IPGUARD安全网关快速部署指南
- 格式:doc
- 大小:1.56 MB
- 文档页数:7
文档推荐
-
联想网御防火墙使用手册页数:43
-
联想网御网闸(SIS-3000)配置过程页数:10
-
联想网御最终配置手册页数:13
-
联想网御防火墙使用手册.ppt页数:6
-
联想网御防火墙配置手册审批稿页数:13
-
联想网御网闸SIS配置过程页数:10
下载文档原格式
合集下载
ipguard4使用手册
IP-Guard是一款企业级的网络监控软件,用于全面审计、严格管控和安全稳定的加密企业信息。
以下是IP-Guard的使用手册:1. 安装和部署在安装和部署IP-Guard之前,需要先确认软硬件环境符合要求。
具体要求可参考IP-Guard的官方文档或者与供应商联系以获取支持。
安装和部署服务器和控制台时,需要按照IP-Guard的安装指南逐步进行。
这通常涉及到安装软件、配置网络设置、进行系统更新等步骤。
2. 配置管理在开始使用IP-Guard之前,需要对各项参数进行配置。
这包括但不限于:设定监控策略、配置加密方式、设置网络参数等。
具体的配置步骤和参数可能会因IP-Guard的版本和用户需求的不同而有所差异,建议参考具体的使用手册或者联系供应商以获取更详细的指导。
3. 使用操作IP-Guard的具体使用操作可能会因不同的功能模块而有所不同。
一般来说,操作步骤如下:* 文档操作管理:可以通过IP-Guard对电脑上的文档进行操作管理,如禁止复制、剪切、删除等操作,或者对特定文档进行加密保护。
* 即时通讯:可以监控员工使用即时通讯工具的行为,如QQ、微信等,并可以设置禁止使用或者限定使用时间等。
* 邮件管控:可以监控员工的邮件往来,并对邮件进行过滤和拦截。
* 资产管理:可以对企业的资产进行管理,如硬件设备、软件许可等,并可以实时监控其使用状态。
* 移动存储设备:可以限制员工使用移动存储设备,如U盘、移动硬盘等,以防止信息泄露。
* 上网行为管理:可以监控员工的上网行为,如访问网站、下载文件等,并可以设置禁止访问某些网站或者对特定文件进行过滤。
* 屏幕监控:可以实时监控员工的电脑屏幕,查看员工正在进行的操作。
* 系统管理:可以对操作系统进行管理,如禁用某些程序、设置系统参数等。
4. 维护与更新IP-Guard需要定期进行维护和更新以保证其稳定运行和持续更新。
维护和更新工作一般由专业人员负责,包括对系统进行定期检查、清理垃圾文件、升级软件等操作。
安全网关Web界面配置指导
安全网关Web界面配置指导在进行安全网关Web界面配置之前,首先要确保已经登录到安全网关的管理界面,并具有管理员权限。
以下是安全网关Web界面配置的步骤:1. 配置基本网络设置- 在安全网关管理界面中,点击“网络设置”或类似选项,进入基本网络设置页面。
- 配置安全网关的IP地址、子网掩码、网关地址和DNS服务器地址等基本网络参数。
- 点击“应用”或“保存”按钮,使配置生效。
2. 配置防火墙规则- 在安全网关管理界面中,点击“防火墙”或类似选项,进入防火墙规则配置页面。
- 添加、编辑或删除需要的防火墙规则,包括入站规则和出站规则。
- 为每条规则配置相应的源IP地址、目标IP地址、端口号、协议类型等参数。
- 点击“应用”或“保存”按钮,使配置生效。
3. 配置虚拟专网(VPN)服务- 在安全网关管理界面中,点击“VPN”或类似选项,进入VPN服务配置页面。
- 配置VPN服务器的IP地址、子网掩码、密钥和认证方式等参数。
- 配置VPN客户端连接的权限和策略。
- 点击“应用”或“保存”按钮,使配置生效。
4. 配置入侵检测系统(IDS)和入侵防御系统(IPS)- 在安全网关管理界面中,点击“IDS/IPS”或类似选项,进入入侵检测系统和入侵防御系统的配置页面。
- 配置IDS/IPS的防御策略、检测规则和报警方式。
- 点击“应用”或“保存”按钮,使配置生效。
5. 配置安全审计日志- 在安全网关管理界面中,点击“审计日志”或类似选项,进入安全审计日志的配置页面。
- 配置安全审计日志的记录方式、存储位置、日志等级和追踪策略。
- 点击“应用”或“保存”按钮,使配置生效。
以上是安全网关Web界面配置的基本步骤,根据具体的安全网关型号和功能需求,可能还需要进行其他配置操作。
在配置过程中,务必注意配置参数的正确性和合理性,以确保安全网关的正常运行和网络安全。
6. 配置内容过滤和安全策略- 在安全网关管理界面中,点击“内容过滤”或类似选项,进入内容过滤和安全策略配置页面。
IP-guard的实施安装
执行反安装
IP-guard的安装部署总结
