡(luò)斷開的，以到達(dá)物理隔離的目的，雙主機(jī)之間的信息交換是通過拷貝、鏡像、反射等借助第三方非網(wǎng)絡(luò)方式來完成，以物理隔離為目的的平安系統(tǒng)。公司隔離網(wǎng)閘X-GAP，中斷了網(wǎng)絡(luò)的直接和間接通信連接，剝離了TCP/IP協(xié)議，中斷了應(yīng)用的客戶和效勞器會(huì)話，復(fù)原應(yīng)用數(shù)據(jù)，通過代理方式執(zhí)行所有的應(yīng)用協(xié)議檢查和內(nèi)容檢查，到達(dá)“只有符合全部平安政策的數(shù)據(jù)才能通過，其他都拒絕〞的平安策略。公司隔離網(wǎng)閘X-GAP建立了一個(gè)對(duì)網(wǎng)絡(luò)攻擊是免疫的平安系統(tǒng)，即消除了來自網(wǎng)絡(luò)的威脅和風(fēng)險(xiǎn)。【建議】：需要對(duì)隔離網(wǎng)閘GAP技術(shù)有深入了解的用戶，請(qǐng)參閱機(jī)械工業(yè)出版社出版發(fā)行的?網(wǎng)絡(luò)隔離與網(wǎng)閘?一書，作者為萬平國先生，該書是國家信息化平安教育認(rèn)證ISEC系列教材之一。1.3產(chǎn)品組成、功能及特點(diǎn)1.3.1X-GAP產(chǎn)品組成硬件組成公司隔離網(wǎng)閘X-GAP硬件產(chǎn)品主要由以下設(shè)備組成：雙主機(jī)系統(tǒng)，連接于外網(wǎng)的主機(jī)稱為外網(wǎng)機(jī)，連接于內(nèi)網(wǎng)的主機(jī)稱為內(nèi)網(wǎng)機(jī)；一個(gè)基于SCSI控制的開關(guān)系統(tǒng)，SCSI控制總線分別和網(wǎng)閘的內(nèi)網(wǎng)機(jī)和外網(wǎng)機(jī)的SCSI控制器相連，這樣內(nèi)網(wǎng)機(jī)和外網(wǎng)機(jī)不僅擁有各自獨(dú)立的系統(tǒng)和數(shù)據(jù)空間，又能通過開關(guān)系統(tǒng)的暫存設(shè)備進(jìn)行數(shù)據(jù)交換。【解答】：通過SCSI控制系統(tǒng)來實(shí)現(xiàn)X-GAP網(wǎng)閘開關(guān)，能夠真正實(shí)現(xiàn)OSI模型物理層和鏈路層的斷開。SCSI控制系統(tǒng)作為網(wǎng)閘開關(guān)系統(tǒng)是國際公認(rèn)的、領(lǐng)先的技術(shù)?！咎崾尽浚罕臼謨?cè)是針對(duì)公司隔離網(wǎng)閘X-GAP8000系列產(chǎn)品的用戶手冊(cè)，X-GAP8000系列產(chǎn)品全部是采用SCSI控制系統(tǒng)來實(shí)現(xiàn)X-GAP網(wǎng)閘開關(guān)的。軟件組成公司隔離網(wǎng)閘X-GAP產(chǎn)品的軟件系統(tǒng)從邏輯上分為3個(gè)局部，外部單邊代理、內(nèi)部單邊代理、開關(guān)控制軟件。外部單邊代理連接外部不可信網(wǎng)絡(luò)，內(nèi)部單邊代理連接內(nèi)部可信網(wǎng)絡(luò)，它們通過開關(guān)控制軟件進(jìn)行信息和數(shù)據(jù)交換，開關(guān)控制隔斷了網(wǎng)絡(luò)的連接，實(shí)現(xiàn)純數(shù)據(jù)驅(qū)動(dòng)的交換，數(shù)據(jù)上沒有加載控制協(xié)議。開關(guān)控制軟件：用于快速的在外部單邊代理、內(nèi)部單邊代理之間交換信息和數(shù)據(jù)。外部單邊代理：接收外部的請(qǐng)求，解析出應(yīng)用協(xié)議，過濾數(shù)據(jù)內(nèi)容，保證數(shù)據(jù)中不包含危險(xiǎn)命令。內(nèi)部單邊代理：通過傳輸控制軟件接收外網(wǎng)傳入的請(qǐng)求和數(shù)據(jù)，解析出應(yīng)用協(xié)議，過濾數(shù)據(jù)內(nèi)容，保證數(shù)據(jù)中不包含危險(xiǎn)命令?！窘獯稹浚何覀兎Q應(yīng)用協(xié)議的剝離和重建技術(shù)為單邊代理技術(shù)，所謂的單邊代理技術(shù)是相對(duì)雙邊而言的。雙邊代理技術(shù)，是指一臺(tái)計(jì)算機(jī)有兩個(gè)網(wǎng)卡，并且執(zhí)行代理功能。數(shù)據(jù)包從一個(gè)網(wǎng)卡進(jìn)，從另外一個(gè)網(wǎng)卡出。單邊代理技術(shù)，只有一個(gè)網(wǎng)卡，這種情況下，應(yīng)用協(xié)議必須復(fù)原成為原始數(shù)據(jù)，給用戶查看，而不能是包，因此是一個(gè)完整的應(yīng)用協(xié)議剝離和重建技術(shù)。功能模塊X-GAP產(chǎn)品的軟件系統(tǒng)從功能模塊上，可以劃分如下：專用的平安操作系統(tǒng)采用自主可控的、專用的平安操作系統(tǒng)NOS，是基于BSD系統(tǒng)改造的、最小化的平安內(nèi)核，加固的、性能優(yōu)化的平安操作系統(tǒng)。BSD比LINUX穩(wěn)定、平安性高、性能更優(yōu)越，最重要的是BSD的開放源碼許可證，準(zhǔn)許用戶自己改造為商用，而不用公開自己的代碼。網(wǎng)絡(luò)隔離由外部主機(jī)、內(nèi)部主機(jī)和開關(guān)系統(tǒng)組成。外部主機(jī)連接外網(wǎng)，內(nèi)部主機(jī)連接內(nèi)網(wǎng)，網(wǎng)閘的內(nèi)外網(wǎng)主機(jī)在任何時(shí)候均是斷開的、網(wǎng)絡(luò)隔離的，從物理上來隔離和阻斷潛在攻擊的連接，其中包括一系列的阻斷特征，如：沒有通信連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接、沒有應(yīng)用連接、沒有包轉(zhuǎn)發(fā)等。數(shù)據(jù)擺渡網(wǎng)閘的外部主機(jī)包含外部單邊代理、內(nèi)部主機(jī)包含內(nèi)部單邊代理，內(nèi)外網(wǎng)主機(jī)代理之間的文件交換均通過X-GAP的開關(guān)系統(tǒng)來擺渡。對(duì)沒有提供單邊代理效勞應(yīng)用的包將無法通過，只有提供相關(guān)的應(yīng)用單邊代理效勞，在剝離TCP/IP根底之上，才能將應(yīng)用協(xié)議“剝離〞，屏蔽應(yīng)用協(xié)議可能的漏洞，然后通過開關(guān)電路將純粹的裸數(shù)據(jù)“擺渡〞到對(duì)方，保證數(shù)據(jù)交換的平安性。協(xié)議中止X-GAP系統(tǒng)從網(wǎng)絡(luò)第一層一直工作到網(wǎng)絡(luò)第七層，X-GAP中止了所有的網(wǎng)絡(luò)協(xié)議，數(shù)據(jù)包復(fù)原為文件。X-GAP不支持任何開放的通信協(xié)議，不支持任何開放的網(wǎng)絡(luò)協(xié)議，也不采用私有協(xié)議，X-GAP擺渡的數(shù)據(jù)只有讀寫兩個(gè)命令和文件，沒有任何協(xié)議，遠(yuǎn)高于協(xié)議轉(zhuǎn)換的平安性。內(nèi)核防護(hù)X-GAP的內(nèi)核是專有的、裁剪加固的高平安性內(nèi)核。X-GAP系統(tǒng)采用了公司獨(dú)有的宙斯盾抗攻擊網(wǎng)關(guān)內(nèi)核，為X-GAP本身提供了具有最高強(qiáng)度的抗DoS/DDoS攻擊特性，還支持防掃描的功能〔Anti-Scan〕和嵌入式的入侵檢測(cè)防御功能〔IDP〕。應(yīng)用平安對(duì)不同的應(yīng)用，第七層的協(xié)議不同，檢查的機(jī)制和模塊也不相同，檢查的內(nèi)容可以包括內(nèi)容檢測(cè)、防惡意代碼、防泄密、文件類型控制等。X-GAP可方便的通過協(xié)議、域名、文件類型、關(guān)鍵詞等條件設(shè)置平安策略，防止網(wǎng)絡(luò)資源被非法使用。過濾VBScrpit、JavaScrpit、ActiveX等腳本，過濾內(nèi)容包括協(xié)議命令、關(guān)鍵詞、URL等。支持黑白名單?？梢詫?duì)瀏覽器中輸入的各種關(guān)鍵詞和敏感字符串進(jìn)行限制，預(yù)防內(nèi)網(wǎng)用戶因訪問外網(wǎng)網(wǎng)站時(shí)，在瀏覽器的訪問請(qǐng)求中出現(xiàn)有意或無意泄密的可能；X-GAP支持禁止內(nèi)部信息的外泄，支持單向傳輸和單向訪問功能。訪問控制X-GAP的外部主機(jī)和內(nèi)部主機(jī)都支持訪問控制功能。平安審計(jì)X-GAP日志審計(jì)模塊能夠記錄和審計(jì)所有途徑X-GAP的應(yīng)用效勞和用戶信息。身份認(rèn)證X-GAP身份認(rèn)證管理是用于管理用戶訪問X-GAP效勞端口的認(rèn)證、授權(quán)、訪問控制。

