加密安全网关使用说明
加密安全网关使用说明
加密安全⽹关使⽤说明加密安全⽹关使⽤说明企业内的加密⽂件有时候需要上传到OA、PLM、SVN等系统中,希望OA等系统中保存的⽂件是明⽂的,从OA等系统中下载到本地为加密⽂件,并希望其它没有允许访问的计算机不可以访问OA等服务器,ViaControl安全⽹关功能就是为了解决这⼀问题⽽诞⽣的。
ViaControl安全⽹关,可以实现启⽤安全通讯的加密客户端上传解密下载加密。
未启⽤加密功能的客户端或者未启动安全通讯的加密客户端,不能访问受保护的OA等系统。
1⽹络架构ViaControl安全⽹关功能的⼯作模式为:⽹桥模式。
企业内的⽹络常见的⽹络简易拓扑结构:ViaControl的安全⽹关控制模式:使⽤⽹桥模式,可以对⽹络结构和配置不做任何修改,直接将安全⽹关控制设备串接进⽹络中需要进⾏控制的重要的服务器处,对通过其的⽹络通讯进⾏控制。
2 控制流程当计算机或其他⽹络终端设备,访问受安全⽹关保护的服务器时,安全⽹关会判断访问请求是否属于安全通讯。
当安装了客户端的计算机,使⽤已经启动安全通讯功能的授权软件访问时,就可以正常访问服务器。
⽽其他的计算机会被阻⽌访问服务器。
对于⼀些外来的或者特殊权限的计算机,也可以通过设置⽩名单允许未启⽤安全通讯的计算机访问服务器。
⾮法客户端安全⽹关控制器3部署3.1设备介绍ViaControl⽹络控制设备(以下称控制器),分为三个型号:2000:3个千兆⽹卡,其中管理端⼝为ETH2;3000:4个千兆⽹卡,⼀组BYPASS(ETH0和ETH1),其中管理端⼝为ETH3;4000:4个千兆⽹卡,⼀组BYPASS(ETH0和ETH1),其中管理端⼝为ETH3;说明管理端⼝的固定IP为190.190.190.190,初始配置时使⽤;BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响⽹络的使⽤。
3.2部署⽅式ViaControl⽹络控制器以桥接的⽅式串接⼊⽹络。
ANYSEC安全网关YKey管理员手册说明书
ANYSEC安全网关YKey管理员手册版权所有:深圳市中科网威科技有限公司1.ANYSEC安全网关服务器端配置1.1.生成证书1.1.1.准备工作必须具备以下条件1.确保ANYSEC系统设备运行正常;2.确保ANYSEC系统设备版本支持ANYSEC移动客户端V6.0版本;3.确保管理员电脑上已经成功安装了ANYSEC客户端程序。
1.1.2.开始生成证书证书生成顺序必须为“CA证书”——“本机证书”——“远端证书”;在生成证书前,将设备时间设置提前一天,因为CA证书次日才会生效;所有证书信息请使用英文(国际CA标准,中文支持较差)。
如下图所示:1.登陆ANYSEC设备WEB配置界面,选择“系统管理”-“证书”-“CA证书”-“创建根证书”,见以下图示:●新建一个CA根证书,根据提示填写相关信息(相关信息请填写英文),如图:●建好CA证书后,点击“设备证书”——“新建”,新建一个本机证书,如图:新建一个本地证书,根据提示填写相关信息(相关信息请填写英文)如下图:注:CA证书、本机证书均为ANYSEC安全网关作为CA中心所必须的基础证书。
2.建立用户证书,点击“证书库”——“新建客户端证书”,按实际情况填写信息(相关信息请填写英文,个人信息请填写新建用户时的认证用户名),如图所示:●建好远端证书后,会列表显示出已有证书,以及证书的使用状态,还可以对证书进行导出、吊销、删除等管理,如图所示:●点击“导出”,将证书下载到管理员的电脑中进行保存、管理、导入UKey的工作。
如图所示:私钥保护口令验证:是指建立私钥时输入私钥保护密码;证书保护口令:是指将证书导入UKey时的密码,也是在使用证书验证时的密码,此口令不是UKey PIN码。
●点击右上角“配置保存”完成证书生成工作。
如图:1.1.3.移动客户端UKEY认证配置1.点击“VPN管理”——“移动客户端”——“配置”,如下图:起始IP地址、结束IP地址:是指移动客户端获取的虚拟内网地址,该地址不能与内网网段冲突;支持PKI认证:采用证书或UKey认证的需要点开此选项,勾选,用户名密码方式将失效;服务器证书:是指本机证书,选择之前建立的本机证书;接受所有合法PKI用户:如果勾选此项,则表示本设备远端证书中所有有效证书都可以通过客户端远程接入,如果不勾选此项,则表示只接受认证用户组中的证书用户;认证用户组:是指远程接入的合法用户组,此项是引用“用户管理”——“用户组”中的用户数据,默认用户组为MClientAuth(移动客户端用户组),在该组中引用的用户,其“用户名”必须与生成远端证书时填写的“个人信息”一栏内容一致;服务状态:勾选此项,打开移动客户端服务。
IPGUARD安全网关快速部署指南
加密安全网关使用说明1设备介绍IP-guard安全网关控制设备(以下简称控制器),分为三个型号:IPG-2000:3个千兆网卡,其中管理端口为EMP;IPG-3000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;IPG-4000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;说明管理端口的固定IP为190.190.190.190,初始配置时使用;BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
2部署前提先部署好需要保护的服务器环境。
3具体部署过程3.1安装安全网关管理器运行网络准入管理器安装程序SGManSetup.exe,根据默认提示安装。
3.2部署安全网关3.2.1安全网关IP设置首先要确定安全网关串联接入网络中的具体位置,据此确定安全网关的IP地址,接着便要开始设置安全网关的IP。
安全网关管理端口的固定IP为190.190.190.190,通过管理端口进行安全网关IP配置。
设置的具体操作如下:1)计算机A安装了安全网关管理器,使计算机A脱离内网环境,而直接用网线将安全网关的管理端口与计算机A连接,修改计算机A的IP,让它能与安全网关通讯。
如修改计算机A的IP如下:IP地址:190.190.190.1子网掩码:255.255.255.0默认网关:可不填2)在计算机A上开始菜单中运行安全网关管理器,操作:【工具→控制器连接参数】,如图1:图1控制器:输入控制器的固定IP,即190.190.190.190;密码:初始为空3)输入完毕,点击【确定】,此时【工具->控制器管理】为可选状态,点击进入,弹出控制器管理窗口,如图2:图24)点击【设置网络参数】,弹出安全网关设置IP的对话框,如图3:图35)点击【确定】,设置的网络参数需要重启生效,点击控制器管理界面的【重启控制器】,重启之后,安全网关IP修改成功。
天玥运维安全网关如何设置