IP企 业 信 息 监 管 系 统 guard
部署步骤
部署前调研 部署数据库 部署服务器
启动 注册 检验码
部署控制台 部署客户端
域脚本安装、推送安装 手工安装
控制台
控制台
Internet
客户端 客户端
分公司 总公司
IP-guard服务器
IP-guard跨网络的部署
情况五:分机构计算机较多,上传数据量较大
部署多个IP-guard服务器 使用控制台远程连到分机构的服务器管理分机构的计算机
IP企 业 信 息 监 管 系 统 guard
控制台
控制台
Internet
序列号升级
升级正式序列号
演示版
升级试用序列号
试用版
升级正式序列号
正式版
升 级 序 列 号
升级试用序列号
服务器的注册
IP企 业 信 息 监 管 系 统 guard
正式序列号注册
试用版 序列号 注 册 识别码 注册码 购买 提供序列号
序列号+识别码
公司信息
TEC
提供注册码
注册完成
试用序列号注册
我们提供试用序列号和注册码
客户端安装包
IP企 业 信 息 监 管 系 统 guard
在IP-guard服务器上生成安装包 打包步骤
服务器地址(IP、机器名或动态域名) 静默安装 管理员权限
域脚本安装
IP企 业 信 息 监 管 系 统 guard
适用环境
局域网内部署有域环境
安装步骤
复制LogonScript到与服务器上 生成一个客户端安装包,命名为ASetup.exe 把ASetup复制到LogonScript目录下 运行LgnManV3.exe对服务器的登录脚本做设置
IP-guard的安装部署总结
IP企 业 信 息 监 管 系 统 guard
部署步骤
部署前调研 部署数据库 部署服务器
启动 注册 检验码
部署控制台 部署客户端
域脚本安装、推送安装 手工安装
控制台
控制台
Internet
客户端 客户端
分公司 总公司
IP-guard服务器
IP-guard跨网络的部署
情况五:分机构计算机较多,上传数据量较大
部署多个IP-guard服务器 使用控制台远程连到分机构的服务器管理分机构的计算机
IP企 业 信 息 监 管 系 统 guard
控制台
控制台
Internet
序列号升级
升级正式序列号
演示版
升级试用序列号
试用版
升级正式序列号
正式版
升 级 序 列 号
升级试用序列号
服务器的注册
IP企 业 信 息 监 管 系 统 guard
正式序列号注册
试用版 序列号 注 册 识别码 注册码 购买 提供序列号
序列号+识别码
公司信息
TEC
提供注册码
注册完成
试用序列号注册
我们提供试用序列号和注册码
客户端安装包
IP企 业 信 息 监 管 系 统 guard
在IP-guard服务器上生成安装包 打包步骤
服务器地址(IP、机器名或动态域名) 静默安装 管理员权限
域脚本安装
IP企 业 信 息 监 管 系 统 guard
适用环境
局域网内部署有域环境
安装步骤
复制LogonScript到与服务器上 生成一个客户端安装包,命名为ASetup.exe 把ASetup复制到LogonScript目录下 运行LgnManV3.exe对服务器的登录脚本做设置
IP-Guard加密模块使用介绍
IP-guard
客户端参数设置
登入离线授权状态
企业信息监管系统
离线时,自动进入 离线授权模式 拥有长期离线授权
加密客户端-选项设置
IP-guard
在线状态申请
以外发申请为例:
选择外发对象 右键菜单 设置权限 本地扫描 管理员
企业信息监管系统
填写申请理由
IP-guard
外发申请
管理员审批后 生成外发文档
对外发对象 进行授权
IP-guard
外发文档查看
企业信息监管系统
如果生成外发文档时, 选择了“同步标准时 间”,打开外发文档 查看外发文档 会要求同步时间 的电脑无法访 问互联网
IP-guard
备用服务器设置
设置连接密码 设置备用服务 器连接参数
企业信息监管系统
IP-guard服务器 地址及连接密 码
企业信息监管系统
修改、删除只 能操作手动添 加的授权软件
IP-guard
安全区域管理
企业信息监管系统
IP-guard
加密权限设置
企业信息监管系统
可对单个计算机设置权限, 也可对计算机组设置权限 单个计算机没有设置权限 时,会继承计算机组的权 限
用户模式仅支持域用户
IP-guard
加密权限设置
企业信息监管系统
安全区域和级别
– 用来区分企业内部不同的客户端对加密文档的访问权限
在线与离线
– – 客户端连上服务器时为在线状态 客户端无法连上服务器时为离线状态
IP-guard
企业信息监管系统
紧急模式
