网闸安装与配置

应用代理配置1、管理界面登陆：把笔记本配一个192.168.3.100地址，用交叉线连接到网闸“内端机管理”或“通信”口，ping通网闸192.168.3.217管理地址，用户名：super ，密码：111111。

2、配置网闸内端机IP：在“系统类型”中“内端机系统”双击内端机IP，设置内端机IP地址及网关3、配置网闸外端机IP：在“系统类型”中“外端机系统”双击外端机IP，设置外端机IP4、配置内端机管理口IP地址5、设置外端机管理口地址6、添加静态路由（在内、外网使用多网口通信时才用到，网口号2为管理口）7、添加应用代理服务：在管理界面“服务”选项中添加管理口业务，目的地址根据实际情况修改管理口业务，目的地址根据实际情况修改管理口业务，目的地址根据实际情况修改8、显示已添加的所有服务：9、添加代理规则：管理界面“规则”选项中如上面依次添加另外14条规则…………………….10、显示所有添加的规则11、上传、保存配置：修改、添加、删除任何的网闸配置，都需要上传配置才能够生效12、导出配置：配置完网闸后，可把当前配置导出作为备份文件13、导入配置：可把备份的配置文件导入到相同版本的网闸内，注意：一定要确认是相同版本的硬件设备，否则网闸会无法正常启动。

添加透明规则1、启用透明规则管理：在“透明规则管理”中双击“正反向设置”，选择“启用”2、添加透明规则：点击“规则查看”，鼠标右键添加“透明规则”，注意：严格按照以下截图参数配置，此参数只适用于辰锐公司移动警务项目，不能随意设置，否则可能会导致管理界面无法连接，切记。

有问题可以联系厂家技术人员。

所有已添加的透明规则显示：。

网闸基本配置截图。

网闸管理口MAN口，管理地址192.168.1.168
第一步：
确定网络内外网的IP地址、子网掩码、网关。

第二步：
确定需要经过网闸传输的数据端口，及访问方向（内访外或外访内），确定需要经过网闸访问的目的地址IP。

第三步：
安装管理端：打开安装包，选择Setup.exe双机运行安装，不需要做修改，下一步到完成。

第四步：
本地计算机打开网络和共享中心，配置本地IPV4地址为192.168.1.*网段地址，掩码255.255.255.0 笔记本和网闸MAN口网线直连。

第五步：
开始菜单找到点击管理端登录。

管理地址查看上述，用户名和密码一样，都是admin2003。

第六步：
点击网闸左侧菜单栏服务设置，配置网闸内外端机eth0IP地址。

例：
第七步：
配置TCP应用通道，假如外访内应用，应用通道源就选择外端机。

一律选择转发模式。

通道名称可以根据访问目的服务器来区分，
应用类型选择选择NULL_ TCP
源机IP地址：因为是外访内，选择网闸外端机地址。

目的IP地址：需要经过网闸访问的目的服务器地址。

建立完成应用通道，右键选择应用通道选择启用。

需要在eth0网口添加或者修改IP地址时，需要把通道停用才可以允许修改。

主要内容
一、网闸产品外观 二、网闸配置前的准备工作 三、天融信网闸主要功能模块说明
《信息安全产品配置与应用》之网闸篇
网络卫士安全隔离与信息交换系统
前端面板
外端机接口 仲裁机接口 内端机接口
其中仲裁机接口为管理端口（默认IP为192.168.1.254， 用户名/口令：superman/*****)，内外端机做为不同网络 区域的相连接口。
了解网闸内外端机接入网络的情况，如IP地址段、默 认网关等
了解需要访问的服务器的IP地址、服务类型、服务端 口
《信息安全产品配置与应用》之网闸篇
主要内容
一、网闸产品外观 二、网闸配置前的准备工作 三、天融信网闸主要功能模块说明
《信息安全产品配置与应用》之网闸篇
设备登录
《信息安全产品配置与应用》之网闸篇
重庆电子工程职业学院
《信息安全产品配置与应用》之网闸篇 —上机操作
《信息安全产品配置与应用》之网闸篇
本讲主要任务和学习目标
任务目标
学习天融信网闸产品硬件结构 学习天融信网闸产品的主要功能 学习天融信网闸产品的基本配置
学习目标
熟悉天融信网闸产品各功能模块 掌握天融信网闸的基本配置方法
《信息安全产品配置与应用》之网闸篇
《信息安全产品配置与应用》之网闸篇
内外端机的接口地址设置(3)
如果出现有两个应用服务使用了相同的端口（如http服务的 80端口）还可以点击高级添加多个虚拟地址，如下图：
注意：如果出现内端机或外端机配置接口地址的错误，需要先停 止所有的应用通道或拔掉内外端机接口的网线，然后再行配置。
《信息安全产品配置与应用》之网闸篇
《信息安全产品配置与应用》之网闸篇
Q&A

