网闸安装与配置

应用代理配置1、管理界面登陆：把笔记本配一个192.168.3.100地址，用交叉线连接到网闸“内端机管理”或“通信”口，ping通网闸192.168.3.217管理地址，用户名：super ，密码：111111。

2、配置网闸内端机IP：在“系统类型”中“内端机系统”双击内端机IP，设置内端机IP地址及网关3、配置网闸外端机IP：在“系统类型”中“外端机系统”双击外端机IP，设置外端机IP4、配置内端机管理口IP地址5、设置外端机管理口地址6、添加静态路由（在内、外网使用多网口通信时才用到，网口号2为管理口）7、添加应用代理服务：在管理界面“服务”选项中添加管理口业务，目的地址根据实际情况修改管理口业务，目的地址根据实际情况修改管理口业务，目的地址根据实际情况修改8、显示已添加的所有服务：9、添加代理规则：管理界面“规则”选项中如上面依次添加另外14条规则…………………….10、显示所有添加的规则11、上传、保存配置：修改、添加、删除任何的网闸配置，都需要上传配置才能够生效12、导出配置：配置完网闸后，可把当前配置导出作为备份文件13、导入配置：可把备份的配置文件导入到相同版本的网闸内，注意：一定要确认是相同版本的硬件设备，否则网闸会无法正常启动。

添加透明规则1、启用透明规则管理：在“透明规则管理”中双击“正反向设置”，选择“启用”2、添加透明规则：点击“规则查看”，鼠标右键添加“透明规则”，注意：严格按照以下截图参数配置，此参数只适用于辰锐公司移动警务项目，不能随意设置，否则可能会导致管理界面无法连接，切记。

有问题可以联系厂家技术人员。

所有已添加的透明规则显示：。

网闸基本配置截图。

网闸管理口MAN口，管理地址192.168.1.168
第一步：
确定网络内外网的IP地址、子网掩码、网关。

第二步：
确定需要经过网闸传输的数据端口，及访问方向（内访外或外访内），确定需要经过网闸访问的目的地址IP。

第三步：
安装管理端：打开安装包，选择Setup.exe双机运行安装，不需要做修改，下一步到完成。

第四步：
本地计算机打开网络和共享中心，配置本地IPV4地址为192.168.1.*网段地址，掩码255.255.255.0 笔记本和网闸MAN口网线直连。

第五步：
开始菜单找到点击管理端登录。

管理地址查看上述，用户名和密码一样，都是admin2003。

第六步：
点击网闸左侧菜单栏服务设置，配置网闸内外端机eth0IP地址。

例：
第七步：
配置TCP应用通道，假如外访内应用，应用通道源就选择外端机。

一律选择转发模式。

通道名称可以根据访问目的服务器来区分，
应用类型选择选择NULL_ TCP
源机IP地址：因为是外访内，选择网闸外端机地址。

目的IP地址：需要经过网闸访问的目的服务器地址。

建立完成应用通道，右键选择应用通道选择启用。

需要在eth0网口添加或者修改IP地址时，需要把通道停用才可以允许修改。

1.1 配置安全通道◆网络拓扑FTP客户端FTP服务端◆应用概述如上图所示，今以FTP应用服务配置为例，其他应用服务类似(只要该C/S模式底层符合标准的TCP/UDP协议)。

此应用要求实现内网FTP客户端主机通过安全隔离网闸安全地访问外网FTP服务器，通过安全通道模块达到对文件上传/下载的目的。

该应用环境使用要点如下：1、网闸内、外网络口各直连一台装有WindowsXP Professional系统的主机，与网闸外侧相连的是FTP服务器(端口：21)，与网闸内侧相连的是访问客户端主机；2、今要求以透明和普通两种方式访问；3、IP地址设置见网络拓扑图；◆配置步骤网闸WEB配置部分，下面以FTP应用为例展开叙述，其他应用与之类似，不再赘述。

1、配置网闸内侧任务，并启动服务添加网闸内侧任务，如下图：启动服务，如下图：按下按钮，启动服务2、配置网闸外侧任务，并启动服务添加网闸外侧任务，仅对普通访问有效，如下图：服务类型可选【tcp_any】；亦可选【ftp】，但目的端口可不填。

