500网闸配置.docx
- 文档编号:12577008
- 上传时间:2023-04-20
- 格式:DOCX
- 页数:17
- 大小:3.89MB
500网闸配置.docx
《500网闸配置.docx》由会员分享,可在线阅读,更多相关《500网闸配置.docx(17页珍藏版)》请在冰豆网上搜索。
500网闸配置
伟思安全隔离网闸Vigap500型号的配置说明与注意事项
(500的设备是基于b/s结构的,即可以通过浏览器直接访问来配置的,另外500的设备配置过程中要注意的是设备默认是不支持可信端与非可信端一个网段,如果需要,可以修改某些参数来实现。
)
1)配置前的准备工作:
1)500设备的默认管理地址是https:
//192.168.0.254:
10000,用户名:
admin,密码:
888888。
如果来配置一台新设备,首先我们将用来配置网闸的电脑IP修改成192.168.0.*(254除外),掩码255.255.255.0。
然后用直连网线(B类网线)连接设备可信端的NIC0口,然后ping192.168.0.254,测试网络连通性。
如果没问题,直接打开IE,地址栏输入https:
//192.168.0.254:
10000,回车登录。
2)新设备如果网络不通,重新启动下设备,观察设备前面板左下角的两个硬盘指示灯,开机过程中,有没有硬盘数据灯闪烁,2个都闪烁,可以排除硬盘和主板的故障,可以尝试下串口恢复下设备配置。
(发货过程中,由于物流方面的拿放不当,可能造成设备出现故障)
2)网闸配置的一般步骤:
1)IE地址栏直接输入https:
//IP:
10000(IP为可信端或者非可信端IP,其中如果客户不需要从非可信端IP访问配置页面,可以在隐藏页面关闭,登录进设备后,隐藏页面为https:
//IP:
10000/firewall),回车,弹出证书页面,选择是,用户名:
admin,密码:
888888。
弹出如下登录界面:
2)接口配置:
“接口配置”包括:
模式选择和接口配置。
模式选择:
系统默认模式为SAT+NAT模式,该模式是转源的(注意:
有些认证系统是从源mac来登记的,该情况只能用不转源模式来实现)。
如果需要可以转换成SAT模式,该模式不转源。
接口配置:
如下图,其中不可信端可以直接配置接口IP地址及网关,可信端只能配置相应的IP地址,如果下面挂的有三层设备,需要指回程路由,可以在下面的网络配置下静态路由中可信端添加。
配置完成后点击“保存”按钮保存当前接口配置,点击“重启”
重启系统后配置才会生效。
下次访问管理地址需要以改动后的可信端或者非可信端IP来访问。
(非可信端IP访问可以在隐藏页面中关闭掉——该隐藏页面为https:
//IP:
10000/firewall)。
3)网络配置
“网络配置”包括:
静态路由设置、地址池设置和内网绑定。
静态路由设置:
即人为的指定某一网络访问时所要经过的路径,也可以理解为该网络访问经过网闸的某些应用时的回程路由。
非可信端默认配置的有网关,即缺省路由,一般不需要配置静态路由;可信端如果挂的有三层设备,别的网段如果需要访问非可信端在网闸上映射到可信端的某些服务时,需要在静态路由设置中添加可信端的回程路由。
比如网闸可信端接口IP:
192.168.0.254,过三层设备,连的有192.168.1.X的客户机。
该网段客户机需要访问非可信端的一台web服务器(该服务已经在网闸上做过映射),这样需要在静态路由里点新增:
如下图:
目的地ip:
192.168.1.0子网掩码:
255.255.255.0(该网段的掩码)默认网关:
即网闸所在网段的网关
地址池设置:
执行SAT映射时,SAT转换地址来自地址池。
地址池里的地址可以配置为接口的地址、或者与接口同一网段的地址、或者与接口不同网段的地址。
在配置映射时必须要把SAT转换地址添加到地址池中。
具体操作过程需要在网络配置下地址池设置中点新增,如下图:
可以选择地址池添加的位置——即可信端或非可信端。
需要注意:
地址池中添加的ip地址在设备上即使映射没用到这个地址,该地址也是存在的。
内网IP绑定:
即通常内网管理中的mac绑定,在网闸设备中一般用户很少用到。
4)安全配置
“安全配置”包括:
计划任务、主机管理、服务、端口映射、ACL访问控制列表和隔离设备映射配置。
其中计划任务、主机管理、服务是配合ACL访问控制列表来做相应配置的,即只有在这些地方做过配置后,在ACL访问控制列表中添加规则的时候,才会有相应的下拉选项。
端口映射和隔离设备映射配置是结合着网络配置中的地址池中的地址来做配置的,即只有地址池首先将要映射的虚地址在地址池中添加后,映射到这个地址上的服务才能生效。
1)计划表,如下图:
2)主机管理,如下图:
点击“增加”或“修改”可以进入相应页面,如下图
先输入名称后,再选择:
1.单:
这里可填入IP和MAC地址,如果IP和MAC都填入,则绑定这个IP和MAC。
这里IP或MAC也可以为空。
注:
点击旁边的“*”按钮,可使输入框变为下拉菜单,其内容是由ARP列表中得到的IP和MAC,选定后可自动填入IP和MAC输入框。
再次点击“*”按钮可使下拉菜单恢复为输入框形式.
