安全隔離網(wǎng)閘功能詳細配置

平安隔離網(wǎng)閘功能詳細配置目錄01、登錄管理02、無客戶端文件交換03、有客戶端文件交換04、數(shù)據(jù)庫同步05、平安瀏覽06、FTP訪問07、郵件傳輸08、數(shù)據(jù)庫傳輸09、定制訪問10、高可靠性11、消息模塊12、統(tǒng)一用戶認證13、平安通道14、數(shù)據(jù)交換提綱1、登錄管理2、模塊介紹前期工作準備工作管理方式登錄網(wǎng)閘功能概要WEB配置客戶端配置(如果有)根本步驟本卷須知1.1.1登錄管理－前期工作－拆箱檢查請按裝箱清單檢查所有配件：平安隔離網(wǎng)閘隨機光盤電源線網(wǎng)線串口線安裝支架保修卡

1.1.2登錄管理－前期工作－用戶注冊1、填寫保修回執(zhí)卡，成為我司永遠效勞對象。

2、在線效勞：://leadsec。3、產品注冊，以便將新技術成果及時傳遞給您！1.2登錄管理－準備工作1、接通電源，聽到“滴滴滴〞后，啟動完畢；

2、選用一帶Windows系統(tǒng)PC作為管理主機；3、使用交叉線，管理網(wǎng)閘。1.3登錄管理－管理方式支持多種管理方式：串口命令行管理-常用于災難的恢復工作

Web頁面管理----常用于正常管理

SSH遠程管理----常用于管理調試

集中管理-------方便管理1.4.1登錄管理－登錄網(wǎng)閘－概述假設需更新證書管理網(wǎng)閘，那么需導入IE新證書和與之配套的網(wǎng)閘新證書，步驟如下：1、使用默認證書登錄網(wǎng)閘；2、導入網(wǎng)閘新證書，并啟用；3、導入IE瀏覽器新證書。1.4.2登錄管理－登錄網(wǎng)閘－網(wǎng)閘證書導入 2、在本地計算機文件夾中再選擇admin.pem對應網(wǎng)閘中的管理員證書，點擊“導入〞。1.4.2登錄管理－登錄網(wǎng)閘－網(wǎng)閘證書導入導入證書后選擇生效選項1.4.2登錄管理－登錄網(wǎng)閘－網(wǎng)閘證書導入保存配置證書生效1.4.3登錄管理－登錄網(wǎng)閘－IE證書導入 在管理主機雙擊IE瀏覽器證書，按提示安裝， 密碼為“hhhhhh〞(默認證書密碼)。1.4.4登錄管理－登錄網(wǎng)閘－用戶登錄網(wǎng)閘與IE證書均導入成功后，在管理主機輸入s://網(wǎng)閘ip:8889，按證書提示點擊“確定〞。1.4.4登錄管理－登錄網(wǎng)閘－用戶登錄出現(xiàn)平安警報后點擊“是〔Y)〞就會出現(xiàn)平安隔離網(wǎng)閘登錄頁面XP系統(tǒng)請確認IE瀏覽器中internet選項->隱私選項->中的阻止彈出窗口選取去掉：如以下圖1.4.4登錄管理－登錄網(wǎng)閘－用戶登錄用戶名密碼為:administrator/administrator2.1無客戶端文件交換－功能概要支持各種類型文件在外部網(wǎng)和涉密網(wǎng)之間的平安傳輸。傳輸方式：改名傳輸、增量傳輸、發(fā)送后刪除2.2無客戶端文件交換－WEB配置第一步：選擇工作模式、啟動后臺效勞2.2無客戶端文件交換－WEB配置