1.1 配置安全通道◆网络拓扑FTP客户端FTP服务端◆应用概述如上图所示，今以FTP应用服务配置为例，其他应用服务类似(只要该C/S模式底层符合标准的TCP/UDP协议)。

此应用要求实现内网FTP客户端主机通过安全隔离网闸安全地访问外网FTP服务器，通过安全通道模块达到对文件上传/下载的目的。

该应用环境使用要点如下：1、网闸内、外网络口各直连一台装有WindowsXP Professional系统的主机，与网闸外侧相连的是FTP服务器(端口：21)，与网闸内侧相连的是访问客户端主机；2、今要求以透明和普通两种方式访问；3、IP地址设置见网络拓扑图；◆配置步骤网闸WEB配置部分，下面以FTP应用为例展开叙述，其他应用与之类似，不再赘述。

1、配置网闸内侧任务，并启动服务添加网闸内侧任务，如下图：启动服务，如下图：按下按钮，启动服务2、配置网闸外侧任务，并启动服务添加网闸外侧任务，仅对普通访问有效，如下图：服务类型可选【tcp_any】；亦可选【ftp】，但目的端口可不填。

启动服务，同上。

3、测试针对普通访问，访问时如下图：普通访问模式下，该地址为网闸内侧地址普通访问模式下，格式为：用户名针对透明访问，访问时如下图：透明访问模式下，该地址为真实FTP服务器地址透明访问模式下，格式为：用户名1、透明访问时，需配置默认网关或添加静态路由，详见《4.2.2 FTP访问》的“配置步骤”第4步；2、支持日志访问；3、支持一些动态端口应用服务，比如：ftp、tns、h.323等等；4、支持源、目的端口范围；5、不支持PPTP、IPSec、GRE、IGMP、IGRP及OSPF服务；6、普通访问时，不支持服务器地址范围；7、支持ping；8、支持相同服务多服务器的应用模式；IE浏览器进行FTP访问；1、配置客户端任务(针对普通访问和透明访问)，并启动服务；2、配置服务端任务(仅针对普通访问)，并启动服务；3、测试；。

《信息安全产品配置与应用》之网闸篇
内外端机的接口地址设置(3)
如果出现有两个应用服务使用了相同的端口（如http服务的 80端口）还可以点击高级添加多个虚拟地址，如下图：
注意：如果出现内端机或外端机配置接口地址的错误，需要先停 止所有的应用通道或拔掉内外端机接口的网线，然后再行配置。
《信息安全产品配置与应用》之网闸篇
《信息安全产品配置与应用》之网闸篇
应用通道的启用
《信息安全产品配置与应用》之网闸篇
安全策略管理
《信息安全产品配置与应用》之网闸篇
本讲主要任务和学习目标
任务目标
学习天融信网闸产品硬件结构 学习天融信网闸产品的主要功能 学习天融信网闸产品的基本配置
学习目标
熟悉天融信网闸产品各功能模块 掌握天融信网闸的基本配置方法
《信息安全产品配置与应用》之网闸篇
Q&A
谢大家！
网闸基本配置
《信息安全产品配置与应用》之网闸篇
主要内容
一、网闸产品外观 二、网闸配置前的准备工作 三、天融信网闸主要功能模块说明
《信息安全产品配置与应用》之网闸篇
网络卫士安全隔离与信息交换系统
前端面板
外端机接口 仲裁机接口 内端机接口
其中仲裁机接口为管理端口（默认IP为192.168.1.254， 用户名/口令：superman/*****)，内外端机做为不同网络 区域的相连接口。
设备管理界面介绍
《信息安全产品配置与应用》之网闸篇
内外端机的接口地址设置(1)
以配置外端机的接 口地址为例：在如上 图的界面中红色圈住 部份点击:系统 > 设置 > 设置外端机eth0 IP 地址
《信息安全产品配置与应用》之网闸篇

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构i 通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘一一管理证书文件夹下，密码：hhhhhh ）,管理 IP:10.0.0.200 ，掩码:255.255.255.0。