打开浏览器,输入天玥运维安全网关的IP地址输入用户名和密码,点击登录在主界面中选择“系统设置”在系统设置页面中,选择“网络设置”在网络设置页面中,设置IP地址、子网掩码、网关等信息点击“保存”,完成网络设置在系统设置页面中,选择“安全设置”在安全设置页面中,设置防火墙规则、访问控制策略等点击“保存”,完成安全设置在系统设置页面中,选择“日志管理”在日志管理页面中,设置日志保存路径、日志级别等信息点击“保存”,完成日志设置在系统设置页面中,选择“系统维护”在系统维护页面中,进行系统升级、备份等操作点击“保存”,完成系统维护设置退出登录,完成天玥运维安全网关的配置
教育行业网络安全防护
医疗行业网络安全防护
其他行业网络安全防护
天玥运维安全网关配置步骤
硬件连接
准备所需硬件:天玥运维安全网关、路由器、交换机、服务器等
连接硬件:将天玥运维安全网关与路由器、交换机、服务器等设备连接
检查连接:确保所有硬件连接正常,无松动或损坏
启动设备:启动天玥运维安全网关及所有连接设备,确保设备正常运行
仔细阅读产品说明书,严格按照说明书上的步骤进行操作。
在配置过程中,注意保护密码安全,避免泄露。
配置完成后的检查事项
检查日志记录是否正常
检查安全策略是否正确配置
检查网络连接是否正常及解决方案
常见问题及解决方法
解决方法:检查用户权限设置,确保具有相应权限
解决方法:检查网络连接,确保网关IP地址和端口正确
解决方法:确认用户名和密码正确,或者重置密码
解决方法:检查防火墙设置,确保允许访问所需网站
解决方法:检查系统资源使用情况,关闭不必要的程序或服务
解决方法:调整安全策略,降低误报率
故障排除方法
HUAWEI SecowayUSG9000系列统一安全网关 说明书
USG9000 USG5000
专网
总部
万兆链路 千兆链路 百兆链路
USG2000
专网
政府、大型企业纵向网络总部安全防护
省级机构 地市机构
AP ӡʺAP
AP
ӡʺࣳԧVPNଌК IKEv2ஃે
DSLAM
НСᎪፏ
ႀ٨
USG9000 ༢ܗ/VPN
ЯᎪ
ˊҬҬ٨
ˊҬҬ٨
无线移动海量VPN接入应用
USG9310
USG9320
产品特点
最领先的“NP+多核+分布式”架构 —突破传统性能瓶颈
USG9000率先采用控制模块、接口模块以及业务处理 模块相互独立的架构。接口模块基于双NP处理器,保证 接口流量线速转发;业务处理模块基于多核多线程架构, 确保NAT/ASPF/Anti-DDoS/VPN等多种业务高速并行处理。 USG9000系列包括USG9310和USG9320两款产品,分别配置 8/16个扩展插槽,可配置多个业务模块,采用分布式并行 处理机制,成倍提升整机性能,确保用户前期低成本投 入,后期顺利扩容。
USG9000同时支持IKEv2协议,强化了用户认证、报 文认证、NAT穿越等功能,消除了中间人攻击和拒绝服务 攻击隐患,并且扩展支持EAP-SIM、EAP-AKA等无线鉴定协 议,从而更高效对无线网络提供安全保护。
典型组网
Internet
USG9000
大型企业数据中心 基本业务区 增值业务区 管理维护区 其他区
最佳的VPN性能
—适应海量业务加密传输要求
随着互联网应用的增多,越来越多的业务需要安全地 在公共网络上传输,“移动安全接入”,“短信推送”, “邮件推送”等需要十万级别海量VPN接入网关的业务应 运而生。USG9000整机最高提供64Gbps加解密性能支持32 万VPN并发隧道数量,是目前性能最高的VPN接入网关。
明御安全网关快速配置手册
目录防火墙配置一:SNAT配置 (3)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (10)防火墙配置四:混合模式配置 (13)防火墙配置五:DHCP配置 (16)防火墙配置六:DNS代理配置 (17)防火墙配置七:DDNS配置 (19)防火墙配置八:负载均衡配置 (21)防火墙配置九:源路由配置 (23)防火墙配置十:双机热备配置 (24)防火墙配置十一:IP-QoS配置 (27)防火墙配置十二:应用QoS配置 (30)防火墙配置十三:Web认证配置 (33)防火墙配置十四:会话控制配置 (39)防火墙配置十五:IP-MAC绑定配置 (40)防火墙配置十六:禁用IM配置 (42)防火墙配置十七:URL过滤配置 (44)防火墙配置十八:网页内容过滤配置 (48)防火墙配置十九:基于路由静态IPSEC配置 (50)防火墙配置二十:基于路由动态IPSEC配置 (55)防火墙配置二十一:基于策略静态IPSEC配置 (64)防火墙配置二十二:SSLVPN配置 (72)防火墙配置二十三:防病毒配置 (77)防火墙配置二十四:IPS配置 (81)防火墙配置二十五:日志服务器配置 (84)防火墙配置二十六:邮件形式输出日志信息 (86)防火墙配置二十七:记录上网URL日志配置 (88)防火墙配置二十八:Web外发信息控制 (89)防火墙配置二十九:配置管理及恢复出厂 (92)防火墙配置一:SNAT配置一、网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置,通过Webui登录防火墙界面如下:输入缺省用户名admin,密码adminadmin后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目并添加下一条地址第三步:添加SNAT策略在网络/NAT/源NAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略防火墙配置二:DNAT配置一、网络拓扑192.168.10.2/24二、需求描述1、使用外网口IP为内网FTPServer及WEBServerA做端口映射,并允许外网用户访问该Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。
趋势科技Web安全网关(IWSA)安装指南说明书
㺙Web 㔥 Ϟⱘ䰆⮙↦Ϣ 䍟 ⾥ TM Web 㔥 (IWSA)趋势科技(中国)有限公司保留对本文档以及此处所述产品进行更改而不通知的权利。
在安装并使用本软件之前,请阅读自述文件、发布说明(如果有)和最新版本的适用用户文档,这些文档可以通过趋势科技的以下 Web 站点获得:/download/zh-cn/Trend Micro、Trend Micro t- 球徽标、InterScan、TrendLabs、趋势科技控制管理中心和趋势科技损害清除服务都是趋势科技(中国)有限公司/Trend Micro Incorporated 的商标或注册商标。
所有其他产品或公司名称可能是其各自所有者的商标或注册商标。
版权所有© 2015 趋势科技(中国)有限公司/Trend Micro Incorporated。
保留所有权利。
文档编号:IBCM66844/150109发布日期:2014 年 7 月受美国专利号 5,951,698 的保护《趋势科技 Web 安全网关 (IWSA) 安装指南》旨在介绍软件的主要功能和适用于您生产环境的安装说明。