启动服务，同上。

3、测试针对普通访问，访问时如下图：普通访问模式下，该地址为网闸内侧地址普通访问模式下，格式为：用户名针对透明访问，访问时如下图：透明访问模式下，该地址为真实FTP服务器地址透明访问模式下，格式为：用户名1、透明访问时，需配置默认网关或添加静态路由，详见《4.2.2 FTP访问》的“配置步骤”第4步；2、支持日志访问；3、支持一些动态端口应用服务，比如：ftp、tns、h.323等等；4、支持源、目的端口范围；5、不支持PPTP、IPSec、GRE、IGMP、IGRP及OSPF服务；6、普通访问时，不支持服务器地址范围；7、支持ping；8、支持相同服务多服务器的应用模式；IE浏览器进行FTP访问；1、配置客户端任务(针对普通访问和透明访问)，并启动服务；2、配置服务端任务(仅针对普通访问)，并启动服务；3、测试；。

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构i 通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘一一管理证书文件夹下，密码：hhhhhh ）,管理 IP:10.0.0.200 ，掩码:255.255.255.0。

2、 登录内网：用网线连接内网专用管理口，在 IE 浏览器输入：3、 输入用户名/密码：administrator/administrator （超级用户）或输入：admin/admin123（管理员 用户）。

4、 登录外网：用网线连接外网专用管理口，在IE 浏览器输入：或输入用户名/密码：administrator/administrator （超级用户）或输入：admin/admin123（管理员用户）。

测试拓扑结构:注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访 外部客户端通过访问相连网闸地址，再由问网闸另一侧的真实服务器地址；网闸连接真实服务器； 原理区别 两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网必须同时配置网闸客户端、服务端任务， 闸服务端任务；且对应任务之间的任务号必须相同；2）客户端添加一条路由，指向网闸；访问目的地址 网闸另一侧的真实服务器地址 与客户端相连一侧的网闸地址 网闸两侧网络 支持支持地址同网段FTP 客户端FTP 服务端网闸客户端 I 网闸服务端网闸两侧网络支持支持地址不同网段双机热备 支持 支持 负载均衡不支持支持硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:内网陽离交换填坟交换芯片交换芯片I叫信网络仝抉子累统卄艾松剳r jfttr尸笑控制子茶统Leadsec AS I C 芯片内网主机系统〕外网隔涌交揀模块联韻网御安全隔需网闸非口 j 信网络登陆界面登陆首页；*rti碎曲日-n sew* -p卫#卫挺0 3Etti* 叮u"时i导11且际刁E送闾带崎用〈•'，巧：4P-勺訓抽灯P V JL A JL r勺咖士*■ -勺孚处托© ifiCJTH^wtrri 丽—3»Ma内IF魁和迥耳E理轴1納垃疋号■^-3flLjfl-£E!K犊忡嗾衣寻j.0.200.6fed?璋nan jifCfU料用3旳科n柑印•4QaV£H用・KMna««ew iriMb日创冬誓u^W9«B■Mil更改密码（按需求修改）© BTT 7鼠碗.a anm^-北屣舷鼻亏^T«3ft弓jjfljwi•号+ 口IJLBHSiBQ产上呷功任''i H'hrs +"砒只•■*幻扳鼻i m工H＞抚**+$ 3|EiS4 '鼻厚睥山闻t 1・TS晖诃歼+刁左±海査+ j "4Sfts.li；-暉理■ a ^r«昂啟号•号i ^XTErilrr sy^Qj? 4&neha?i 卜生茹* 辺起+a switBMLT 4L>MTr a^iia*4iT i a JR-L/廿F------------------------------------------------------------------------ /J ' iiisintrnt)□IP^RD*«ar(I ^r®ra?i卞•■认口卒!*»*< ■•■■■/ ifc^sa田HKWffiI-E曰妬计H"网口配置（按需求修改）-i E?二j j^-.wa a tinitf-l*、爵电礙T ?)««■■ q瑕戢・o用戶。

