安全隔离与信息交换系统产品安装调试指导手册

《安全隔离与信息交换系统产品安装调试指导手册》由会员分享，可在线阅读，更多相关《安全隔离与信息交换系统产品安装调试指导手册（27页珍藏版）》请在装配图网上搜索。

1、网神安全产品安装调试指导手rnt网神SecSIS 3600安全隔离与信息交换系统目录网神SecSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明网御神州SecSIS 3600安全隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：网络配置：完成设备网络参数的基本配置以及高可用性（双机负载）的配置管理员配置：管理员源地址的访问控制，权限分配，新增管理员及参数设置。文件交换：实现将网闸一侧的文件安全可控的摆渡到另外一侧数据库同步：实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中安全浏览：在内外网隔离环境下保证内网用户安全浏览外网资源。安全FTP

2、:实现对FTP服务器的安全防护FTP访问：在内外网隔离环境下实现安全的FTP访问。数据库访问：在内外网隔离环境下实现安全的数据库访问。邮件访问：在内外网隔离环境下实现安全的邮件访问。视频模块：在内外网隔离环境下实现安全的视频服务器的访问。定制模块：在内外网隔离环境下实现对所有的基于TCP/UDM艮务的访问。工具箱：系统许可证、配置管理、系统时间、修改口令，版本等信息的管理。网神SecSIS 3600安全隔离与信息交换系统产品常见应用场景说明网神SecSIS 3600安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境，可应用在不同的涉密网络之间；同一涉密网络的不同安全域

3、之间；与互联网物理隔离的网络和秘密级涉密网络之间；未与涉密网络连接的网络和互联网络之间，通过网闸的安全控制，在保证信息安全的前提下更好地促进各个业务系统的互联互通、资源共享。数据库安全同步解决方案某政府部门开展电子政务，允许公众通过互联网提交服务申请并查询结果。如果允许访问者通过Web服务器直接向核心数据库服务器发起数据访问请求，则黑客可能穿透防火墙的保护直接侵入后台数 据库系统，严重威胁到业务的正常开展。如上图所示，采用网神 SecSIS 3600安全隔离与信息交换系统，在核心数据库服务器和外部不可信 网络间实现安全隔离，则来自互联网的用户只能通过Web服务器访问到前置数据库服务器。根据安全

4、策略定时将前置数据库和核心数据库的内容进行同步，既可满足对外服务的要求又提供了安全保障。这种 方式强化了应用层的安全控制，可有效防止TCP/IP数据包穿越网络到达核心数据库服务器，大大增强了系统的安全性，为电子政务的有效开展提供了可靠的保证。网神SecSIS 3600安全隔离与信息交换系统提供多种数据库同步方式，可定制同步周期及方向，支持Oracle、Sybase、SQLServer、MySQL DB2等多种主流数据库。系统支持基于触发器和快照两种方式的增量数据复制，可实现异类数据库间的数据同步。系统提供OC+编程接口，可以方便的与其它系统的集成。安全邮件收发解决方案某机构强制要求内网禁止与互

5、联网相连，但根据业务需要必须通过电子邮件与外界进行信息交流。如采用人工方式，即由专人负责在公众信息网接收电子邮件，再通过移动存储介质复制到内部网进行处理，则信息不能得到及时处理，严重影响工作效率；若采用内外网邮件服务器转发的方式，安全又得不到保证。为解决这一问题，在内外网间部署网神SecSIS 3600安全隔离与信息交换系统。安全隔离与信息交换系统可以保证可信内网与Internet 安全隔离，内外网邮件服务器间不存在链路层连接，没有数据包的交换，因此无法通过邮件系统对内部办公网发起攻击。系统可以为每个用户制定各自的邮件交换策略，对邮件内容、附件类型及垃圾邮件、带病毒邮件等进行过滤，从而使内网用

6、户可以在内网安全地收发邮 件，保证安全的邮件处理。 安全文件交换解决方案网神SecSIS 3600安全隔离与信息交换系统，由安全管理员制定相应的信息交换策略，在网络安全 隔离的前提下定时进行文件交换。系统还支持交换方向、文件类型的指定，可对被交换文件进行内容检 查、查病毒等处理，只允许或不允许包含相应内容的文件通过网闸传递。网神SecSIS 3600安全隔离与信息交换系统可对数字签名进行校验，以起到身份认证、防抵赖的 作用。安全FTP访问解决方案网神SecSIS 3600安全隔离与信息交换系统，由安全管理员制定相应的FTP访问策略，在网络安全隔离的前提下进行 FTP访问。系统还支持访问方式、文