1.3.2X-GAP產(chǎn)品主要功能按照支持的應(yīng)用或效勞來劃分，公司隔離網(wǎng)閘X-GAP產(chǎn)品主要支持如下應(yīng)用或效勞：文件交換效勞文件交換是網(wǎng)閘最根本的一項(xiàng)效勞。網(wǎng)閘將一個(gè)文件從外部主機(jī)擺渡到內(nèi)部主機(jī)，或?qū)⒁粋€(gè)文件從內(nèi)部主機(jī)擺渡到外部主機(jī)，同時(shí)保證兩個(gè)網(wǎng)絡(luò)是網(wǎng)絡(luò)隔離的。HTTP訪問對(duì)一些內(nèi)部網(wǎng)來講，因?yàn)槠桨驳脑?，?nèi)部的用戶是禁止外出訪問的。通過網(wǎng)閘，內(nèi)部用戶可以在網(wǎng)絡(luò)隔離的情況下，通過實(shí)時(shí)交換來訪問外網(wǎng)的網(wǎng)站。Web效勞對(duì)一些高平安性的內(nèi)部網(wǎng)，是禁止外部的用戶直接連接內(nèi)部的效勞器的，但又不愿意把WEB效勞器放在外網(wǎng)上。在這種情況下，可以通過網(wǎng)閘來保證外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)在網(wǎng)絡(luò)隔離的情況下，通過實(shí)時(shí)交換效勞，準(zhǔn)許內(nèi)部的WEB效勞器平安地向外提供效勞。FTP訪問對(duì)于一些行業(yè)應(yīng)用，原來已經(jīng)投資的軟件很多采用了FTP協(xié)議。因此，要求支持客戶對(duì)FTP的訪問。網(wǎng)閘實(shí)現(xiàn)了在網(wǎng)絡(luò)隔離的情況下，實(shí)現(xiàn)了FTP協(xié)議。FTP效勞對(duì)一些高平安性的內(nèi)網(wǎng)，是禁止外部的用戶直接連接內(nèi)部的效勞器的，但又不愿意把FTP效勞器放在外網(wǎng)上。在這種情況下，可以通過網(wǎng)閘來保證外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)在網(wǎng)絡(luò)隔離的情況下，通過實(shí)時(shí)交換效勞，準(zhǔn)許內(nèi)部的FTP效勞器平安地向外提供效勞。SMTP電子郵件效勞網(wǎng)閘實(shí)現(xiàn)了內(nèi)部的用戶在網(wǎng)絡(luò)隔離的情況下，使用外部的SMTP效勞器。POP3效勞網(wǎng)閘實(shí)現(xiàn)了內(nèi)部的用戶在網(wǎng)絡(luò)隔離的情況下，使用外部的POP3效勞器。數(shù)據(jù)庫訪問效勞網(wǎng)閘實(shí)現(xiàn)了外部用戶在網(wǎng)絡(luò)隔離的情況下，可以查詢內(nèi)部的數(shù)據(jù)庫，目前支持的應(yīng)用數(shù)據(jù)庫包括ORACLE、SYBASE、MSSQL、MYSQL、ODBC等。數(shù)據(jù)庫同時(shí)效勞網(wǎng)閘實(shí)現(xiàn)了外部的數(shù)據(jù)庫在網(wǎng)絡(luò)隔離的情況下，與內(nèi)部數(shù)據(jù)庫的同時(shí)，目前支持的應(yīng)用數(shù)據(jù)庫包括ORACLE、SYBASE、MSSQL、MYSQL、ODBC等。DNS效勞網(wǎng)閘實(shí)現(xiàn)了內(nèi)部網(wǎng)用戶在網(wǎng)絡(luò)隔離的情況下，使用外部的DNS效勞器。定制效勞網(wǎng)閘可以實(shí)現(xiàn)某些特定的協(xié)議的TCP或UDP的固定端口的效勞和訪問。X-GAP能夠根據(jù)客戶的實(shí)際應(yīng)用需要，提供定制TCP/UDP代理效勞，如對(duì)MessageQ，LDAP，RADIUS效勞等。這包括為可信內(nèi)網(wǎng)用戶通過X-GAP訪問不可信外網(wǎng)的基于TCP/UDP通信協(xié)議提供平安代理效勞，也提供為不可信外網(wǎng)用戶通過X-GAP訪問可信內(nèi)網(wǎng)的基于TCP/UDP通信協(xié)議提供的平安代理效勞。

以下是公司隔離網(wǎng)閘X－GAP各型號(hào)產(chǎn)品的功能列表：序號(hào)功能X-GAP8100X-GAP8200X-GAP850001外出訪問效勞瀏覽FTP效勞收郵件發(fā)郵件02準(zhǔn)出交換效勞定制TCPFTP效勞Oracle數(shù)據(jù)庫定制UDP03準(zhǔn)入交換效勞定制TCPFTP效勞Oracle數(shù)據(jù)庫定制UDP04審計(jì)管理05主機(jī)平安06認(rèn)證效勞07數(shù)據(jù)庫同時(shí)

1.3.3X-GAP產(chǎn)品主要特點(diǎn)真正的物理隔離X-GAP斷開了兩個(gè)網(wǎng)絡(luò)，斷開了OSI模型的所有七層網(wǎng)絡(luò)協(xié)議，中止了所有的通信，在網(wǎng)絡(luò)的第七層將包復(fù)原為原始數(shù)據(jù)或文件，然后以“擺渡文件〞的形式來傳遞和交換數(shù)據(jù)，沒有任何包、命令和TCP/IP協(xié)議〔包括UDP和ICMP〕可以穿透X-GAP，真正實(shí)現(xiàn)了“拷盤原理〞?；赟CSI的開關(guān)系統(tǒng)X-GAP開關(guān)系統(tǒng)是通過SCSI控制系統(tǒng)來實(shí)現(xiàn)的。SCSI控制系統(tǒng)作為網(wǎng)閘的開關(guān)系統(tǒng)是國際公認(rèn)的、領(lǐng)先的技術(shù)。X-GAP將SCSI開關(guān)功能在系統(tǒng)的內(nèi)核中實(shí)現(xiàn)，遠(yuǎn)遠(yuǎn)優(yōu)于其它常見的開關(guān)技術(shù)。遵循RFC的互聯(lián)網(wǎng)國際標(biāo)準(zhǔn)X-GAP在剝離第七層的應(yīng)用協(xié)議的時(shí)候，完全遵守相關(guān)的RFC國際標(biāo)準(zhǔn)。因此對(duì)應(yīng)用的兼容性支持好。具有可定制的特性X-GAP采用模塊化結(jié)構(gòu)，具有靈巧的定制特性。X-GAP可以滿足為特殊行業(yè)定制具體的業(yè)務(wù)需求，如支持IPSEC的VPN等。易于管理和配置X-GAP的系統(tǒng)設(shè)計(jì)充分考慮到用戶的使用和配置，為用戶提供的GUI圖形配置界面和管理接口簡單易用，平安管理員可以直觀方便地配置系統(tǒng)和平安策略。

第二章產(chǎn)品及安裝說明本章包括公司隔離網(wǎng)閘X-GAP產(chǎn)品的說明及要求，及隨機(jī)附帶的部件資料檢查和硬件安裝，這有助于您更好地維護(hù)公司隔離網(wǎng)閘X-GAP的硬件。在安裝公司隔離網(wǎng)閘X-GAP之前，應(yīng)當(dāng)安排必要的時(shí)間，為準(zhǔn)備事項(xiàng)作好預(yù)期的準(zhǔn)備工作。這里為用戶提供必要的X-GAP安裝準(zhǔn)備的建議，主要包括網(wǎng)絡(luò)規(guī)劃、確定X-GAP安裝位置、部署、準(zhǔn)備安裝的管理軟件等，另外在這里還對(duì)公司隔離網(wǎng)閘X-GAP的硬件安裝進(jìn)行說明，供用戶參考，目的就是為了通過合理的操作來支持和實(shí)現(xiàn)用戶的平安目標(biāo)。2.1產(chǎn)品組成公司X-GAP物理隔離網(wǎng)閘主要由以下幾局部組成：一臺(tái)X-GAP網(wǎng)閘硬件產(chǎn)品：通常安裝于需要隔離的內(nèi)外網(wǎng)絡(luò)之間，它由雙主機(jī)系統(tǒng)和一個(gè)基于SCSI的開關(guān)控制系統(tǒng)組成；X-GAP客戶端管理軟件：安裝在內(nèi)部網(wǎng)選定的管理主機(jī)上，用于在內(nèi)部網(wǎng)通過內(nèi)部主機(jī)對(duì)網(wǎng)閘進(jìn)行配置和管理；客戶端身份認(rèn)證軟件：安裝于內(nèi)部或外部網(wǎng)絡(luò)用戶的客戶機(jī)上，用于內(nèi)部網(wǎng)或外部網(wǎng)的用戶身份認(rèn)證，通過認(rèn)證的請(qǐng)求才能使用網(wǎng)閘X-GAP，該模塊的安裝是可選的；日志接收效勞器軟件：安裝于專用的日志效勞器上，及時(shí)接收網(wǎng)閘X-GAP傳遞過來的日志信息，實(shí)現(xiàn)X-GAP日志的查詢和審計(jì)管理。2.2環(huán)境要求2.2.1物理環(huán)境要求X-GAP網(wǎng)閘產(chǎn)品的物理環(huán)境應(yīng)符合如下要求：輸入電壓：AC220V；輸入頻率：50Hz；電源功耗：200W；工作溫度：0～60攝氏度；存儲(chǔ)溫度：－20～80攝氏度；工作濕度：5～95％，非冷凝；存儲(chǔ)濕度：5～95％，非冷凝。2.2.2網(wǎng)絡(luò)環(huán)境要求安裝使用X-GAP網(wǎng)閘產(chǎn)品之前，首先需要了解現(xiàn)有網(wǎng)絡(luò)環(huán)境，以判斷是否符合X-GAP網(wǎng)閘的使用要求。X-GAP網(wǎng)閘適用的網(wǎng)絡(luò)環(huán)境為：在兩個(gè)封閉的、沒有連接的網(wǎng)絡(luò)之間。除網(wǎng)閘之外，這兩個(gè)網(wǎng)絡(luò)是完全斷開、不聯(lián)網(wǎng)的。與網(wǎng)閘相連接的設(shè)備可以是這兩個(gè)網(wǎng)絡(luò)中的交換機(jī)、路由器、效勞器等設(shè)備。與網(wǎng)閘內(nèi)端機(jī)相連是可信的“內(nèi)網(wǎng)〞，與網(wǎng)閘外端機(jī)相連的是不可信的“外網(wǎng)〞；用戶在使用網(wǎng)閘的時(shí)候，一般已經(jīng)完成了網(wǎng)絡(luò)的建設(shè)。在這種情況下，有兩種可能性，一是兩個(gè)完全斷開的網(wǎng)絡(luò)，現(xiàn)在需要交換數(shù)據(jù)，必須在網(wǎng)絡(luò)隔離的情況下進(jìn)行數(shù)據(jù)交換，因此要用網(wǎng)閘；二是已經(jīng)連接的網(wǎng)絡(luò)，根據(jù)平安策略要求，必須進(jìn)行分開，但分開后必須要進(jìn)行交換數(shù)據(jù)，因此要用網(wǎng)閘。由于X-GAP網(wǎng)閘產(chǎn)品是一個(gè)網(wǎng)絡(luò)隔離設(shè)備，網(wǎng)絡(luò)隔離后，兩個(gè)網(wǎng)絡(luò)是斷開的，因此沒有IP地址上的特殊要求，兩個(gè)網(wǎng)絡(luò)是完全不相關(guān)的。這個(gè)地方有時(shí)候理解起來有點(diǎn)困難。