第二步：添加文件交換——發(fā)送任務2.2無客戶端文件交換－WEB配置第三步：添加文件交換——接收任務

2.2無客戶端文件交換－WEB配置第四步：設置內容控制選項文件名控制內容黑名單內容白名單2.3無客戶端文件交換－根本步驟1、配置本機工作模式、啟動后臺效勞；2、配置文件交換任務——發(fā)送任務、接收任務；3、配置文件過濾選項；2.4無客戶端文件交換－本卷須知1、Windows共享目錄權限全部放開；2、除具有標準文本文件格式以外的文件均視為二進制文件；3、不支持負載均衡,支持雙機熱備；4、發(fā)送任務號與接收任務號一致，且同側任務號唯一；3.1帶客戶端文件交換－功能概要支持各種類型文件在外部網(wǎng)和涉密網(wǎng)之間的平安傳輸。傳輸方式：增量傳輸、發(fā)送后刪除3.2帶客戶端文件交換－WEB配置第一步：是否設置證書、啟動效勞3.2帶客戶端文件交換－WEB配置第二步：添加文件交換——客戶端任務3.2帶客戶端文件交換－WEB配置第二步：添加文件交換——效勞端任務3.2帶客戶端文件交換－WEB配置第三步：設置內容過濾選項文件名控制內容黑名單內容白名單3.3帶客戶端文件交換－客戶端配置

第四步：配置接收端客戶端–設置監(jiān)聽端口、接收用戶、接收任務3.3帶客戶端文件交換－客戶端配置

第五步：配置發(fā)送端客戶端–網(wǎng)閘配置、發(fā)送用戶、發(fā)送任務3.3帶客戶端文件交換－客戶端配置

第六步：啟動端效勞啟動接收端效勞：啟動發(fā)送端效勞：3.4帶客戶端文件交換－根本步驟1、網(wǎng)閘WEB配置 啟動效勞、配置客戶端和效勞端、設置過濾選項；2、客戶端配置 接收端配置：監(jiān)聽端口、接收用戶、接收任務、啟動效勞等； 發(fā)送端配置：網(wǎng)閘配置、發(fā)送用戶、發(fā)送任務、啟動效勞等；3、測試1、客戶端發(fā)送端與網(wǎng)閘客戶端相連；客戶端接收端與網(wǎng)閘效勞端相連；2、正確填寫與對端相連的證書公共名；3、發(fā)送用戶與接收用戶確定唯一任務；4、客戶端發(fā)送端測試連通性確保效勞開啟；5、客戶端之間任務號、任務名稱同側僅需唯一，無對應關系要求；6、不支持透明訪問；6、其他本卷須知見相關用戶手冊；3.5帶客戶端文件交換－本卷須知4.1數(shù)據(jù)庫同步－功能概要支持Oracle、SQLServer、Sybase、DB2等數(shù)據(jù)庫內、外網(wǎng)間的數(shù)據(jù)庫數(shù)據(jù)的同步傳輸。4.2數(shù)據(jù)庫同步－WEB配置第一步：是否設置證書、啟動效勞4.2數(shù)據(jù)庫同步－WEB配置第二步：添加客戶端任務——數(shù)據(jù)端口、消息端口4.2數(shù)據(jù)庫同步－WEB配置第三步：添加效勞端任務——數(shù)據(jù)端口、消息端口