7、件类型的指定，可对FTP命令、用户名进行策略配置，达到FTP用户访问控制和过滤。安全浏览解决方案为了内网用户能够安全的访问互联网资源，网神SecSIS 3600安全隔离与信息交换系统，在保障内网安全的前提下提供安全浏览功能。安全浏览功能可进行多种策略设置，以达到URL访问控制、网页文件类型限制、上网时段控制等安全功能。内网用户可通过网闸对互联网资源正常、安全的进行访问。 准备工作网闸的部署与用户的业务系统息息相关，在网闸项目实施时应特别注意，切勿造成用户业务无法正常使用的状况出现。所以，在网闸上线实施前，应对当前用户的网络环境、业务模式、安全需求等情况 进行详细的了解，充分做好产品上线准备，确

8、保网闸上线后高效、稳定，与用户业务安全结合。 了解实际用户网络环境或主机环境 网络环境充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等， 对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑网络拓扑图可以请用户网络工程师协助提供。拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。部署位置根据用户提供拓扑，分清安全域界限，明确网闸部署位置。IP规划明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。主机环境明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。服务器系统平

9、台信息了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。了解各服务器网络配置信息，如服务器 IP地址、服务器连接位置等。数据库信息对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。了解实际用户应用及安全需求业务模式了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。应用相关信息了解业务所采用的协议类型，业务端口开放情况等业务相关信息。业务流程分析通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更 合适的方式来实现所需要的功

10、能服务。业务软件模式针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现安全需求了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全访问用户限制 针对不同的访问用户进行业务应用限制，功能使用限制;对于不同的管理员赋予不同的权限。访问客户端限制针对IP段、MACM址的访问限制；应用层过滤针对业务应用进行的策略限制，黑白名单策略、命令限制、文件类型限制等。开箱、加电设备开箱设备开箱请按装箱清单进行清点，并对设备外观进行检查，若有异常请认真详细地做好记录。打开网闸包装后，确认包装箱内是否包含以下各物品以及状态是否良好：网神SecSIS 3600网闸配件盒：

11、电源线x 1串口线x 1网线X 2软盘心D-ROM光盘（包括网闸相关信息文件和手册）如果发现任何物品丢失或出现损坏，则立即联系网御神州公司。如果需要运输或将网神SecSIS3600安全隔离与信息交换系统保存起来以待后用，那么切勿丢掉包装材料或装运纸箱。设备加电开箱检验确认设备外观无异常后，可对设备进行加电检验。加电后请注意观察网闸前面板指示灯，可初步判断网闸是否正常。内、网外面板各有3个指示灯。按顺序分别为：电源指示灯：显示网闸供电是否正常。状态指示灯：显示网闸存储读写工作情况。交换指示灯：显示网闸交换卡工作情况。网闸加电后，正常状态下，电源指示灯常量；状态指示灯只在存储读写情况下闪烁，无工作

12、状态灭灯；交换指示灯在无工作情况下为间隔闪亮，间隔时间约12秒，交换卡工作情况下为快速闪烁状态。注意：网闸配备冗余电源， 尽量保证双电源供电。 如果使用单一供电， 无供电电源会产生报警。（可按电源模块上红色按钮取消报警）安全注意事项本节列出的安全使用注意事项，请在使用网御神州SecSIS 3600安全隔离与信息交换系统过程中严格执行。这将有助于更好地使用和维护安全隔离与信息交换系统。1. 安全隔离与信息交换系统应用环境为温度 10 c35 c和湿度40%80%;存储环境为温度 0 c 70 C,湿度 20%95%。2. 采用交流220V电源。3. 必须使用三芯带接地保护的电源插头和插座。良好的

13、接地是您的安全隔离与信息交换系统正常工作的重要保证。对于安全隔离与信息交换系统来说，如果缺少接地保护线，在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害，但在接触时，可能会产生麻、痛等轻微 触电的感觉。另外，如果您擅自更换标准电源线，可能会带来严重后果。管理网神SecSIS 3600安全隔离与信息交换系统网神SecSIS 3600安全隔离与信息交换系统提供两种管理方式，Web1理和串口管理，下面介绍登陆界面的操作和管理的菜单功能。网神 SecSIS 3600安全隔离与信息交换系统使用了安全套接层（SSL.）协议，在网神安全隔离与信息交换系统连接期间，所有的交换信息均被SSUJ口密，