在安装和使用该软件之前,请详细阅读该指南。
有关如何使用软件中特定功能的详细信息,可从联机帮助文件和趋势科技 Web 站点上的在线知识库中获得。
趋势科技一直致力于改进其文档。
我们始终欢迎您的反馈。
目录前言适用读者 (x)如何使用本指南 (x)IWSA 文档 (xi)文档约定 (xii)关于趋势科技 (xiii)第 1 章:预安装规划服务器要求 .....................................................................................................1-2操作系统 ....................................................................................................1-2硬件要求 ....................................................................................................1-2组件安装 ....................................................................................................1-3Web 浏览器 ...............................................................................................1-4其他要求 ....................................................................................................1-5安装所需的信息 IWSA ...............................................................................1-6全新安装 ....................................................................................................1-6迁移 .............................................................................................................1-6代理服务器配置的类型 .........................................................................1-6控制管理中心服务器信息 ....................................................................1-7数据库类型和位置 ..................................................................................1-7SNMP 通知 ................................................................................................1-7Web 控制台密码 ......................................................................................1-7命令行访问 ................................................................................................1-8用于 Internet 更新的代理服务器 ........................................................1-8激活码 .........................................................................................................1-8趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南规划网络通信保护 .......................................................................................1-8透明桥接模式 ...........................................................................................1-9正向代理服务器模式 ..............................................................................1-9反向代理服务器模式 ............................................................................1-10ICAP 模式 ................................................................................................1-10简单透明性模式 .....................................................................................1-10WCCP 模式 ..............................................................................................1-10第 2 章:部署入门识别服务器位置 ............................................................................................2-2具有 DMZ 的两个防火墙 ......................................................................2-2没有 DMZ 的防火墙 ...............................................................................2-3规划网络通信流 ............................................................................................2-4规划 HTTP 流程 .......................................................................................2-5HTTPS 解密 ..........................................................................................2-7规划 FTP 流程 ..........................................................................................2-7独立模式下的 FTP 代理服务器 .....................................................2-7附属模式下的 FTP 代理服务器 .....................................................2-9以正向代理服务器模式部署 ...................................................................2-10正向代理服务器模式概述 ...................................................................2-10重新配置客户端设置 .......................................................................2-11使用第四层交换机 ...........................................................................2-12使用启用 WCCP 的交换机或路由器 ..........................................2-14使用正向代理服务器模式规划 HTTP 流程 ..................................2-15独立模式下的 HTTP 代理服务器 ................................................2-15简单透明性模式下的 HTTP 代理服务器 ..................................2-16附属模式下的 HTTP 代理服务器(代理服务器前置) .......2-17附属模式下的 HTTP 代理服务器(代理服务器后置) .......2-19附属模式下的 HTTP 双代理服务器 ...........................................2-21以 WCCP 模式部署 ..........................................................................2-23WCCP 模式下的 HTTP 代理服务器(单个和多个 IWSA 服务器) ........................................2-23目录以 ICAP 模式部署 ......................................................................................2-23ICAP 模式概述 .......................................................................................2-23使用 ICAP 模式规划 HTTP 流程 .....................................................2-25ICAP 模式下的 HTTP 代理服务器(单个和多个 IWSA 服务器) ........................................2-25具有多台服务器的 IWSA ICAP 模式 .........................................2-27以反向代理服务器模式部署 ...................................................................2-29反向代理服务器模式概述 ..................................................................2-29使用反向代理服务器模式规划 HTTP 流程 ..................................2-30附属模式下的 HTTP 反向代理服务器 ......................................2-30以透明桥接模式部署 ................................................................................2-32透明桥接模式概述 ................................................................................2-32使用透明桥接模式规划 HTTP 流程 ................................................2-33高可用性部署模式 ................................................................................2-33HA 部署模式安装指南 ........................................................................2-34第 3 章:安装趋势科技 Web 安全网关 (IWSA)获取 IWSA ......................................................................................................3-2使用趋势科技企业解决方案 DVD ....................................................3-2下载安装文件 ...........................................................................................3-3安装 