有一個(gè)用戶，把一個(gè)網(wǎng)絡(luò)分為兩個(gè)，用網(wǎng)閘進(jìn)行了網(wǎng)絡(luò)隔離。用戶原來的IP地址和網(wǎng)絡(luò)結(jié)構(gòu)都沒有變化。由于使用了網(wǎng)閘，盡管地址是原來的，但現(xiàn)在是兩個(gè)網(wǎng)絡(luò)，完全斷開，沒有關(guān)系。但用戶經(jīng)常被IP地址搞混淆，費(fèi)了好大的力氣，才搞明白，原來連著的一個(gè)網(wǎng)段，現(xiàn)在被隔離斷開了，盡管地址還是原來的，但現(xiàn)在還是被斷開了。【建議】：建議部署網(wǎng)閘的用戶，無論在任何情況下，無論網(wǎng)絡(luò)是多么簡單，最好把拓?fù)浣Y(jié)構(gòu)在紙上畫一下。如果你不能畫清楚，你絕對(duì)無法把它搞平安。這是一個(gè)非常好的方法來幫助你回避錯(cuò)誤。2.2.3輔助設(shè)備要求為了便于用戶配置和管理公司隔離網(wǎng)閘X－GAP，建議配備如下輔助設(shè)備：一臺(tái)管理主機(jī)：一臺(tái)可以與公司隔離網(wǎng)閘X-GAP的“內(nèi)部主機(jī)〞通訊的主機(jī)，安裝Win98或Win2000操作系統(tǒng)，用來安裝網(wǎng)閘的客戶端“配置管理軟件〞，便于用戶對(duì)網(wǎng)閘進(jìn)行配置和管理。一臺(tái)日志效勞器：一臺(tái)可以與公司隔離網(wǎng)閘X-GAP的“內(nèi)部主機(jī)〞通訊的主機(jī)，安裝Win98或Win2000操作系統(tǒng)，用來安裝“日志接收系統(tǒng)〞，以便接收從網(wǎng)閘發(fā)送出來的日志信息，并對(duì)日志信息進(jìn)行分析和審核。如果需要使用Console口對(duì)“公司隔離網(wǎng)閘X-GAP〞進(jìn)行管理，那么需要一根9針對(duì)9針Console線?！咎崾?】：用于配置和管理隔離網(wǎng)閘X-GAP的“管理主機(jī)〞應(yīng)當(dāng)放在網(wǎng)閘內(nèi)端機(jī)一側(cè)，而不是網(wǎng)閘外端機(jī)的一側(cè)?！咎崾?】：目前公司隔離網(wǎng)閘Console口的管理還沒有對(duì)用戶開放，需要公司X-GAP技術(shù)工程師操作。2.3拆箱檢查在翻開包裝之后，請(qǐng)您先對(duì)照產(chǎn)品清單，檢查隨機(jī)附帶的電源線、專用SCSI數(shù)據(jù)線等附件是否齊全，如有缺損請(qǐng)及時(shí)和銷售人員聯(lián)系。序列號(hào)名稱數(shù)量1裝箱清單1張2公司隔離網(wǎng)閘X-GAP產(chǎn)品1臺(tái)3電源線2根4專用SCSI數(shù)據(jù)線2根4用戶使用手冊(cè)光盤1張5客戶管理軟件安裝光盤1張6產(chǎn)品合格證1張7效勞卡1張【建議】：取出設(shè)備后，不要將外包裝丟棄，在需要搬運(yùn)時(shí)，請(qǐng)務(wù)必使用原包裝，它是為您的公司隔離網(wǎng)閘X-GAP專門設(shè)計(jì)的包裝，具備良好的防震功能。每當(dāng)您需要維修效勞時(shí)也最好用原包裝將隔離網(wǎng)閘X-GAP設(shè)備返回到公司公司的維修效勞部門。公司隔離網(wǎng)閘X-GAP前面板外觀見圖2-1：圖2-1：X-GAP網(wǎng)閘產(chǎn)品外觀圖公司隔離網(wǎng)閘X－GAP用戶操作手冊(cè)網(wǎng)閘內(nèi)端機(jī)網(wǎng)閘外端機(jī)電源風(fēng)扇電源插座鍵盤接口網(wǎng)卡1網(wǎng)卡0網(wǎng)閘內(nèi)端機(jī)網(wǎng)閘外端機(jī)電源風(fēng)扇電源插座鍵盤接口網(wǎng)卡1網(wǎng)卡0顯示器接口SCSI接口SCSI接口電源風(fēng)扇電源風(fēng)扇電源插座鍵盤接口網(wǎng)卡1網(wǎng)卡0顯示器接口SCSI接口SCSI接口圖2-2：X-GAP網(wǎng)閘產(chǎn)品反面外觀圖2.4安裝準(zhǔn)備在安裝網(wǎng)閘X-GAP產(chǎn)品之前，應(yīng)當(dāng)安排必要的時(shí)間，為準(zhǔn)備事項(xiàng)作好預(yù)期的準(zhǔn)備工作。這里為用戶提供必要的X-GAP安裝準(zhǔn)備的建議，主要包括安裝前的準(zhǔn)備工作、安裝前的測(cè)試工作、準(zhǔn)備書面的安裝信息及步驟，供用戶參考。對(duì)于具有安裝網(wǎng)閘X-GAP經(jīng)驗(yàn)的工程師，可以跳過該節(jié)內(nèi)容?！咎崾尽浚壕W(wǎng)閘X-GAP的安裝本身并不復(fù)雜，但特別強(qiáng)調(diào)在安裝網(wǎng)閘產(chǎn)品之前的準(zhǔn)備工作尤其是書面的準(zhǔn)備十分必要。2.4.1安裝前的準(zhǔn)備工作不要急于安裝設(shè)備。坐下來，拿出紙和筆，寫一個(gè)詳細(xì)的書面安裝方案。內(nèi)容至少包括如下信息：網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖；網(wǎng)絡(luò)IP地址分配，掩碼，網(wǎng)關(guān)和路由信息；網(wǎng)閘的IP地址，掩碼，網(wǎng)關(guān)和路由信息；網(wǎng)閘的平安管理員，用戶和主機(jī)的訪問策略；網(wǎng)閘的備份；網(wǎng)閘的電力保證與備份；網(wǎng)閘的位置與物理平安。2.4.2安裝前的測(cè)試工作安裝前的測(cè)試，有兩個(gè)內(nèi)容，一是指網(wǎng)閘X-GAP設(shè)備本身安裝前的測(cè)試，二是網(wǎng)絡(luò)在網(wǎng)閘安裝前的斷開測(cè)試。網(wǎng)閘設(shè)備本身的測(cè)試，主要是開箱檢查和開機(jī)檢查。用戶根據(jù)廠商提供的資料進(jìn)行一一檢查就可以。遇到問題，用戶不應(yīng)該自己動(dòng)手處理，而應(yīng)該立即同廠商聯(lián)系，由廠商來解決存在的問題。網(wǎng)閘X-GAP是一個(gè)網(wǎng)絡(luò)隔離設(shè)備，但并不能保證兩個(gè)網(wǎng)絡(luò)的其他地方不存在連接。如內(nèi)網(wǎng)的用戶存在撥號(hào)上網(wǎng)的，或存在其它的連接通道。圖2－3是一個(gè)典型的存在潛通道的網(wǎng)絡(luò)。在這種情況下，盡管安裝了網(wǎng)絡(luò)隔離設(shè)備，內(nèi)網(wǎng)和外網(wǎng)還有其他的連接鏈路。網(wǎng)閘網(wǎng)閘X-GAP隔離內(nèi)外網(wǎng)絡(luò)內(nèi)網(wǎng)外網(wǎng)私自撥號(hào)連接外網(wǎng)圖2-3：旁路連接示意圖網(wǎng)絡(luò)隔離斷開的檢查是保證網(wǎng)絡(luò)隔離斷開的根本保障措施。通過物理確認(rèn)的檢查方法，定期的進(jìn)行檢查。也可以采用防外聯(lián)的專業(yè)軟件檢查工具，也可以向廠商單獨(dú)購置一個(gè)隔離斷開的檢查軟件。2.5網(wǎng)閘X-GAP硬件安裝公司隔離網(wǎng)閘X-GAP機(jī)箱符合工業(yè)機(jī)柜的標(biāo)準(zhǔn)，它的標(biāo)準(zhǔn)高度為2U，可以順利的安裝到19〞標(biāo)準(zhǔn)機(jī)柜中去，該機(jī)箱是以固定方式安裝，防止在機(jī)柜中抽拉。2.5.1準(zhǔn)備工作準(zhǔn)備一條直連或交叉網(wǎng)線和一臺(tái)用于管理公司隔離網(wǎng)閘X-GAP的帶網(wǎng)卡的計(jì)算機(jī)〔PC機(jī)〕，做為X-GAP的管理主機(jī)。2.5.2安裝須知及考前須知為了防止由于環(huán)境原因而導(dǎo)致的機(jī)器故障，請(qǐng)您在安裝公司隔離網(wǎng)閘X-GAP時(shí)，注意遵循如下平安指導(dǎo)方針：建議公司X-GAP工作于標(biāo)準(zhǔn)的機(jī)房環(huán)境中；請(qǐng)不要把公司X-GAP堆放在其它設(shè)備上，建議安裝于標(biāo)準(zhǔn)的19英寸機(jī)架上。封閉機(jī)架必須有足夠的通風(fēng)條件，確保機(jī)架不是過分擁擠，設(shè)備機(jī)架的外側(cè)應(yīng)該具有百葉窗板，并且有風(fēng)扇以冷卻空氣。在開放機(jī)架上安裝機(jī)箱時(shí)，確保機(jī)架的構(gòu)架不會(huì)擋住進(jìn)氣口或排氣口。如果機(jī)箱是滑動(dòng)安裝的，當(dāng)沿滑槽把它固定到機(jī)架上時(shí)，注意檢查其位置。在連接電源線之前請(qǐng)仔細(xì)檢查公司X-GAP的電源開關(guān)是否處于關(guān)閉的狀態(tài)。通電之前再檢查工作區(qū)域可能存在的危險(xiǎn)。例如，地面潮濕，電線沒有接地，接地是否可靠，線包皮磨損等。請(qǐng)不要將X-GAP放置在有水的地方，也不要讓液體進(jìn)入X-GAP，同樣將X-GAP放置在遠(yuǎn)離熱源的地方。請(qǐng)將X-GAP放置在平坦、干凈的固定平臺(tái)，應(yīng)當(dāng)盡量使用UPS不間斷電源?！咎崾尽浚河脩粼诎惭bX-GAP的過程中，最好佩帶防靜電手環(huán)。2.5.3安裝步驟公司X-GAP設(shè)備可以放置在桌面上，也可以安裝在一個(gè)標(biāo)準(zhǔn)的19英寸機(jī)架上。如果是安裝在19英寸機(jī)架上時(shí)，那么需要一個(gè)十字螺絲刀、設(shè)備架安裝工具和四個(gè)與設(shè)備架相匹配的螺絲。用X-GAP產(chǎn)品包中提供的電源線連接公司X-GAP網(wǎng)閘和電源插座〔確保公司X-GAP產(chǎn)品的電源供給是AC220V，同時(shí)連接電源線之前確認(rèn)公司X-GAP產(chǎn)品電源開關(guān)處于關(guān)閉狀態(tài)〕。