![网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]](https://img.doczj.com/img05/06cndg2upql7rv28yti-51.webp)
![网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]](https://img.doczj.com/img05/06cndg2upql7rv28yti-e2.webp)
●版权声明
Copyright ? 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。
未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息
●版本变更记录
目录
1产品概述 (5)
2产品功能说明 (7)
2.1SSL 应用发布 (7)
2.1.1B/S软件的应用 (7)
2.1.2企业站点的应用 (7)
2.1.3单点登录功能(SSO) (8)
2.1.4C/S应用发布 (8)
2.1.5TCP端口应用 (10)
2.1.6SSL 隧道模式 (10)
2.2LAN TO LAN 的解决方案 (11)
2.3远程用户安全性检查 (11)
2.4远程用户访问认证 (12)
2.5用户访问策略 (12)
2.6日志审计功能 (12)
2.7防火墙功能 (13)
2.8支持动态IP接入 (13)
2.9完美的个性化定制 (14)
3产品技术优势 (14)
3.1将C/S应用转成B/S访问 (14)
3.2Web应用功能 (15)
3.3访问的安全性 (15)
3.4稳定性及高可用性 (17)
3.5低带宽运行特性 (17)
3.6部署灵活,维护简单 (18)
4典型应用 (18)
1产品概述
网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。
网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。
网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,
网神SSL VPN的基于代理主机的,它通过终止网络边缘的连接而提供一个附加的安全层。这就意味着只有经过授权的用户才被获准接入,而非法远程用户绝不会直接连接到你的网络。这降低了恶意的或意外的病毒攻击。网神SSL VPN 产品,对访问者进行了强制的安全检查,也可以在其使用特殊的安全应用时隔离其和外部网络的联系,从而保护应用的高安全性。
网神SSL VPN严格制度管理控制技术能够使你明确而容易地定义资源安全的发布,细粒度控制接入可以到用户级、资源级-甚至下到URL和文件级的权限。全范围身份认证方法的支持:网神SSL VPN支持广泛范围的鉴别系统,包括用户名/密码、数字认证、LDAP、RADIUS、RSA SecurID 标记和其它通用的双因素等认证系统。网神SSL VPN提供了额外的安全性功能特性,以适应各种接入的设备。例如,若从公共网吧改进安全性,SSL提供一个“话路终止”功能部件。能够使用户阻挡认证形式的自动完成,所以,避免了用户粗心地将密码信息留在一个网吧所造成的安全隐患。网神SSL VPN产品让用户轻松而安全地实现远程访问,让公司的网络应用部署更灵活,同时,网神SSL VPN 还可以为企业最大化地节约成本,而且,网神SSL VPN会为企业用户提供最好的整体解决。
网神SSL VPN通过結合 SSL 和代理技术来减少风险终端控制技术检测、保护使用者环境,从而授权使用者的访问级別,策略执行不仅基于使用者名称,还能检测使用者环境的信任级別,可以针对那些需要特殊环境的使用者,提供最好的解決方案。
网神SSL VPN提供了用户自己定义界面的功能,用户可以根据自己的个性,定制入口界面,用户还可以把登录的LOGO换成自己公司的,并且,可以
让不同的用户定制属于自己的界面,让用户真正体验网御神州产品的感受。
2产品功能说明
2.1SSL 应用发布
网神SSL VPN提供了很强的Web代理功能,网神SSL VPN所支持的浏览器类型包Html,Dhtml,Jsp,Asp,Java applet,Active,Cookies等各种Web 技术。可以让远程用户安全地使用内部的Web资源,具体如下:
2.1.1B/S软件的应用
通过网神SSL VPN可以发布企业内部B/S软件系统,如OA。最初的B/S应用,是通过前端的路由器或防火墙转发应用端口来实现的,但安全性和可靠性没有保障,而且数据在公网上传输是没有加密的,通过网神SSL VPN就可以轻松解决这个问题。
2.1.2企业站点的应用
企业内部有很多站点应用,如大集团公司内部有很多网站,上面有很多内部新闻,信息公告等,这个网站是不能公开发布的,必须是企业内部的人员才可以访问,另外,远程的员工和出差员工也可能要看这些信息,这就要有一个安全的访问方式,网神SSL VPN的Web应用可以为企业用户解决这个问题,首先,在网神SSL VPN 上发布站点资源,包括外部的站点(网站在外部或托管的),然后,给用户作个认证方式,这样,企业用户就可以安全地使用内部站点的资源了。
2.1.3单点登录功能(SSO)
网神SSL VPN产品,给应用系统复杂且多的企业,提供了一个全新的基于应用的安全管理方式,他可以结合企业目录服务,对一个内部网络用户进行集中式应用的权限分发和管理(即统一的身份认证和访问控制),通过内置的SSO(Single sign on)单点登录,将不同应用的不同身份认证方式,不同的访问权限,进行一个有效的整合,方便了用户的使用,简化了多次的登录过程和网络管理员在权限管理上的复杂性。
网神SSL VPN将门户网站和权限控制、身份认证、SSO进行了统一的整合,只要经过一次身份合法确认后,权限内的其他应用就不用再次输入密码了,有效地解决了企业应用系统多时输入过多密码的不便。
2.1.4C/S应用发布
网神SSL VPN对C/S架构的应用,提供了一个更好的解决方案,就是能让用户在游览器里就能够使用自己的C/S程序,而无需安装软件的客户端。以前,我们在用C/S软件的时候,总是这样设计的,首先,要先装好一台服务器,然
后,在上面装好C/S应用的服务器端软件及数据库,最后,用户还要在客户端电脑上安装C/S应用软件的客户端,然后,用户在使用的时候,先运行自己电脑上的软件客户端,再联到服务器端,最后,才可以使用这个软件,那这个应用如何在互联网上使用呢?我们一个企业的ERP应用来做个分析:传统方案,首先还是要在总部装一台服务器并装好ERP的服务器端,并且,要把服务器软件的应用端口要映射到公网上,远程用户电脑上装上ERP客户端,然后,用ERP客户端去联服务器端,这样,远程用户可以使用这个软件系统。
网御神州方案,总部先装好一台ERP服务器,然后,前面装一台VPN,远程用户不用装ERP的客户端软件,直接可以用浏览器以VPN的形式去访问ERP 服务器。
以上两个方案,我们作个比较
从上表可以看出,方案二的优势非常明显,网神SSL VPN的C/S转B/S应用为企业提供了既安全,又简单的远程应用解决方案,是企业用户C/S应用的
最佳选择。
2.1.5TCP端口应用