IWSA ......................................................................................................3-3首次登录到 IWSA ......................................................................................3-10安装后说明 ...................................................................................................3-10第 4 章:迁移到趋势科技 Web 安全网关 (IWSA)关于迁移 .........................................................................................................4-2重要说明 ....................................................................................................4-2未迁移的信息 ...........................................................................................4-3迁移过程概述 ...........................................................................................4-4从 IWSA 5.6 迁移到 IWSA 6.5 ...................................................................4-4趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南从一个 IWSA 6.5 迁移到另一个 IWSA 6.5 .............................................4-5迁移之后 ..........................................................................................................4-6附录 A:部署集成分布式环境中的 IWSA ...............................................................................A-2连接要求和属性 ......................................................................................A-2吞吐量和可用性要求 ........................................................................A-3与 LDAP 的集成 ..........................................................................................A-4支持用于容纳多个 LDAP 服务器的多个域 ...................................A-4透明模式下的 LDAP 认证 ...................................................................A-6使用 WCCP 与 Cisco 路由器的集成 .......................................................A-7使用反向代理服务器保护 HTTP 或 FTP 服务器 ..............................A-7与 ICAP 设备的集成 ...................................................................................A-9设置 ICAP 1.0 兼容的缓存服务器 .....................................................A-9为 NetCache 设备设置 ICAP ................................................................A-9为 Blue Coat 端口 80 安全设备设置 ICAP .....................................A-11为 Cisco CE ICAP 服务器设置 ICAP ...............................................A-14配置病毒扫描服务器群集 ..................................................................A-15删除群集配置或条目 ...........................................................................A-16启用 "X-Virus-ID" 和 "X-Infection-Found" 头 ...............................A-17附录 B:微调和故障排除IWSA性能微调 ..............................................................................................B-2URL 过滤 ...................................................................................................B-2LDAP 性能微调 .......................................................................................B-2LDAP 内部缓存 ..................................................................................B-2启用 LDAP 时,禁用详细记录 .....................................................B-3透明模式下的 LDAP 认证 ..............................................................B-4目录故障排除 .........................................................................................................B-5故障排除提示 ...........................................................................................B-5联系技术支持之前 ..................................................................................B-5安装问题 ....................................................................................................B-5常规功能问题 ...........................................................................................B-6附录 C:有关 IWSA 安装和部署的最佳实践IWSA 安装概述 .............................................................................................C-2正确评估环境规模 .......................................................................................C-4最佳实践建议 ...........................................................................................C-4选择部署方法和冗余性 ..............................................................................C-4最佳实践建议 ...........................................................................................C-6附录 D:维护和技术支持产品维护 ........................................................................................................D-2维护协议 ...................................................................................................D-2续订维护协议 ..........................................................................................D-3联系技术支持 ...............................................................................................D-3TrendLabs ..................................................................................................D-4知识库 ........................................................................................................D-4已知问题 ...................................................................................................D-5将可疑代码发送给趋势科技 ...............................................................D-5安全信息中心 ...............................................................................................D-6附录 E:在 VMware ESX 下为 IWSA 创建新的虚拟机简介 ..................................................................................................................E-2创建新的虚拟机 ...........................................................................................E-2启动 IWSA 虚拟机并完成安装 .............................................................E-16趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南附录 F:在 Microsoft Hyper-V 下为 IWSA 创建新的虚拟机简介 ...................................................................................................................F-2Hyper-V 的 IWSA 支持 ................................................................................F-2Hyper-V 虚拟化模式 ...............................................................................F-2在 Microsoft Hyper-V 上安装 IWSA 6.5 ...................................................F-3导入 IWSA 映像 .......................................................................................F-7为 IWSA 分配资源 ...................................................................................F-9启动 IWSA 虚拟机并完成安装 .........................................................F-21访问 IWSA Web 控制台 ......................................................................F-28索引前言前言欢迎使用《趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南》。