14、默认的访问端口为443oWE睥面方式网闸分内网管理和外网管理内网默认管理地址为：外网默认管理地址为：默认管理用户名：admin默认密码：admin默认日志用户名：auditor默认密码：auditor用户管理机地址设置与管理地址同一网段（10.0.0.*/24）,用交叉线与网闸的内网管理口和外网管理口相连。管理机网卡设置（10.0.0打开IE浏览器，输入 （内网为例）配置管理员：用户名 admin,密码admin日志管理员：用户名 auditor ,密码auditor进入管理界面菜单区：系统的所有功能菜单，不同的功能对应不同的菜单配置区：配置系统相关参数的区域显示区：显示系统在内网或外网管理页

15、面命令行方式基于串口连接，提供命令行方式的基本配置管理和灾难恢复功能，提供了管理的安全、方便与灵活性。可以提供恢复出厂设置、关闭远程管理等基本管理功能。配置终端参数：登陆用户名为 hawk, 口令hawk命令表如下：命令名称描述? |help帮助功能，列表所有串口命令Clear清屏Service web 开启和关闭web管理界面Service ssh 开启和关闭ssh管理界面Config default恢复出厂配置Passwd修改串口口令Netcapinterfaceip port抓包工具Ping Ping测试Detect检测对方主机Show cpu显示cpu信息Show memory显示内存

16、信息Show disk显示存储器信息Show proc显示当前进程Show interface显示端口信息Show link显示连接信息Show gw显示路由信息Show arp显示arp表Show ver显示系统版本Quit|exit退出其它方式除了上述两种管理方式外，网神 SecSIS 3600安全隔离与信息交换系统暂不提供其他管理方式。如何申请许可证和激活网神SecSIS 3600安全隔离与信息交换系统产品功能模块申请 License网神SecSIS 3600安全隔离与信息交换系统在初次使用时，产品功能模块需要激活方可使用。激活前请记录产品硬件序列号并填写license 申请表。注意：此

17、处请务必分清内外网硬件序列号，避免混淆。License申请：请将上述信息邮件至网御神州客户服务部并电话通知。联系人：翟玉晶电话：邮件地址：导入 License点击上传许可证，浏览许可证文件，点击上传。许可证文件必须有厂商正式签发。签发许可证请参照获取硬件序列号，并发送给厂商进行申请。注意：1.内外网License为同一文件。2. 导入License时，如果使用的浏览器为IE 8 ,请将安全级别设置降低，否则会出现找不到上传文件现象。初级“假设法”手把手教您如何快速安装部署网闸产品网闸网络配置在了解完用户网络结构并确认网闸部署位置后，就可以对网闸进行基本的网络设置，我们以下图 的网络环境为基础进

18、行网闸的网络基本设置。如上图所示，网闸分别与、网段相连接，内、外网口 IP分别为和。确认上述 IP信息无误后，即可 在网闸上进行操作配置。以内网为例。登录网闸 WEBT理界面，点击网络配置：网卡配置，选择网络设备属性，此处选择net ,确定。网络地址，选择网口，ip地址栏填写网闸内网口实际地址。此处填写，子网掩码：。点击确定保存。外网IP设置与内网设置方法一致。实际应用中，仅仅配置完IP并不能保证网闸的网路连通，还需要根据网络的实际状况添加路由设置。本例中需要分别为网闸内、外网添加路由。配置如下图所示：外网路由设置与内网设置方法一致至此，本应用中的网闸网络配置已经完成，可以通过网闸WEBT理界

19、面中工具箱下的调试工具测试网闸在网络中的连通性。中级“假设法”手把手教您如何快速调试网闸产品的基本功能安全浏览说明：1网闸的内外网管理端口地址分别默认为：内网： 10.0.0.1 ,外网：，建议不要进行更改，如果与 已有网络冲突可以在管理界面上进行更改。2管理主机与网闸的内外网管理端口相连接，分别以 10.0.0.1 和访问，用户名和密码为：admin客户需求需求一：内网主机能够通过网闸访问互联网，采用代理服务器模式，即需要在客户端主机上添加代理服务，不需要添加网关地址和DNS址。需求二：内网主机能够通过网闸访问互联网，采用透明模式，即需在客户端主机添加网关地址和DNSM址网络配置内网网络端口

20、配置修改地址为：内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：，如此为公网地址请直接指定。外网网关配置此处网关为：，如此为公网地址请直接指定。外网管理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一配置内网主机能够通过网闸访问互联网，采用代理服务器模式，即需要在客户端主机上添加代理服务，不需要添加网关地址和 DNS地址。内网模块配置1. 安全浏览-客户端-基本设置，进行安全浏览服务设置。选择代理方式，选择侦听地址：，端口 8080 ,其他选项默认。2. 安全浏览-基本设置-启动设置点击启动服务按钮卜 iflTrnt PiCrtflt ME卜由也割 旧曜E