4.3數(shù)據(jù)庫同步－客戶端配置

第四步：配置發(fā)送端客戶端–系統(tǒng)配置、通道設置4.3數(shù)據(jù)庫同步－客戶端配置

第四步：配置發(fā)送端客戶端–數(shù)據(jù)源設置、發(fā)送任務設置4.3數(shù)據(jù)庫同步－客戶端配置第五步：配置接收端客戶端–系統(tǒng)設置、數(shù)據(jù)源設置4.3數(shù)據(jù)庫同步－客戶端配置第五步：配置接收端客戶端–接收任務設置4.3數(shù)據(jù)庫同步－客戶端配置第六步：配置發(fā)送端客戶端–數(shù)據(jù)源相關操作依次操作如下：“數(shù)據(jù)源復位〞、“保存數(shù)據(jù)源配置〞、“發(fā)送配置到接收端〞4.3數(shù)據(jù)庫同步－客戶端配置第七步：配置發(fā)送端客戶端–任務調度4.4數(shù)據(jù)庫同步－根本步驟1、網(wǎng)閘WEB配置 啟動效勞、配置客戶端和效勞端；2、客戶端配置 發(fā)送端配置：系統(tǒng)設置、通道配置、數(shù)據(jù)源配置、發(fā)送任務等； 接收端配置：系統(tǒng)設置、數(shù)據(jù)源配置、接收任務等；3、測試 啟動發(fā)送端發(fā)送任務前，依次確認“數(shù)據(jù)源復位〞、“保存數(shù)據(jù)源配置〞、“發(fā)送配置到接收端〞、“任務調度->啟動發(fā)送任務〞。1、客戶端發(fā)送端與網(wǎng)閘客戶端相連；客戶端接收端與網(wǎng)閘效勞端相連；2、正確填寫與對端相連的證書公共名；3、單向網(wǎng)閘需配兩條任務(分別對應：數(shù)據(jù)端口、消息端口)，雙向同樣反方向再配兩條任務；4、內外網(wǎng)數(shù)據(jù)端口、消息端口任務號分別一致；5、消息端口任務號=內外網(wǎng)數(shù)據(jù)端口+1；6、需同步的數(shù)據(jù)表須有主鍵，且有DBA權限；7、其他本卷須知見相關用戶手冊；4.5數(shù)據(jù)庫同步－本卷須知5.1平安瀏覽－功能概要在內外網(wǎng)隔離環(huán)境下保證內、外網(wǎng)用戶平安瀏覽外網(wǎng)資源。多種用戶認證：本機認證；第三方Radius認證；第三方LDAP認證；內容過濾全面：頁面過濾：ActiveX、Cookie、JavaApplet、Script；URL過濾；文件名過濾；MIME類型過濾；多種訪問方式：透明訪問、普通訪問5.2平安瀏覽－WEB配置第一步：啟動效勞5.2平安瀏覽－WEB配置第二步：配置“客戶端〞訪問任務——透明訪問5.2平安瀏覽－WEB配置第二步：配置“客戶端〞訪問任務——普通訪問5.2平安瀏覽－WEB配置第三步：配置“效勞端〞任務

無論透明訪問，還是普通訪問，只需啟動相應效勞即可。5.2平安瀏覽－WEB配置第四步：在客戶端配置平安過濾用戶認證內容過濾5.3平安瀏覽－根本步驟設置本機監(jiān)聽參數(shù)，并啟動后臺效勞；配置任務：透明訪問/普通訪問；配置訪問過濾選項；1、客戶端配置：啟動后臺效勞；——無需配置本機監(jiān)聽參數(shù)2、效勞端配置：5.4平安瀏覽－本卷須知1、選擇HTTPS協(xié)議訪問時，不支持各內容過濾；2、透明訪問本地監(jiān)聽端口必須為80；3、透明訪問不支持平安瀏覽自帶的用戶認證；4、透明訪問時目的地址、目的端口，與真實的效勞器設置一致；5、普通訪問模式，必須在用戶IE中配置代理效勞器；6、三種認證方式：先選擇認證方式，再配置具體認證參數(shù)；7、URL過濾時，如：.sina表示禁止sina，也禁止了news.sinasports.sina等子域名。8、其他本卷須知見相關用戶手冊；6.1FTP訪問－功能概要提供內、外網(wǎng)用戶實現(xiàn)內外網(wǎng)之間的雙向的FTP訪問。訪問模式：透明訪問普通訪問6.2FTP訪問－WEB配置第一步：啟動效勞6.2FTP訪問－WEB配置第二步：配置“客戶端〞訪問任務——透明訪問6.2FTP訪問－WEB配置第二步：配置“客戶端〞訪問任務——普通訪問6.2FTP訪問－WEB配置第三步：“效勞端〞配置