– 主服务器存在问题无法启动时,客户端自动连接到备用服务器, 显示为紧急模式
iguard-安装部署指南
iGuard网页防篡改系统部署指南目录第1章基本部署 (1)1.1产品简介 (1)1.2结构描述 (2)1.3标准部署 (5)1.4产品型号 (8)第2章多虚拟主机/多WEB服务器 (10)2.1一对多支持 (10)2.2多虚拟主机 (11)2.3镜像W EB服务器 (12)2.4多W EB服务器 (13)第3章特殊情形部署 (14)3.1本机W EB内容管理系统 (14)3.2托管服务器 (16)3.3同机部署 (19)3.4无内容管理系统 (19)第4章发布服务器安全 (21)4.1问题的提出 (21)4.2基本考虑 (22)4.3W INDOW S操作系统加固措施 (23)4.4发布相关的安全加固措施 (27)第5章网站需提供的设备和准备工作 (31)5.1内容管理系统 (31)5.2发布服务器 (31)5.3W EB服务器 (31)5.4工程准备单 (31)第6章IGUARD工程准备单 (32)6.1总体情况 (32)6.2内容管理系统 (32)6.3 I G UA RD发布服务器 (33)6.4W EB服务器(编号1) (34)6.5W EB服务器(编号2) (36)图示目录图示1-1 I G UA RD两台服务器 (2)图示1-2标准部署图 (5)图示1-3基本网站结构 (6)图示1-4部署I G U AR D后的网站结构 (7)图示2-1多虚拟主机 (11)图示2-2镜像W EB服务器 (12)图示2-3多W EB服务器 (13)图示3-1本地W EB内容管理系统 (14)图示3-2本地W EB内容管理系统下的部署 (15)表格目录表格1-1产品型号 (9)表格1-2企业发布模块 (9)第1章基本部署1.1 产品简介iGuard网页防篡改系统是完全保护W eb网站不发送被篡改内容并进行自动恢复的W eb页面保护软件。
iGuard网页防篡改系统(以下简称iGuard)采用先进的W eb服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于W eb服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于W eb的攻击和篡改,彻底解决网页防篡改问题。
安全网关部署方案
安全网关部署方案随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。
一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。
计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。
这样,局域网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。
目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。
另外域网内部的信息安全更是不容忽视的。
网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。
因此,网络安全不仅要防范外部网,同时更防范内部网安全。
因此,企业采取统一的安全网关策略来保证网络的安全是十分需要的。
一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。
安全网关是各种技术有机融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,对保护计算机局域网起着关键性的作用。
安全网关部署拓扑图:(图1)上图为安全网关部署示意图,包含了组建局域网网的基本要素。
下面对其各个部分进行讲解。
一、安全网关接入网络。
安全网关一般具有2个W AN口以及4个LAN口。
如上图所示,外网IP为221.2.197.149,连接网线到W AN口上。
LAN的口IP地址是可以自由设置的,图中设定的2个LAN口的IP为192.168.0.1(局域网用户)以及10.0.0.1(服务器用网段)。
另外安全网关具有了无线网络功能,分配IP地址为192.168.10.1。
下面对上述接入方式进行详细说明。
1.路由NET部署图一所示接入方式即为路由NET部署拓扑图。
IP-guard终端安全整体解决方案
合法用户正常使用
外部用户
可限制打印、截屏、剪贴板 防止使用中泄密 外部用户
乱码
非法用户无法使用
加密模式
强制透明加密不够灵活,如何实现灵活的加密?