1、进入安装包，点击安装文件step进入安装，并安装步骤完成安装。

2、安装完成后，点击【开始】，进入【网闸自动控制系统】，点击【网闸自动控制系统】图
标，即可以进入系统管理登陆界面。

3、在电脑USB插口上插上配置的key，点击界面的【登录】，输入初始密码【1234】，进入
管理界面。

4、进入管理界面后，显示如下图
（1）管理界面有两组时间设置,每组分别可设置12个时间段,分别控制两种类型的内外网切换。

设置时间的步骤为：首先在需设置的时间段前划上√，并填写好时间范围，如不需
要设置，可去掉选择中的√，（系统默认时间范围是00）；第二步是保存已设置的时间；第三步发送已设置的时间：完成时间的设置
（2）提供了【导出】功能，系统自动读取了已经发送到网闸内部的时间，并与软件上设置的时间做比对，出现提示“**时间表导出成功”，即网闸内部时间是设置的时间。

（3）网闸支持手动切换,在设置的时间以外，两种网络的内外网状态可手动切换，硬件和软件均可。

（4）时间校对功能，提供了【时间校对】按钮，可以随时更新网闸硬件的时间，更新的时间以电脑时间为准。

5、密码管理功能，点击进入密码管理，可以修改管理界面的登入密码。

自动切换的时间确定，可根据【导出】完成确认，此处没有记录。

7、退出管理，界面可退出到登录界面，并在登录界面，可以隐藏窗口到任务栏。

8、系统，提供了系统介绍查看。

注意事项：
网闸电源断开后，网闸不能使用，重新接通电源后，注意要检查下软件的时间设置，最好能重新保存发送时间，以确保网闸的正常操作。

网闸配置与应用（二）网闸产品配置实训一、实训目的1.掌握网闸基本配置方式。

2.掌握网闸基本配置步骤。

3.了解网闸的配置策略。

二、实训设备和工具安装有Windows 2003操作系统的计算机天融信的网闸（安全隔离与交换系统）。

三、实训内容和步骤任务1：掌握网闸基本配置方法任务2：网闸的规则配置任务3：上线测试步骤：第一步：熟悉网闸基本配置方法天融信TopRules系列网闸产品以仲裁机的端口做为管理和配置端口，管理和配置采用C/S模式，先要在管理机上安装管理端软件，通过管理端软件对网闸进行管理和配置，具体过程如下：1.管理端软件安装运行环境：Window 2000/XP/2003/Vista安装和初始化：运行随机光盘上TopRules目录下的安装文件setup.exe，设置管理控制端的安装路径，完成安装。

以下是安装截图：（图1-3：网闸管理程序安装）2.登录运行管理控制端：选择开始 > 程序 > TopSec > TopRules管理端。

（图1-4：网闸管理程序登录界面）将管理计算机与网闸的仲裁机相连，在登录窗口中输入登录主机地址、用户帐号、密码，点击“确定”，登录管理控制端。

主机的出厂IP为：192.168.1.254；用户帐号为：superman；密码为：talent123。

3.内外端机接口配置登录到设备以后将会看到如下的截图：（图1-5：网闸系统设置界面）网闸最大配置为内外各7个接口，标准配置为内外各1个接口，这里分别为eth0。

以配置外端机的接口地址为例：在如上图的界面中红色圈住部份点击系统> 设置> 设置外端机eth0 IP 地址（图1-6：网闸外端机IP配置界面）上图是外端机接口地址配置图例（内端机相同），192.168.5.181这个地址应该和相连网络是同一个网段，如果有其他网段需要访问这个地址设置默认网关，这个地址的每一个端口都可以映射为接内端机网络中的一个应用服务端口，如果出现有两个应用服务使用了相同的端口（如http服务的80端口）还可以点击高级添加多个虚拟地址，如下图：（图1-7：网闸虚拟IP配置界面）4.网闸用户设置天融信网闸设备可以通过用户设置多个管理用户，点击管理菜单中用户> 添加，按照对话框中的提示输入用户名、密码、管理用户的MAC地址再点击确定即可，如下图所示：（图1-8：网闸用户设置界面）第二步：网闸规则配置网闸规则配置，简言之就是要落实如何配置网闸，那么就需要明确网闸部署的位置，接口的IP地址，以及应用通道规则。