2、 登录内网：用网线连接内网专用管理口，在 IE 浏览器输入：3、 输入用户名/密码：administrator/administrator （超级用户）或输入：admin/admin123（管理员 用户）。

4、 登录外网：用网线连接外网专用管理口，在IE 浏览器输入：或输入用户名/密码：administrator/administrator （超级用户）或输入：admin/admin123（管理员用户）。

测试拓扑结构:注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访 外部客户端通过访问相连网闸地址，再由问网闸另一侧的真实服务器地址；网闸连接真实服务器； 原理区别 两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网必须同时配置网闸客户端、服务端任务， 闸服务端任务；且对应任务之间的任务号必须相同；2）客户端添加一条路由，指向网闸；访问目的地址 网闸另一侧的真实服务器地址 与客户端相连一侧的网闸地址 网闸两侧网络 支持支持地址同网段FTP 客户端FTP 服务端网闸客户端 I 网闸服务端网闸两侧网络支持支持地址不同网段双机热备 支持 支持 负载均衡不支持支持硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:内网陽离交换填坟交换芯片交换芯片I叫信网络仝抉子累统卄艾松剳r jfttr尸笑控制子茶统Leadsec AS I C 芯片内网主机系统〕外网隔涌交揀模块联韻网御安全隔需网闸非口 j 信网络登陆界面登陆首页；*rti碎曲日-n sew* -p卫#卫挺0 3Etti* 叮u"时i导11且际刁E送闾带崎用〈•'，巧：4P-勺訓抽灯P V JL A JL r勺咖士*■ -勺孚处托© ifiCJTH^wtrri 丽—3»Ma内IF魁和迥耳E理轴1納垃疋号■^-3flLjfl-£E!K犊忡嗾衣寻j.0.200.6fed?璋nan jifCfU料用3旳科n柑印•4QaV£H用・KMna««ew iriMb日创冬誓u^W9«B■Mil更改密码（按需求修改）© BTT 7鼠碗.a anm^-北屣舷鼻亏^T«3ft弓jjfljwi•号+ 口IJLBHSiBQ产上呷功任''i H'hrs +"砒只•■*幻扳鼻i m工H＞抚**+$ 3|EiS4 '鼻厚睥山闻t 1・TS晖诃歼+刁左±海査+ j "4Sfts.li；-暉理■ a ^r«昂啟号•号i ^XTErilrr sy^Qj? 4&neha?i 卜生茹* 辺起+a switBMLT 4L>MTr a^iia*4iT i a JR-L/廿F------------------------------------------------------------------------ /J ' iiisintrnt)□IP^RD*«ar(I ^r®ra?i卞•■认口卒!*»*< ■•■■■/ ifc^sa田HKWffiI-E曰妬计H"网口配置（按需求修改）-i E?二j j^-.wa a tinitf-l*、爵电礙T ?)««■■ q瑕戢・o用戶。

1、进入安装包，点击安装文件step进入安装，并安装步骤完成安装。

2、安装完成后，点击【开始】，进入【网闸自动控制系统】，点击【网闸自动控制系统】图
标，即可以进入系统管理登陆界面。

3、在电脑USB插口上插上配置的key，点击界面的【登录】，输入初始密码【1234】，进入
管理界面。

4、进入管理界面后，显示如下图
（1）管理界面有两组时间设置,每组分别可设置12个时间段,分别控制两种类型的内外网切换。

设置时间的步骤为：首先在需设置的时间段前划上√，并填写好时间范围，如不需
要设置，可去掉选择中的√，（系统默认时间范围是00）；第二步是保存已设置的时间；第三步发送已设置的时间：完成时间的设置
（2）提供了【导出】功能，系统自动读取了已经发送到网闸内部的时间，并与软件上设置的时间做比对，出现提示“**时间表导出成功”，即网闸内部时间是设置的时间。