21、E制员直砒.匕占furee SxmJn访河 物过万小而I HMfi?日卜定才的快 t咖瑛香KTMK卜关福事踊外网模块配置1.安全浏览-服务端-配置DN添加DN瓠址（当地的 DNS服务器地址）2. 安全浏览-基本设置-启动设置，选择启动服务按钮。内网客户端主机配置在用户的主机IE属性中选择连接/局域网连接，添加代理服务器地址（端口8080)需求二配置内网主机能够通过网闸访问互联网，采用透明模式，即需在客户端主机添加网关地址和DNS地址内网模块配置1.安全浏览-客户端-基本配置，选择透明方式，本地地址,服务端口 80。2.* BunsSfrAC叫刘.才c咤一工电即1MMIL如对加旧口制IIljiA

22、ii耳十口油BfVSM，虫步iirmiu冷支忤E.WfeKWEJnrn*TS 虹anE*EJE*刊薜止良苜*aLZkxr 匚not il Osin5?rJit/* 周事3- CIL融H打函*隼的事底Sa-LfdvffritircnkLiTJW :二蒙匚皿宕式梅史 口串立itflw3.安全浏览-客户端-启动配置，重启服务4.内网允许DNS请求通过定制模块 -UDPtm可fUDP客户端-添加任务， 地址 端口 53任务号1 （此任务号可以任意,但一定要与外网模块的相同）外网模块配置1. 网络配置-配置DNS :2. 安全浏览”-基本设置-启动设置-确定，启动服务外网允许DNS请求通过定制模块 -U

23、DP访问-UDP服务端，地址：，端口： 53,任务号：1 （此任务号可以任意，但一定要 与内网模块的相同）内网客户端主机配置1. 在本地PC机的“TCP/IP”属性设置如下：2. 默认网关：，DNS服务器：浏览器的设置（把代理去掉）安全FTP 说明：1网闸的内外网管理端口地址分别默认为：内网： 10.0.0.1 ,外网：，建议不要进行更改，如果与 已有网络冲突可以在管理界面上进行更改。2管理主机与网闸的内外网管理端口相连接，分别以 10.0.0.1 和访问，用户名和密码为：admin。网闸FTP工作原理：FTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的I

24、P地址和端口号，就可以通过代理方式，透明方式，混合模式访问内网或外网的FTP服务器。可以使用LeapFTP、FlashFXP等FTP软件和命令行方式，顺利进行访问和数据操作。在百兆网络的测试环境中， FTP的平均传输速率可达 Mbps。对于FTP服务端所在网络只是 FTP代理服务器的情况， 提供了很好的解 决方案，仅需添加代理 FTP服务器的IP地址和端口即可。 客户需求内网做为客户端，外网做为服务器端，实现内网用户可通过网闸访问到外网的FTP服务器，并且内网用户对FTP服务器的上传、下载等操作正常运行。对访问的服务器进行目的地址控制。对访问ftp的用户进行源地址控制。隐藏真实服务器地址。1、

25、在网闸内网配置 FTP代理监听并启用 FTP客户端服务2、在网闸外网启用 FTP服务3、内网用户可通过 DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作 网络配置内网网络端口配置 修改地址为：内网管理端口地址 如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：外网网关配置此处网关为：外网管理端口地址如与网络接口不冲突，可以为默认。网闸具体配置代理模式配置在网闸内网配置 FTP代理监听并启用 FTP客户端服务。通过允许服务器控制用户访问的目的地址通过访问控制对访问 即 的用户源地址进行控制通过重定向隐藏真实服务器地址在网闸外网启用 FTP服务内网用户可通

26、过 DOS命令行方式和使用 FTP客户端软件方式实现对外网FTP服务器的正常访问及操作。内网模块配置安全 即-客户端-基本配置，运行方式：代理模式，本地地址：，本地端口:21,其它参数项默认不修改即可。安全FT4客户端-启动设置，点击启动服务按钮，启用 FTP客户端模块。客户要求只允许通过网闸访问指定的FTP服务器，即和两台，其他 ftp服务器不允许访问。通过配置允许的服务器可以进行目的地址控制。点击安全ftp 一客户端一允许的服务器，添加允许用户访问的服务器地址即可。注意：默认不填，为全部都允许；如果添加了允许的服务器，未添加的就都不允许；在添加允许的服务器时，首先应该将网闸FTP访问的监听

