网闸安装调试培训-new-网御

1网闸技术培训3目录网闸技术原理网闸适用环境要求网闸模块案例网闸FAQ4网御星云SIS-3000边界类安全产品-政策性产物双主机+隔离交换硬件人工拷盘模式的电子自动化与应用紧密结合隔离断开的前提下进行安全可控的数据交换网闸原理之网闸的产生5

系统采用“2＋1”（双主机+专用隔离硬件）的体系架构，断开内外网络，确保两个网络之间安全隔离。(相关政策)隔离交换模块内网主机系统外网主机系统可信任网络不可信任网络网闸原理之有效数据摆渡6客户端服务端防火墙完整的连接会话客户端服务端防火墙连接会话被截断防火墙采用防火墙等安全设备采用网闸网闸原理之重建会话7格式化数据块隔离交换模块传输策略ApplicationPresentationTransportNetworkDataLinkPhysicalSession格式化数据块格式化数据块可信网络不可信网络ApplicationPresentationTransportNetworkDataLinkPhysicalSession网闸原理之细粒度检测适用场合

由于网闸设备最大的特性是网络隔离与协议落地，而确保被隔离网络之间通信的安全性是其核心目标。与防火墙等网络设备相比，其安全性更高，而性能相对不足。

根据以上特点，我们推荐以下用法：

子网中核心数据服务器的访问保护：根据应用协议的不同采用相应的功能模块，如数据库服务器、WEB服务器、邮件服务器、FTP服务器等；

不同密级网络之间的数据迁移，即：不同网络的数据不允许直接传输，只能通过网闸主动转移，换言之，数据的转移是“被动的”；

网络之间不允许直接访问，必须被隔离；

针对具体应用协议，要求对协议内容进行过滤；

不适合用法：

大中型子网边界，其往往对网络流量要求很高；

对数据转发的性能（包括带宽、并发、吞吐等）要求很高；

支持广播包（包括多播、组播）穿越网闸；

特殊应用协议：

部分动态应用协议；

部分不支持类似NAT穿越的应用协议；

特别指出：

在要求双机热备、负载均衡的网络部署中，网闸的部署模式不支持“全交叉”模式（该模式常用于交换机），这是由网闸工作原理所决定的。

9电子政务安全隔离解决方案10

国税网上报税安全隔离解决方案11公安移动警务通安全隔离解决方案12财政安全隔离解决方案13网闸适用环境及要求（重要）不要拿网闸当防火墙上线因网闸和防火墙原理不同，一定不要拿网闸当防火墙上线。TCP、UDP协议支持，其它协议不支持；如OSPF协议是不可以透传网闸的，同理二层协议也是无法穿越的。网闸支持双机热备透明访问是不支持负载均衡，但可以改为双机热备方式，普通访问可以均衡和热备并存。网闸双机部署不支持复杂环境交叉部署由于网闸的应用层处理数据的原因，暂时不支持交叉部署。14登录设备许可证管理与模块启动定制访问安全通道文件交换目录分案例讲解各个模块15案例一、登录设备在管理主机双击网闸管理证书user.p12，(6及之前版本管理证书名为admin.p12)按提示安装，证书导入密码为“hhhhhh1.4.4登录管理－登录网闸－用户登录将电脑IP地址设置为00/用网线连接到网闸管理接口(内网管理接口IP是，外网管理接口是)用浏览器(建议使用谷歌浏览器,如果是6及以前版本，请使用IE8或IE6浏览器)登录网闸管理界面管理员证书导入成功后，在管理主机浏览器打开网址https://网闸ip:8889，按证书提示点击“确定”。1.4.4登录管理－登录网闸－用户登录出现安全警报后点击“仍然继续”就会出现安全隔离网闸登录页面1.4.4登录管理－登录网闸－用户登录默认用户名密码为:administrator/administrator20案例二、许可证管理与模块启动、配置保存21网闸出厂默认只开启了定制访问和入侵检测模块其他模块通过许可证管理功能进行控制正式购买的产品许可证如未随机提供刮刮卡，请向厂商商务联系人索取许可证，如已经随机附带刮刮卡，也可以自行刮开到网站自行注册并申请正式许可证如果暂时无法申请正式许可，也可以在该网站申请临时许可(有效期最长3个月)许可证与功能模块许可证管理22许可证文件分为内网和外网两个文件，请在内网和外网的管理界面分别导入许可证管理23导入许可证的时间大约在10-15秒，点击导入许可证按钮后请耐心等待许可证管理完成后出现以下提示，点击确定继续24导入后请注意各模块的截止时间许可证管理25默认情况下各模块的服务状态为停止，使用该模块前需在系统配置-服务状态菜单下启动才生效(注意内网外网两侧都需要启动服务才可以)。模块服务只需要启动一次，保存配置后不需要再次启动。启动模块的服务许可证未开启的功能模块在这里不会显示出来。26