网神SSL VPN还提供了一种更灵活的应用方式,TCP端口应用,这种应用可以发布总部服务器上任何一个TCP端口,如1433,21,80等,远程用户只要通过SSL认证后,即可直接使用这个发布的TCP端口,这种应用给企业应用布署提供了更灵活的解决方案,适合于复杂的网络环境及应用环境,而且这个方式也可以弥补一些Web应用中的不足和一些复杂的Web应用,为企业提供了一个可伸缩性的解决方案。利用TCP发布的端口应用,远程用户可安全地,透明的访问总部服务器的资源,如内部的MAIL系统,远程用户可以利用TCP应用,直接使用自己的MAIL系统,TCP端口应用的透明方式,使用户无需修改自己的MAIL参数,而直接可以使用内部MAIL系统,给用户使用带来了极大的方便性。
2.1.6SSL 隧道模式
针对于企业应用中的UDP应用,及语音和视频流应用,网神SSL VPN提供了全隧道模式,这个隧道模式完全支持网络层以上的所有应用,而且,还可以让网络管理人员在远程能够访问到企业内部的所有电脑及网络设备;只要远程用户通过网神SSL VPN 界面开启客户端隧道功能,就可以访问总部已发布的网络资源了,并且,还可以双向访问,网神SSL VPN 隧道模式,为企业用户提供了更加完整的远程应用解决方案。
2.2LAN TO LAN 的解决方案
对于异地网络互联,分公司和总部的互联的应用需求,网神SSL VPN 还提供了LAN TO LAN的完美解决方案,只要总部和分公司各安装一台网神SSL VPN,就可以轻松实现两个内部网络的互联,真正地把不同地区的两个局域网联在一起,让用户感觉不到地域的间隔,就像访问内网一样来访问总部的资源,给用户访问带来极大的方便。
支持IPSEC协议互联,支持IPSEC客户端接入,为远程用户提供了一个完整的解决方案,另外,还支持PPTP SERVER,当用户选用此功能时,在登录SSL 时,SSL会自动建立一条PPTP隧道到SSL上,省去了用户的配置过程,应用更加方便。
2.3远程用户安全性检查
网神SSL VPN针对远程用户还提供了一种安全性检查机制,当远程用户在使用网神SSL VPN前,首先,对用户电脑系统进行一些可定制的检查,如WINDOWS 的安全补丁,防病毒软件等有没有安装,也可以对用户的电脑进行绑定,检查用户电脑系统及硬件是不是允许访问的电脑,这样,对于企业内部来说,又多了一层安全的保护,网神SSL VPN 的远程用户安全性检查,既确保了远程用户的可信度,又可以减少由于远程接入而带来的安全隐患。
支持用户上网隔离,用户登录SSL后,不能使用外网资源,如QQ、网站等,支持硬件绑定,把用户账号和电脑硬件绑定在一起,这样,可以锁定用户使用的电脑,增加用户接入的安全性,支持用户登录时的软键盘使用,可以有效防止用户端的木马记录键盘信息。
2.4远程用户访问认证
为了提高企业门户的安全性,网神SSL VPN提供了多种用户认证方式,包括本地用户认证,证书认证,WINDOWS AD,RADIUS,LDAP,USB-KEY,动态令牌,短信认证等,为企业用户提供了多种认证及交叉认证,从而更灵活地布转署了认证策略,让企业放心地提供远程接入,让远程访问更加安全。
此外,网御神州SSL还可以使用第三方的数据库认证,如结合SQL,ORACLE,SYBASE等数据的账号作为SSL的登录认证账号,还有更高级的认证,指纹认证和邮箱账号认证。支持多种文本账号批量导入,支持LDAP账号,数据库账号导入,与第三方数据库完美结合。支持认证顺序配置,包括第三方数据库认证,支持VIP用户。
2.5用户访问策略
网神SSL VPN还支持细致的用户锁定策略,支持时段锁定和管理员解锁两种方式,指纹用户的增强,支持后台管理指纹的录制和指纹的增删等支持检验与校验模式两种方式的指纹认证模式,支持任意的类型用户的,对应用户与默认用户的分配权限的模式。可以配置用户访问时间的控制策略,包括多个时间段,有效控制站点的开发时间。
2.6日志审计功能
可以对用户的访问过程作详细记录,网神SSL VPN网关提供了调试、信息、告警、错误等级别的运行日志,帮助管理诊断系统。并提供了用户访问记录审计和报表来记录、跟踪用户行为。
由于VPN网关的存储空间有限,网神SSL VPN还提供了独立的日志中心。通过第三方的日志中心,管理员可查看用户的登录次数、告警次数等进行直观显示,并可直接打印和导出。网神SSL VPN安全网关丰富的日志中心,为网络管理员和决策者了解VPN资源的详细使用情况提供了最有效的数据支持。
2.7防火墙功能
网神SSL VPN还提供了一些防火墙功能,支持路由模式,支持PPPOE,NAT,DHCP,用户可根据自己的需求来定制自己的防火墙规则,如根据IP,端口,协议,时间等参数,进行对内网及外网的控制,为企业用户又提供了一层安全保护。
2.8支持动态IP接入
由于宽带的普及以及ADSL资费的降低,国内中小型企业通常采用ADSL拨号等动态IP的方式接入互联网。网神SSL VPN集成了目前常用的动态域名客户端,可以轻松解决用户动态公网IP接入的问题,使网神SSL VPN在部署的时候无需固定IP,完全支持动态IP。由于网神SSL VPN内置动态域名客户端,所以,用户就不必在前端的路由器或电脑上安装动态域名软件,这样,不仅可以减少了管理员的维护量,而且,也增加了远程接入的可靠性,移动办公人员使用浏览器连接入公司内网时,也更加便捷。由于支持动态IP接入,网神SSL VPN同样也适合中小型企业。
2.9完美的个性化定制
网神SSL VPN可以为远程用户创建全面可定制的登录界面,它支持消息公告以及时的发布企业信息,Logo及页面定制,用户界面风格定制,页面标题定制,前台资源图标定制。
为不同角色的用户提供个性化的登录界面外观,从而改进用户体验。
3产品技术优势
3.1将C/S应用转成B/S访问
传统的C/S 结构的应用系统运行性能稳定,但在进行异地分支运行时,有安装、维护成本高的缺点,尤其是在一个企业有很多C/S的应用需要分配给远程用户时,系统管理员需要给远端用户安装多个C/S的客户端,安装和维护成本更高。
现在,网神SSL VPN可以将C/S的应用集中管理,使用户通过Web方式,将企业C/S的应用按不同的用户,分配给不同的应用.也就是将多个C/S应用接转化为B/S 架构,使企业集团中所有的应用系统都可使用标准的浏览器运行,同时可优化企业中B/S 架构的应用。
使用网神SSL VPN,可以将需要在远程安装客户端的应用程序,完全集中在中心进行管理,无需要任何客户端即无VPN客户端和应用程序客户端(比如用友ERP的远程用户,无须安装ERP的CLIENT端),仅仅使用WINDOWS标准的浏览器实现远程访问(包括B/S 、C/S应用),简化了工作环节,与传统的PC
组网方式相比大大地减少了维护人员的工作量,解决了C/S应用部署难的问题。既将C/S系统转换为B/S架构,大大降低了总体拥有成本,由于CAB技术完全基于中心系统运行的特性,使得网络硬件升级换代的代价大大降低,只需中心端适当升级即可,远程客户端本身不必考虑。
3.2Web应用功能
网神SSL VPN所支持的浏览器类型包含Html,Dhtml, Jsp, Asp,Java applet, Active, Cookies等各种Web技术,通过html智能重构技术、应用转换技术和TCP端口应用技术及IP层隧道功能,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,包括:网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。