（3）网闸支持手动切换,在设置的时间以外，两种网络的内外网状态可手动切换，硬件和软件均可。

（4）时间校对功能，提供了【时间校对】按钮，可以随时更新网闸硬件的时间，更新的时间以电脑时间为准。

5、密码管理功能，点击进入密码管理，可以修改管理界面的登入密码。

自动切换的时间确定，可根据【导出】完成确认，此处没有记录。

7、退出管理，界面可退出到登录界面，并在登录界面，可以隐藏窗口到任务栏。

8、系统，提供了系统介绍查看。

注意事项：
网闸电源断开后，网闸不能使用，重新接通电源后，注意要检查下软件的时间设置，最好能重新保存发送时间，以确保网闸的正常操作。

网闸配置与应用（二）网闸产品配置实训一、实训目的1.掌握网闸基本配置方式。

2.掌握网闸基本配置步骤。

3.了解网闸的配置策略。

二、实训设备和工具安装有Windows 2003操作系统的计算机天融信的网闸（安全隔离与交换系统）。

三、实训内容和步骤任务1：掌握网闸基本配置方法任务2：网闸的规则配置任务3：上线测试步骤：第一步：熟悉网闸基本配置方法天融信TopRules系列网闸产品以仲裁机的端口做为管理和配置端口，管理和配置采用C/S模式，先要在管理机上安装管理端软件，通过管理端软件对网闸进行管理和配置，具体过程如下：1.管理端软件安装运行环境：Window 2000/XP/2003/Vista安装和初始化：运行随机光盘上TopRules目录下的安装文件setup.exe，设置管理控制端的安装路径，完成安装。

以下是安装截图：（图1-3：网闸管理程序安装）2.登录运行管理控制端：选择开始 > 程序 > TopSec > TopRules管理端。

（图1-4：网闸管理程序登录界面）将管理计算机与网闸的仲裁机相连，在登录窗口中输入登录主机地址、用户帐号、密码，点击“确定”，登录管理控制端。

主机的出厂IP为：192.168.1.254；用户帐号为：superman；密码为：talent123。

3.内外端机接口配置登录到设备以后将会看到如下的截图：（图1-5：网闸系统设置界面）网闸最大配置为内外各7个接口，标准配置为内外各1个接口，这里分别为eth0。

以配置外端机的接口地址为例：在如上图的界面中红色圈住部份点击系统> 设置> 设置外端机eth0 IP 地址（图1-6：网闸外端机IP配置界面）上图是外端机接口地址配置图例（内端机相同），192.168.5.181这个地址应该和相连网络是同一个网段，如果有其他网段需要访问这个地址设置默认网关，这个地址的每一个端口都可以映射为接内端机网络中的一个应用服务端口，如果出现有两个应用服务使用了相同的端口（如http服务的80端口）还可以点击高级添加多个虚拟地址，如下图：（图1-7：网闸虚拟IP配置界面）4.网闸用户设置天融信网闸设备可以通过用户设置多个管理用户，点击管理菜单中用户> 添加，按照对话框中的提示输入用户名、密码、管理用户的MAC地址再点击确定即可，如下图所示：（图1-8：网闸用户设置界面）第二步：网闸规则配置网闸规则配置，简言之就是要落实如何配置网闸，那么就需要明确网闸部署的位置，接口的IP地址，以及应用通道规则。

有关网闸配置的案例1.1配置网闸的基本步骤有哪些？答：1）在PC上安装客户端；本地IP为192.168.1.1/24,用交叉线与仲裁机相连（默认无法ping）；2）通过客户端连接仲裁机（192.168.1.254）用户名/口令superman/talent123登录；3）设置内端机IP地址，设置外端机地址（一般均为eth0）4）为了调试方便，通过命令行的方式允许ping 通内外端机；5）设置TCP应用通道，启用通道6）配置安全策略1.2通过一个案例来说明如何配置网闸来保证内外数据安全交换1.2.1拓扑图如下：1.2.2基本说明：1.在OA区域里有服务器，安全管理和终端，边界由网闸来隔离，只允许有限的访问。

2.目前具体的要求是只允许外部的终端10.10.1.1访问OA服务器，内部机器可以访问外部的WEB 10.10.1.53.不能泄漏内（外）部的网络结构。

1.2.3基本配置：设置内外端地址1.2.4测试验证：由于是端口转发，客户端的IE无需作代理设置，只是将访问的目的设为外（内）端机地址10.10.1.2（10.10.0.1）即可。

1.2.5效果用户只需访问本地的服务器，通过网站作代理映射，就可以到达从内部（外部）访问外部（内部）的目的。

以下为链接：http: //10.10.0.1 （可以访问到10.10.1.5）http://10.10.1.2(可以访问到10.10.0.109)1.3 对于级联的网闸的配置如何来做在等级保护的实际案例中，需要两个或以上的网闸来配置一条完整的通道，如以下图1.3.1基本要求OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3 门户网站区域（）可以访问位于OA区域的OA服务器10.10.0.109 1.3.2基本配置1.3.2.1 OA区域网闸配置说明：从内到外的访问目的就是门户网闸的外端机地址（192.168.4.2）从外到内的访问目的是真实的服务器地址10.10.0.1091.3.2.2门户区域网闸配置说明：从内到外的访问目的就是OA网闸的外端机地址（10.10.1.2）从外到内的访问目的是真实的服务器地址192.168.2.31.3.3测试验证：OA和门户的终端只需访问自己的网闸的内端机地址就可以访问到对端的服务器资源，这样做到了隐藏内部拓扑的目的OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3OA访问门户：http: //10.10.0.1门户网站区域（192.168.*.*）可以访问位于OA区域的OA服务器10.10.0.109门户访问OA：http: //192.168.3.2。

