力控网闸配置示例

网闸基本全参数1网闸1.设备参数要求：指标要求系统架构采用“2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成。

采用安全操作系统平台，隔离交换矩阵基于专用芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议系统要求采用具有自主知识产权的多核多线程ASIC并行操作系统平台，并提供该安全操作系统的软件著作权；接口配置要求不少于6个10/100M自适应电口，内外网主机系统分别具有独立的网络口、管理口、HA口（热备口）、扩展口；内外网主机系统分别具有1个RJ45串口；性能系统吞吐量不小于91Mbps并发连接数不小于 1.2万延时小于1ms交换开关切换小于2ns文件交换支持病毒检测；支持NFS、SMBFS、SAMBA等文件系统；文件服务器可以是Windows、Linux/Unix等系统平台；支持文件传输方向可控，实现单向或双向传输；支持按任务进行分策略过滤；支持一源多目的及多源一目的文件交换；文件交换可以采用客户端方式和无客户端方式的部署；文件传输支持身份认证及加密传输；支持增量传输、发送后删除、发送后转移等发送策略；支持文件格式特征过滤，并且不依赖于文件扩展名；支持文件类型检查可扩展模式，方便用户自主增加特定文件类型，并提供工具帮助用户识别不常见文件类型；（要求功能界面截图）重发策略，在文件发送端设置发送次数支持时间策略；支持文件大小传输限制；重名策略，接收端客户端支持对重名文件的控制策略，提供“覆盖”、“丢弃”、“重命名”等重名策略。

具备详细的日志记录功能，方便日志查询、统计等操作；可根据异常条件进行报警；支持邮件报警方式；数据库同步支持病毒检测；支持Oracle、SQL Server、Sybase、Db2等主流数据库；数据库同步客户端支持Windows、Linux等多种平台；支持Oracle数据库RAC集群同步；支持同种数据间（同构）和不同种数据库间（异构）的同步；支持字段级数据库间的单向或双向同步（不改变用户的库结构）。

网闸基本配置截图。

网闸管理口MAN口，管理地址192.168.1.168
第一步：
确定网络内外网的IP地址、子网掩码、网关。

第二步：
确定需要经过网闸传输的数据端口，及访问方向（内访外或外访内），确定需要经过网闸访问的目的地址IP。

第三步：
安装管理端：打开安装包，选择Setup.exe双机运行安装，不需要做修改，下一步到完成。

第四步：
本地计算机打开网络和共享中心，配置本地IPV4地址为192.168.1.*网段地址，掩码255.255.255.0 笔记本和网闸MAN口网线直连。

第五步：
开始菜单找到点击管理端登录。

管理地址查看上述，用户名和密码一样，都是admin2003。

第六步：
点击网闸左侧菜单栏服务设置，配置网闸内外端机eth0IP地址。

例：
第七步：
配置TCP应用通道，假如外访内应用，应用通道源就选择外端机。

一律选择转发模式。

通道名称可以根据访问目的服务器来区分，
应用类型选择选择NULL_ TCP
源机IP地址：因为是外访内，选择网闸外端机地址。

目的IP地址：需要经过网闸访问的目的服务器地址。

建立完成应用通道，右键选择应用通道选择启用。

需要在eth0网口添加或者修改IP地址时，需要把通道停用才可以允许修改。

利谱网闸配置
利谱网闸配置
2008-11-11 17:35:33| 分类：网闸配置| 标签：|字号大中小订阅
1、首先配置网闸网络参数:
内网网络参数设置: 设置内网网闸IP.192.168.4.251 MASK:255.255.252.0 网关.* （可以填上去）外网网络参数设置: 设置外网网闸IP.10.0.0.1 MASK:255.255.255.0 网关:*
2、网闸数据库服务设置
数据库端口：1433
远程端口：3389
vpn端口：1723
如果数据从内到外更新，按如下配置
选择映射模式，相当于外网的服务器IP映射到网闸内网网口IP，
反之。

入口设备：内网网卡
出口设备：外网网卡
目的IP：外网服务器IP
入口设备IP：（网闸内网网口ip）
出口设备IP：（网闸外网网口ip）
外到内
3、SQL 数据库同步管理
在数据库内建username：lp password：lp 任务描述(最好写英文,中文不识别)
外到内同步任务
内到内同步（相当于数据库的订阅与发布，不过订阅与发布会在表里添加一个字段）建多一个用户，是为了内网服务器到备份服务器同步时与另一个任务产生触发。

文件共享
外到内远程
备注:
1.可以在配置测试完成后导出配置文件,下次导入的时候注意对于同步任务要每个任务都点击<修改> <保存>, 然后选择发送数据重启.
否则导入不能生效.
2.为网闸程序添加数据库单独用户(权限给予systemadmin)
1.建议在配置过程中注意大小写的区分,以及在字段选择时不要加空格.。