强制 加密
明文
编辑、保存
核心研发
密文
只解密
编辑、保存
不加密
密文
高层领导
明文
只读
加密
普通员工
密文
只能读取 不可编辑
智能 明文 加密
密文
编辑、保存
部门主管
编辑、保存
未知交 流途径
加密
管控
合法交 流途径
优势:
✓ 一套整体系统 ✓ 三个管理维度
审计
详尽细致的审计
文档全生命周期操作审计
删除
创建
访问
重命名
文档全 生命周期
修改
上传/下载 /刻录
移动
复制
文档传播全途径审计
文档传播 途径
打印
移动 存储
邮件
聊天 工具
网络 上传
审计打印内容,并自定义打印浮水印 审计拷贝行为及备份拷贝内容 审计外发邮件主题、正文内容、附件等 审计聊天内容,备份外发文件 审计HTTP、FTP上传行为,备份上传文件
明文 密文
权限管理
如何实现敏感数据仅限于部门内部流通? 如何区分部门领导与普通员工的文档访问权限?
通过划分安全区域、设置文档密级,建立分部门分级别的保密机制
经理
秘密
销售部
经理 秘密
财务部
员工 内部
出差办公
如何确保出差人员能够正常使用加密文档? 如何确保出差人员加密文档的安全?
1. 出差迫切、未及时申请 2. 出差延期,如何延续?
IP-guard内网安全解决方案
IP-guard内⽹安全解决⽅案IP-guard内⽹安全管理整体解决⽅案⼴州⽹宝信息科技有限公司⼴州⽹宝信息科技有限公司⽬录⼀、概述 (1)⼆、企业内⽹安全需求分析: (3)三、IP-guard内⽹安全整体解决⽅案 (6)3.1信息防泄漏的三重保护 (6)3.1.1第⼀重,详尽细致的操作审计 (6)3.1.2第⼆重,全⾯严格的操作控制 (9)3.1.3第三重,安全稳定的透明加密 (11)3.1.4客户收益 (13)3.2 应⽤效率的管理 (14)3.2.1 对⼯作情况进⾏统计分析 (14)3.2.2 ⽹络流量统计分析 (14)3.2.3 对⾏为进⾏控制管理 (14)3.2.4 对⽹络流量的控制管理 (15)3.2.5 客户收益 (15)3.3系统的维护和资产管理 (16)3.3.1 对计算机基本属性的保护 (16)3.3.2 实时查看客户端运⾏状态 (16)3.3.3 对使⽤者进⾏远程协助 (16)3.3.4 系统补丁和漏洞管理 (17)3.3.5资产管理 (17)3.3.6客户收益 (18)四、IP-guard⽅案优势 (19)5.1 易部署 (19)5.2 易使⽤ (19)5.3 易管理 (19)5.4 功能全⾯ (19)5.5 运⾏稳定,值得信赖 (19)5.6灵活扩展 (20)5.7 强⼤的技术⽀持 (20)五、IP-guard介绍 (21)六、关于我们 (27)IP-guard成功案例 (29)IP-guard荣誉客户 (35)内⽹安全法律法规 (37)⼀、概述内⽹安全系统管理的市场背景随着⽹络的⾼度发达,⼈、数据和各种事物已经以不同⽅式联⼊⽹络,各个领域的边界也正在逐渐溶解,领域之间交互的信息量激增,新的协作⽅式导致信息的流转变得更为复杂。
对于企业来说,在进⾏商务活动的时候始终⾯临着各种风险,这些风险是固有的,不仅存在于企业与客户和合作伙伴的⽇常接触之中,也存在于企业内部。
信息系统作为企业商务活动的重要组成系统,同样也⽆法避免各种风险的威胁。
IP-guard功能简介与安装部署(new)
流量统计
➢ 从多维度对流量使用作以统计,帮助管理者对带宽的应用 做细致的分析
流量控制
➢ 按IP地址、端口限制流量,帮助企业合理分配带宽 ➢ 限制BT下载、在线试听等对网络资源的占用,保证关键业
务的带宽需求
网络控制
IPguar企d 业 信 息 监 管 系 统
防止未经授权的外部计算机访问内部网络
网络控制