修改过网闸配置后要点击该图标进行保存，如果不保存重启后所做的修改会丢失(内外网都要保存)保存配置27案例三、定制访问28定制访问模块用于配置通过SIS安全隔离网闸基于TCP、UDP协议的访问任务，在SIS网闸两侧建立基于TCP、UDP协议的一一对应的任务，通过加密传输的方式搭建起一条单向安全访问通道。定制访问—概述案例3.定制访问透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器；原理区别两者相同两者相同配置区别只需配置网闸客户端任务，无需配置网闸服务端任务；客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同；访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持访问模式“访问类”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。两种应用模式具体的比较如下：功能模块

根据功能应用、配置的不同，网闸功能模块主要分成两大类：交换类、访问类。

交换类

交换类功能主要应用于“文件服务器、数据库服务器”的数据交换，包括“文件交换”、“数据库同步”两个模块。

访问类

访问类功能则主要应用于“客户端、服务器模式（B/S和C/S）”的数据访问，包括安全浏览、FTP访问、数据库访问、邮件访问、定制访问等5个模块。

七、新版特性各模块任务条数限制模块名称任务条数安全通道200条（普通访问+透明访问）定制访问1000条（TCP+UDP）（普通+透明）安全浏览1000条（普通访问+透明访问）邮件访问2000条任务（POP31000条+SMTP1000条）（普通+透明）数据库访问1000条（普通访问+透明访问）FTP访问1000条（普通访问+透明访问）消息传输1000条（没有普通透明概念）文件交换20条（没有普通透明概念）文件同步1000条（没有普通透明概念）数据库同步1000条（没有普通透明概念）32

根据网络拓扑，具体需求如下：

内网客户端主机通过安全隔离网闸安全地普通访问外网

WEB服务器的TCP协议80端口。定制访问-TCP普通访问定制访问-不同网段普通访问33

在配置普通访问应用时，与客户端相连的网闸侧需配置“客户端任务”，与服务器相连的网闸侧需配置“服务端任务”，对应同一个应用的网闸两侧任务号要一致定制访问-TCP普通访问定制访问-不同网段普通访问344、针对相关应用进行测试3、配置外网服务端任务，并启动服务2、配置内网客户端任务，并启动服务

1、配置网络接口等系统配置选项定制访问-TCP普通访问35

定制访问-内网首页定制访问-TCP普通访问36

定制访问-内网网络配置定制访问-TCP普通访问37

定制访问-内网网络配置定制访问-TCP普通访问38

定制访问-内网网络配置定制访问-TCP普通访问39

定制访问-外网首页定制访问-TCP普通访问40

定制访问-外网网络配置定制访问-TCP普通访问41

定制访问-内网任务配置定制访问-TCP普通访问42

定制访问-内网任务配置源地址可以为any，或者包含00本机地址选择内网网络接口地址定制访问-TCP普通访问43

定制访问-内网任务配置定制访问-TCP普通访问44

定制访问-启动内网侧服务定制访问-TCP普通访问45

定制访问-启动内网侧服务定制访问-TCP普通访问46

定制访问-外网任务配置定制访问-TCP普通访问47

定制访问-外网任务配置配置真实服务器地址定制访问-TCP普通访问两侧任务号相同48

定制访问-外网任务配置定制访问-TCP普通访问49

定制访问-启动外网侧服务定制访问-TCP普通访问50配置要点1、配置客户端任务，并启动服务2、配置服务端任务，并启动服务3、两侧任务号一致4、在服务器应用已经启动时测试定制访问-普通访问51案例四、安全通道52安全通道模块支持用户从网闸一侧安全的访问网闸另一侧的不同应用。安全通道与定制访问的不同之处：在一个安全通道任务中，目的端口可以是一段端口而定制访问只能是一个端口安全通道的性能比定制访问高安全通道需要购买许可授权才能使用，定制访问模块无需购买额外授权安全通道—概述安全通道53

根据网络拓扑，具体需求如下：

内网客户端主机通过安全隔离网闸安全地普通访问外网

WEB服务器的TCP8080端口。安全通道-不同网段普通访问安全通道-普通访问544、针对相关应用进行测试3、配置外网服务端任务，并启动服务2、配置内网客户端任务，并启动服务

1、配置网络接口等系统选项安全通道-普通访问55

安全通道-内网网络配置安全通道-普通访问56

安全通道-外网网络配置安全通道-普通访问57安全通道-内网任务配置安全通道-普通访问58安全通道-内网任务配置安全通道-普通访问服务类型也有少部分预定义好的可以选择，如http目的地址选择本端网络接口地址在同一模块内，同一侧的任务号必须唯一59安全通道-内网任务配置安全通道-普通访问60安全通道-启动内网侧服务安全通道-普通访问61

安全通道-外网任务配置安全通道-普通访问62安全通道-外网任务配置安全通道-普通访问配置真实服务器地址两侧任务号相同流出网口需选择网闸接口IP地址两侧服务类型相同63

安全通道-外网任务配置安全通道-普通访问64

安全通道-启动外网侧服务安全通道-普通访问

根据网络拓扑，具体需求如下：

内网客户端主机通过安全隔离网闸安全地透明访问外网

WEB服务器的80端口。重要提示：透明访问需要客户端将访问服务端的路由指向网闸接口IP地址！！！在本案例中，需要将客户端的网关设为网闸地址54安全通道-不同网段透明访问安全通道-透明访问