网闸配置教程上电开机进入初始状态。

内外网接口机要设网关常规操作：1、用户名：admin(回车)，密码：84681142（直接回车），弹出是否查看ros相关信息，输入n。

2、进入最初配置这里输入/int pri查看已经安装的网卡信息3、出现网卡信息，R表示网卡已经激活了，如果是X那还需激活网卡：命令Int回车输入enable 0 表示激活第一张网卡4、我们看到ether1，如果是两张或者是三张，那么出现ether2、ether3...我们把网卡的名改一下便于后面操作。

改网卡名：int set 0(表示第一张网卡) name=Wan(也可以W AN表示外网)、如果还有网通的就命名为：int set 1 name=Lan1、第三张就命名为内网：set 2 name=LAN2。

5、给各网口分配IP命令：ip address add address 192.168.0.1/24 interface=lan回车IP.这里设置为192.168.0.1/24.24表示子网掩码.然后是要设置的网卡名字。

完整的命令是如下图:6、查看配置信息命令：ip add pri查看IP地址配置信息！7、修改密码命令：password8、重启命令：sys reboot9、关机命令：sys shutdown网闸配置脚本：[admin@MikroTik] interface set ether1 name=ether1-lan; set ether2 name= ether2-wan/给网卡1、2命名，1为内网，2为外网[admin@MikroTik] interface set ether3 name= ether3-lan; set ether2 name= ether4-lan/给网卡3、4命名，3为内网，4为外网[admin@MikroTik] ip address add address=192.168.0.1/24 interface=ether1-lan/设置网卡1 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip address add address=192.168.254.250/24 interface=ether2-wan/设置网卡2 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip address add address=192.168.1.1/24 interface=ether3-lan/设置网卡3 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip address add address=192.168.254.253/24 interface=ether4-wan/设置网卡4 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip route add gateway=192.168.254.1/设置网关[admin@MikroTik] ip dns set primary-dns=192.168.254.1/设置首选DNS服务器[admin@MikroTik] ip firewall nat add chain=srcnat action=masqueradeallow-remote-requests=yes/源地址伪装，允许远程响应[admin@MikroTik] ip firewall filter add chain=forward src-address=192.168.0.5 in-interface= ether1-lan dst-address=0.0.0.0 out-interface= ether2-wan action=accept/防火墙过滤，允许源地址192.168.0.5访问任何目的地址，但源端口限制为网口1，目的端口限制为网口2，网口从左往右依次为1、2、3、4。

1.1 配置安全通道◆网络拓扑FTP客户端FTP服务端◆应用概述如上图所示，今以FTP应用服务配置为例，其他应用服务类似(只要该C/S模式底层符合标准的TCP/UDP协议)。

此应用要求实现内网FTP客户端主机通过安全隔离网闸安全地访问外网FTP服务器，通过安全通道模块达到对文件上传/下载的目的。

该应用环境使用要点如下：1、网闸内、外网络口各直连一台装有WindowsXP Professional系统的主机，与网闸外侧相连的是FTP服务器(端口：21)，与网闸内侧相连的是访问客户端主机；2、今要求以透明和普通两种方式访问；3、IP地址设置见网络拓扑图；◆配置步骤网闸WEB配置部分，下面以FTP应用为例展开叙述，其他应用与之类似，不再赘述。

1、配置网闸内侧任务，并启动服务添加网闸内侧任务，如下图：启动服务，如下图：按下按钮，启动服务2、配置网闸外侧任务，并启动服务添加网闸外侧任务，仅对普通访问有效，如下图：服务类型可选【tcp_any】；亦可选【ftp】，但目的端口可不填。

启动服务，同上。

3、测试针对普通访问，访问时如下图：普通访问模式下，该地址为网闸内侧地址普通访问模式下，格式为：用户名针对透明访问，访问时如下图：透明访问模式下，该地址为真实FTP服务器地址透明访问模式下，格式为：用户名1、透明访问时，需配置默认网关或添加静态路由，详见《4.2.2 FTP访问》的“配置步骤”第4步；2、支持日志访问；3、支持一些动态端口应用服务，比如：ftp、tns、h.323等等；4、支持源、目的端口范围；5、不支持PPTP、IPSec、GRE、IGMP、IGRP及OSPF服务；6、普通访问时，不支持服务器地址范围；7、支持ping；8、支持相同服务多服务器的应用模式；IE浏览器进行FTP访问；1、配置客户端任务(针对普通访问和透明访问)，并启动服务；2、配置服务端任务(仅针对普通访问)，并启动服务；3、测试；。