3.3访问的安全性
SSL用户在访问过程中的安全性保障是通过以下几方面进行的:
1.用户认证
本地用户认证,证书认证,WINDOWS AD,RADIUS,LDAP,USB-KEY,动态令牌,短信认证等多因子多因素强认证功能,支持硬件绑定认证,支持第三方数据库认证(SQL,SYBASE,ORACLE),支持指纹认证,支持邮箱账号认证,支持多种认证混合使用,极大的提高了远程用户可信度和安全性;
2.客户端安全检查
对用户电脑的系统进行定制检查,如WINDOWSA的安全补丁,防病毒软件安装等,发现不符合条件的,不允许访问到SSL;
3.高效认证加密
用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性和完整性;
4.细致的访问权限控制
网神SSL VPN通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
5.自动清除访问记录,实现“零痕迹”访问
网神SSL VPN在用户结束访问以后,会自动清除Cookie,临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问,避免安全隐患。
6.超时退出,防止窥探
为防止用户在没有注销的情况下长时间离开,导致他人窥探到网神SSL VPN内的机密信息,网神SSL VPN安全网关特别加入了不活动检测引擎。当检测到客户端在指定时间内没有任何访问内网资源的流量时,网神SSL VPN接入网关将自动弹出对话框,提示用户:“SSL连接会在X秒内超时关闭,继续还是注销?”,若用户在该时间内仍未选择相应动作,则
网神SSL VPN安全网关将自动注销,中断会话并重新返回登录界面。
3.4稳定性及高可用性
由于网神SSL VPN采用的是其于LINUX的内核,并对其内核进行优化,系统的稳定性得到更一步提高,加上采用特定的硬件设备,及对硬件的定制开发,使得网神SSL VPN的稳定性更加可靠,网神SSL VPN支持多设备进行负载均衡及SSL热备,从而,减少了企业在IT部署的采购投入,降低了企业的总体拥有成本。
3.5低带宽运行特性
目前,用户大多通常使用ADSL 2MB的带宽,如果不采用其他加速技术,在速度上很难满足用户的正常使用,尤其是C/S系统在有大量数据库查询动作时,速度问题尤其明显,因此远程用户除考虑VPN远程连接的稳定性、VPN技术的安全性还需要考虑VPN系统对带宽的占有率,在正常情况下,提高远程VPN 运行速度,大多是通过提高带宽方法来增加速度,也有通过使用CITRIX和RDP 的技术来实现。现在,网神SSL VPN产品就从根本上为用户解决了速度问题。
网神SSL VPN采用了CAB技术,提供了数据压缩和应用加速功能,在网络上只传输鼠标、键盘指令和远端变化部分的屏幕信息,带宽占有量只要30K。通过网神SSL VPN平台,使用CDMA和GPRS上网方式也可以流畅的运行您广域网络上的应用。
3.6部署灵活,维护简单
网神SSL VPN可以采用直接连接互联网或内部单臂模式,对于企业部署极为简单,并且,应用发布简单,可以快速的部署应用,对于远程用户来说,应用更为简单,只需打开浏览器,就可以轻松实现远程访问,由于一般只需维护总部的SSL和服务器,远程用户的维护量几乎为零。
4典型应用
1)单机模式组网示例
单机模式为最简便的部署方式,适用于不需要区分多ISP的组网。一个典型的单机模式组网示例;如下:
2)多ISP组网示例
多ISP组网模式适用于需要区分多ISP的组网,以便解决跨运营商访问网神SSL VPN可能出现的低速和不稳定的问题。一个典型的多出口模式组网示例,
如下图所示。
3)HA模式组网示例
HA模式适用于需要提供高可用性的组网,可最大程度地保证系统可靠性,确保远程用户可随时远程接入内部网络。一个典型的HA模式组网示例,如下图所示。
4)Site-Site模式组网示例
Site-Site模式适用于提供对两个分支机构之间的VPN连接和资源共享,使得用户只需要网神SSL VPN就可以构建完整的VPN网络。
新一代网关架构内容与网络安全的融合 近日,卫士通公司结合网络安全技术发展现状及市场需求,提出了开发新一代安全网关(New-qeneration seCur5ty GateWay,NGsG)的指导思想:采用内容加速硬件,在保证网络通信质量的前提下,增加内容安全功能,提升安全的控制粒度和广度,保证内容安全和网络安全,同时提供灵活的管理和网络部署特性。 新一代安全网关在内容安全方面以内容过滤、行为监控功能为主,提供Web页面的内容过滤、邮件内容过滤、URL 地址过滤、病毒过滤、垃圾邮件过滤、行为识别与控制(对QQ、MSN、SKYPE、BT、edonkey、迅雷等常用的IM工具和P2P工具的监控等)、行为记录与审计等功能;在网络安全方面提供访问控制、流量控制、NAT、IPSECVPN、SSL VPN、IP MAC 绑定、身份认证功能等。在管理方面采用灵活多样的方式,支持集中和分布式相结合的部署方式,可以通过安全管理平台进行统一管理,也可以通过B/S方式进行无客户端的管理。 新一代安全网关(NGsG)的处理机制
NGSG包含了如图1所示的组成部分。整个系统采用层 次结构,在通用的安全架构基础上增加了内容过滤加速模块和密码加速模块。 采用通用X86硬件平台架构,当添加大量内容过滤规则、开启网络行为识别与记录后,系统的处理能力就会急剧下降,会严重影响网络的通信质量,但不启用这些功能又会形成严重的安全隐患。解决方法就是采用基于全包多任务并行内容查询与过滤的加速模块,其简单结构如图2。它不仅能够实 现常用的基于协议、IP地址、服务端口的访问控制功能,还能够实现基于报文特征和内容字段的全包查询功能,将CPU 从繁忙的规则匹配、内容匹配中释放出来,更好地为复杂的分析、处理和调度功能服务。网络报文在该系统中的处理过程如下:CPU将收到的报文通过Memory和SCFC(special ContentFilter Channels)发送给CFC(ContentFilter Core),CFC将查询的结果信息通过SCFC返回给CPU,根据结果信息,CPU 对报文作后续的处理(状态刷新、地址转换、记录日志等), 高速地完成报文转发。 强大的加解密功能也是这款设备的亮点之一。结合IP加密处理技术,实现了内容过滤模块与IP加密模块的有机融合,达到内容过滤与IP加密双加速的目的,在充分保证内容安全
FC-6804/08HV 免域名DVR远程设置指导 一、首先进入录像机的:主菜单-》系统设置-》网络设置,把IP地址,子网掩码,默认网关,首选DNS,TCP端口,HTTP端口,根据网络要求进行设置。 IP地址:给录像机分配的一个独立的内网IP地址,用户可根据情况来分配; 子网掩码:255.255.255.0 大部分都是这个,一般不用改 网关:是指路由器的IP地址,TPLINK的是192.168.1.1,DLINK的是192.168.0.1 首选DNS:这个是当地的DNS服务器的地址,在路由器上可以查到 TCP端口:录像机的通信端口,默认是34567 HTTP端口:是指网页端口,这里建议改成81,因为80中国已经封了
二、.在系统设置--》网络服务---》UPNP 中把录像机的UPNP功能打开,