网闸基本配置步骤2篇网闸基本配置步骤（一）在网络环境中，网闸（Gateway）既可以理解为一个连接两个不同网络的设备，也可以理解为网络安全的门户。

当我们需要将局域网和互联网进行连接时，就需要进行网闸的基本配置。

接下来，我将介绍网闸的基本配置步骤。

步骤一：连接网闸设备首先，将网闸设备与局域网中的交换机进行连接。

找到交换机上的一个未使用的端口，将网闸设备的LAN口（局域网口）与该端口连接。

然后，将网闸设备的WAN口（广域网口）与互联网接入设备（如路由器、调制解调器）进行连接。

步骤二：设置网闸设备IP地址在网闸设备连接到局域网中后，需要设置网闸设备的IP地址。

通过一台连接到同一个局域网的电脑，打开浏览器，在地址栏中输入网闸设备的默认IP地址（通常为192.168.1.1或192.168.0.1），按下回车键。

如果默认IP地址无法打开网闸设备的配置界面，可以查阅设备的说明书或者联系设备厂商获取正确的IP地址。

步骤三：登录网闸设备管理界面在浏览器中输入正确的网闸设备IP地址后，会跳转到网闸设备的管理界面。

在该界面中，需要输入登录账号和密码进行登录。

默认情况下，账号和密码通常都是admin（具体情况可能会有所不同），请确认设备说明书或咨询设备厂商以获取正确的登录账号和密码。

步骤四：进行基本配置登录成功后，进入网闸设备的管理界面，可以进行各项基本配置。

首先，需要设置设备的基本信息，如设备名称、设备位置等。

其次，需要进行网络设置，配置网闸设备的LAN口和WAN口的IP地址、子网掩码、默认网关等。

同时，还需要设置DNS服务器的IP地址，以便设备可以解析互联网上的域名。

步骤五：保存配置并重启设备在进行完基本配置后，记得点击保存或应用按钮，将设置的参数保存到设备中。

然后，重新启动网闸设备，使配置生效。

注：在保存配置之前，最好先备份一份当前的配置，以便在配置出现问题时可以方便地还原。

至此，网闸设备的基本配置步骤就完成了。

防止数据泄露
采用数据脱敏、去标识化 等技术手段，防止敏感数 据在传输过程中泄露。
日志审计策略
日志记录
记录网络设备的操作日志 、访问日志等，以便后续 审计和分析。
日志分析
通过对日志进行分析，发 现潜在的安全威胁和异常 行为，及时采取应对措施 。
日志存储和备份
将日志存储在安全的位置 ，并定期进行备份，以防 止日志丢失或被篡改。
政策法规影响
数据安全法规
随着数据安全法规的日益严格，网闸作为保障数据安全的重要技 术手段，将受到更多关注和重视。
隐私保护政策
全球范围内对隐私保护的关注度不断提高，网闸将在隐私保护政策 实施中发挥关键作用。
行业标准和规范
各行业将制定更加细化的网络安全标准和规范，网闸需要根据不同 行业的需求进行定制化开发和部署。
PART 04
网闸应用场景
政府机关内外网隔离
安全性需求
政府机关内外网之间存在信息泄 露风险，需要进行有效隔离。 Nhomakorabea合规性要求
符合国家和行业相关法规和标准 ，如等级保护、分级保护等。
数据交换需求
在保障安全的前提下，实现内外 网之间可控的数据交换。
企业内部网络隔离
业务连续性保障
避免单一网络故障导致整个企业网络瘫痪，提高 业务连续性。
的地址转换。
VLAN支持
支持虚拟局域网（VLAN）， 实现网络逻辑隔离和广播风暴
控制。
PART 03
网闸安全策略
访问控制策略
黑白名单机制
访问权限控制
通过设置IP地址、MAC地址、端口号 等信息的黑白名单，控制网络设备的 访问权限，防止非法设备接入。
根据用户角色和设备类型，分配不同 的访问权限，实现细粒度的访问控制 。