网关设备安全操作规程
网关设备安全操作规程为了确保网关设备的安全运行,保护数据和网络安全,以下是网关设备安全操作规程:1. 认识网关设备网关是在两个或多个不同协议的网络之间进行通信的节点设备,可以执行转换或传递网络数据包。
不同类型的网关可能使用不同的协议和不同的方式进行通信。
2. 管理网关设备2.1. 只有授权的人员可以进行管理网关设备的操作。
必须设定用户帐号和密码进行登录,初始密码必须及时更改,以确保帐号和密码的安全性。
2.2. 除非特别授权,任何人都不得对网关设备进行物理操作或更改,例如:更改网线或拆卸设备。
2.3. 在网关设备的管理页面上设置会话超时时间,并且必须在会话超时后自动注销登录用户。
2.4. 对于管理网关设备的人员,必须掌握基本的网络知识和安全知识,了解相关的协议和系统结构,知道如何正确的配置和管理网络。
2.5. 网关设备的管理页面必须与外部网络进行隔离,在安全性方面一定要严格。
2.6. 建议尽可能使用SSL或SSH等安全协议对网关设备进行管理,以防止敏感信息的泄露。
2.7. 对于一些重要操作,例如备份和恢复,必须要进行备份文件的加密,以保障备份文件的安全性。
3. 网络安全3.1. 将网关设备配置为不接受来自未经授权的主机或者IP地址的请求。
3.2. 为网关设备设置防火墙,限制对外的访问,并设置访问策略,保护内部网络的安全。
3.3. 对于重要的业务流量,必须要加密传输,针对各种安全性问题必须还做好日志记录和分析,以便进行追踪和分析。
3.4. 对网关设备的操作人员进行网络安全方面的培训,提高其安全意识和技能水平,从而减少网络攻击和数据泄露的风险。
4. 系统和软件更新4.1. 定期检查网关设备的操作系统和软件版本,及时更新所有的补丁和安全更新,以确保系统和软件的安全稳定。
4.2. 定期对网关设备的日志进行分析,排查系统堆溢出、代码注入等安全漏洞,及时进行修复。
5. 总结通过以上规程可以看出,网关设备的安全操作是一个非常重要的问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
加密安全网关使用说明企业内的加密文件有时候需要上传到OA、PLM、SVN等系统中,希望OA等系统中保存的文件是明文的,从OA等系统中下载到本地为加密文件,并希望其它没有允许访问的计算机不可以访问OA等服务器,ViaControl安全网关功能就是为了解决这一问题而诞生的。
ViaControl安全网关,可以实现启用安全通讯的加密客户端上传解密下载加密。
未启用加密功能的客户端或者未启动安全通讯的加密客户端,不能访问受保护的OA等系统。
1网络架构ViaControl安全网关功能的工作模式为:网桥模式。
企业内的网络常见的网络简易拓扑结构:ViaControl的安全网关控制模式:使用网桥模式,可以对网络结构和配置不做任何修改,直接将安全网关控制设备串接进网络中需要进行控制的重要的服务器处,对通过其的网络通讯进行控制。
2 控制流程当计算机或其他网络终端设备,访问受安全网关保护的服务器时,安全网关会判断访问请求是否属于安全通讯。
当安装了客户端的计算机,使用已经启动安全通讯功能的授权软件访问时,就可以正常访问服务器。
而其他的计算机会被阻止访问服务器。
对于一些外来的或者特殊权限的计算机,也可以通过设置白名单允许未启用安全通讯的计算机访问服务器。
非法客户端安全网关控制器3部署3.1设备介绍ViaControl网络控制设备(以下称控制器),分为三个型号:2000:3个千兆网卡,其中管理端口为ETH2;3000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为ETH3;4000:4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为ETH3;说明管理端口的固定IP为190.190.190.190,初始配置时使用;BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
3.2部署方式ViaControl网络控制器以桥接的方式串接入网络。
控制器一般位于限制访问的计算机之前。
连接方法:使用设备的两个端口将其连入网络;2000使用ETH0和ETH1;3000、4000使用ETH0、ETH1、ETH2中任两个;交换机客户端客户端客户端ERP 服务器邮件服务器安全网关控制器客户端OA 服务器说明 部署前为保证控制器能在网络中正常通讯,需要对其设置IP ,详见4.2。
4 使用4.1 安装安全网关管理器在计算机A 上运行网络准入管理器安装程序SGManSetup.exe ,根据默认提示安装。
安装完成后,可以在【开始菜单->ViaControl SecureGatewag Manager 】中启动安全网关管理器工具。
4.2 设置控制器IP控制器管理端口的固定IP 为190.190.190.190,开始时可以通过它进行初始化的配置,首先必须配置“网络参数”,使得它能与网络中其他机器可以正常通讯。
具体步骤如下:1. 修改计算机A 的IP ,使其能与控制器通讯。
如修改计算机A 的IP 为:IP 地址:190.190.0.1 子网掩码:255.255.0.0 默认网关:可不填2. 在计算机A 上使用网线将控制器的管理端口与计算机A 连接,在计算机A 上,启动安全网关管理器工具,操作“工具→控制器连接参数”。
如图1:控制器输入控制器的最后一个网卡的固定IP,即190.190.190.190;密码初始为空;3.点击【确定】,进入安全网关管理器主界面,“工具→控制器管理”,见图3;4.点击【设置网络参数】,设置控制器的IP(需要重启控制器,设置方能生效),如图2:图25.点击控制器管理界面上的【重启控制器】按钮,控制器重启之后,IP修改成功。
4.3连入网络修改完IP之后便可将控制器串联接入网络环境中。