27、地址允许访问，否则就全部都无法访问了。源地址访问控制通过配置客户端的访问控制规则，可以对使用安全即 访问的用户的源地址进行控制，例如只允许这个网段的用户使用该模块。配置如下：点击安全FTP一客户端一访问控制；选择默认禁止，除以下配置策略外的其他任何地址都是禁止访问的；添加允许访问的客户端地址段，格式如下；客户端端口为任意；动作为允许；重定向通过配置重定向，可以隐藏用户的实际服务器地址。比如用户要求访问ftp服务器的终端不知道实际服务器的地址，只告诉他们一个虚拟的访问地址，虚拟成为，虚拟成为； 配置如下：点击安全FTP客客户端一重定向；添加虚拟服务器地址和真实服务器地址；用户通过网闸访问时访问方

28、式不变，但是只需访问虚拟地址就可以重定向到真实的服务器地址；外网模块配置安全FT4基本设置-启动设置，点击启动服务按钮，启用FTP服务端模块内网客户端主机访问FTP服务器设置1. 命令行方式一内网用户主机（通过命令行方式访问FTP1.2.用户名输入：2. 命令行方式二内网用户主机（通过命令行方式访问FTP数据库1 .2 .用户名输入：3. 使用FTP客户端软件方式内网用户主机（客户端软件访问FTP服务器1 .添加代理服务器2 .运行快速连接服务器：代理服务器：安全即代理模式（上一步添加的代理服务器名称）点击“连接”，连接成功。3 .在使用FlashFXP软件时，可以不设置代理服务器。配置方式如

29、下图。透明模式配置1、在网闸内网配置 FTP透明模式并启用 FTP客户端服务2、在网闸外网启用 FTP服务3、内网用户可通过 DOS命令行方式和使用 FTP客户端软件方式实现对外网FTP服务器的正常访问及操作，直接访问真实服务器地址即可。不需要先访问代理服务器，或者设置代理服务器。4、内网客户端机器的网关指向网闸，或者路由可达。透明模式下，外网服务器地址不能与网闸内 网地址在同一网段。基本配置中的运行方式选择“透明方式”。其余配置方式与代理模式一致。 客户端机器的网关指向网闸（），直接访问外网服务器。如下图所示 混合模式配置1、在网闸内网配置 FTP混合模式并启用 FTP客户端服务2、在网闸外

30、网启用 FTP服务3、内网用户可通过 DOS命令行方式和使用 FTP客户端软件方式实现对外网FTP服务器的正常访问及操作。4、用户可采用代理模式访问外网ftp服务器，或者使用透明模式访问。5、基本配置中运行方式中选择“混合模式”，使用方式见， FTP访问 说明：1网闸的内外网管理端口地址分别默认为：内网： 10.0.0.1 ,外网：，建议不要进行更改，如果与 已有网络冲突可以在管理界面上进行更改。2管理主机与网闸的内外网管理端口相连接，分别以 10.0.0.1 和访问，用户名和密码为：admin。网闸FTP工作原理：FTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听

31、网闸接口的IP地址和端口号，就可以通过代理方式，透明方式，混合模式访问内网或外网的FTP服务器。可以使用LeapFTP、FlashFXP等FTP软件和命令行方式，顺利进行访问和数据操作。在百兆网络的测试环境中， FTP的平均传输速率可达 Mbps。对于FTP服务端所在网络只是 FTP代理服务器的情况，提供了很好的解决方案，仅需添加代理 FTP服务器的IP地址和端口即可。 客户需求内网做为客户端，外网做为服务器端，实现内网用户可通过网闸访问到外网的FTP服务器，并且内网用户对FTP服务器的上传、下载等操作正常运行。有限数量的FTP服务器，通过独立任务实现一对一即 访问。大量的FTP服务器，通过一

32、个任务实现对多个FTP服务器的透明访问。对访问ftp的用户进行源地址控制。 网络配置内网网络端口配置修改地址为：内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：，如此为公网地址请直接指定。外网网关配置此处网关为：，如此为公网地址请直接指定。外网管理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一内网模块配置内网为客户端一侧，主要配置是模块的客户端配置和访问控制。点击FTP访问一 客户端；填写任务号，要求为 1-99范围内数字，内外网客户端和服务端任务号要求一一对应；配置监听地址，选择网络口地址为监听地址，该地址为用户访问的地址；监听端口，为用户访问的端口，