三、在系统设置--》网络服务---》ARSP中,按下面的要求,把服务器地址,用户名,密码,输入到录像机中,此处的用户名和密码,由供应商负责分配给用户,如没有可联系供应商。 服务器地址:https://www.doczj.com/doc/017207756.html, 这个是固定的域名,必须使用这个 端口:15000 这是系统默认,不要修改 用户名:这是供应商分配的用户名 密码:供应商分配的密码
四、再进入路由器中(以TPLINK路由器为例)-->转发规则--》UPNP设置中,把UPNP功能启用,这样设置就完成了。
五、在IE的地址栏里,输入:https://www.doczj.com/doc/017207756.html,:8080,即可出现登录的界面,在此处,输入我们提供的用户名和密码,就可以看到你的DVR!第一次使用的话,必须把下角的:下载WEB控件,下载下来,然后进行安装,否则是不能用的
●版权声明 Copyright ? 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。 未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (5) 2产品功能说明 (7) 2.1SSL 应用发布 (7) 2.1.1B/S软件的应用 (7) 2.1.2企业站点的应用 (7) 2.1.3单点登录功能(SSO) (8) 2.1.4C/S应用发布 (8) 2.1.5TCP端口应用 (10) 2.1.6SSL 隧道模式 (10) 2.2LAN TO LAN 的解决方案 (11) 2.3远程用户安全性检查 (11) 2.4远程用户访问认证 (12) 2.5用户访问策略 (12) 2.6日志审计功能 (12) 2.7防火墙功能 (13) 2.8支持动态IP接入 (13) 2.9完美的个性化定制 (14) 3产品技术优势 (14) 3.1将C/S应用转成B/S访问 (14)
3.2Web应用功能 (15) 3.3访问的安全性 (15) 3.4稳定性及高可用性 (17) 3.5低带宽运行特性 (17) 3.6部署灵活,维护简单 (18) 4典型应用 (18)
1产品概述 网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。 网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,
加密安全网关使用说明 企业内的加密文件有时候需要上传到OA、PLM、SVN等系统中,希望OA等系统中保存的文件是明文的,从OA等系统中下载到本地为加密文件,并希望其它没有允许访问的计算机不可以访问OA等服务器,ViaControl安全网关功能就是为了解决这一问题而诞生的。 ViaControl安全网关,可以实现启用安全通讯的加密客户端上传解密下载加密。未启用加密功能的客户端或者未启动安全通讯的加密客户端,不能访问受保护的OA等系统。 1网络架构 ViaControl安全网关功能的工作模式为:网桥模式。 企业内的网络常见的网络简易拓扑结构: ViaControl的安全网关控制模式: 使用网桥模式,可以对网络结构和配置不做任何修改,直接将安全网关控制设备串接进网络中需要进行控制的重要的服务器处,对通过其的网络通讯进行控制。
2 控制流程 当计算机或其他网络终端设备,访问受安全网关保护的服务器时,安全网关会判断访问请求是否属于安全通讯。当安装了客户端的计算机,使用已经启动安全通讯功能的授权软件访问时,就可以正常访问服务器。而其他的计算机会被阻止访问服务器。 对于一些外来的或者特殊权限的计算机,也可以通过设置白名单允许未启用安全通讯的计算机访问服务器。 非法客户端 安全网关控制 器
3部署 3.1设备介绍 ViaControl网络控制设备(以下称控制器),分为三个型号: 2000: 3个千兆网卡,其中管理端口为ETH2; 3000: 4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为ETH3; 4000: 4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为ETH3; 说明管理端口的固定IP为190.190.190.190,初始配置时使用; BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端 直接物理上导通,不影响网络的使用。 3.2部署方式 ViaControl网络控制器以桥接的方式串接入网络。控制器一般位于限制访问的计算机之前。 连接方法:使用设备的两个端口将其连入网络; 2000使用ETH0和ETH1;3000、4000使用ETH0、ETH1、ETH2中任两个;
网关访问监控配置方法 QQ: 602438628 6/29/2011 原理 1.通过iptables的LOG功能打印日志 2.通过syslog记录iptables日志 3.通过logrotate以及contab进行日志回滚以及日志处理 方案所需文件请看附件。 部署步骤: 1)请更新sysklogd至最新版本。 # yum install sysklogd 2)把附件的脚本存放于下面位置 /usr/local/bin/gen_forward_report.sh /usr/local/bin/ip_log_fm.py /usr/local/bin/rotate_gateway_forward_log /etc/logrotate.d/kern.debug 确认文件权限正确 # chmod 755 /usr/local/bin/gen_forward_report.sh # chmod 755 /usr/local/bin/ip_log_fm.py # chmod 755 /usr/local/bin/rotate_gateway_forward_log # chmod 644 /etc/logrotate.d/kern.debug 3)编辑/etc/syslog.conf 追加内容如下 # use for forward audit kern.debug /var/log/kern.debug 初始化kern.debug文件 # touch /var/log/kern.debug
4)编辑计划任务 # crontab -e 追加内容如下 58 * * * * /usr/local/bin/gen_forward_report.sh 2 0 * * * /usr/local/bin/rotate_gateway_forward_log 5)重启syslog使配置生效 # service syslog restart 6)插入iptables规则并保存 # iptables -I FORWARD -p tcp -m state --state NEW -j LOG --log-level DEBUG # iptables -I FORWARD -p udp -m state --state NEW -j LOG --log-level DEBUG # service iptables save 配置完毕,请观察/var/log/ 下文件,查看配置是否生效。 关键点: 1)确保syslog 及iptable为启动状态,可以通过以下命令分别启动syslog及iptable. service syslog start service iptables start 启动该项服务。 