IP-guard功能简介 与安装部署
内容
IPguar企d 业 信 息 监 管 系 统
1 IP-guard简介 2 IP-guard功能模块介绍 3 IP-guard解决方案 4 IP-guard安装部署
企业信息化对安全带来的挑战
IPguar企d 业 信 息 监 管 系 统
文档修改或删除前备份
文档传输备份
移动存储加密和文档透明加密
主动防御,最大限度保护文档安全
文档安全管理方案
事后 审计
所有操作都以日 志记录下来 部分操作内容同 样记录下来
IPguar企d 业 信 息 监 管 系 统
•文档操作日志 •打印内容记录 •打印操作日志
•移动存储使用日志
•邮件内容记录 •收发邮件日志
监控通讯工具,保护信息安全,提高工作效 率
即时通讯记录
➢ 完整记录对话的时间,联系人和对话内容,保证信息不被 人为外泄
即时文件传送控制
➢ 限制传送指定名称或类型的文件或超过规定大小的文件
传输文件备份
➢ 备份传送的文件
应用程序管控
IPguar企d 业 信 息 监 管 系 统
监控应用程序使用情况,提高工作效率
远程控制
➢ 远程协助或者进行操作示范
远程文件传输
➢ 远程传送文件,辅助更快速地更新文件和收集故障样本
➢ 从多维度对流量使用作以统计,帮助管理者对带宽的应用 做细致的分析
流量控制
➢ 按IP地址、端口限制流量,帮助企业合理分配带宽 ➢ 限制BT下载、在线试听等对网络资源的占用,保证关键业
务的带宽需求
网络控制
IPguar企d 业 信 息 监 管 系 统
防止未经授权的外部计算机访问内部网络
网络控制
IP-guard功能简介 与安装部署
内容
IPguar企d 业 信 息 监 管 系 统
1 IP-guard简介 2 IP-guard功能模块介绍 3 IP-guard解决方案 4 IP-guard安装部署
企业信息化对安全带来的挑战
IPguar企d 业 信 息 监 管 系 统
文档修改或删除前备份
文档传输备份
移动存储加密和文档透明加密
主动防御,最大限度保护文档安全
文档安全管理方案
事后 审计
所有操作都以日 志记录下来 部分操作内容同 样记录下来
IPguar企d 业 信 息 监 管 系 统
•文档操作日志 •打印内容记录 •打印操作日志
•移动存储使用日志
•邮件内容记录 •收发邮件日志
监控通讯工具,保护信息安全,提高工作效 率
即时通讯记录
➢ 完整记录对话的时间,联系人和对话内容,保证信息不被 人为外泄
即时文件传送控制
➢ 限制传送指定名称或类型的文件或超过规定大小的文件
传输文件备份
➢ 备份传送的文件
应用程序管控
IPguar企d 业 信 息 监 管 系 统
监控应用程序使用情况,提高工作效率
远程控制
➢ 远程协助或者进行操作示范
远程文件传输
➢ 远程传送文件,辅助更快速地更新文件和收集故障样本
IP-guard功能简介与组成架构(演讲)
文档备份
在敏感的文件被更改或被破坏前备份,确保重要文件不会丢失
IP-guard
企 业 信 息 监 管 系 统
文档打印管控
全面的打印记录帮助评估资源使用
评估各用户打印资源,根据数据查看打印使用效率
IP-guard
企 业 信 息 监 管 系 统
文档打印管控
控制打印权限,防止打印泄露 记录文档打印映像审计打印内容
企 业 信 息 监 管 系 统
邮件管控
邮件控制
通过对普通邮件和Exchange邮件外发文档控制,避免文档经由
邮件外泄出去
限定收发件人,实现控制仅允许使用企业规定邮箱收发邮件,
并可控制是否允许包含附件的邮件发送。
IP-guard
企 业 信 息 监 管 系 统
即时通讯管控
支持主流即时通讯工具聊天内容审计
IP-guard
企 业 信 息 监 管 系 统