33、该端口可以自定义；数据通道，选则与监听地址相同的地址；配置工作时间段，默认为全天运行，可以自定义该任务运行时间段；配置运行标记，可以指定该任务是否运行；源地址访问控制通过配置客户端的访问控制规则，可以对使用ftp访问的用户的源地址进行控制，例如只允许这个网段的用户使用该模块，配置如下：点击“ FTP访问一客户端一访问控制”；选择要进行控制的任务；选择默认禁止，除以下配置策略外的其他任何地址都是禁止访问的；添加允许访问的客户端地址段，格式如下；客户端端口为任意；动作为允许；外网模块配置外网为服务器一侧，主要配置是模块的服务器端配置。点击FTP访问一 服务端；填写任务号，要求为1-99范围内数字，

34、内外网客户端和服务端任务号要求一一对应；配置服务器地址，填写服务器地址，该地址为真实服务器的地址；服务器端口，服务器端口，该端口为真是服务端口；地址绑定，配置数据通过网闸后的源地址，默认使用网闸网络口地址；需求二：透明模式配置1、在网闸内网配置 FTP客户端，并配置访问控制2、在网闸外网配置 FTP服务端3、内网用户可通过 DOS命令行方式和使用 FTP客户端软件方式实现对外网FTP服务器的正常访问及操作，直接访问真实服务器地址即可。不需要先访问网闸本地监听地址，或者设置代理服务器。4、内网客户端机器的网关指向网闸，或者路由可达。透明模式下，外网服务器地址不能与网闸内网地址在同一网段。配置步骤

35、与非透明方式相同，配置客户端任务和服务端任务，客户端任务只需要配置一条即可；服务端无需指定服务器地址，可以配置any通过配置访问控制，实现地址透明访问；点击访问控制，选择要配置策略的任务；默认界面如下：修改目的地址为需要用户透明访问的地址段，无明确地址段可以填any ；点击确定提交；用户访问另一侧 FTP服务器时，可以直接访问真实服务器地址即可。数据库访问说明：1网闸的内外网管理端口地址分别默认为：内网： 10.0.010.0.0客户需求内网做为客户端，外网做为服务器端，内网用户使用数据库客户端软件通过网闸开启的数据库访问服务登录到外网的数据库服务器需求一：内网主机能够通过网闸访问外网的Ora

36、cle数据库服务器需求二：内网主机能够通过网闸访问外网的SQL Server数据库服务器需求三：内网主机能够通过网闸访问外网的多台SQL Server数据库服务器网络配置内网网络端口配置内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置外网网关配置外网管理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一配置1、在网闸内网配置及启用 Oracle数据库客户端服务2、在网闸外网配置及启用Oracle数据库服务端3、内网用户可访问外 Oracle网数据库内网模块配置添加Oracle数据库客户端任务数据库访问-数据库客户端-添加任务数据库类型：oracle本地端口： 1521任

37、务号：11注意：此任务号可以任意，但一定要与外网模块的相同；本地 IP是与要连接的数据库建立联结的，而数据通道IP是为数据库专门做的一个数据传输的通道，且只用于ORACL取据库。外网模块配置添加Oracle数据库服务端任务数据库访问-数据库服务端-添加任务本地端口： 1521任务号：11注：此任务号可以任意，但一定要与内网模块的相同内网客户端主机配置内网主机修改tns配置文件内网用户成功登录外网数据库通过数据库客户端软件成功访问外网数据库需求二配置1、在网闸内网配置及启用SQL Server数据库客户端服务2、在网闸外网配置及启用SQL Server数据库服务端3、在网闸内外网配置表中添加新的

38、用户4、内网用户可访问外 SQL Server网数据库内网模块配置添加SQL Server数据库客户端任务数据库访问-数据库客户端-添加任务数据库类型：SQL Server本地端口： 1433任务号：12注：此任务号可以任意，但一定要与外网模块的相同外网模块配置添加SQL Server数据库服务端任务数据库访问-数据库服务端-添加任务本地端口：1433任务号：12注：此任务号可以任意，但一定要与内网模块的相同内网客户端主机配置内网主机数据库客户端配置在内网主机上启用 SQL查询分析器登录名：sa（网闸内网上新建用户）内网主机成功登录外网SQL Server数据库需求三配置1、在网闸内网配置及启