2) iptables中的规则,确保有以下2条, # iptables -I FORWARD -p tcp -m state --state NEW -j LOG --log-level DEBUG # iptables -I FORWARD -p udp -m state --state NEW -j LOG --log-level DEBUG 可以通过命令iptables –L –n查看 3)logrotate 功能解析:logrotate服务器默认每天04:00-04:03期间对日志进行回滚处理,此监控系统中/etc/logrotate.d/kern.debug 如下配置: /var/log/kern.debug { size 600M daily rotate 1 } 设置后的结果: 系统将在每天04:00-04:03检查/var/log/kern.debug是否大于等于600M,如大于600M则压缩备份为kern.debug.1,同时新建kern.debug,由于rotate1即只保留一个备份,所以当第二次生成压缩备份时,将覆盖之前的kern.debug.1。
海康威视自带域域名录像机远程监控设置方法 DS-7800SH 系列海康DDNS 配置和设备访问 适用型号:DS-7800SH 系列 网络环境:通过路由器拨号模式 1 设备配置 第一步:DVR 的相关设置,确认以下几点是否全部填写
第二步:端口映射(以下提供两种配置方法,两种选择一种就可以了) 1、UPnP自动端口映射 说明: 该设置有一个要求,需要路由器支持UPnP这个功能,所以请先确认自己使用 的路由器是否支持该功能,如果支持UPnP的,可以参考以下设置,如果不支 持UPnP的请严格按照第2点中的端口映射来操作。 操作步骤如下: 登陆路由器配置界面,开启UPnP功能
进入设备本地配置界面,启用UPnP 刷新端口,看状态显示为“生效”即可。 2、路由器端口映射 登陆路由器的配置界面,找到虚拟服务器(或者是端口映射),映射端口(设备默认80、8000、554三个端口,可在设备上修改,三个端口必须同时映射,缺一不可)
如果在同一台路由器上有多台监控设备,请使用端口号来区分,不能重复使用端口。 第三步:配置自定义域名 1、快捷配置 点击鼠标右键,选择快捷配置->快捷上网配置
勾选启用DDNS,设置设备域名(自定义,只支持小写字母、数字以及“—”且必须以小写字母开头,必填),手机号码(后续增值服务使用,必填)。当设备状态显示在线时可以使用自动生成的访问地址来访问设备。
注意:配置海康DDNS前,需保证设备正常接入公网。 注意: 1.如果设备通过路由器接入公网,需要开启路由器的UPnP功能并配置设备的UPnP参数或者在路由器上做端口映射。 2.如果配置失败,可能原因是网络不通或者域名冲突,请先检查网络,若网络正常则尝试修改其他域名。 2 设备访问 打开IE浏览器,在地址栏直接输入https://www.doczj.com/doc/017207756.html,/自定义域名,例如配置了设备域名为test12345,则直接输入
安全网关和IDS互动解决方案 该方案特点: 通过安全网关(被动防御体系)与入侵检测系统(主动防御体系)的互动,实现“主动防御和被动防御”的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。两者的联动示意如下图: 方案概述: 1、项目简介 某市电力局为安徽省级电力公司下属的二级单位,信息化程度较高,目前已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子系统、物资子系统和人劳党政子系统等。 该电力局内部网络与三个外网相连,分别通过路由器与省电力公司网络、下属六个县局
网络和银行网络进行数据交换。 2、安全方案 通过对该电力局的网络整体进行系统分析,考虑到目前网上运行的业务需求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的: 1)保障现有关键应用的长期可靠运行,避免病毒和黑客攻击; 2)防止内外部人员的非法访问,特别是对内部员工的访问控制; 3)确保网络平台上数据交换的安全性,杜绝内外部黑客的攻击; 4)方便内部授权员工(如:公司领导,出差员工等)从互联网上远程方便地、安全地 访问内部网络,实现信息的最大可用性; 5)能对网络的异常行为进行监控,并作出回应,建立动态防护体系。 为了实现上述目的,我们采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案,如下图所示。
主动防御体系 主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。 主要在网络中心增加“入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。 对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。 本方案在交换机上连入第三方的入侵检测系统,并将其与交换机相连的端口设置为镜像端口,由IDS传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。 在实现安全网关和入侵检测系统的联动后,可以通过下面方法看到效果:使用大包ping 位于安全网关另一边的主机(这属于网络异常行为)。IDS会报警,ping通一个icmp包后无法再ping通。这时检查安全网关“访问控制策略”会发现动态地添加了阻断该icmp的策略。 “漏洞扫描系统”是一种网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患于未然。 “安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等),作到系统安全的最优化。 被动防御体系 被动防御体系主要采用上海本公司的SGW系列安全网关(Firewall+VPN)产品。 在Cisco路由器4006与3640之间,插入安全网关SGW25是必须的。主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题,SGW25在这里主要发挥防火墙和VPN的双重作用。 1)保障局域网不受来自外网的黑客攻击,主要担当防火墙功能; 2)能够根据需要,让外网向internet的访问提供服务,如:Web,Mail,DNS等服务; 3)对外网用户访问(internet)提供灵活的访问控制功能。如:可以控制任何一个内 部员工能否上网,能访问哪些网站,能不能收发email、ftp等,能够在什么时间 上网等等。简而言之,能够基于“六元组”【源地址、目的地址、源端口号(即: 服务)、目的端口号(即:服务)、协议、时间】进行灵活的访问控制。 4)下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过