伟思安全隔离网闸Vigap300型号的配置说明与注意事项配置前的准备工作：1)网闸外观和接口2)实施前要知道客户的网络拓扑图，根据客户应用决定网闸需要安装在哪个节点，和网闸需要的IP地址数3)先把用来配置网闸的电脑IP修改成10.119.119.*（119除外），掩码255.255.255.0，安装控制平台后会在桌面生成一个快捷图标，对应的是所在安装目录的4)用直连网线（B类线）连上网闸可信端网口（网闸默认内网口和外网口各两个，只有中间的两个可以用），ping 10.119.119.119测试网络连接是否正常，然后进行配置。

5)网闸开箱默认模式是set模式，根据需要可以在控制平台里进行模式转换。

（透明模式管理IP：172.26.78.1，禁ping，可以telnet ip 112测试）网闸配置的一般步骤：1)双击桌面快捷图标启动管理平台，默认用户名：admin，密码：admin05。

进入管理平台，如下图：主页面分三部分，安全隔离与信息交换设备，系统安全审计功能，访问控制规则表。

一般很少用到系统安全审计功能。

2)安全隔离与信息交换设备页面，右键点击隔离设备，选择添加（注意：一定要保证设备已经开机，笔记本已经连接设备可信端接口，并配置IP已经测试连通性，如果笔记本与设备之间的网络不通的情况下，在该页面添加设备会报错），然后弹出如下图对话框点下一步会跳到配置IP信息及系统名的页面如下图如上图标注，其中可信端的IP地址是灰色，鼠标无法选中并配置（300的设备可信端的接口地址是没办法在这个页面进行配置的，即使IP不配，配置上网关和掩码也是不生效的），配置好IP信息后点击下一步会跳到选择设备配置中需要用到的内网和外网所需要开放的对应服务端口信息页面，默认全选上（在后面的文档中会介绍到这一部分）。

最后点击完成，回到如下图的界面。

3)切换到访问控制规则表页面，如下图这个页面里主要是配置配置过程中所用到的端口及详细控制访问策略。

网闸具体配置步骤（以内蒙赤峰为例）具体的配置步骤：输入密码：ZHHRSOFT。

进入以下画面：如果这个时候，配置用的电脑没有用串口线链接到网闸上的话，就会出现这种情况。

可能你连上了，也会出现这种情况。

（可以直接点确定就可以，然后进去设置下，关闭这个程序，然后再次重新进入就可以了。

）点击确定后，出现下面的画面：这个时候我们点击确定后，然后找到工具栏上的“系统”选项，里面有“基本参数设置”，其中的内网MAC地址与外网MAC地址不用更改，都是虚拟出来的。

我们需要做的就是选择“通信端口”，当我们连接上串口线后，点击下拉箭头，里面会出现一个COM1，选择这个后，点击确定，然后退出软件，再次重新进入，就可以了。

选择好端口后，确定，然后退出软件。

按照上面的步骤，重新进入！然后就是开始配置了：工具栏---规则---智能设置信息。

如果有必要使用到NAT功能的话，还会需要设置NAT地址。

添加链路：给这个链路起一个名字，容易记忆。

选择协议，一般就是TCP，不用去更改。

接下来就是设置IP地址，其中的输出端配置中有一个端口需要填写，就是9090。

默认的就可以了。

点击确定，出现下面的画面：点击确定，出现下面的画面：设置好了规则后，还得需要设“系统”中的“IP与MAC地址”，点击“IP与MAC地址”选项，出现下面的画面：上述图片中出现的IP地址与MAC地址的对应关系，是系统中自带的，我们根据自己的需要进行更改。

需要填写的就是刚才在设置智能规则的时候，那个输入端与输出端的IP地址与他们分别对应的网卡的MAC地址。

如下图：然后点击“保存”，“关闭”。

接下来的工作就是将这些我们已经配置的信息导入到网闸设备中，犹如下图操作：最后会显示一个成功导入的信息。

这个时候将串口线从网闸的一个控制口上拔下来，然后插在另外一个控制口上，再传输一次。

且保证，这个时候网闸背面的防写开关，是拨向右边的（即靠向控制口1那边），这个时候配置是可以写入的。

当我们将配置信息完全导入后，重新启动网闸，这些配置就会生效，并且记得将防写开关拨向左边，这个状态下，配置信息就不会被写入了，增加了安全性。

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘——管理证书文件夹下，密码：hhhhhh）,管理IP:10.0.0.200 ，掩码：255.255.255.0 。