按下表所示的連線方式連接網(wǎng)閘與其它網(wǎng)絡(luò)設(shè)備：X-GAP接口連接網(wǎng)段交換機(jī)/集線器連接路由器/連接主機(jī)外網(wǎng)口連接外網(wǎng)直接連接交叉連接內(nèi)網(wǎng)口連接內(nèi)網(wǎng)直接連接交叉連接翻開連接公司X-GAP的電源，如果線路連接正確，那么電源指示燈會(huì)變亮。按照上述安裝步驟安裝好硬件后，就可以配置公司X-GAP設(shè)備了。【警告】：請(qǐng)不要帶電插拔電纜，注意操作電源的平安。如果電源指示燈未變亮并發(fā)現(xiàn)不出問題，請(qǐng)與銷售商聯(lián)系。如果把新設(shè)備連接到局域網(wǎng)上時(shí)，請(qǐng)查閱相關(guān)設(shè)備的用戶手冊(cè)，以了解設(shè)備電源是否需要被切斷。在公司X-GAP斷電前需使用軟件關(guān)機(jī)，否那么將延長下次開機(jī)的啟動(dòng)時(shí)間，并可能喪失數(shù)據(jù)。請(qǐng)勿隨意拆卸機(jī)箱，網(wǎng)閘X-GAP設(shè)備如出現(xiàn)故障請(qǐng)與銷售商聯(lián)系，否那么公司公司將不予賠償，并不予提供售后效勞。2.6X-GAP管理軟件的安裝網(wǎng)閘X-GAP是通過X-GAP的“客戶端管理軟件〞進(jìn)行管理的，將X-GAP“客戶端管理軟件〔該軟件在隨機(jī)的光盤中〕〞安裝到準(zhǔn)備好的管理主機(jī)上，即可實(shí)現(xiàn)對(duì)X-GAP的平安管理?！翱蛻舳斯芾碥浖暤膽?yīng)用平臺(tái)為Windows操作系統(tǒng)。只有網(wǎng)閘的平安管理員才可以使用該軟件。【注意1】：X-GAP的“客戶端軟件〞必須安裝在網(wǎng)閘內(nèi)端機(jī)一側(cè)，不能安裝在網(wǎng)閘外端機(jī)即外部代理效勞器一側(cè)?！咀⒁?】：不能在外網(wǎng)配置和管理公司X-GAP網(wǎng)閘，這是由該網(wǎng)閘產(chǎn)品的平安設(shè)計(jì)原那么所決定的，只有這樣才能有效確實(shí)保X-GAP的平安策略不被外網(wǎng)黑客篡改，確保內(nèi)網(wǎng)平安。將安裝光盤插入管理主機(jī)的光驅(qū)雙擊Gapconf-setup，屏幕彈出如圖2-4所示的“歡送使用〞對(duì)話框；圖2-4：管理軟件安裝示意圖一單擊“下一步〞屏幕彈出如圖2-5所示的“安裝目錄提示〞對(duì)話框，在此可修改客戶端管理軟件的安裝目錄；圖2-5：管理軟件安裝示意圖二單擊“下一步〞彈出如圖2－6所錄確實(shí)認(rèn)安裝對(duì)話框；圖2-6：管理軟件安裝示意圖三單擊“下一步〞系統(tǒng)開始自動(dòng)安裝“客戶端管理〞軟件，安裝完成后彈出如圖2－7所示的“安裝完成提示〞對(duì)話框，圖2-7：管理軟件安裝示意圖四單擊“完成〞按鈕，X-GAP“客戶端管理〞軟件安裝成功。2.7啟動(dòng)網(wǎng)閘及管理軟件2.7.1開啟網(wǎng)閘設(shè)備翻開網(wǎng)閘X-GAP電源開關(guān)后，大約90秒后網(wǎng)閘啟動(dòng)完成。2.7.2修改管理主機(jī)IP地址假設(shè)“管理主機(jī)〞與“網(wǎng)閘〞之間通過“交換機(jī)〞相連，那么“管理主機(jī)〞必須同X-GAP網(wǎng)閘的“內(nèi)端機(jī)〞處于同一網(wǎng)段才可登錄網(wǎng)閘對(duì)其進(jìn)行配置管理，所以首次通過管理主機(jī)登錄X-GAP網(wǎng)閘之前，必須先修改“管理主機(jī)〞的IP地址使其與網(wǎng)閘的“內(nèi)端機(jī)〞處于同一網(wǎng)段。公司X-GAP網(wǎng)閘出廠時(shí)默認(rèn)“內(nèi)端機(jī)〞的IP地址為，用戶可將“管理主機(jī)〞的IP地址修改為/24網(wǎng)段中的任一地址，如：修改為00。下面我們以Windows2000Professional為例，介紹如何修改“管理主機(jī)〞的IP地址：在“管理主機(jī)〞桌面上的“網(wǎng)絡(luò)鄰居〞圖標(biāo)上單擊鼠標(biāo)右鍵翻開右鍵菜單，然后單擊“屬性〞命令翻開“網(wǎng)絡(luò)鄰居〞窗口，再雙擊“本地連接〞可翻開如圖2－8所示的對(duì)話框；圖2-8：WINDOWS本地連接狀態(tài)示意圖單擊“屬性〞按鈕屏幕彈出如圖2－9所示的對(duì)話框；圖2-9：本地連接屬性示意圖點(diǎn)擊“Internet協(xié)議(TCP/IP)〞選中它，然后單擊“屬性〞按鈕屏幕彈出如圖2－10所示的對(duì)話框；圖2-10：TCP/IP協(xié)議配置示意圖在“使用下面的IP地址〞的“IP地址〞框內(nèi)修改“管理主機(jī)〞的IP地址為“00〞，掩碼“〞，然后單擊“確定〞按鈕即可；2.7.3啟動(dòng)“客戶端管理軟件〞并登錄網(wǎng)閘修改完“管理主機(jī)〞的IP地址后即可啟動(dòng)“客戶端管理軟件〞登錄X-GAP網(wǎng)閘，修改網(wǎng)閘的默認(rèn)設(shè)置，重新配置網(wǎng)閘內(nèi)、外端主機(jī)的IP地址及其它參數(shù)，使其符合本單位的實(shí)際網(wǎng)絡(luò)環(huán)境。配置完畢后，需退出“客戶端管理軟件〞再次修改“管理主機(jī)〞的IP地址使其與網(wǎng)閘“內(nèi)端機(jī)〞新的IP地址處于同一網(wǎng)段。如何重新配置網(wǎng)閘內(nèi)、外端主機(jī)的IP地址及其它各項(xiàng)參數(shù)詳見本手冊(cè)第三章的介紹，本小節(jié)只介紹如何登錄網(wǎng)閘。下面我們介紹如何啟動(dòng)網(wǎng)閘“客戶端管理軟件〞并登錄網(wǎng)閘：啟動(dòng)X-GAP網(wǎng)閘“客戶端管理軟件〞屏幕將彈出如圖2－11所示的登錄界面。網(wǎng)閘IP地址：首次啟動(dòng)顯示網(wǎng)閘出廠時(shí)缺省的IP地址，首次登錄不需要修改。只有用戶將網(wǎng)閘“內(nèi)部主機(jī)〞的IP地址修改后再次登錄時(shí)才需要修改該地址。管理員名稱：首次啟動(dòng)顯示X-GAP出廠時(shí)缺省的系統(tǒng)管理員“admin〞，首次登錄不需要更改。管理員口令：首次登錄可直接輸入admin的缺省口令“test111〞。圖2-11：管理軟件登錄窗口點(diǎn)擊“確定〞按鈕即可進(jìn)入如圖2－12所示的網(wǎng)閘配置管理主界面，具體的配置方法請(qǐng)參見第三章X-GAP系統(tǒng)配置。點(diǎn)擊“Demo進(jìn)入〞按鈕那么進(jìn)入演示頁面。圖2-12：X-GAP管理軟件主界面【提示1】：建議用戶首次登錄網(wǎng)閘后，立即按照第三章第四節(jié)有關(guān)“系統(tǒng)管理員〞局部的介紹，修改“admin〞的密碼為只有系統(tǒng)管理員知道的密碼，以免非法用戶登錄?！咎崾?】：X-GAP管理配置界面，如果持續(xù)5分鐘沒有操作，那么X-GAP的“客戶端管理軟件〞將自動(dòng)切斷與網(wǎng)閘的通信，用戶需要重新啟動(dòng)X-GAP“客戶端管理軟件〞。

第三章X-GAP系統(tǒng)配置系統(tǒng)配置管理，就是對(duì)網(wǎng)閘設(shè)備本身進(jìn)行管理，包括系統(tǒng)控制和對(duì)系統(tǒng)License、內(nèi)部主機(jī)、外部主機(jī)、冗余備份、系統(tǒng)管理員的配置和管理。X-GAP網(wǎng)閘在工作之前，必須先對(duì)該系統(tǒng)的各項(xiàng)參數(shù)進(jìn)行正確的配置，否那么X-GAP將無法完成任何請(qǐng)求和數(shù)據(jù)文件交換。本章將主要介紹如何配置X-GAP系統(tǒng)的各項(xiàng)參數(shù)，為了便于用戶更好的理解本章內(nèi)容，我們將以如圖3－1所示的網(wǎng)絡(luò)環(huán)境為例進(jìn)行介紹，內(nèi)容包括：如何更換License；如何配置“內(nèi)部主機(jī)〞的各項(xiàng)參數(shù)如何配置“外部主機(jī)〞的各項(xiàng)參數(shù)如何配置“冗余備份〞的各項(xiàng)參數(shù)如何添加或刪除“管理員〞等【實(shí)例】：假定某單位的內(nèi)網(wǎng)段“/24〞需通過交換機(jī)與X－GAP網(wǎng)閘的“內(nèi)端機(jī)〞相連，實(shí)現(xiàn)與不可信外網(wǎng)的信息交換，網(wǎng)絡(luò)拓?fù)鋱D如下：IAOA內(nèi)網(wǎng)1：/24管理主機(jī)：00日志效勞器：00WWW效勞器1：01WWW效勞器2：02DNS效勞器：3Oracle數(shù)據(jù)庫效勞器1：0Oracle數(shù)據(jù)庫效勞器2：1IA:54/24OA:00/24交換機(jī)路由器Internet圖3－1：網(wǎng)絡(luò)拓?fù)鋱D543.1系統(tǒng)配置IAOA內(nèi)網(wǎng)1：/24管理主機(jī)：00日志效勞器：00WWW效勞器1：01WWW效勞器2：02DNS效勞器：3Oracle數(shù)據(jù)庫效勞器1：0Oracle數(shù)據(jù)庫效勞器2：1IA:54/24OA:00/24交換機(jī)路由器Internet圖3－1：網(wǎng)絡(luò)拓?fù)鋱D54圖3-2：系統(tǒng)配置主界面啟動(dòng)網(wǎng)閘“客戶端管理軟件〞并按照2.7.3小節(jié)的介紹登錄網(wǎng)閘后即可進(jìn)入如圖3-2所示的“系統(tǒng)配置〞界面，該界面分左右兩局部，左邊顯示導(dǎo)航菜單，右邊顯示系統(tǒng)信息。