内容
内网安全管理的内容 IP-guard功能模块介绍 三种解决方案
IP-guard组成架构
1 2 3
4
IP-guard
企 业 信 息 监 管 系 统
IP-guard的三大组成部分
存储系统数据 管理规则策略
控制台
查看系统数据 设定管理策略 进行实时维护
资产管理
•软硬件管理 •补丁管理 •安全漏洞管理 •软件分发
远程支持
•远程维护 •远程控制 •远程文件传送
IP-guard
企 业 信 息 监 管 系 统
客户收益
•将IT管理人员从整日装系统、装程序、东奔西跑 解决终端小问题的状态中解放出来;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
加密安全网关使用说明
1设备介绍
IP-guard安全网关控制设备(以下简称控制器),分为三个型号:
IPG-2000:
3个千兆网卡,其中管理端口为EMP;
IPG-3000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
IPG-4000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
说明管理端口的固定IP为190.190.190.190,初始配置时使用;
BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端
直接物理上导通,不影响网络的使用。
2部署前提
先部署好需要保护的服务器环境。
3具体部署过程
3.1安装安全网关管理器
运行网络准入管理器安装程序SGManSetup.exe,根据默认提示安装。
3.2部署安全网关
3.2.1安全网关IP设置
首先要确定安全网关串联接入网络中的具体位置,据此确定安全网关的IP地址,接着便要开始设置安全网关的IP。
安全网关管理端口的固定IP为190.190.190.190,通过管理端口进行安全网关IP配置。
设置的具体操作如下:
1)计算机A安装了安全网关管理器,使计算机A脱离内网环境,而直接用网线将安全
网关的管理端口与计算机A连接,修改计算机A的IP,让它能与安全网关通讯。
如修改计算机A的IP如下:
IP地址:190.190.190.1
子网掩码:255.255.255.0
默认网关:可不填
2)在计算机A上开始菜单中运行安全网关管理器,操作:【工具→控制器连接参数】,
如图1:
图1
控制器:输入控制器的固定IP,即190.190.190.190;
密码:初始为空
3)输入完毕,点击【确定】,此时【工具->控制器管理】为可选状态,点击进入,弹
出控制器管理窗口,如图2:
图2
4)点击【设置网络参数】,弹出安全网关设置IP的对话框,如图3:
图3
5)点击【确定】,设置的网络参数需要重启生效,点击控制器管理界面的【重启控制
器】,重启之后,安全网关IP修改成功。
3.2.2 安全网关桥接入网络
客户端客户端客户端ERP 服务器邮件服务器安全网关控制器
客户端OA 服务器
连接方法:使用设备的ETH0和ETH1端口将其连入网络;
3.3 安全控制前的设置
3.3.1 连接安全网关
启动安全网关管理器,【菜单栏->工具->控制器连接参数】,弹出控制器连接设置窗口(图1)。
对应的输入内容:
控制器:输入修改后的控制器IP ; 密码:初始密码为空
成功连接之后,能在状态列表内看到默认IP 范围的计算机状态情况;
3.3.2 设置管理范围
在安全网关管理器界面,切换到管理配置标签页,如图4:
图4
设置控制器所能管理的计算机范围,此范围的计算机有通信经过控制器时,就会出现在“状态信息”内。