2、登录内网：用网线连接内网专用管理口，在IE浏览器输入：3、输入用户名/密码：administrator/ administrator (超级用户)或输入：admin/admin123(管理员用户)。

4、登录外网：用网线连接外网专用管理口，在IE浏览器输入：或输入用户名/密码：administrator/ administrator (超级用户) 或输入：admin/admin123(管理员用户)。

测试拓扑结构：注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器；原理区别两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网闸服务端任务；2）客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同；访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图：◆登陆界面◆登陆首页◆更改密码（按需求修改）◆网口配置（按需求修改）◆配置网闸内侧任务，并启动服务（按需求修改）添加网闸内侧任务，如下图：◆启动服务，如下图2.2外网配置抓图：◆登陆界面◆登陆首页◆更改密码（按需求修改）◆网口配置（按需求修改）◆配置网闸外侧任务，并启动服务（按需求修改）添加网闸外侧任务，仅对普通访问有效，如下图：◆启动服务，同上。

注：
•增量类型 增加类型：对应与数据库中的操作为insert数据； 修改类型：对应与数据库中的操作为update数据； 删除类型：对应与数据库中的操作为delete数据； 设置本任务所处理的操作类型，只有钩定了的类型才会被本任务进行 同步。 •导出初始数据 表示在任务第一次运行时是否将当前所有数据进行同步处理，请注 意，如当前同步数据表中记录过多，该过程会非常耗时，请慎重考虑 是否有必要进行该项配置。选择“是“系统配置完后会进行同步，选 择“否”不进行同步。 特别说明： 如配置任务初发送端纪录很多，建议采取硬盘拷贝或数 据库自身机制方式调平发送端和接收端数据。 此配置只能在添加任务时才能选择，修改任务时不能被 使用。 •查看同步表 此项目是方便用户查看已经配置的表映射关系的，添加任务状态当然 没有可查看的。
三、数据库同步客户端配置
e.点击数据源管理-添加按钮-添加目的数据源-测试连接
三、数据库同步客户端配置
f.选择正确的通道，通道是用来建立网闸和服务端的客户端通信
三、数据库同步客户端配置
g.点击添加任务-添加数据库同步任务
三、数据库同步客户端配置
注：
•任务名称 用于表示该任务名称，可以由字母和数字组成，最长8位。不能与已建 立的任务重名。该选项为必填项，它是在整个系统中作为任务唯一标 识。 •同步记录数 设置客户端在数据源发生变化时，客户端一次处理记录数，取值范围 从0—10000，默认值为100 ，建议不要随便改动。 •随系统启动 如选择该项，该任务会在客户端启动时自动进入启动状态，否则为停 止状态，需要手工启动，任务才能正常执行
三、数据库同步客户端配置
h.点击下一步配置通道设置
三、数据库同步客户端配置
i.点击下一步-配置调度策略

伟思安全隔离网闸Vigap500型号的配置说明与注意事项（500的设备是基于b/s结构的，即可以通过浏览器直接访问来配置的，另外500的设备配置过程中要注意的是设备默认是不支持可信端与非可信端一个网段，如果需要，可以修改某些参数来实现。

）1)配置前的准备工作：1)500设备的默认管理地址是https://192.168.0.254:10000，用户名：admin，密码：888888。

如果来配置一台新设备，首先我们将用来配置网闸的电脑IP修改成192.168.0.*（254除外），掩码255.255.255.0。

然后用直连网线（B类网线）连接设备可信端的NIC0口，然后ping 192.168.0.254，测试网络连通性。

如果没问题，直接打开IE，地址栏输入https://192.168.0.254:10000，回车登录。

2)新设备如果网络不通，重新启动下设备，观察设备前面板左下角的两个硬盘指示灯，开机过程中，有没有硬盘数据灯闪烁，2个都闪烁，可以排除硬盘和主板的故障，可以尝试下串口恢复下设备配置。

（发货过程中，由于物流方面的拿放不当，可能造成设备出现故障）2)网闸配置的一般步骤：1)IE地址栏直接输入https://IP:10000（IP为可信端或者非可信端IP，其中如果客户不需要从非可信端IP访问配置页面，可以在隐藏页面关闭，登录进设备后，隐藏页面为https://IP:10000/firewall），回车，弹出证书页面，选择是，用户名：admin，密码：888888。