安全网关产品介绍 一、产品定义 简单的说:是为互联网接入用户解决边界安全问题的安全服务产品。 详细的说:“安全网关”是集防火墙、防病毒、防垃圾邮件、IPS 入侵防御系统/IDS入侵检测系统、内容过滤、VPN、DoS/DdoS攻击检测、P2P应用软件控制、IM应用软件控制等九大功能和安全报表统计分析服务为一体的网络信息安全产品。 二、产品特点 1)采用远程管理方式,利用统一的后台管理平台对放在客户网络边界的网关设备进行远程维护和管理。 2)使用范围广,所有运营商的互联网专线用户均可使用。 3)解决对信息安全防护需求迫切、资金投入有限、专业人员缺乏的客户群体,以租用方式为用户提供安全增值服务,实现以较低成本获得全面防御。 4)功能模块化、部署简便、配置灵活。 四、(UTM)功能模块 1)防火墙功能及特点:针对IP地址、服务、端口等参数,实现网络层、传输层及应用层的数据过滤。 2)防病毒功能及特点:能够有效检测、消除现有网络的病毒和蠕虫。实时扫描输入和输出邮件及其附件。
3)VPN功能及特点:可以保护VPN网关免受Ddos(distributed Deny of Service)攻击和入侵威胁,并且提供更好的处理性能,简化网络管理的任务,能够快速适应动态、变化的网络环境。 4)IPS(Intrusion Prevention System , 入侵防御系统)功能及特点:发现攻击和恶意流量立即进行阻断;实时的网络入侵检测和阻断。随时更新攻击特征库,保障防御最新的安全事件攻击。 5)Wed内容过滤功能及特点:处理浏览的网页内容,阻挡不适当的的内容和恶意脚本。 6)垃圾邮件过滤功能及特点:采用内容过滤、邮件地址/MIME头过滤、反向DNS解析以及黑名单匹配等多种垃圾邮件过滤手段。 7)DoS/DDoS(distributed Deny of Service)攻击检测功能:“安全网关”能够有效检测至少以下典型的DoS/DDoS攻击,并可以根据设定的Tcp_syn_flood、udp_flood等阀值阻断部分攻击。 8)P2P应用软件控制功能:可以实现对BitTorrent、eDonkey、Gnutella、KaZaa、Skype、WinNY,Xunlei等P2P软件的通过、阻断及限速。 9)IM应用软件控制功能:“安全网关”提供对IM应用软件的控制功能,可以实现对AIM、ICQ、MSN、Yahoo!、SIMPLE、QQ等IM软件的控制,包括:阻断登录、阻断文件传输等控制。 10)安全报表服务:“安全网关”提供用户报表定制功能,能够根据用户的要求对报表格式、发送方式及发送频率进行定制。其中内容包括:A、安全服务套餐报表;B、安全策略设置一览表;C、网络带宽占用及流量分析报告或报表;D、攻击事件分析报告或报表;E、按名称的病毒排名:本客户的病毒爆发次数排名;F、按IP的病毒排名:本客户所有计算机的病毒爆发多少排名;G、垃圾邮件排名:统计垃
海康威视录像机远程监控设置方法 DS-7800SH 系列海康DDNS 配置和设备访问 适用型号:DS-7800SH 系列 网络环境:通过路由器拨号模式 1 设备配置 第一步:DVR 的相关设置,确认以下几点是否全部填写
第二步:端口映射(以下提供两种配置方法,两种选择一种就可以了) 1、UPnP自动端口映射 说明: 该设置有一个要求,需要路由器支持UPnP这个功能,所以请先确认自己使用的路由器是否支持该功能,如果支持UPnP的,可以参考以下设置,如果不支持UPnP的请严格按照第2点中的端口映射来操作。 操作步骤如下: 登陆路由器配置界面,开启UPnP功能
进入设备本地配置界面,启用UPnP 刷新端口,看状态显示为“生效”即可。 2、路由器端口映射 登陆路由器的配置界面,找到虚拟服务器(或者是端口映射),映射端口(设备默认80、8000、554三个端口,可在设备上修改,三个端口必须同时映射,缺一不可)
如果在同一台路由器上有多台监控设备,请使用端口号来区分,不能重复使用端口。 第三步:配置自定义域名 1、快捷配置 点击鼠标右键,选择快捷配置->快捷上网配置
勾选启用DDNS,设置设备域名(自定义,只支持小写字母、数字以及“—”且必须以小写字母开头,必填),手机号码(后续增值服务使用,必填)。当设备状态显示在线时可以使用自动生成的访问地址来访问设备。
注意:配置海康DDNS前,需保证设备正常接入公网。 注意: 1.如果设备通过路由器接入公网,需要开启路由器的UPnP功能并配置设备的UPnP参数或者在路由器上做端口映射。 2.如果配置失败,可能原因是网络不通或者域名冲突,请先检查网络,若网络正常则尝试修改其他域名。 2 设备访问 打开IE浏览器,在地址栏直接输入https://www.doczj.com/doc/017207756.html,/自定义域名,例如配置了设备域名为test12345,则直接输入
网神设置指南 1. 资料准备 需从备件中找齐网神资料,主要有:《第一次使用注意须知》、《装箱单》、光盘和USBKey。其中,《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》,须参考《装箱单》中商品编号和出厂编号填入申请表内,发送到指定邮箱以获取许可号。 2. 网神设置 2.1. 主机设置 将本机IP设置为10.50.10.44,子网掩码为255.255.255.0。将光盘中的Admin Cert文件夹打开,安装,双击SecGateAdmin程序安装许可证,安装过程中需要输入密码,默认密码为123456。安装结束后将网线连接网神网口FEGE1,通过浏览器连接(注意,IE和goole chrome浏览器都可能会阻止连接,可使用360浏览器)。在IE地址栏中敲入:https://10.50.10.45:8889 进行登入,默认密码为:firewall。即可进入网神设置画面。 2.2. 防火墙设置 2.2.1. 导入许可证 初次进入防火墙设置界面需要将网神公司发来的许可License导入,才可以对其设置。具体方法为:点击系统配置升级许可导入许可证,点击“浏览”,将网神发来的许可证导入即可。如下图:
2.2.2. 网络接口 对需要设置透明桥的网口设置成混合模式,具体方法如下:点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。 2.2. 3. 透明桥设置 须将一、二区连接的网口设置成透明桥,如需将网口2和网口3设置成透明桥,设置如下:点击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。
广义上的“网关”指一个网络连接到另一个网络的“接口”,比如一个企业的内部网与外部互联网相连结,就需要一个网关加以管理和控制.它是一种复杂的网络连接设备,可以支持不同协议之间的转换,实现不同协议网络之间的互连. 而所谓的无线网关,是指集成有简单路由功能的无线AP.从某种意义上来说,无线网关方案与宽带路由器方案完全相同;即是说无线网关通过不同设置可完成无线网桥和无线路由器的功能,也可以直接连接外部网络,如WAN,同时实现AP功能. 一、产品选择 目前市面上无线网关产品,种类还是很多的.总的说来,市场中的产品都具有小巧、便携、多功能、实用等特点.而且有些产品在产品设计上也充分考虑了用户的需要. 有的产品背后设有挂孔,可以很方便地挂在墙上.作为接收端设备操作,可以将XBOX、PS2、机顶盒、笔记本电脑和网络打印机等设备连接到已有的无线网络上.有些产品有接口连接打印机,可以变成打印机无线服务器.还有些产品支持摄像头,可以成为无线监控设备.具体采购的时候,就要根据自己的需求来选择. 下面通过一款具体的产品来详细认识无线网关. SMC 无线网关SMCWTVG 产品名称:SMC 无线网关SMCWTVG 产品简介:拥有无线AP、VoIP功能,支持无线AP、无线客户端或者无线桥接三种模式,内置一个WAN端口、一个LAN端口、两个RJ-11的电话界面接孔,并且支持802.11b/g无线网络连接功能.在无线网络方面的收讯能力方面,因为SMCWTVG没有外接天线,采用的是隐藏式无线天线,所以收讯范围并不广. 提示:VoIP,Voice over Internet Protocol,俗称IP电话,或者网络IP电话,是利用互联网实现语音通信的一种先进通信手段,是基于IP网络的语音传输技术. 二、产品配置 通过前面的介绍,其实大家应该明白,无线网关本身就是一台IP共享器,内置PPPoE自动拨号,及DHCP功能,可提供无线及有线连接功能;因此其配置与无线路由器并无太大区别,