支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
3.3.3设置控制范围
在安全网关管理器界面,切换到管理配置标签页,如上图4。
在“控制范围”中添加要控制的计算机范围,支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
3.3.4设置服务器连接参数
在安全网关管理器界面,切换到管理配置标签页,如上图4。
指定受保护的服务器IP 和TCP协议端口。
支持“IP:端口”的输入,如:192.168.1.2:8080。
3.3.5设置转发的URL
计算机访问网络受阻后,将其引导至“转发的url”。
可使用IP-guard提供web服务器架设程序(WebServerSetup.exe)进行部署。
1)双击运行该程序,根据默认提示安装。
成功安装之后,web服务自动在后台运行,默认开放8282端口。
2)把客户端安装程序改名为Agent3.exe,放置在TEC\WebServer安装目录下的html文件夹里即可。
以上步骤完成之后,则可在管理配置标签页中的转发设置处填写:
转发的url:设置好的转发网页地址+/index_sg.html,即
http://192.168.1.2:8282/index_sg.html
(192.168.1.2为安装web服务的机器IP)
4加密客户端的配置
1)设置平时访问OA等系统的软件为授权软件。
如SVN客户端或浏览器。
如果预定义
中没有此软件,可使用自定义授权软件。
例如设定IE为自定义授权软件。
2)对加密客户端指定授权软件,例如对加密客户端指定IE为授权软件。
3)对授权软件启动安全通讯功能。
启动控制台,在【策略->客户端配置】中设置客户
端配置策略:
a)如果授权软件是SVN,新建客户端配置safe_netconnect_svn,值为1
b)如果授权软件是其他软件,如IE,新建客户端配置策略safe_netconnect_process,
值为iexplore.exe (支持多进程,以分号分隔)
c)如果授权软件需要访问安全网关之外的服务器,在客户端配置策略中设置白名单。
名称:safe_netconnect_whitelist,值为OA或SVN服务器IP,如:192.168.1.2
注意设置白名单之后,加密文档可以上传到这些网站并解密,这样会存在泄密风险,设置白名单须谨慎。
5安全网关的使用
6.1开启/停止控制
在安全网关管理器,【菜单栏->系统->启动】,则开启安全网关控制的功能。
【菜单栏->系统->停止】,则关闭安全网关控制的功能。
6.2设置白名单
对访问受阻的计算机启用白名单,则在该计算机中使用浏览器访问任一个网站,可正常访问。
添加白名单的方法有两种方法:
1)安全网关管理器主界面,切换至“状态信息”窗口,选中一台或多台计算机,右键菜单->设置白名单,也可取消白名单。
2)安全网关管理器主界面,切换至“白名单”标签页,右键->添加白名单,如图5:
图5
填入要设为白名单的计算机IP,多个IP使用“,”分隔开,支持IP、IP段输入,如:192.168.3.0,192.168.0.2-192.168.1.160。
点击【确定】之后,设置成功,列表中出现添加的IP 机器。
删除白名单:在“白名单”列表中选择一个或多个计算机,右键菜单->删除白名单,这些机器将不再具有白名单功能。
6加密客户端的使用
加密客户端不改变平时使用习惯,加解密操作对用户透明。
不过启动了安全通讯功能的浏览器只能访问受保护的OA服务器,不能访问其他网站;如需要刚问其他网站,请使用其他浏览器,如360浏览器。
未启用安全通讯功能的浏览器不能访问受保护的OA系统。