圖3-2：系統(tǒng)配置主界面版本信息該框內(nèi)顯示網(wǎng)閘“效勞器系統(tǒng)〞及“客戶端管理軟件〞的版本信息。如圖3-2所示“效勞器系統(tǒng)〞的版本號(hào)為“V1.0〞，發(fā)布日期是2023年8月3日?！翱蛻舳斯芾碥浖暤陌姹咎?hào)為“V3.3〞，發(fā)布日期是2023年8月3日。許可證〔License〕該框內(nèi)顯示X-GAP網(wǎng)閘的產(chǎn)品名稱、產(chǎn)品序號(hào)、功能模塊及License有效期限。公司隔離網(wǎng)閘X-GAP的License分“臨時(shí)License〞和“永久License〞，它們?cè)谛问缴蠜]有區(qū)別，但功能和作用是不一樣的。“臨時(shí)License〞是有一定期限的，超過預(yù)定期限，臨時(shí)License過期，網(wǎng)閘X-GAP將無法繼續(xù)正常工作，需要更換License；“永久License〞是永久有效的，沒有期限限制，網(wǎng)閘X-GAP不會(huì)因?yàn)長icense而影響工作。X-GAP網(wǎng)閘出廠時(shí)缺省的License有效期是三個(gè)月，當(dāng)您訂購了公司隔離網(wǎng)閘X-GAP產(chǎn)品之后，需要盡快完成購置的商務(wù)事宜，以便獲得永久License，使您的工作不會(huì)因?yàn)長icense問題而受到影響。如何更換License當(dāng)您獲得延長期限或永久的License以后，可以更換License。方法是：在如圖3－2所示的頁面上單擊License框右邊的【輸入】按鈕〔此時(shí)【輸入】按鈕同時(shí)變?yōu)椤敬_定】〕，將原來的license刪除，拷貝新的license到該框，然后單擊【確定】按鈕即可。更換license后需要重新啟動(dòng)“客戶管理軟件〞，新的license才有效。系統(tǒng)效勞該區(qū)域內(nèi)有【系統(tǒng)停止】、【系統(tǒng)重啟】和【默認(rèn)設(shè)置】三個(gè)按鈕?！鞠到y(tǒng)停止】：點(diǎn)擊該按鈕將關(guān)閉網(wǎng)閘，終止網(wǎng)閘的各項(xiàng)功能，網(wǎng)絡(luò)處于完全斷開狀態(tài)。系統(tǒng)管理員應(yīng)該謹(jǐn)慎使用該功能，在確認(rèn)需要關(guān)閉網(wǎng)閘時(shí)，才使用該操作；【系統(tǒng)重啟】：點(diǎn)擊該按鈕將重新啟動(dòng)網(wǎng)閘的軟件系統(tǒng)，使X－GAP網(wǎng)閘處于激活狀態(tài)，啟動(dòng)網(wǎng)閘的各項(xiàng)平安功能。該功能通常在修改系統(tǒng)參數(shù)后或系統(tǒng)處于關(guān)閉狀態(tài)時(shí)才使用，用戶可以根據(jù)網(wǎng)絡(luò)環(huán)境的具體要求進(jìn)行操作。【默認(rèn)設(shè)置】：點(diǎn)擊該按鈕，系統(tǒng)將恢復(fù)機(jī)器出廠時(shí)的默認(rèn)配置。用戶應(yīng)當(dāng)謹(jǐn)慎使用該操作，確認(rèn)確實(shí)需要恢復(fù)系統(tǒng)默認(rèn)設(shè)置才可點(diǎn)擊該按鈕。3.2系統(tǒng)狀態(tài)點(diǎn)擊導(dǎo)航菜單“系統(tǒng)配置〞左邊的“＋〞，可翻開其配置子菜單，點(diǎn)擊“系統(tǒng)配置>>系統(tǒng)狀態(tài)〞菜單可翻開如圖3-3所示的“系統(tǒng)配置>>系統(tǒng)狀態(tài)〞界面，顯示X-GAP內(nèi)、外主機(jī)的運(yùn)行總時(shí)長、CPU占用、磁盤占用、活動(dòng)會(huì)話數(shù)等系統(tǒng)狀態(tài)信息，便于系統(tǒng)管理員對(duì)X-GAP的監(jiān)視和管理。自動(dòng)刷新：該選項(xiàng)被選中后，系統(tǒng)將每隔10秒鐘自動(dòng)刷新一次界面的狀態(tài)信息。自動(dòng)刷新只對(duì)當(dāng)前頁面有效，進(jìn)入其它配置界面后“自動(dòng)刷新〞將立即停止，返回此界面后欲想啟用自動(dòng)刷新功能需再次選中“自動(dòng)刷新〞。刷新按鈕：X－GAP網(wǎng)閘含有內(nèi)、外兩臺(tái)主機(jī)，通過選擇“內(nèi)端機(jī)〞然后點(diǎn)擊“刷新〞按鈕可查看內(nèi)端機(jī)的最新系統(tǒng)狀態(tài)。通過選擇“外端機(jī)〞然后點(diǎn)擊“刷新〞按鈕，圖3-3圖3-3：系統(tǒng)配置>>系統(tǒng)狀態(tài)運(yùn)行時(shí)長：顯示內(nèi)端機(jī)或外端機(jī)系統(tǒng)運(yùn)行的總時(shí)長，是靜態(tài)信息，無需用戶更改。CPU占用：顯示內(nèi)端機(jī)或外端機(jī)系統(tǒng)占用CPU資源的情況，是靜態(tài)信息，無需用戶更改。磁盤占用：顯示內(nèi)端機(jī)或外端機(jī)系統(tǒng)占用磁盤空間的情況，是靜態(tài)信息，無需用戶更改。活動(dòng)會(huì)話數(shù)：顯示X-GAP當(dāng)前各類會(huì)話的數(shù)量，是靜態(tài)信息，無需用戶更改。3.3內(nèi)部主機(jī)的配置公司X-GAP的“內(nèi)部主機(jī)〞位于可信的內(nèi)網(wǎng)，“內(nèi)部主機(jī)〞就是X-GAP網(wǎng)閘的內(nèi)部單邊代理效勞器，任何想通過X-GAP網(wǎng)閘的請(qǐng)求或數(shù)據(jù)傳遞和信息效勞，都必須經(jīng)過內(nèi)部代理來實(shí)現(xiàn)。所以，X-GAP網(wǎng)閘在工作之前，必須要對(duì)“內(nèi)部主機(jī)〞的各項(xiàng)參數(shù)進(jìn)行正確的配置，否那么將無法完成任何請(qǐng)求和數(shù)據(jù)文件交換。因此，“系統(tǒng)管理員〞或“配置管理員〞必須根據(jù)本單位網(wǎng)絡(luò)環(huán)境的具體要求細(xì)心配置。任何不正確的網(wǎng)絡(luò)參數(shù)配置，均可能造成網(wǎng)閘設(shè)備的不通暢，這是由網(wǎng)閘的平安原那么確定的。圖3-4：系統(tǒng)配置>>內(nèi)部主機(jī)X－GAP“內(nèi)部主機(jī)〞需要配置的參數(shù)包括主機(jī)名稱、域名、DNS、網(wǎng)關(guān)、主IP地址、從IP地址等內(nèi)容。選擇導(dǎo)航菜單“系統(tǒng)配置>>內(nèi)部主機(jī)〞即可翻開如圖3-4所示的“系統(tǒng)配置>>內(nèi)部主機(jī)〞頁面，對(duì)“圖3-4：系統(tǒng)配置>>內(nèi)部主機(jī)根本參數(shù)的配置“內(nèi)部主機(jī)〞需要配置的根本參數(shù)包括：主機(jī)名稱、域名、DNS、網(wǎng)關(guān)等。以圖3－1所示的網(wǎng)絡(luò)結(jié)構(gòu)為例，“內(nèi)部主機(jī)〞根本參數(shù)的配置方法如下：主機(jī)名稱：即網(wǎng)閘X-GAP“內(nèi)部主機(jī)〞的名稱，系統(tǒng)默認(rèn)為IA。用戶可將其修改為其它認(rèn)為適宜的名稱。域名：即網(wǎng)閘X-GAP“內(nèi)部主機(jī)〞的域名。DNS：即網(wǎng)閘X-GAP“內(nèi)部主機(jī)〞需要的DNS效勞器的IP地址，如果“內(nèi)部主機(jī)〞不需要DNS效勞器那么可不填，或填寫為“〞。網(wǎng)關(guān)：即網(wǎng)閘X-GAP“內(nèi)部主機(jī)〞需要的網(wǎng)關(guān)的IP地址，如果“內(nèi)部主機(jī)〞處于網(wǎng)關(guān)位置，那么可不填。如果內(nèi)網(wǎng)用戶訪問網(wǎng)閘“內(nèi)部主機(jī)〞時(shí)，中間隔有防火墻或路由器等設(shè)備，那么需要在此處填入防火墻或路由器等設(shè)備的IP地址，如圖3－1所示，內(nèi)網(wǎng)用戶是通過交換機(jī)與網(wǎng)閘“內(nèi)網(wǎng)機(jī)〞相連，所以此處可以不填或填寫為“〞。網(wǎng)絡(luò)接口的配置此處主要是用來配置“內(nèi)部主機(jī)〞各網(wǎng)絡(luò)接口的主IP地址，公司X－GAP網(wǎng)閘“內(nèi)部主機(jī)〞的標(biāo)準(zhǔn)配置是兩個(gè)接口。接口名：顯示“內(nèi)部主機(jī)〞各網(wǎng)絡(luò)接口的名稱，如fxp0(或em0)和fxp1(或em1)，靜態(tài)信息，無需更改。狀態(tài)：顯示“內(nèi)部主機(jī)〞各網(wǎng)絡(luò)接口的狀態(tài)，“Act〞表示激活狀態(tài)，“InAct〞表示非激活狀態(tài)，靜態(tài)信息，無需更改。主IP地址：“內(nèi)部主機(jī)〞各網(wǎng)絡(luò)接口的主IP地址，內(nèi)部主機(jī)“fxp0(或em0)〞接口出廠時(shí)缺省的主IP地址為“〞，用戶需根據(jù)本單位的實(shí)際網(wǎng)絡(luò)環(huán)境修改“內(nèi)部主機(jī)〞各接口的主IP地址，使其符合本單位的實(shí)際網(wǎng)絡(luò)環(huán)境。如圖3－1所示，可將“fxp0(或em0)〞的主IP地址修改為“54〞，“fxp1(或em1)〞接口為非激活狀態(tài)，可以保存缺省設(shè)置，需要激活該接口時(shí)，用同樣的方法將分配給該接口的主IP地址填入即可。