啟動效勞即可，各項配置選用默認配置6.2FTP訪問－WEB配置訪問用戶過濾命令控制上傳/下載控制第四步：內容過濾6.3FTP訪問－根本步驟配置本機參數(shù)，并啟動FTP后臺效勞；配置FTP訪問任務；(透明訪問/普通訪問)配置各種過濾選項；1、客戶端配置啟動FTP后臺效勞；——無需配置本機參數(shù)2、效勞端配置6.4FTP訪問－本卷須知1、目的地址、目的端口：與真實的效勞器設置一致；2、普通訪問時，F(xiàn)TP客戶端使用方法如下： <用戶名>+“@〞+<FTP真實效勞器地址:PORT>， 如：root@00:213、透明訪問時，F(xiàn)TP客戶端需要設置網(wǎng)關；4、其他本卷須知見相關用戶手冊；7.1郵件傳輸－功能概要支持支持一側網(wǎng)絡用戶訪問另一側網(wǎng)絡的郵件效勞器。包括三個局部：SMTP任務配置POP3任務配置過濾選項配置7.2郵件傳輸－WEB配置(SMTP)第一步：啟動效勞7.2郵件傳輸－WEB配置(SMTP)第二步：配置“客戶端〞訪問任務——透明訪問7.2郵件傳輸－WEB配置(SMTP)第二步：配置“客戶端〞訪問任務——普通訪問7.2郵件傳輸－WEB配置(SMTP)第三步：配置“效勞端〞訪問任務僅針對“普通訪問〞。對于透明訪問，系統(tǒng)已經默認配置，用戶無需配置7.2郵件傳輸－WEB配置(SMTP)第四步：配置“過濾選項〞郵件地址主題關鍵字正文關鍵字附件7.2郵件傳輸－WEB配置(POP3)〔配置方法與SMTP類似〕7.3郵件傳輸－根本步驟啟動SMTP/POP3后臺效勞；配置SMTP/POP3訪問任務；(透明訪問/普通訪問)配置各種過濾選項；1、客戶端配置啟動SMTP/POP3后臺效勞；配置與客戶端相應的任務，任務號必須與客戶端任務保持一致；〔無須配置過濾選項〕；2、效勞端配置——僅針對普通訪問7.4郵件傳輸－本卷須知1、普通訪問時內外網(wǎng)任務號一致，同側任務號唯一；2、首次配置時，應復選〞允許所有郵件地址通過〞，否那么郵件傳輸失敗；3、主題/正文關鍵字過濾僅支持黑名單控制，不支持白名單控制；4、不配置任何擴展名：默認全部擴展均可通過；5、郵件附件控制單位：KB字節(jié)； 6、其他本卷須知見相關用戶手冊；8.1數(shù)據(jù)庫傳輸－功能概要支持內外網(wǎng)用戶訪問對方的數(shù)據(jù)庫。通過配置數(shù)據(jù)庫效勞端和客戶端任務，實現(xiàn)訪問。同時通過“訪問控制〞中的數(shù)據(jù)庫效勞器IP地址、訪問用戶等選項，更大限度地控制數(shù)據(jù)庫的訪問請求，到達更加平安的效果。支持的數(shù)據(jù)庫類型包括： Oracle/SQLServer/sybase/DB2/MySQL8.2數(shù)據(jù)庫傳輸－WEB配置第一步：啟動效勞8.2數(shù)據(jù)庫傳輸－WEB配置第二步：配置“客戶端〞訪問任務——透明訪問8.2數(shù)據(jù)庫傳輸－WEB配置第二步：配置“客戶端〞訪問任務——普通訪問8.2數(shù)據(jù)庫傳輸－WEB配置僅針對“普通訪問〞。對于透明訪問，系統(tǒng)已經默認配置，用戶無需配置第二步：配置“效勞端〞訪問任務8.2數(shù)據(jù)庫傳輸－WEB配置第三步：配置“訪問控制〞選項