39、用SQL Server数据库客户端服务2、在网闸外网配置及启用SQL Server数据库服务端3、内网配置访问控制4、内网用户可访问外 SQL Server网数据库内网模块配置添加SQL Server数据库客户端任务数据库访问-数据库客户端-添加任务数据库类型：SQL Server本地端口: 1433任务号：13注：此任务号可以任意，但一定要与外网模块的相同配置访问控制策略点击访问控制，列表当前配置的数据库访问任务点击访问配置，更改原来目的地址为any外网模块配置添加SQL Server数据库服务端任务数据库访问-数据库服务端-添加任务服务器地址：any本地端口:1433任务号：13注：此任务

40、号可以任意，但一定要与内网模块的相同内网客户端主机配置内网主机数据库客户端配置在内网主机上启用SQL事件探查器，登录名：sa （网闸内网上新建用户）内网主机成功登录外网SQL Server数据库O邮件访问说明：1网闸的内外网管理端口地址分别默认为：内网：已有网络冲突可以在管理界面上进行更改。3管理主机与网闸的内外网管理端口相连接，分别以客户需求内网主机使用客户端软件通过网闸访问互联网邮件服务器。内网做为客户端，外网做为服务器端，内网用户使用置的SMT书口 POP3服务器文本框中添加网闸内网端口 外网邮件服务器进行邮件的收发。网络配置内网网络端口配置修改地址为：内网管理端口地址如与网络接口不冲突

41、，可以为默认。外网网络端口配置修改地址为：，如此为公网地址请直接指定。外网网关配置此处网关为：，如此为公网地址请直接指定。外网管理端口地址如与网络接口不冲突，可以为默认。DNS配置注：此处指定公网 DNS!艮务器；网闸具体配置需求配置1、在网闸内网添加 SMT所口 POP3客户端任务2、在网闸外网添加与内网客户端对应的服务端任务（任务Foxmail ,并进行相关配置，实现对外网邮件服务的访问3、在内网主机上运行邮件客户端软件如内网模块配置添加SMTP客户端任务配置邮件访问fSMT噂户端10.0.0.1 ，外网：，建议不要进行更改，如果与10.0.0.1 和访问，用户名和密码为：adminfox

42、mail邮件客户端软件，并在客户端软件属性配IP o在内外网闸添加相关任务后，内网用户可使用号需一致）本地地址：本地端口： 25任务号：30注：此任务号可以任意，但一定要与外网模块的相同添加POP3客户端任务配置邮件访问fPOP造户端本地地址：本地端口： 110任务号：31注：此任务号可以任意，但一定要与外网模块的相同外网模块配置添加服务端彳J务配置（与内网SMT哈户端对应）邮件访问fsmtp服务端服务器地址：服务器端口： 25任务号：30注：此任务号可以任意，但一定要与内网模块的相同邮件访问fpop3服务端服务器地址：服务器端口： 110任务号：31内网客户端主机配置内网主机邮件客户端设置内

43、网主机使用 Foxmail邮件客户端软件发送邮件服务器（SMTP :接收邮件服务器（POP3 :以下是用户wangsj在客户端软件的基本配置注：邮件服务器地址要添加网闸内网端口地址内网主机使用外网邮件服务器接发邮件测试目的：内网主机用户wangsj通过外网邮件服务器（），发送邮件给内网主机用户wangsj1测试结果：用户 wangsj邮件发送成功，用户 wangsj1邮件接收成功定制模块 说明:1网闸的内外网管理端口地址分别默认为：内网： 10.0.0.1 ,外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。2管理主机与网闸的内外网管理端口相连接，分别以 10.0.0.1

44、和访问，用户名和密码为：admin3网闸配置及本文中的一段端口描述方式为“起始端口：结束端口”，中间冒号（英文半角）隔客户需求TCP访问需求一：WEBI艮务器浏览外网主机通过IE浏览器，.100:8000，访问到内网的服务器基于8000端口的 WEB!艮务需求二：端口透明（网闸通过一条任务开放一段端口）外网客户端应用程序通过访问的40000:50000的端口，实际访问到内网的服务器基于40000:50000的应用服务。端口透明方式主要用于内网某应用服务器随机生成服务端口或者服务端口较多的情况。需求三：地址透明（客户端程序直接访问服务器的地址及端口）外网主机通过IE浏览器，输入的 web服务。访

45、问内网其它服务器的web服务。地址透明方式主要用于内网提供相同服务的服务器比较多的情况，拓扑中的大多数服务器（）都提供基于8000端口的web服务。需求四：地址透明+端口透明（客户端程序直接访问服务器的地址及一段端口）外网客户端应用程序直接访问内网的（）服务器基于 40000:50000的应用服务。此种方式主要用户地址透明中，应用服务器提供的应用服务随机生成服务端口或者服务端较多的情况。网络配置内网网络端口配置修改地址为：内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为:外网管理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一 ：web服务器浏览外网主机通过