子網(wǎng)掩碼：“內(nèi)部主機(jī)〞各網(wǎng)絡(luò)接口主IP地址的子網(wǎng)掩碼，各網(wǎng)絡(luò)接口出廠時(shí)缺省的子網(wǎng)掩碼均為“〞，一般不需要修改。從地址的配置當(dāng)內(nèi)網(wǎng)的多個(gè)應(yīng)用需要使用同一個(gè)端口訪問外網(wǎng)的多個(gè)效勞時(shí)，網(wǎng)閘的“內(nèi)部主機(jī)〞需要配置“從地址〞以滿足該需求。每個(gè)網(wǎng)絡(luò)接口可以設(shè)置多個(gè)從IP地址，數(shù)量沒有限制?！纠纭浚喝鐖D3－1所示，外網(wǎng)有“0〞和“1〞兩臺(tái)Oracle數(shù)據(jù)庫效勞器，內(nèi)網(wǎng)用戶需使用同一個(gè)端口1521訪問這兩臺(tái)效勞器。為了滿足該需求，我們可以為“內(nèi)部主機(jī)〞的fxp0(或em0)接口配置一個(gè)從IP地址“53/24〞，以便內(nèi)網(wǎng)用戶可以通過網(wǎng)閘“內(nèi)端機(jī)〞的“54：1521〞端口訪問Oracle數(shù)據(jù)庫效勞器1“0〞，通過網(wǎng)閘“內(nèi)端機(jī)〞的“53：1521〞端口訪問Oracle數(shù)據(jù)庫效勞器2“1〞。從地址的配置方法如下：點(diǎn)擊圖3－4所示頁面上的【配置從地址>>】按鈕，可彈出如圖3-5所示頁面，在該頁面上可以對(duì)“內(nèi)部主機(jī)〞各網(wǎng)絡(luò)接口的從地址進(jìn)行配置。在“接口〞框內(nèi)可選擇一個(gè)網(wǎng)絡(luò)接口，如“fxp0(或em0)〞；在“從地址〞框內(nèi)輸入與該接口對(duì)應(yīng)的從地址，如“53〞；在“子網(wǎng)掩碼〞框內(nèi)輸入與該從地址對(duì)應(yīng)的子網(wǎng)掩碼，如“〞；單擊“添加〞按鈕即可將該從地址添加到下面的列表中；假設(shè)想刪除某一從地址，那么在列表中選中該地址后單擊“刪除〞按鈕即可。圖3-5：系統(tǒng)配置>>內(nèi)部主機(jī)〔從地址配置〕添加或刪除完從地址后，必須點(diǎn)擊“確定〞按鈕才可保存這些設(shè)置，并返回圖3－4所示的頁面，假設(shè)點(diǎn)擊圖3-5：系統(tǒng)配置>>內(nèi)部主機(jī)〔從地址配置〕【注意】：對(duì)網(wǎng)閘各網(wǎng)絡(luò)接口的主IP地址或從IP地址進(jìn)行了更改操作后，必須重啟網(wǎng)閘方可生效！！3.4外部主機(jī)的配置公司X-GAP網(wǎng)閘的“外部主機(jī)〞位于不可信的外網(wǎng)，“外部主機(jī)〞就是X-GAP網(wǎng)閘的外部單邊代理效勞器，任何想通過X-GAP網(wǎng)閘的請(qǐng)求或傳遞數(shù)據(jù)和信息效勞，都必須經(jīng)過外部單邊代理來實(shí)現(xiàn)。所以，X-GAP網(wǎng)閘在工作之前，必須要對(duì)“外部主機(jī)〞的各項(xiàng)參數(shù)進(jìn)行正確的配置，否那么X-GAP將無法完成任何請(qǐng)求和數(shù)據(jù)文件交換。因此，“系統(tǒng)管理員〞或“配置管理員〞必須根據(jù)本單位網(wǎng)絡(luò)環(huán)境的具體要求細(xì)心配置。任何不正確的網(wǎng)絡(luò)參數(shù)配置，均可能造成網(wǎng)閘設(shè)備的不通暢，這是由網(wǎng)閘的平安原那么確定的。圖3-6：系統(tǒng)配置>>外部主機(jī)與X－GAP網(wǎng)閘的“內(nèi)部主機(jī)〞一樣，“外部主機(jī)〞需要配置的參數(shù)也包括主機(jī)名稱、域名、DNS、網(wǎng)關(guān)、主IP地址、從IP地址等內(nèi)容。點(diǎn)擊導(dǎo)航菜單“系統(tǒng)配置>>外部主機(jī)〞即可翻開如圖3-6所示的“系統(tǒng)配置>>外部主機(jī)〞頁面，對(duì)“外部主機(jī)〞的參數(shù)進(jìn)行修改或配置操作。配置方法與圖3-6：系統(tǒng)配置>>外部主機(jī)主機(jī)名稱：給網(wǎng)閘X-GAP“外部主機(jī)〞取的名稱，系統(tǒng)缺省為“OA〞。域名：即“外部主機(jī)〞的域名，如：。DNS：“外部主機(jī)〞需要的DNS效勞器，這里需要填寫DNS效勞器的IP地址，如圖3－1所示“外部主機(jī)〞的DNS效勞器的IP地址為“3〞。網(wǎng)關(guān)：“外部主機(jī)〞需要的網(wǎng)關(guān)地址，如圖3－1所示“外部主機(jī)〞的網(wǎng)關(guān)地址為路由器的IP地址“54〞。網(wǎng)絡(luò)接口管理：配置方法與“內(nèi)部主機(jī)〞相同，如圖3－1所示“外部主機(jī)－fxp0〞(或em0)的主IP地址為“00〞，掩碼為“〞。配置從地址：與“內(nèi)部主機(jī)〞的從地址意義相同。如圖3-1所示，假設(shè)某單位內(nèi)網(wǎng)有兩臺(tái)WWW效勞器，外網(wǎng)用戶需通過80端口訪問這兩臺(tái)WWW效勞器，那么網(wǎng)閘“外部主機(jī)〞需要配置一個(gè)從地址，如：9來滿足該需求，以便外網(wǎng)用戶可以通過網(wǎng)閘“外端機(jī)〞主地址00的80端口訪問內(nèi)網(wǎng)WWW效勞器1“01〞，通過網(wǎng)閘“外端機(jī)〞從地址9的80端口訪問內(nèi)網(wǎng)WWW效勞器2“02〞。配置方法與“內(nèi)部主機(jī)〞相同，這里不再贅述。3.5冗余備份的配置在網(wǎng)閘的應(yīng)用中，為了保證網(wǎng)絡(luò)能夠7*24小時(shí)不間斷的正常通信，通常需要采用兩臺(tái)網(wǎng)閘并聯(lián)使用的方法，稱為雙機(jī)熱備份功能。當(dāng)使用雙機(jī)熱備份時(shí)，任何時(shí)刻都只有一臺(tái)網(wǎng)閘在工作(稱為主冗余網(wǎng)閘)，另一臺(tái)網(wǎng)閘那么監(jiān)視主冗余網(wǎng)閘的工作狀態(tài)(稱為從冗余網(wǎng)閘)，當(dāng)主冗余網(wǎng)閘處于熱備的網(wǎng)口出現(xiàn)故障時(shí)，從冗余網(wǎng)閘可被自動(dòng)喚醒接替主冗余網(wǎng)閘的工作。3.5.1雙機(jī)熱備工作原理圖3－7：雙機(jī)熱備原理圖主冗余外端機(jī)真IP:00/24從冗余外端機(jī)真IP:202.94.1圖3－7：雙機(jī)熱備原理圖主冗余外端機(jī)真IP:00/24從冗余外端機(jī)真IP:01/24路由器Internet54主冗余內(nèi)端機(jī)真IP:54/24從冗余內(nèi)端機(jī)真IP:53/24內(nèi)網(wǎng)：/24交換機(jī)主冗余內(nèi)端機(jī)外端機(jī)從冗余內(nèi)端機(jī)外端機(jī)內(nèi)端機(jī)虛IP52/32外端機(jī)虛IP9/32主冗余網(wǎng)閘與從冗余網(wǎng)閘必須具有完全相同的配置，正常情況下主冗余網(wǎng)閘處理所有進(jìn)出數(shù)據(jù)，從冗余網(wǎng)閘處于后備狀態(tài)。當(dāng)主冗余網(wǎng)閘失效時(shí)，從冗余網(wǎng)閘自動(dòng)接替主冗余網(wǎng)閘的全部工作，從而保證了網(wǎng)絡(luò)的暢通。當(dāng)主冗余網(wǎng)閘恢復(fù)后，從冗余網(wǎng)閘將把所有的工作交還給主冗余網(wǎng)閘，退避為后備份狀態(tài)。3.5.2雙機(jī)熱備實(shí)現(xiàn)方法為了實(shí)現(xiàn)雙機(jī)熱備，主冗余網(wǎng)閘和從冗余網(wǎng)閘的內(nèi)端機(jī)和外端機(jī)除了要設(shè)置如圖3-7所示的真IP地址外，還必須為主冗余網(wǎng)閘和從冗余網(wǎng)閘內(nèi)端機(jī)的熱備份網(wǎng)口設(shè)置一個(gè)相同的虛IP地址，外網(wǎng)口同樣如此，如圖3-7所示。啟動(dòng)雙機(jī)熱備后，主冗余網(wǎng)閘添加虛IP為其相應(yīng)網(wǎng)口的別名，從冗余網(wǎng)閘不作處理。如果主冗余網(wǎng)閘失效，從冗余網(wǎng)閘將添加虛IP為其相應(yīng)網(wǎng)口的別名。主冗余網(wǎng)閘恢復(fù)后，從冗余網(wǎng)閘取消IP別名的設(shè)置，主冗余網(wǎng)閘再次添加虛IP為其相應(yīng)網(wǎng)口的別名。這樣網(wǎng)絡(luò)中始終只有一個(gè)有效的外網(wǎng)口虛IP和內(nèi)網(wǎng)口虛IP。3.5.3真地址與虛地址設(shè)置考前須知真地址設(shè)置考前須知如圖3-7所示，雙機(jī)熱備方式下，主冗余網(wǎng)閘和從冗余網(wǎng)閘的內(nèi)端機(jī)和外端機(jī)，其處于熱備份的網(wǎng)口都有一個(gè)真實(shí)的IP地址，這四個(gè)真實(shí)的IP地址可以根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境隨意設(shè)置，只要能夠滿足管理員可以通過管理主機(jī)登錄到網(wǎng)閘，對(duì)網(wǎng)閘進(jìn)行配置管理的需求即可。虛地址設(shè)置考前須知如圖3-7所示，雙機(jī)熱備方式下，主冗余網(wǎng)閘和從冗余網(wǎng)閘的內(nèi)端機(jī)和外端機(jī)處于熱備份的網(wǎng)口，均有一個(gè)相同的虛IP地址，本系統(tǒng)對(duì)虛IP地址的設(shè)置有如下一些限制：虛地址不能與網(wǎng)閘任一網(wǎng)口的真實(shí)地址處于同一網(wǎng)段，否那么虛地址設(shè)置不會(huì)成功。