8.3數(shù)據(jù)庫傳輸－根本步驟啟動數(shù)據(jù)庫后臺效勞；配置客戶端訪問任務；(透明訪問/普通訪問)配置訪問控制；1、客戶端配置啟動數(shù)據(jù)庫后臺效勞；配置效勞端任務；配置與客戶端相應的任務，任務號必須與客戶端任務保持一致；〔無須配置過濾選項〕；2、效勞端配置——僅針對普通訪問8.4數(shù)據(jù)庫傳輸－本卷須知1、普通訪問時內外網(wǎng)任務號一致，同側任務號唯一；2、配置“訪問控制〞應注意：配置位置：客戶端。效勞端無需配置；效勞器IP地址：用戶訪問的數(shù)據(jù)庫效勞器地址Oracle－透明訪問時為數(shù)據(jù)通道地址；普通訪問為“本機地址〞；SQLServer－透明訪問時為真實的效勞器地址；普通訪問為“本機地址〞；用戶名列表：空時默認沒有用戶，多個用戶之間由逗號隔開。對訪問控制中的任何選項更改時，均立即刷新訪問任務，使其生效；3、Oracle透明訪問時，需配置數(shù)據(jù)通道IP地址(針對oracle8i)；4、其他本卷須知見相關用戶手冊；9.1定制訪問－功能概要支持基于TCP/UDP協(xié)議的、針對固定效勞器地址和端口號的常規(guī)訪問。訪問類型：定制TCP訪問、定制UDP訪問訪問方式：透明訪問、普通訪問9.2定制訪問－WEB配置(定制TCP)第一步：啟動效勞9.2定制訪問－WEB配置(定制TCP)第二步：配置“客戶端〞訪問任務——透明訪問9.2定制訪問－WEB配置(定制TCP)第二步：配置“客戶端〞訪問任務——普通訪問9.2定制訪問－WEB配置(定制TCP)第三步：配置“效勞端〞訪問任務僅針對“普通訪問〞。對于透明訪問，系統(tǒng)已經默認配置，用戶無需配置9.2定制訪問－WEB配置(定制UDP)配置方法與定制TCP訪問類似。9.3定制訪問－根本步驟1、啟動客戶端、效勞端的后臺效勞；2、配置客戶端任務；3、配置效勞端任務；——透明訪問不需要〔系統(tǒng)已內置〕9.4定制訪問－本卷須知1、普通訪問時內外網(wǎng)任務號一致，同側任務號唯一；2、不支持內容過濾；3、通過定制訪問方式，F(xiàn)TP訪問不支持；4、透明訪問時，客戶端需加網(wǎng)閘IP作為默認網(wǎng)關；5、其他本卷須知見相關用戶手冊；10.1高可靠性－功能概要在復雜網(wǎng)絡環(huán)境下，確保設備穩(wěn)定、可靠、高效運行。功能分類：1、網(wǎng)口備份 支持將幾個物理端口捆綁在一起組成一個虛擬的冗余端口；2、鏈路聚合(鏈路負載均衡) 通過捆綁多個物理端口到冗余端口可以使網(wǎng)閘提供更大的帶寬；3、雙機熱備4、多機集群〔/多機負載均衡〕10.1高可靠性－功能概要10.2高可靠性－WEB配置(網(wǎng)口備份/鏈路聚合)第一步：設置待綁定的物理網(wǎng)口的工作模式為：冗余模式；10.2高可靠性－WEB配置(網(wǎng)口備份/鏈路聚合)第二步：添加冗余設備，并綁定相應的物理網(wǎng)口；10.2高可靠性－WEB配置(雙機熱備/負載均衡)第一步：配置設備角色，啟動HA效勞；(雙機熱備)10.2高可靠性－WEB配置(雙機熱備/負載均衡)第二步：配置虛擬地址，添加監(jiān)控網(wǎng)口；(雙機熱備)10.2高可靠性－WEB配置(雙機熱備/負載均衡)第三步：配置負載均衡；10.3高可靠性－根本步驟(網(wǎng)口備份/鏈路聚合)1、配置待綁定物理網(wǎng)口：工作模式為冗余模式；2、創(chuàng)立冗余設備，并綁定相應物理網(wǎng)口；3、配置相應的訪問任務；10.3高可靠性－根本步驟(雙機熱備/負載均衡)1、配置本機工作角色，啟動HA效勞； (雙機熱備)2、配置虛擬地址，添加監(jiān)控網(wǎng)口； (雙機熱備)3、配置負載均衡，添加真實地址；客戶端配置：(只需配置步驟1、2、，無需配置步驟3、)效勞端配置：10.4高可靠性－本卷須知1、雙機熱備時物理接口為網(wǎng)絡口，且為該接口的IP別名；2、多機集群(負載均衡)支持2-16臺網(wǎng)閘；3、冗余端口必須網(wǎng)絡口(物理接口)；4、其他本卷須知見相關用戶手冊；11.1消息模塊－功能概要支持各種類型文件、字符串消息在外部網(wǎng)和涉密網(wǎng)之間的平安傳輸。11.2消息模塊－WEB配置第一步：是否設置證書、啟動效勞11.2消息模塊－WEB配置第二步：添加客戶端任務11.2消息模塊－WEB配置第三步：添加效勞端任務11.2消息模塊－WEB配置第四步：設置內容過濾選項文件名控制內容黑名單內容白名單11.2消息模塊－WEB配置第五步：用戶管理本地用戶認證用戶權限11.3消息模塊－測試客戶端配置