4.4连接控制器在计算机A上启动安全网关管理器,执行操作【工具→控制器连接参数】,见图1,对话框中包含以下内容:控制器输入修改后的控制器IP;密码初始密码为空,成功连接控制台后可以修改密码,在“工具->控制器管理->修改登录密码”中修改。
点击【确定】之后进入安全网关管理器的主界面,如图3:图 3如需要重新连接控制器,在菜单栏,“系统->重新连接”,可与控制器重新建立连接。
如需要连接其他的控制器,在菜单栏,“工具->控制器连接参数”,弹出图2窗口,输入其他控制器的IP和登录密码即可。
4.5控制器管理安全网关管理器工具菜单栏,“工具->控制器管理”,如图4图4升级可导入ViaControl提供的版本升级包,对控制器软件进行升级;恢复出厂设置可将控制器的设置恢复到出厂时的设置;重启控制器可将控制器重启;设置控制器时间可设置控制器当前的时间;设置网络参数可设置控制器的IP、掩码、网关信息;4.6管理配置“安全网关管理器主界面->配置管理标签页”,在此设置安全网关控制器的管理配置信息。
如图5:图5时,就会出现在“状态信息”内。
支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
控制范围设置控制器所能控制的计算机范围,此范围内的计算机需要使用启动安全通讯功能的授权软件才可以正常访问受保护的服务器,否则将会被阻止。
支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
服务器连接参数指定受保护的服务器IP和TCP协议端口。
支持“IP:端口”的输入,如:192.168.1.2:8080。
转发设置设置访问网络受限时,转而链接到的地址。
转发的url输入转到的url;如:http://192.168.1.15/nac/index.html。
说明关于转发地址的具体部署,详细参见5.24.7加密客户端配置需要对加密客户端设置客户端配置策略,客户端才能正常访问受保护的服务器。
设置平时访问OA等系统的软件为授权软件。
如SVN客户端或浏览器。
如果预定义中没有此软件,可使用自定义授权软件。
例如设定IE为自定义授权软件。
1、对加密客户端指定授权软件。
2、对授权软件启动安全通讯功能。
在客户端配置策略中设置。
如果授权软件是SVN,可以用safe_netconnect_svn,值为1如果授权软件是其他软件,如IE,则用safe_netconnect_process,值为iexplore.exe (支持多进程,以分号分隔)设置后,此授权软件就只能访问经过安全网关内的服务器,不能访问其他服务器。
3、如果授权软件需要访问安全网关之外的服务器,在策略-客户端配置中设置白名单。
名称:safe_netconnect_whitelist,值为OA或SVN服务器IP如192.168.1.2设置白名单之后,加密文档可以上传到这些网站并解密。
这样会存在泄密风险,设置白名单需谨慎。
4.8设置白名单对于不允许访问受保护的服务器的计算机,访问服务器将被阻断。
将其设置白名单,便可解除限制。
设置白名单方法1:安全网关管理器主界面,切换至“状态信息”窗口,选中一台或多台计算机,右键菜单->设置白名单,也可取消白名单。
方法2:安全网关管理器主界面,切换至“白名单”标签页,右键菜单->添加白名单,如图8:图8填入要设为白名单的计算机IP,多个IP使用“,”分隔开,支持IP、IP段输入,如:192.168.3.0,192.168.0.2-192.168.1.160。
点击【确定】之后,设置成功,列表中出现添加的IP 机器。
删除白名单在“白名单”列表中选择一个或多个计算机,右键菜单->删除白名单,这些机器将不再具有白名单功能。
被设置为白名单的计算机,访问受保护的服务器时,需使用没有启用安全通讯功能的授权软件或者非授权软件。
4.9开启控制为了避免影响使用,建议完成以上控制器的连接、管理配置以及加密客户端配置后再开启安全网关控制功能。
“菜单栏->系统->开启”,则安全网关控制功能会按照各项设置生效。
“菜单栏->系统->关闭”,安全网关控制功能关闭。
4.10加密客户端的使用加密客户端不改变平时使用习惯,加解密操作对用户透明。
不过启动了安全通讯功能的浏览器只能访问受保护的OA系统,不能访问其他网站;如需要刚问其他网站,请使用其他浏览器,如360浏览器。
未启用安全通讯功能的浏览器不能访问受保护的OA系统。
4.11状态信息安全网关管理器工具切换到“状态信息”窗口。
可以查看管理范围内计算机的状态信息,包括:计算机名称、网络地址、启动时间、最后在线时间、是否白名单、是否授权、是否信任等。
在此窗口下,选定列表中的机器,右键菜单可以进行如下操作:刷新当前列表输入关键字查找列表中的机器设置\取消白名单删除4.12查看日志安全网关管理器工具切换到“日志记录”标签页,可以查看控制器登录状态、新接入计算机、计算机名称发生变化等日志。
5备注5.1配置安全浏览器的快捷方式。
在对象位置的地方输入:sdviewer /process:”授权软件安装路径”默认访问网址,例如:sdviewer /process:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://192.168.1.2:8080 说明:可以添加-nomerge参数以独立进程打开IE,-nomerge参数在默认网址之后,并与默认网址中间有个空格,例如:sdviewer /process:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://192.168.1.2:8080 –nomerge。
注意:1、sdviewer后面有个空格。
Process后面跟的是浏览器或其他授权软件的全路径。
/Process: 后面,进程名称要用””,此时引号以内表示进程路径,引号以外表示命令行参数。
如果没有引号,则不识别命令行参数。
2、-nomerge 参数只支持IE8、IE9。
使用此快捷方式可以访问OA系统,不能访问其他网站。
其他原始的浏览器不能访问OA系统,可以访问其他网站。
5.2转发URL设置计算机访问网络受阻后,将其经由设置好的“转发的端口”引导至“转发的url”。
可使用ViaControl提供web服务器架设程序(WebServerSetup.exe)进行部署。
1)双击运行该程序,根据默认提示安装。
成功安装之后,web服务自动在后台运行,默认开放8282端口。
2)把客户端安装程序改名为Agent3.exe,放置在ViaControl\WebServer安装目录下的html文件夹里即可。
以上步骤完成之后,则可在管理配置标签页中的转发设置处填写:转发的url:设置好的转发网页地址+/index_sg.html,即http://192.168.1.2:8282/index_sg.html(192.168.1.2为安装web服务的机器IP)。