例如，網(wǎng)閘內(nèi)網(wǎng)口的真實(shí)IP地址為54/24，那么不可將/24網(wǎng)段的任何地址設(shè)為內(nèi)網(wǎng)口的虛IP地址。如果非要以網(wǎng)閘作為內(nèi)網(wǎng)/24的網(wǎng)關(guān)，那么可以采取以下兩種方案：將虛地址設(shè)為一個(gè)擁有32位掩碼的地址，如圖3-7所示的52/32，真地址不變將真地址改為其它網(wǎng)段的地址，如/24，虛地址設(shè)為/24網(wǎng)段內(nèi)的某一地址。內(nèi)網(wǎng)口的虛IP地址必須能與內(nèi)網(wǎng)通訊，外網(wǎng)口的虛IP地址必須能與Internet通訊?！咀⒁狻浚弘p機(jī)熱備工作模式下，網(wǎng)閘在內(nèi)端機(jī)的虛IP上提供外出訪問效勞，在外端機(jī)的虛IP上提供準(zhǔn)入訪問效勞！3.5.4“冗余備份〞的配置圖3-8冗余備份配置界面啟動(dòng)雙機(jī)熱備前，首先要正確設(shè)置兩臺(tái)網(wǎng)閘中關(guān)于“冗余備份〞的各項(xiàng)參數(shù)，需要設(shè)置的參數(shù)包括：內(nèi)端機(jī)的虛IP地址、外端機(jī)的虛IP地址、冗余級(jí)別(即主從地位)等，配置界面如圖3-8所示。圖3-8冗余備份配置界面“冗余備份〞的配置內(nèi)網(wǎng)機(jī)的“網(wǎng)口〞框內(nèi)用來輸入內(nèi)網(wǎng)機(jī)用于熱備的網(wǎng)口的名稱，如em0或fxp0等；在內(nèi)網(wǎng)機(jī)的“虛IP地址/掩碼〞框內(nèi)可以輸入內(nèi)網(wǎng)口的虛IP地址及掩碼，如：52/32；在外網(wǎng)機(jī)的“網(wǎng)口〞框內(nèi)用來輸入外網(wǎng)機(jī)用于熱備的網(wǎng)口的名稱，如em0或fxp0等；在外網(wǎng)機(jī)的“虛IP地址/掩碼〞框內(nèi)可以輸入外網(wǎng)口的虛IP地址及掩碼，如：9/32；選擇冗余級(jí)別，在兩臺(tái)機(jī)器均正常工作的情況下，設(shè)為“主冗余〞的網(wǎng)閘處于運(yùn)行狀態(tài)，設(shè)為“從冗余〞的網(wǎng)閘處于后備份狀態(tài)?！咀⒁狻浚褐魅哂嗑W(wǎng)閘和從冗余網(wǎng)閘內(nèi)網(wǎng)口的虛IP地址必須相同，外網(wǎng)口的虛IP地址也必須相同??！“冗余備份〞的狀態(tài)控制配置好“冗余備份〞的各項(xiàng)參數(shù)后，必須啟動(dòng)“冗余備份〞效勞，使其狀態(tài)處于“效勞運(yùn)行中…〞，雙機(jī)熱備功能才有效。假設(shè)“冗余備份〞當(dāng)前狀態(tài)為“停止效勞〞狀態(tài)，那么可通過單擊“開啟〞按鈕開啟該效勞。配置或修改完“冗余備份〞的任一參數(shù)后，必須重新啟動(dòng)“冗余備份〞效勞，否那么新配置不起作用。3.6系統(tǒng)管理員X－GAP的管理員分“系統(tǒng)管理員〞、“配置管理員〞和“日志管理員〞三種類型。出廠時(shí)只有一個(gè)缺省的“系統(tǒng)管理員〞，管理員名稱為“admin〞，密碼為“test111〞。“系統(tǒng)管理員〞擁有超級(jí)權(quán)限，可以添加或刪除其它“管理員〞。系統(tǒng)管理員：是X－GAP網(wǎng)閘的超級(jí)管理員，能夠執(zhí)行客戶端管理軟件導(dǎo)航菜單開放的各種配置和操作。例如X-GAP系統(tǒng)缺省的admin就是擁有超級(jí)權(quán)限的“系統(tǒng)管理員〞。配置管理員：是X－GAP網(wǎng)閘的配置管理員，除導(dǎo)航菜單中“系統(tǒng)管理〞和“審計(jì)管理〞對(duì)應(yīng)的功能不能操作外，其它菜單所對(duì)應(yīng)的配置管理功能均有權(quán)操作。日志管理員：是X－GAP網(wǎng)閘的日志管理員，只能執(zhí)行導(dǎo)航菜單中“審計(jì)管理〞菜單對(duì)應(yīng)的功能。圖3-9：系統(tǒng)配置>>系統(tǒng)管理員點(diǎn)擊導(dǎo)航菜單“系統(tǒng)配置－系統(tǒng)管理員〞可翻開如圖3-9所示的“系統(tǒng)配置－系統(tǒng)管理員〞配置頁面，進(jìn)行添加、刪除管理員等操作。圖3-9：系統(tǒng)配置>>系統(tǒng)管理員如何添加管理員【提示】：只有“系統(tǒng)管理員〞擁有添加、刪除管理員的權(quán)限，所以添加或刪除管理員必須首先以“系統(tǒng)管理員〞的身分登錄網(wǎng)閘！！以“系統(tǒng)管理員〞的身份登錄網(wǎng)閘后，點(diǎn)擊導(dǎo)航菜單“系統(tǒng)配置>>系統(tǒng)管理員〞翻開如圖3－9所示的配置頁面；在“管理員類型〞框內(nèi)選擇管理員的類型；在“帳號(hào)〞欄內(nèi)輸入管理員名稱，只能是數(shù)字、字母或漢字，最短不得少于2個(gè)字符，最長不得多于16個(gè)字符；在“密碼〞欄內(nèi)輸入管理員的密碼，只能是字母、數(shù)字或下劃線，最短不得少于6位，最長不得超過16位。在“密碼確認(rèn)〞框內(nèi)重新輸入密碼；最后單擊“添加〞按鈕即可將該管理員添加到下面的列表中；如何刪除一位管理員以“系統(tǒng)管理員〞的身份登錄網(wǎng)閘后，在管理員列表中選中要?jiǎng)h除的管理員，然后單擊“刪除〞按鈕即可刪除該管理員。

第四章外出訪問效勞“外出訪問效勞〞就是在允許可信的內(nèi)網(wǎng)訪問不可信的外網(wǎng)時(shí)，X-GAP網(wǎng)閘所提供的各種應(yīng)用代理效勞，使可信內(nèi)網(wǎng)的用戶能夠通過這些應(yīng)用代理訪問不可信外網(wǎng)的各種資源和應(yīng)用效勞?！巴獬鲈L問效勞〞準(zhǔn)許內(nèi)部用戶外出訪問，但禁止外部用戶訪問內(nèi)部。公司X-GAP網(wǎng)閘的“外出訪問效勞〞支持HTTP、FTP、POP3、SMPT等代理效勞。通過對(duì)各代理效勞的配置，不僅可使內(nèi)網(wǎng)用戶自由的進(jìn)行WWW瀏覽、FTP文件傳輸、收郵件和發(fā)郵件等，而且還可以對(duì)這些效勞進(jìn)行內(nèi)容過濾和訪問控制。本章主要介紹如何配置各類“外出訪問效勞〞，如何根據(jù)內(nèi)部平安需要對(duì)各類“外出訪問〞進(jìn)行內(nèi)容過濾和訪問控制?！咎崾尽浚汗靖綦x網(wǎng)閘X-GAP8500型號(hào)支持外出訪問效勞，購置X-GAP8500型號(hào)的用戶應(yīng)當(dāng)閱讀該章節(jié)的內(nèi)容。X-GAP8100和X-GAP8200型號(hào)不支持外出訪問效勞，購置這些型號(hào)的用戶可以跳過該章節(jié)的內(nèi)容。4.1配置“瀏覽〞效勞“瀏覽效勞〞即“HTTP信息交換效勞〞，為可信內(nèi)網(wǎng)用戶通過X－GAP網(wǎng)閘訪問不可信外網(wǎng)的目標(biāo)地址或目標(biāo)地址域提供信息交換效勞。具體的工作過程如下：如果“配置管理員〞進(jìn)行“HTTP代理配置〞，允許X－GAP網(wǎng)閘進(jìn)行HTTP代理效勞通信，以提供隔離網(wǎng)絡(luò)環(huán)境下訪問WWW的應(yīng)用效勞。網(wǎng)閘中的HTTP代理就會(huì)根據(jù)配置檢查所需的請(qǐng)求，對(duì)于不符合連接要求的請(qǐng)求那么中斷該請(qǐng)求，對(duì)于符合要求的請(qǐng)求那么由HTTP代理通過網(wǎng)閘的開關(guān)系統(tǒng)把請(qǐng)求傳遞給網(wǎng)閘的外部代理效勞器，并對(duì)非信任網(wǎng)絡(luò)的效勞器發(fā)送請(qǐng)求。因此，任何一次連接需要兩個(gè)請(qǐng)求，也就是需要兩個(gè)B/S結(jié)構(gòu)。網(wǎng)閘的外部代理效勞器把請(qǐng)求回來的數(shù)據(jù)經(jīng)過內(nèi)容過濾等匹配檢查后，剝離出“裸數(shù)據(jù)〞通過網(wǎng)閘的開關(guān)系統(tǒng)把請(qǐng)求回來的信息傳遞給網(wǎng)閘的內(nèi)部代理效勞器〔前提是網(wǎng)閘的開關(guān)系統(tǒng)已經(jīng)切換到外部代理效勞器，否那么處于等待狀態(tài)〕。網(wǎng)閘的開關(guān)系統(tǒng)進(jìn)行了切換，與外部代理效勞器斷開，并和內(nèi)部代理效勞器建立了連接，由HTTP代理效勞負(fù)責(zé)對(duì)請(qǐng)求回來的數(shù)據(jù)進(jìn)行內(nèi)容檢查和過濾。HTTP代理對(duì)請(qǐng)求回來的數(shù)據(jù)進(jìn)行平安性檢查，如果不符合要求，那么拒絕該數(shù)據(jù)，并斷開連接，如果符合要求，就會(huì)根據(jù)最初由“配置管理員〞設(shè)定的平安策略，對(duì)數(shù)據(jù)源進(jìn)行重新打包，將數(shù)據(jù)傳送至目的地，同時(shí)對(duì)開關(guān)系統(tǒng)存儲(chǔ)介質(zhì)上的數(shù)據(jù)進(jìn)行去除。總之，任何一次內(nèi)、外網(wǎng)的數(shù)據(jù)交換均是通過雙向的HTTP代理的方式實(shí)現(xiàn)的，即進(jìn)行了兩次B/S請(qǐng)求和應(yīng)答。在每一次請(qǐng)求或應(yīng)答之前均完全剝離TCP/IP協(xié)議，進(jìn)行徹底的平安檢查，通過了檢查的才進(jìn)行下一次的請(qǐng)求或應(yīng)答，未能通過在會(huì)話過程中的任何一次檢查的，那么中斷通信，阻止連接，并進(jìn)行嚴(yán)格的日志記錄。