46、IE浏览器，.100:8000，访问到内网的服务器基于8000端口的 WEBI艮务。内网模块配置定制模块 -TCP访问-TCP服务端服务器地址：服务器端口： 8000 任务号：1注：此任务号范围为（1-1000 ）,但一定要与外网客户端任务的相同。外网模块配置定制模块 -TCP访问 fTCP客户端：本地监听地址：监听端口：8000 任务号：1注：此任务号范围为（1-1999 ）,但一定要与内网服务端任务号的相同。 需求二端口透明外网客户端应用程序通过访问的40000:50000的端口，实际访问到内网的服务器基于40000:50000的应用服务。内网模块配置定制模块 -TCP访问-TCP服务端服

47、务器地址：服务器端口： 40000:50000任务号：2注：服务器端口不支持输入一段端口，此处输入起始端口或结束端口即可。外网模块配置定制模块 -TCP访问 fTCP客户端：本地监听地址：端口 ： 40000:50000任务号：2注：监听端口项中输入一段端口即可完成端口透明任务的设置。需求三地址透明外网主机通过IE浏览器，输入直接访问内网的0的web服务。同样方式，访问内网其它服务器的web服务。内网模块配置定制模块 -TCP访问-TCP服务端服务器地：服务器端口：8000 任务号：4注：服务器地址不支持输入一段地址，此处输入其中一个服务器地址即可。外网模块配置定制模块 -TCP访问 fTCP

48、客户端：本地监听地址：监听端口： 8000任务号：4点击“ TCP访问控制”，设置地址透明方式中点击“访问配置”，修改目的地址为，如果对地址透明方式的目的地址不做限制，目的地址可输入 ，any 。需求四地址透明+端口透明外网客户端应用程序直接访问内网的（）服务器基于40000:50000的应用服务。内网模块配置定制模块 -TCP访问-TCP服务端服务器地址：端口 ： 40000 任务号：5注：服务器端口不支持输入一段端口，此处输入起始端口或者结束端口即可。服务器地址不支持输入一段地址，此处输入其中一个服务器地址即可外网模块配置定制模块 -TCP访问 fTCP客户端：本地监听地址：端口： 400

49、00:50000任务号：5点击“ tcp访问控制”，设置地址透明方式点击“访问控制”，修改目的地址为，如果对地址透明方式的目的地址不做限制，目的地址可输入 “any”。修改目的端口为 “40000 ： 50000”。常见问题答疑1. 问：忘记 web管理登录密码怎么办？答：可通过串口登录网闸后台进行WEBW理界面密码恢复，webpass命令。2. 问：忘记网闸管理口IP怎么办？答：可通过串口登录网闸后台进行恢复和查看。3. 问：网闸加电后长鸣报警怎么回事？答：网闸配备冗余电源，尽量保证双电源供电。如果使用单一供电，无供电电源会产生报警。可按电源模块上红色按钮取消报警。4. 问：导入licens

50、e 时，网闸提示“许可证校验失败”怎么办？答：提供正确硬件序列号，重新申请许可证。5. 问：导入license 时，网闸提示无此文件”？答：此现象一般在使用IE8时出现，将浏览器安全级别调低可解决此问题。6. 问：网闸登陆后，管理界面白屏无显示？答：造成管理界面白屏有两种情况：a.网闸系统硬盘无空间；此种情况需要登录网闸后台进行查看，分析是什么状况将网闸硬盘写满并有针对性的解决；b.添加网闸登录地址为信任站点可解决。7. 问：邮件访问模块，邮件附件是否支持压缩包解包检查？答：不支持解包检查。8. 问：在配置数据库同步时，外网管理界面无配置选项，只可启动？答：数据库同步配置均在内网管理界面进行，外网开启服务即可，此现象为正常现象。9. 问：查看文件交换任务日志，日志报“文件交换内网任务与外网任务联系失败”？答：此现象一般由内外网任务配置不一致造成，可以检查配置，重新调试解决。10. 问：安全浏览模块采用透明模式代理上网，任务配置正确，网闸服务启动正常，访问客户端网关和DNS也指向网闸的外网口，但是无法访问互联网？答：在配置此种类型任务时，需要同时在定制模块的UDP访问功能中添加 UDP协议的53号端口任务，以提供客户端能够通过DNS解析地址，达到访问功能。