弹出如下登录界面：2)接口配置：“接口配置”包括：模式选择和接口配置。

模式选择：系统默认模式为SAT+NAT模式，该模式是转源的（注意：有些认证系统是从源mac来登记的，该情况只能用不转源模式来实现）。

如果需要可以转换成SAT模式，该模式不转源。

接口配置：如下图，其中不可信端可以直接配置接口IP地址及网关，可信端只能配置相应的IP地址，如果下面挂的有三层设备，需要指回程路由，可以在下面的网络配置下静态路由中可信端添加。

网闸配置教程上电开机进入初始状态。

内外网接口机要设网关常规操作：1、用户名：admin(回车)，密码：84681142（直接回车），密码不显示2、弹出是否查看相关信息，输入n。

3、进入最初配置这里输入/int pri查看已经安装的网卡信息4、出现网卡信息，R表示网卡已经激活了，如果是X那还需激活网卡：命令Int enable 0 表示激活第一张网卡5、给各网口分配IP命令：ip address add address 192.168.1.0/24 interface=ether1回车IP.这里设置为192.168.1.0/24，24表示子网掩码。

然后是要设置的网卡名字。

6、查看配置信息命令：ip add pri查看IP地址配置信息！7、改网卡名便于后续操作：int set 0(表示第一张网卡) name=Lan(也可以WAN表示外网)。

8、修改密码命令：password9、重启命令：sys reboot10、关机命令：sys shutdown11、重置命令：sys reset12、系统备份并保存为test：sys backup save name=test13、导入备份文件test：sys backup load name=test14、查看防火墙配置：ip firewall filter pri15、返回上级菜单：..16、设置机器名：sy ide set name=机器名17、增加用户：ip hotspot user add name=user1 password=1网闸配置脚本：设内网1主机IP为192.168.0.5；内网2主机IP为192.168.1.5;外网1主机IP为192.168.254.168；外网2主机IP为192.168.250.168[admin@ MX-NSA-3000] interface set ether1 name= lan1/给网卡1命名为lan1[admin@ MX-NSA-3000] interface set ether2 name= wan1/给网卡2命名为wan1[admin@ MX-NSA-3000] interface set ether3 name= lan2/给网卡3命名为lan2[admin@ MX-NSA-3000] interface set ether4 name= wan2/给网卡4命名为wan2[admin@ MX-NSA-3000] ip address add address=192.168.0.1/24 interface=lan1/设置网卡1 IP地址和子网掩码，此处24代表子网掩码是255.255.255.0[admin@ MX-NSA-3000] ip address add address=192.168.254.250/24 interface= wan1/设置网卡2 IP地址和子网掩码，此处24代表子网掩码是255.255.255.0[admin@ MX-NSA-3000] ip address add address=192.168.1.1/24 interface=lan2/设置网卡3 IP地址和子网掩码，此处24代表子网掩码是255.255.255.0[admin@ MX-NSA-3000] ip address add address=192.168.254.253/24 interface= wan2/设置网卡4 IP地址和子网掩码，此处24代表子网掩码是255.255.255.0删除IP : ip address remove 0 删除第0编号ip[admin@ MX-NSA-3000] ip route add gateway=192.168.254.1/设置网关，如果没有网关可不设置[admin@ MX-NSA-3000] ip route add gateway=192.168.250.1/设置网关，如果没有网关可不设置[admin@ MX-NSA-3000] ip dns set primary-dns=192.168.250.1 allow-remote-requests=yes/设置首选DNS服务器，如果不联网可不设置；允许远程响应[admin@ MX-NSA-3000] ip dns set secondary-dns=192.168.254.1 allow-remote-requests=yes /设置第二DNS服务器，如果不联网可不设置；允许远程响应[admin@ MX-NSA-3000] ip firewall nat add chain=srcnat action=masqueradesrc-address=192.168.0.5 dst-address=192.168.254.168/源地址伪装，[admin@ MX-NSA-3000] ip firewall nat add chain=srcnat action=masqueradesrc-address=192.168.1.5 dst-address=192.168.250.168/源地址伪装，[admin@ MX-NSA-3000] ip firewall filter add chain=forward action=acceptsrc-address=192.168.0.5 dst-address=192.168.254.168 in-interface= lan1 out-interface= wan1/防火墙过滤，允许源地址192.168.0.5通过源端口lan1，目的端口wan1，访问192.168.254.168，网口从左往右依次为lan1、wan1、lan2、wan2。