2.一组IP:
即以子网掩码限定的一组IP。
3.一段IP:
即以起始IP和终止IP定义的一段IP地址。
4.其他IP或域名:
这里可以填入IP或域名,也可以混合使用。
(这里的IP为单IP,即默的子网掩码是255.255.255.255)
3)服务:
即定义端口的名称和它的值。
这里有缺省和手动两种选择:
点击“缺省”标签会显示系统预先设定的一些服务。
这些服务可于ACL访问控制列表、流量管理的内外网端口框内选择。
如下图:
由于缺省的比较单一,一般需要手动添加,配合做多端口服务。
点击“手动”标签显示手动设定的一些服务。
这里可以对网络端口(服务)进行定义,便于管理。
可以定义数个端口,也可以定义一段连续的端口。
服务定义后即可针对该用户设定相应的ACL访问控制规则。
当针对服务设定了相应的访问规则后,则不能再删除所定义的服务,如需删除,需先删除已定义的访问规则。
如下图:
输入服务名、协议、端口范围或个别的端口号,并且点击“保存”
按钮保存新增服务。
4)端口映射:
可以实现单个端口或一段连续端口的映射的SAT映射,但限定内网的站点映射到外网。
当内网服务器提供一段连续端口的服务器时,用这项功能做SAT映射设置十分方便。
如下图:
端口范围及映射端口范围按需要来设置,服务器:
映射到非可信端的虚拟IP地址,
映射服务器:
可信端真实服务器地址,协议:
默认all。
配置完成后重启设备才能生效。
5)ACL访问控制列表
一般结合隔离设备映射配置、端口映射或者NAT模式(即路由模式)来做详细的控制访问配置。
如不需要详细控制访问,一般在这里需要默认配置两条:
可信端→不可信端任意都通过,不可信端→可信端任意都通过的策略。
具体配置,只需在该目录下,点增加,序列号(必须填写,且不同的ACL规则序列号不能相同,优先级越小级别越高):
1,方向:
选择可信端→不可信端,当以上条件符合时:
选择通过。
其他默认,点保存。
再类似增加条不可信端→可信端的通过策略。
配置完成后,点使配置生效。
如下图:
6)
隔离设备映射配置:
与300的设备配置类似,将网闸设备一端某服务器上需要开放给另一端用户访问的服务映射到对应的规划的虚拟地址(这个需要提前在地址池中添加该地址)上。
如下图:
对应的可以添加内部映射和外部映射:
内部映射即将可信端的服务器映射到不可信端;外部映射即将不可信端的服务器映射到可信端。
(这里与300的设备定义不一致,300的设备刚好相反)
具体添加以内部映射为例,如下图:
这里可以看到点击增加内部映射后,访问方向默认就是不可信端→可信端,类型可以根据需要来选择(TCP或者UDP)。
内网服务器IP地址:
即内网真实的需要映射到不可信端的服务器地址。
内网服务器端口:
服务器需要开放的服务端口。
不可信端映射IP:
即提供给不可信端用户访问该内网服务器的虚拟地址(地址池里需要先添加该地址)。
不可信端映射端口:
默认与源服务端口一致即可。
可信端访问IP:
网闸可信端接口IP(外部映射类似,不可信端访问IP:
网闸非可信端接口IP。
)
配置完成后,许要重启设备才可以生效。
4)系统管理:
“系统管理”包括:
时间设置、命令行工具、系统升级、配置备份与
恢复和恢复默认值。
1.时间设置:
即设置设备时间的。
一般默认就可以。
2.SNMP服务:
SNMP服务提供远程管理服务,可以通过SNMP软件管理网络中的设备。
VIGAP500只能通过可信端接口进行SNMP管理。
3.如下图:
启动:
SNMP勾选后即可启动设备的SNMP服务。
4.命令行工具:
支持ping、route、free和ifconfig命令。
5.系统升级:
一般不会用到。
6.配置备份与恢复:
顾名思义,就是下载设备当前配置文件(右键点backup.vpn保存)和通过浏览备份的配置文件恢复设备备份的配置。
7.恢复默认值:
即恢复设备出厂默认配置。
(也可以通过串口工具来恢复)、
以上是500的设备常用配置,其他的默认就可以。
如果客户需要,可以根据需要来设置。
默认的账户是不具有访问数据日志功能的,需要ssh连接设备,账号admin,密码888888,登录到设备添加一个账号,权限分配为访问数据日志。
500设备特殊应用:
一、串口恢复设备默认值
1.用直通串口线与500面板的串口相连
2.端口设置
每秒位数:
115200
数据位:
8
奇偶校验:
无
停止位:
1
数据流控制:
无
3.连上后输入用户名:
default,密码:
default
4.按面板开关重启设备
二、500桥接端口
1.进入https:
//接口IP:
10000/adsl-client/index1.cgi页面
2.把需要桥接的端口的PORT模式改为“BRIDGE”,桥包括端口输入相应的端口,如500M的可信端接口的桥接,把可信端的PORT模式改为“BRIDGE”,桥包括端口配置为“eth0eth2eth3eth4”(eth0与eth2之间都用空格隔开,如果配置错误,只能用串口线恢复设备默认,重新配置),eth1为不可信端的接口,配置好后点击保存,然后重启设备
