资源预览内容
第1页 / 共85页
第2页 / 共85页
第3页 / 共85页
第4页 / 共85页
第5页 / 共85页
第6页 / 共85页
第7页 / 共85页
第8页 / 共85页
第9页 / 共85页
第10页 / 共85页
亲,该文档总共85页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
20082008年年年年9 9月月月月网络安全隔离系统网络安全隔离系统 安装调试培训安装调试培训提纲简述网闸组网要求网闸产品说明公共网络及管理配置主要模块配置及注意事项其他注意事项简述 什么是网络安全隔离系统什么是网络安全隔离系统? 网络安全隔离系统,简称网闸。网闸简单的说就是实现物理断开的网络数据的交换,有点类似与使用U盘或者是移动硬盘的感觉。 简述此次培训使用的版本是什么此次培训使用的版本是什么?适用于适用于SecSIS-E和和SecSIS-H实施准备网闸实施前准备网闸实施前准备1、设备是否适合使用? 设备的接口款式、接口数量、随机线缆是否合用,设备是否需要上机架。2、用户的网络环境是否已经了解? 预计部署位置周边设备; 周边网络设备重点是核心交换、路由工作状况;实施准备二1、与实施相关的用户网络应用是否已经了解? 网闸的内外网需要什么样的服务,服务器的位置,相关服务的端口号等事先沟通了解清楚2、Lincensec是否已经申请? 拿到设备之后,观察一下产品的序列号(如SS00032768)发送给licenselegendsec.com 咨询电话400-610-8220;010-87002000。注意:提前申请注意:提前申请license,此产品,此产品license在在1至至5个工作日才个工作日才能生成能生成组网要求1、网闸产品一般部署在内网和外网之间。内网一般为公司的办公网或者是保密网;外网一般为我们所说的公网。由于上线的时候需要断网,所以上线的时间有一定的要求2、网闸为B/S的架构,通过IE浏览器登录即可,无需单独架设管理主机网闸产品说明1、结构、结构 网闸是一个比较特殊的设备,具有两套系统,称之为内网和外网。2、登录、登录内网和外网均有一个管理口,内网的地址默认为10.0.0.1;外网的为10.0.0.2。在进行登录的时候使用IE浏览器输入http:/10.0.0.1登录内网(或者http:/10.0.0.2登录外网)账号密码均为admin公共网络及管理配置一、网闸的网络配置一、网闸的网络配置公共网络及管理配置1、网卡设置公共网络及管理配置2、网络地址配置公共网络及管理配置3、管理地址配置公共网络及管理配置4、路由配置公共网络及管理配置5、DNS配置公共网络及管理配置6、其他配置公共网络及管理配置二、工具箱的主要配置二、工具箱的主要配置公共网络及管理配置1、许可证管理公共网络及管理配置公共网络及管理配置公共网络及管理配置2、配置管理公共网络及管理配置公共网络及管理配置公共网络及管理配置3、管理员分权管理公共网络及管理配置公共网络及管理配置公共网络及管理配置公共网络及管理配置4、修改系统时间公共网络及管理配置5、修改口令公共网络及管理配置6、系统升级公共网络及管理配置7、导出诊断信息公共网络及管理配置8、网闸状态信息公共网络及管理配置9、日志服务器配置公共网络及管理配置10、版本信息公共网络及管理配置11、系统资源公共网络及管理配置12、路由信息表主要模块配置一、文件交换主要模块配置1、修改配置文件主要模块配置2、添加文件传输任务主要模块配置主要模块配置3、启动设置主要模块配置4、其他配置说明主要模块配置操作流程1、手动传输模式将PC连接至网闸的网络口,并且配置为与网闸网络口相同的网段,然后做以下操作,输入正确的用户名和密码(默认为admin/123456)操作流程登录成功弹出以下界面操作流程2、自动传输流程前提:内/外网主机都有一个gapcopy工具操作流程运行gapcopy工具,进行正确的配置操作流程配置成功后运行注意事项1、存储号1和2设备本身已经默认配置好,存储号3一般不使用。