第六步：Server配置11.3消息模塊－測試客戶端配置

第七步：Client配置11.4消息模塊－根本步驟1、網(wǎng)閘WEB配置 啟動效勞、配置客戶端任務和效勞端任務、設置過濾選項及用戶管理配置；2、測試客戶端配置 測試Server端配置：監(jiān)聽端口設置、啟動效勞等； 測試Client配置：網(wǎng)閘配置、連接、選擇文件或字符串開始發(fā)送等；3、測試1、Client與網(wǎng)閘客戶端任務相連；Server與網(wǎng)閘效勞端任務相連；2、正確填寫與對端相連的證書公共名；3、非SSL認證加密時，需采用本地用戶認證方式；4、發(fā)送用戶/接收用戶解決權限(發(fā)送權限/接收權限)問題；5、接收端保存文件時需指定具體文件名；6、其他本卷須知見相關用戶手冊；11.5消息模塊－本卷須知12.1統(tǒng)一用戶認證－功能概要該模塊用于網(wǎng)閘分隔網(wǎng)絡間的控制，提供了基于用戶的IP層認證訪問控制、流量控制和時間控制等功能。下面以定制訪問開放Telnet透明訪問為例。12.2統(tǒng)一用戶認證－WEB配置第一步：選擇用戶認證效勞器12.2統(tǒng)一用戶認證－WEB配置第二步：分配用戶和用戶組——創(chuàng)立用戶12.2統(tǒng)一用戶認證－WEB配置第二步：分配用戶和用戶組——創(chuàng)立用戶12.2統(tǒng)一用戶認證－WEB配置第二步：分配用戶和用戶組——創(chuàng)立用戶組12.2統(tǒng)一用戶認證－WEB配置第二步：分配用戶和用戶組——創(chuàng)立用戶組12.2統(tǒng)一用戶認證－WEB配置第三步：啟動效勞12.2統(tǒng)一用戶認證－WEB配置第四步：添加客戶端透明訪問任務12.3統(tǒng)一用戶認證－Telnet客戶端測試第五步：客戶端登錄12.3統(tǒng)一用戶認證－Telnet客戶端測試第六步：客戶端Telnet測試12.4統(tǒng)一用戶認證－根本步驟1、選擇用戶認證效勞器 本地帳號效勞器、RADIUS認證效勞器；2、創(chuàng)立用戶和用戶組，并將給用戶隸屬于該用戶組；3、啟動網(wǎng)閘兩側定制訪問TCP效勞；4、客戶端添加透明訪問任務，效勞端不添加任務； 透明訪問任務中是否引用用戶組來決定是否采用用戶認證；5、假設采用用戶認證，Telnet客戶端登錄用戶進行認證；6、驗證Telnet是否成功(分登錄與不登錄)。1、Client與網(wǎng)閘客戶端任務相連；Server與網(wǎng)閘效勞端任務相連；2、正確填寫與對端相連的證書公共名；3、非SSL認證加密時，需采用本地用戶認證方式；4、發(fā)送用戶/接收用戶解決權限(發(fā)送權限/接收權限)問題；5、接收端保存文件時需指定具體文件名；6、其他本卷須知見相關用戶手冊；12.5統(tǒng)一用戶認證－本卷須知13.1平安通道－功能概要支持用戶平安快速、方便地訪問應用效勞。特點：該模塊類似于定制訪問，效率比定制訪問高；不支持內容過濾；13.2平安通道－WEB配置第一步：啟動效勞13.2平安通道－WEB配置第二步：添加平安通道任務客戶端效勞端13.2平安通道－WEB配置第二步：添加平安通道任務——客戶端任務13.2平安通道－WEB配置第二步：添加平安通道任務——效勞端任務

13.3平安通道－根本步驟1、網(wǎng)閘WEB配置