三、500设备配置透明模式
1.进入https:
//管理ip:
10000/adsl-client/index1.cgi隐藏页面把内外网接口IP改相同IP,把可信端和不可信端的PORT模式改为bridge,桥包括接口设置为eth0eth1,保存
2把工作模式改为SAT模式,保存
3重启设备
四、500双系统——网闸两边同网段
1.主机上添加一个192.1.1.2/255.255.255.252的IP地址,网线接不可信端网口。
登陆https:
//192.1.1.1:
10000。
恢复出厂值并重启。
2.重启完毕后,主机添加一个192.168.0.*/255.255.255.0的IP地址。
登陆https:
//192.168.0.254:
10000。
将模式修改成“SAT+NAT模式”。
3.进入接口配置隐藏页面https:
//192.168.0.254:
10000/adsl-client/index1.cgi。
把不可信端IP地址设为192.168.0.253/255.255.255.0,网关192.168.0.254(网闸外端接的路由器地址或出口网关地址),Port选择改为eth0。
把可信端IP地址设为192.168.100.24/255.255.255.0(与网闸可信端系统的不可信端NIC0的IP地址同一个网段即可),Port选择改为eth1。
然后保存并重启。
如下图。
4.主机上添加一个192.168.0.*/255.255.255.0的IP地址,网线接可信端网口。
登陆https:
//192.168.0.254:
10000。
将模式修改成“SAT+NAT模式”。
5.进入接口配置页面,将不可信端网关改成192.168.100.24(即不可信端系统的可信端IP地址)。
保存并重启。
如下图。
6.根据用户需求配置接口、映射和访问控制规则
7.如内网192.168.1.1/24访问外网192.168.1.2/24的80端口,首先把网闸内网系统可信端接口都改为192.168.1.3/24,网闸外网系统可信段接口改为192.168.1.4/24。
外网系统做内部映射,把192.168.1.2映射为192.168.100.24;内网系统做外部映射,把192.168.100.24映射为192.168.1.2,在地址池中添加地址192.168.1.2/24
五、网闸500系列双机热备安装指南
1、连接方式
按照下图连接设备
图1
2、配置方法
(1)配置设备接口IP地址
1.主机和从机的可信端NIC0配置同段的IP(但两个IP不能相同)。
2.主机和从机的不可信端NIC0配置同段的IP(但两个IP不能相同)。
(2)按照图1连接设备
(3)配置SAT映射和ACL规制
1.在地址池中添加虚拟IP作为SAT映射IP(主机和从机的虚拟IP必须相同)。
2.添加SAT映射和ACL规制。
(4)测试服务是否正常
1.断开从机与交换机的连接,测试主机所配置的服务是否能正常通过,如果服务不通请检查第(3)步中的主机配置是否正确。
2.断开主机与交换机的连接,接通从机和交换机的连接,测试从机所配置的服务是否能正常通过,如果服务不通请检查第(3)步中从机的配置是否正确。
(5)按照图1重新连接好设备
(6)开启双机热备
1.用SSH工具登录主机和从机命令行,在conf菜单下开启可信端NIC0的侦测。
主机输入命令:
hastartMASTEReth0
从机输入命令:
hastartBACKUPeth0
2.进入隐藏web页面https:
//管理接口IP:
10000/adsl-client/index1.cgi,主机和从机分别勾选“使用DNS查询检测断线”,在“DNS服务器1”处输入不可信端的侦测IP(指向对应的不可信端的网关。
注意输入完成后点击“保存”按钮保存配置)。
(7)重启主机和从机。
3、双机热备切换
1.可信端的侦测方式为主机可信端NIC0与从机可信端NIC0相互侦测,不可信端的侦测方式为主机和从机同时侦测设定的不可信端侦测IP。
2.当两个设备都工作正常时,如果主机无法工作,或无法连通侦测IP(如其中一条网线断开,或设备系统不工作),从机会自动从等待状态进入运行状态,主机进入等待状态。
3.当主机修复正常后,主机会自动重新接管,从机进入等待状态。
六、NAT模式(即路由模式,该模式不转源)
该模式网闸相当于可做策略的路由器,具体可以通过规则来控制访问。
1.将网闸开机,模式转换为SAT模式。
2.网闸两端网段的网关要指向网闸对应的接口地址。
3.具体访问控制可通过访问规则来做限制。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 500 配置