2、文件传输的方向默认是只接收,若想双向传输,需要配置成双向才行3、上传文件的大小为0k的时候可能不会传递 4、进行关键字过滤的时候,必须启用相应的黑白名单主要模块配置二、安全浏览主要模块配置代理模式内网安全浏览配置1、安全浏览服务设置主要模块配置2、访问控制主要模块配置3、启动设置主要模块配置4、更新配置主要模块配置外网安全浏览配置1、DNS的配置主要模块配置2、启动服务并更新配置主要模块配置PC侧配置1、设置内网的PC的地址与网闸内网网络口地址同一网段主要模块配置2、在IE上设置代理服务器主要模块配置设置代理服务器主要模块配置透明模式内网的安全浏览的配置1、安全浏览服务设置主要模块配置2、访问控制主要模块配置3、透明端口代理主要模块配置4、启动设置主要模块配置5、更新配置主要模块配置6、UDP定制客户端透传DNS服务主要模块配置外网的安全浏览的配置1、启动服务并更新配置主要模块配置2、UDP定制服务端透传DNS服务主要模块配置PC侧配置配置IP与网闸内网网络口同网段并设置网关和DNS注意事项1、对所有的安全浏览的配置更改之后,必须重新更新一次配置,否则更改的配置无法生效2、外网DNS配置时,若选中“使用操作系统的DNS”则此处定义的DNS不生效,使用的为网络配置中配置的DNS3、透明模式注意DNS的设置为网闸内网网络口的地址,而不是真正的DNS服务器的地址 主要模块配置三、FTP访问主要模块配置代理模式外网FTP配置1、配置FTP客户端主要模块配置2、启动设置并更新配置主要模块配置内网FTP配置配置FTP服务端,启动服务并更新配置主要模块配置PC设置通过命令行键入ftp 192.168.10.1登录FTP登录的时候输入用户名真实服务器的地址,再输入密码即可登录操作主要模块配置透明代理模式外网FTP配置FTP客户端设置主要模块配置内网FTP设置FTP服务器配置主要模块配置PC设置PC在登录的时候通过命令行的形式键入ftp 192.168.10.1 登录FTP输入正确的用户名和密码即可注意事项1、代理模式缺点是会在网闸的外网暴露内网的服务器的IP地址,安全性较差,一般不使用2、透明模式直接透传FTP的访问,访问的地址为网闸外网网络口的地址,有效保护内网FTP服务器的安全3、两种模式不能够同时使用,配置了透明之后可能导致代理模式服务起不来4、FTP客户端的监听地址要修改成网闸网络口的地址,不能使用默认的地址和端口主要模块配置四、定制模块TCP定制模块透传传输层基于TCP协议的应用服务,如常用的telnet、ssh、ftp等服务UDP定制模块透传传输层基于UDP协议的应用服务,如常用的dns、tftp等服务主要模块配置主要模块配置1、外网定制模块配置主要模块配置2、内网定制模块配置主要模块配置这样外网用户只要访问192.168.10.1的ssh服务就可以访问到内网172.16.1.254上所提供的ssh的服务同理,外网用户只要访问192.168.10.1的dns服务就可以访问到内网172.168.1.254上的dns服务器注意事项1、使用定制模块一定不要与原有的功能模块冲突,如FTP模块、安全浏览模块等,否则会导致相应的功能模块无法正常的运行2、使用定制模块的任务号的范围为1-1000,不能超出这个范围3、定制模块内外网的客户端与服务端的任务号必须一直,否则无法生效4、用户发起访问的时候必须访问的是定制模块客户端侧所监听的地址,否则定义的访问无法生效其他注意事项1、由于网闸本身就是一个物理隔离的设备,所以从内网(或者外网)的PC去ping外网(或者内我哪敢)的主机是不可能ping通的(同一网段也不行)2、测试网闸相关的端口和服务是否开启,可以使用telnet+网闸的网络口地址+相应的端口号,如果成功则说明相应的端口已经打开3、网闸两套系统是通过交换卡来通信的,所以一旦发现网闸报警提示说交换模块异常,此为核心部件故障,请拨打相关的电话返修,切勿自行打开网闸的硬件机壳。
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号