安全通道-内网网络配置安全通道-透明访问

安全通道-外网网络配置安全通道-透明访问安全通道-资源定义安全通道-透明访问在配置透明访问时，需先定义地址资源安全通道-资源定义安全通道-透明访问在配置透明访问时，需先定义地址资源安全通道-资源定义安全通道-透明访问在配置透明访问时，需先定义地址资源

安全通道-配置内网任务安全通道-透明访问

安全通道-配置内网任务安全通道-透明访问

安全通道-配置内网任务安全通道-透明访问74安全通道-启动内网侧服务安全通道-普通访问75

安全通道-启动外网侧服务安全通道-普通访问76案例五、文件交换77在不用使用客户端的前提下，各类文件在网闸两侧的文件服务器之间的安全传输。无客户端方式与有客户端方式的区别：无客户端方式：需网闸两侧服务器开启文件共享服务，适用于同步文件数量不多，文件不太大的情况。不支持断点续传，不支持网闸HA部署。有客户端方式：需在网闸两侧文件服务器安装客户端(有windows版本和linux版本)，适用于大量小文件或大文件的情况。支持断点续传和网闸HA部署方式。文件交换（无客户端方式）—概述文件交换-无客户端78

根据网络拓扑，具体需求如下：

内网客户端主机通过安全隔离网闸安全地与外网服务器的共享文件夹进行文件交换。在配置交换类应用时，与发送端相连的网闸侧需配置“客户端任务”，与接送端相连的网闸侧需配置“服务端任务”，对应同一个应用的网闸两侧任务号要一致无客户端文件交换配置文件交换-无客户端79

注意：在配置无客户端文件交换任务前，需先配置好发送端和接送端(包括IP地址设置，文件共享服务，共享文件夹及其权限,包括共享权限和文件夹本身权限)，并且将发送端、服务端与网闸连接好。否则网闸在配置文件交换任务时检测不到共享文件夹会导致无法下发任务。无客户端文件交换配置文件交换-无客户端80

文件交换-内网配置步骤配置网闸内网IP地址文件交换-无客户端81文件交换-启动内网侧服务文件交换-无客户端82

文件交换-内网配置步骤文件交换-发送任务文件交换-无客户端83文件交换-无客户端发送任务具体配置共享名(共享名可与实际文件夹名称不同)两侧任务号要一致文件共享协议一般选SMBFS同步间隔建议不小于15秒发送后删除相当于剪切注：该用户名密码不支持特殊字符

配置网闸外网IP地址文件交换-外网配置步骤文件交换-无客户端85文件交换-启动外网侧服务文件交换-无客户端86文件交换--接收任务文件交换-外网配置步骤文件交换-无客户端文件交换-无客户端接收任务具体配置共享名(共享名可与实际文件夹名称不同)两侧任务号要一致文件共享协议一般选SMBFS88注意：要实现双向同步需要在每个文件服务器建立两个文件夹：举例：外网服务器send发送到内网服务器recv内网服务器send发送到外网服务器recv不能对同一个文件夹同时启用发送和接收任务文件交换-无客户端设置内容控制选项(一般不用设置，用户有需求再设定)

文件名控制内容黑名单内容白名单文件属性控制一、文件交换（无客户端）文件交换-无客户端

设置内容控制选项(1)——文件名控制文件交换-无客户端

设置内容控制选项(2)——内容黑名单一、文件交换（无客户端）文件交换-无客户端

设置内容控制选项(3)——内容白名单一、文件交换（无客户端）文件交换-无客户端

设置内容控制选项(4)——文件属性控制一、文件交换（无客户端）文件交换-无客户端

查看共享目录一、文件交换（无客户端）文件交换-无客户端一、文件交换（无客户端）

基本步骤总结：配置本机IP地址、路由等，启动后台服务；配置文件交换任务——发送任务、接收任务；配置文件过滤选项(可选)文件交换-无客户端96案例六、文件同步97在需要同步文件的服务器安装客户端的前提下，各类文件在网闸两侧的文件服务器之间的安全传输。文件同步（有客户端方式）—概述文件同步-有客户端98

根据网络拓扑，具体需求如下：

内网客户端主机通过安全隔离网闸安全地与外网服务器的文件夹进行文件交换。有客户端文件同步配置文件同步-有客户端注意：Linux版本文件交换客户端需要JAVA运行环境，JAVA运行环境要有中文字体，否则会无法显示中文。在英文版linux系统下不支持中文文件名的文件同步，不能随操作系统启动自动运行并启动任务。99

文件同步-网闸配置部分-内网配置步骤配置网闸内网IP地址文件同步-有客户端100文件同步-启动内网侧服务文件同步-有客户端101

文件同步-内网配置步骤服务端-文件同步任务文件同步-有客户端102文件同步-有客户端软件端口默认为30001两侧任务号要一致一般不使用加密方式需设置为启动，否则不生效，默认页面的状态是“停止”服务端任务具体配置103

文件同步-内网配置步骤服务端-文件同步任务文件同步-有客户端

配置网闸外网IP地址文件同步-外网配置步骤文件