本節(jié)主要介紹如何配置“瀏覽效勞〞〔即HTTP代理效勞〕，如何根據(jù)內(nèi)部平安需要對(duì)“瀏覽效勞〞進(jìn)行內(nèi)容過濾和訪問控制。4.1.1瀏覽效勞要想使可信內(nèi)網(wǎng)的用戶能夠通過網(wǎng)閘X-GAP訪問不可信外網(wǎng)的“WWW效勞器〞，實(shí)現(xiàn)外出瀏覽效勞，除了要正確配置網(wǎng)閘端的“外出訪問效勞－瀏覽〞效勞外，還必須正確配置客戶端的應(yīng)用程序即“瀏覽器〞。下面我們以圖3－1所示的網(wǎng)絡(luò)環(huán)境為例，介紹如何配置網(wǎng)閘端的“外出訪問效勞－瀏覽〞效勞和客戶端的應(yīng)用程序，如“InternetExplorer〞，才能使可信內(nèi)網(wǎng)的用戶能夠通過網(wǎng)閘訪問不可信外網(wǎng)的“WWW效勞器〞，實(shí)現(xiàn)外出瀏覽效勞。配置X－GAP網(wǎng)閘的“外出訪問效勞>>瀏覽〞效勞需要完成如下三個(gè)步驟：定義“準(zhǔn)出交換規(guī)那么〞：即在“準(zhǔn)出交換效勞－定制TCP〞中添加一條“代理地址及端口〞為網(wǎng)閘“內(nèi)端機(jī)IP地址及端口〞，“目標(biāo)地址和端口〞為“：80〞的準(zhǔn)出交換規(guī)那么；重新啟動(dòng)“準(zhǔn)出交換效勞－定制TCP〞效勞；重新啟動(dòng)“外出訪問效勞－瀏覽效勞〞。如何定義“準(zhǔn)出交換規(guī)那么〞圖4-1：準(zhǔn)出交換效勞>>定制TCP單擊導(dǎo)航菜單“準(zhǔn)出交換效勞－定制TCP〞可翻開如圖4－1所示的頁面；圖4-1：準(zhǔn)出交換效勞>>定制TCP圖4-2：準(zhǔn)出交換效勞>>定制TCP〔效勞規(guī)那么管理〕單擊“效勞/規(guī)那么管理〞按鈕，可翻開如圖4－2所示的窗口；圖4-2：準(zhǔn)出交換效勞>>定制TCP〔效勞規(guī)那么管理〕在“標(biāo)識(shí)名〞框內(nèi)填寫自己熟悉并能夠識(shí)別的“規(guī)那么名稱〞，如：httpout〔注意：每個(gè)規(guī)那么的標(biāo)識(shí)名必須是唯一的，不能重復(fù)，標(biāo)識(shí)名可以包含字母或數(shù)字〕；代理地址/端口：即網(wǎng)閘“內(nèi)部主機(jī)〞的IP地址，可以設(shè)置為“內(nèi)部主機(jī)〞某一網(wǎng)口的具體的IP地址，如：54，也可以設(shè)置為:80?！?80〞可以表示“內(nèi)部主機(jī)〞的任意IP地址。建議用戶設(shè)置為:80，因?yàn)檫@樣設(shè)置，當(dāng)發(fā)生以下幾種情況時(shí)該規(guī)那么仍適用，不需要再添加或修改規(guī)那么。當(dāng)“內(nèi)部主機(jī)〞的IP地址發(fā)生變化時(shí)；當(dāng)“內(nèi)部主機(jī)〞除了主地址還配有從地址時(shí)；當(dāng)啟用“雙機(jī)熱備〞功能時(shí)，目標(biāo)地址/端口：即：80。以上內(nèi)容全部填充完畢后，點(diǎn)擊“添加〞按鈕，即可將該規(guī)那么添加到下面的列表中；點(diǎn)擊“確定〞按鈕保存規(guī)那么，假設(shè)點(diǎn)擊“取消〞按鈕那么表示不保存規(guī)那么。重啟“準(zhǔn)出交換效勞>>定制TCP〞效勞添加或刪除準(zhǔn)出交換效勞規(guī)那么后，必須重新啟動(dòng)“準(zhǔn)出交換效勞－定制TCP〞效勞，添加或刪除操作才會(huì)生效。假設(shè)如圖4－1所示“準(zhǔn)出交換效勞>>定制TCP〞的當(dāng)前狀態(tài)為“效勞運(yùn)行中…〞，那么需要先單擊“停止〞按鈕停止效勞，然后再單擊“開啟〞按鈕重新啟動(dòng)該效勞，剛剛添加的規(guī)那么才生效。假設(shè)如圖4－1所示“準(zhǔn)出交換效勞>>定制TCP〞的當(dāng)前狀態(tài)為“停止效勞〞狀態(tài)，那么需單擊“開啟〞按鈕開啟“準(zhǔn)出交換效勞>>定制TCP〞效勞。開啟后最好再點(diǎn)擊一下“刷新〞按鈕，確認(rèn)效勞確實(shí)為“開啟〞狀態(tài)。重啟“外出訪問效勞>>瀏覽〞效勞圖4-3：外出訪問效勞>>瀏覽點(diǎn)擊導(dǎo)航菜單“外出訪問效勞>>瀏覽〞，翻開如圖4-3所示的“圖4-3：外出訪問效勞>>瀏覽檢查“外出訪問效勞>>瀏覽〞效勞的當(dāng)前狀態(tài)，假設(shè)為“效勞停止〞狀態(tài)，那么單擊“開啟〞按鈕即可開啟該效勞；假設(shè)為“效勞運(yùn)行中〞，那么需先單擊“停止〞按鈕停止該效勞，然后再單擊“開啟〞按鈕重新啟動(dòng)該效勞，最后點(diǎn)擊“刷新〞按鈕確認(rèn)當(dāng)前狀態(tài)為“效勞運(yùn)行中…〞。如何設(shè)置“瀏覽器〞下面我們以InternetExplorer5.0為例，介紹如何正確的設(shè)置客戶端的“瀏覽器〞才可實(shí)現(xiàn)“外出訪問效勞>>瀏覽〞效勞。方法如下：在客戶端啟動(dòng)“InternetExplorer5.0〞應(yīng)用程序；選擇“工具〞菜單下的“Internet選項(xiàng)〞命令，翻開“Internet選項(xiàng)〞窗口；單擊“連接〞頁簽，再單擊該頁面上的“局域網(wǎng)設(shè)置〞按鈕，翻開“局域網(wǎng)〔LAN〕設(shè)置〞窗口；選中“使用代理效勞器〞選項(xiàng)，并在“地址〞欄內(nèi)輸入網(wǎng)閘“內(nèi)端機(jī)〞的IP地址，如：“54〞，在“端口〞框內(nèi)輸入與“準(zhǔn)出交換規(guī)那么〞一致的端口號(hào)“80〞。需要注的是，假設(shè)是啟用了“雙機(jī)熱備〞功能，那么客戶端“瀏覽器〞的“代理效勞器〞地址應(yīng)設(shè)置為網(wǎng)閘“內(nèi)端機(jī)〞的虛IP地址，如圖3-7所示的52。單擊“確定〞按鈕，保存設(shè)置后即可成功訪問外網(wǎng)的WWW效勞器。假設(shè)需要對(duì)“瀏覽效勞〞進(jìn)行內(nèi)容過濾或訪問控制，那么可進(jìn)一步對(duì)“HTTP請(qǐng)求〞、“HTTP內(nèi)容〞和“高級(jí)選項(xiàng)〞進(jìn)行配置，詳見4.1.2、4.1.3和4.1.4小節(jié)的介紹。4.1.2“HTTP請(qǐng)求〞控制完成了4.1.1小節(jié)所述的配置后，實(shí)現(xiàn)了內(nèi)網(wǎng)用戶在X-GAP網(wǎng)閘的隔離保護(hù)下訪問不可信外網(wǎng)“WWW效勞器〞的瀏覽效勞，但如需對(duì)“瀏覽效勞〞實(shí)行內(nèi)容過濾和訪問控制，那么還需要對(duì)“HTTP請(qǐng)求〞、“HTTP內(nèi)容〞和“高級(jí)選項(xiàng)〞進(jìn)行配置。本小節(jié)主要介紹如何配置“HTTP請(qǐng)求〞，有關(guān)“HTTP內(nèi)容〞和“高級(jí)選項(xiàng)〞的配置參見4.1.3和4.1.4小節(jié)的介紹。圖4-4：外出訪問效勞>>瀏覽>>HTTP請(qǐng)求對(duì)“HTTP請(qǐng)求〞的控制主要包括對(duì)“協(xié)議、HTTP方法、目標(biāo)域和URL〞等的控制。點(diǎn)擊導(dǎo)航菜單“外出訪問>>瀏覽>>HTTP請(qǐng)求〞，可翻開如圖4-4所示的頁面。圖4-4：外出訪問效勞>>瀏覽>>HTTP請(qǐng)求允許協(xié)議在該區(qū)域，用戶可根據(jù)自己的需要對(duì)“瀏覽效勞〞所使用的相應(yīng)協(xié)議作出選擇，主要包括HTTP、HTTPS等協(xié)議?！咎崾尽浚褐羞x擇允許“https〞協(xié)議時(shí)，必須同時(shí)選中“允許http方法〞中的“其它〞方法，并必須允許使用“head〞和“connect〞兩個(gè)方法。假設(shè)只是選擇允許“https〞協(xié)議，而不允許使用“head〞和“connect〞兩個(gè)方法，那么“https〞協(xié)議無效。http協(xié)議：超文本傳輸協(xié)議。當(dāng)用戶在瀏覽器地址欄輸入一個(gè)網(wǎng)站地址或者單擊一個(gè)超級(jí)鏈接時(shí)，就確定了要瀏覽的地址。然后，瀏覽器需要通過http協(xié)議將Web效勞器站點(diǎn)上的網(wǎng)頁代碼提取出來，并翻譯成漂亮的網(wǎng)頁。https協(xié)議：使用http協(xié)議，在網(wǎng)絡(luò)上傳輸?shù)氖菦]有加密的明文。假設(shè)要求平安傳輸，那么要使用支持SSL的https協(xié)議。允許HTTP方法在該區(qū)域，用戶可對(duì)標(biāo)準(zhǔn)HTTP協(xié)議所提供的HTTP方法進(jìn)行控制，明確內(nèi)網(wǎng)到外網(wǎng)的訪問是允許還是不允許使用這些方法通過。例如在HTTP應(yīng)用協(xié)議中，GET命令和POST命令就具有一定的平安風(fēng)險(xiǎn)，“配置管理員〞可以根據(jù)平安策略和實(shí)際要求對(duì)這些方法進(jìn)行限制或有限制地允許通過。http方法get：用來取回請(qǐng)求URI〔request－URI〕標(biāo)志的任何信息，并以實(shí)體的形式返回。http方法post：用來要求效勞器保存請(qǐng)求包中的實(shí)體信息。例如，中選中了post后，就會(huì)允許用戶將信息發(fā)布到BBS、新聞組或郵件列表中。其它方法：假設(shè)用戶需要使用其它http方法，可選中“其它〞，并在后面的文本框中填入，如options、head等?！咎崾尽浚号渲霉芾韱T應(yīng)當(dāng)小心設(shè)置“允許的HTTP方法〞，任何HTTP方法的選擇和設(shè)置均會(huì)對(duì)