安全网关部署方案 随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。这样,局域网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。另外域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。因此,网络安全不仅要防范外部网,同时更防范内部网安全。因此,企业采取统一的安全网关策略来保证网络的安全是十分需要的。一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。安全网关是各种技术有机融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,对保护计算机局域网起着关键性的作用。
安全网关部署拓扑图: (图1)
上图为安全网关部署示意图,包含了组建局域网网的基本要素。下面对其各个部分进行讲解。 一、安全网关接入网络。 安全网关一般具有2个W AN口以及4个LAN口。如上图所示,外网IP为221.2.197.149,连接网线到W AN口上。LAN的口IP地址是可以自由设置的,图中设定的2个LAN口的IP为192.168.0.1(局域网用户)以及10.0.0.1(服务器用网段)。另外安全网关具有了无线网络功能,分配IP地址为192.168.10.1。下面对上述接入方式进行详细说明。 1.路由NET部署 图一所示接入方式即为路由NET部署拓扑图。安全网关设备部署在网络的出口位置,实现路由、NAT转发功能。同时可以开启Qos (流量)控制、URL过滤、IM限制等功能,这种部署模式是最为常见的部署模式,应用客户最多。 2. 透明模式部署拓扑图
安全网关业务常见问题 Q:安全网关支持哪些网络接入模式? A:安全网关支持两种网络接入模式:一种是网桥模式,一种是网关模式。网关模式下有ADSL拨号、静态路由、DHCP client端三种外网接入类型。 Q:网桥模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网桥模式,通常情况下应该部署在企业接入设备(防火墙或者路由器)的后面。安全网关的两个网口(内网口和外网口)连接的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP地址,不需要改变网络拓扑以及其它配置,透明接入网络。 Q:网关模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网关模式,通常情况下应该部署在企业网络出口处,做为宽带网络接入设备,保护整个内部网络。 Q:无法通过浏览器登录安全网关的管理页面? A:出现这种情况有以下几个原因: 未将登陆pc加入安全网关的管理客户端 网络无法连通(该登陆PC到安全网关的链路) Q:为什么在外网ping不通安全网关的外网口地址? A:安全网关出于安全考虑对外网口是禁ping的,因此是ping不通外网口地址的。不过从内网PC能ping通安全网关的外网口地址。 Q:安全网关支持哪些方式的VPN? A:对于企业连接不同地域网络的需求,安全网关提供了VPN功能,企业可以通过Internet连接不同地域的网络。 安全网关提供IPSEC和PPTP VPN接入方法。安全网关的VPN功能适用于网关接入模式下。 Q:安全网关安装完毕后,为什么能ping通外网,而无法浏览网页? A:出现这种情况有以下的原因 如果安全网关作为网桥模式部署在防火墙的后面,并且做了访问控制的策略,由于安全网关对于扫描的协议采取的是非透明的方式,所以需要增加安全网关的地址到策略中; 未在安全网关中设置本地区的DNS服务器,或pc客户端的DNS设置有误。 Q:安全网关支持DHCP服务器功能吗? A:安全网关可以做为一个单一DHCP 服务器使用,也可以成为其他DHCP服务器的代理。网关模式支持DHCP服务器功能,网桥模式下不支持DHCP服务器功能。 Q:如果忘记安全登录密码,怎么办?
安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS 统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括: 应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。 管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI 管理访问,以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350 ZXSECUS350设备易于部署与管理,为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSECUS安装指南通过简单的步骤指导用户在几分钟之内运行设备。ZXSECUS180 ZXSECUS180为soho以及中小型企业设计。ZXSECUS180支持的高级的性能例如,虚拟域以及RIP与OSPF路由协议。 ZXSECUS120
服务热线:400 828 6655 Hillstone山石网科 多核安全网关 基础配置手册 V 4.0版本
目录 一.设备管理 (1) 1.1终端CONSOLE登录 (1) 1.2网页W EB UI登录 (1) 1.3恢复出厂设置 (2) 1.4设备软件S TONE-OS升级 (4) 1.5许可证安装 (7) 二.基础上网配置 (8) 2.1接口配置 (8) 2.2路由配置 (10) 2.3策略配置 (11) 2.4源地址转换配置 (12) 三.常用功能配置 (13) 3.1PPP O E拨号配置 (13) 3.2动态地址分配DHCP配置 (15) 3.3I P-M AC地址绑定配置 (17) 3.4端到端I PSEC VPN配置 (19) 3.5远程接入SCVPN配置 (26) 3.6目的地址转换DNAT配置 (34) 3.6.1一对一IP映射 (34) 3.6.2一对一端口映射 (38) 3.6.3多对多端口映射 (43) 3.6.4一对多映射(服务器负载均衡) (49)
一.设备管理 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1 终端console登录 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为: 1. 将管理 PC 的IP 地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示:
联系编辑删除 海康硬盘录像机远程监控方法(外网)以及路由器设置 外网访问的几种方法: 1.公网静态IP接入 如果您可以联系电信或者网通运营商提供静态的公网IP那么只需要将相关的网络IP,掩码,网关参数填写进然后重新启动设备,就可以通过客户端软件或者IE输入IP来实现对于设备的远程访问了. 2.pppoe 接入 DVS支持PPPOE自动拨号的功能可以连接Modem进行ADSL拨号获取公网IP地址进行访问,方法是:一:将设备ip 、掩码、网关均设置为0.0.0.0 二:开启PPPOE 输入ADSL拨号的用户名密码然后重起机器。 三:设备重起后等待一段时间那么会在IP地址处显示拨号获得的IP地址,然后通过拨号的公网IP地址进
但是通过这种方式获得的ip 地址是动态的,那么会给用户访问时造成困扰,IP总是会改变。 一种解决的方法是,在一台具有公网静态IP地址的电脑上运行我们公司提供的IPSERVER软件,将电脑IP地址填DNS地址处,这时就可以在IPSERVER软件中发现这台DVR的IP地址,产品序列号等,通过客户端软件进行访问,册模式选择为“私有域名解析”
通过这种域名解析的方式,来访问设备;然而用户使用比较多的方式还是第三种方式,请看3。 3.路由器方式接入。 DVS/DVR连接路由器,设置DVS ip地址、掩码、网关(设置为路由器内网IP )与硬盘录像机在一个网段,路号或者
别的方式获得公网IP在路由器中做端口映射,路由器如果是动态IP可以通过路由器的DDNS功能来绑定域名,通件或者 IE直接输入域名的方式来访问。
以上方式均为设备接入外网的方式,至于访问方式可以通过两种方式来进行访问: 一:通过IE 输入设备的IP地址或者域名(不管是局域网还是内网),只要知道设备IP地址或域名,并且通过查看网络连接正常,那么都可以在IE 地址处输入设备IP地址域名访问,只是第一次通过IE访问时需要从DVR/个控件,请减低您IE的安全级别,控件顺利安装后,就可以进入登陆界面输入DVR/DRS用户名密码(出厂为a 访问了。 二:通过客户端访问,请先在配置的中间的白色区域上点击右键创建一个区域,再单击区域名称,选择添加设备
VRRP的演示试验 fw1 fw2 pc1pc2 172.16.30.2 172.16.30.3 172.16.30.4 fe2 fe2 fe3 fe3 fe4 fe4 192.168.1.3 192.168.1.4 192.168.1.2 1.1.1.1 1.1.1.2 172.16.30.1192.168.1.1 链路1 链路2 拓扑说明:PC1通过HUB连接到fw1和fw2(172.16.30.1这个地址是虚拟IP,下面将会在配置防火墙的过程中讲到),PC2也是通过HUB连接到fw1和fw2。 实验要求:PC1和PC2能够互相ping通,当链路1或者链路2断开时,照样可以互相PING,并且可以在两个防火墙上抓包分析,ICMP包是通过哪个防火墙。 实验步骤: 我们设fw1为主墙,下面我们首先为主墙进行配置。 1、配置IP
2、配置安全规则 P1这条规则允许双向同步secgate_ha_conf服务,必须加的。其中P2这条规则是允许VRRP组播报告,可加可不加,不会影响实验过程。 P3、P4两个包过滤想必不说也应该清楚吧。 3、HA基本配置 同步网口为fe4,同步IP为1.1.1.1,主墙一定要设置为控制节点。
注意实例名称和VRID和备墙一一对应起来。
把两个接口关联起来点启启动。 下面我们再来配置下备墙。 1、配置IP 2、HA基本配置 需要手动同步的话可以在从安全网关那输入网关地址1.1.1.1,然后点击同步所有配置,这样就能实现手动同步。 注:同步完后需重启备墙才能生效,备墙不能选择为控制节点。 3、添加VRRP实例
4、添加VRRP关联 添加完后点击启动
边界安全网关技术参数 产品名称招标技术参数数量 可信边界安全网关 标准机架式机箱,专用安全加固Linux操作系统。 1.支持基于公安数字证书的身份认证; 2.支持基于802.1x协议的链路认证; 3.支持基于终端特征的设备认证; 4.支持基于细粒度授权管理策略的公安信息通信网内信息资源及 应用系统强制访问控制; 5.支持SM2/3/4密码算法的商用密码; 6.不影响公安信息通信网内信息资源及应用系统基于公安PKI/ PMI系统的认证、授权、审计等工作的正常运行; 7.支持应用代理功能; 8.具备多网阻断功能,能保证客户端与平台连接时与其它网络隔 离; 9.能实现接入终端安全控制,保证接入终端可信进程的运行; 网络接口:6个10/100/1000以太网络接口; 支持双机热备; 最大新建连接数2000次/秒; 最大并发连接数3000条; 每秒事务数目(TPS)1500次; 吞吐量均值 500Mbps; 三年原厂服务,提供原厂售后服务承诺函和授权书(加盖厂商章) 1台
服务器技术参数 序号 指标项 指标要求 数量 1 品牌 *国产品牌,非OEM 产品拥有自主知识产权; 3台 2 外观 2U 机架式,可支持导轨及理线架 3 处理器 *支持Intel Xeon E5 v4系列处理器 处理器配置数量:2个 单处理器主频:≥2.1GHz ,≥8核 4 内存 内存类型:DDR4 RDIMMs/LRDIMMs 内存插槽 最大支持 16个 *内存配置容量:≥64GB 要求支持SDDC 、双设备数据更正DDDC 、内存镜像、内存冗余位校验ECC 校验,内存热备技术,并提供官网证明材料。 5 存储 *内置硬盘配置容量数目:≥2块,单块要求≥300GB 10K SAS,≥1块,单块要求≥2000GB 7.2K NL-SAS 硬盘扩展能力:≥28个热插拔2.5寸硬盘槽位 支持双Mini SSD 硬盘、双SD 卡可做RAID1,可安装启动系统,hypervisor ,虚拟化软件等 配置独立RAID 卡,支持RAID0,1,5,6,10,50,60-12Gb/s-1GB Cache ; 6 网口 2个GE 网口 7 I/O 扩展 支持PCI-E I/O 插槽总数:≥6个; ≥2个 8 节能 提供白金超高效率电源,效率≥94%,提供80plus 认证证书 9 光驱 配置内置DVD 驱动器 10 电源 满配冗余热插拔电源 11 风扇 满配冗余对旋风扇,支持单风扇失效 前置系统风扇,支持免开箱维护 12 可管理性 *可管理和维护性: 1. 集成系统管理处理器支持:自动服务器重启、风扇监视和控制、电源监控、温度监控、启动/关闭、按序重启、本地固件更新、错误日志,可通过可视化工具提供系统未来状况的可视显示; 2.具有图形管理界面及其他高级管理功能; 3.配置独立的远程管理控制端口,支持远程监控图形界面,可实现与操作系统无关的远程对服务器的完全控制,包括远程的开机、关机、重启、虚拟软驱、虚拟光驱等操作 提供黑匣子Black Box 功能 具备临终一屏功能 支持带内外融合管理 13 安全特性 安全机箱、国产管理芯片、支持可信平台TPM 模块 14 兼容性 Windows 2012 R2、SLES 11.3、RHEL 6U5 RHEL 7.0、Windows 2012 R2 Hyper-V 、Vmware 5.5、Citrix 6.2