目录1TCP协议-------------------------------------------------------------------------- 11.1 同网段配置实例 --------------------------------------------------------------- 11.2不同网段配置实例 -------------------------------------------------------- 32UDP协议 ------------------------------------------------------------------------- 62.1同网段配置实例---------------------------------------------------------------- 62.2不同网段配置实例------------------------------------------------------------- 93定制访问 ------------------------------------------------------------------- 113.1映射模式 ----------------------------------------------------------------------- 114双机热备 ------------------------------------------------------------------- 141TCP协议1.1 同网段配置实例图6-1-1 网络拓扑图实现目的：此配置实例主要包含TCP协议相关基本功能配置及特殊应用配置的详细操作步骤，其中TCP协议模块主要包含以下两个功能点。

●TCP协议基本功能配置●特殊点配置内网配置为正向传输配置，外网配置为反向传输配置由于正、反向配置相同，故此配置仅以正向操作为示例1.1.1 TCP协议基本功能配置目的：通过基本功能配置，实现TCP数据的正常传输；以PC1（192.168.10.10）向PC2（192.168.10.20）发送数据为例；配置步骤:搭建如图6-1-1网络环境；通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.10.100）；通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0->192.168.10.200）；进入TCP协议，添加一条任务配置如，图6-1-2；任务号：此任务的标识，范围为：1～2048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。

目录1TCP协议21.1同网段配置实例21.2不同网段配置实例62UDP协议102.1同网段配置实例102.2不同网段配置实例143定制访问183.1映射模式184双机热备221TCP 协议1.1 同网段配置实例图6-1-1网络拓扑图实现目的：此配置实例主要包含TCP 协议相关基本功能配置及特殊应用配置的详细操作步骤，其中TCP 协议模块主要包含以下两个功能点。

•TCP 协议基本功能配置 •特殊点配置A 网配置为正向传输配置，外网配置为反向传输配置 A 由于正、反向配置相同，故此配置仅以正向操作为示例1.1.1 TCP 协议基本功能配置目的：通过基本功能配置，实现TCP 数据的正常传输；以PC1(192.168.10.10)向PC2(192.168.10.20)发送数据为例； 配置步骤:> 搭建如图6-1-1网络环境；> 通过配置机访问网管理地址192.168.0.201,登陆系统管理员账户(用户名：admin ，密码：cyberadmin)，在控制台网络配置-地址配置中添加数据口eth0地址(网->eth0->192.168.10.100)；> 通过配置机访问外网管理地址192.168.0.202,登陆系统管理员账户(用户名：admin 密码:cyberadmin)，在控制台网络配置-地址配置中添加数据口eth0阳IQ,1阳.W.e 阳叫m 喀喻,口皿通世LUiMO ：L!龙IB!IQ LOO配置机 J923JEWih 口的J 的源物通坦LL92.ItS.Lil2MI 外网地址（外网->eth0->192.168.10.200）；> 进入TCP协议，添加一条任务配置如，图6-1-2；任务号：此任务的标识，围为：1〜2048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。

网闸文件交换功能配置案例2006-1-17目录1 网络拓扑 (1)2 客户需求 (1)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (2)3.4 外网管理端口地址 (3)4 网闸具体配置 (3)4.1 需求一文件交换配置 (3)4.1.1 文件交换模块配置 (3)4.1.2 发送黑名单的设置 (8)4.1.3 发送白名单的设置 (9)4.1.4 接受黑名单的设置 (11)4.1.5 接受白名单的设置 (12)4.2 需求二实现内外网主机共享目录之间文件自动交换 (14)1 网络拓扑说明： 1 网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：10.0.0.2，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

2 PC5为管理主机，其地址要求与网闸的管理端口地址在同一个网段。

3 管理主机与网闸的内外网管理端口相连接，分别以https://10.0.0.1和https://10.0.0.2访问，用户名和密码为：admin 。

2 客户需求客户需求需求一：实现外网用户对内网共享文件的读取,关键字的过滤；注意：配置相反的任务就可以实现内网用户对外网共享文件的读取,关键字的过滤；需求二：内外网文件服务器可将本地目录下文件互传到对方服务器指定的目录下的文件夹下。

内网外网文件交换服务器 192.168.2.56集线器Pc5 10.0.0.4安全隔离与信息交换系统管理口 10.0.0.1 网络口 192.168.2.100管理口 10.0.0.2 网络口192.168.1.100文件交换服务器192.168.1.473网络配置3.1 内网网络端口配置修改IP地址为：192.168.2.100 子网掩码：255.255.255.03.2 内网管理端口地址如与网络接口不冲突，可以为默认。

3.3 外网网络端口配置修改IP地址为：192.168.1.100，子网掩码：255.255.255.03.4 外网管理端口地址如与网络接口不冲突，可以为默认。