网神应用配置手册

应用发布流程

1.1.拓扑环境

SSL VPN旁路接在核心交换上，通过防火墙映射后，让外网的用户可以方便的访问到企业内部的服务。

1.2网络配置

1.2.1网络接口配置

进入【系统设置】-【网络配置】-【网络接口】配置接口的IP地址

1.2.2域名解析

进入【系统设置】-【网络配置】-【域名解析】配置主、次DNS的IP地址

1.2.3NAT设置

进入【系统设置】-【网络配置】-【NAT】配置NAT的转发规则

1.2.4配置PPTP

进入【系统设置】-【网络配置】-【PPTP服务器】配置PPTP服务

1.3建立用户账号和用户组

进入【SSL VPN】-【用户管理】-【用户和组】在用户列表中添加用户

进入【SSL VPN】-【用户管理】-【用户和组】在用户组列表中添加用户组。将用户加入用户组。

1.4建立应用组和应用

1.4.1新建代理应用

进入【SSL VPN】-【应用设置】-【应用和组】在应用列表中添加代理应用

1.4.2新建NC应用

进入【SSL VPN】-【应用设置】-【应用和组】在应用列表中添加NC应用

1.4.3NC配置

1.配置NC地址池

进入【SSL VPN】-【应用设置】-【NC管理】配置IP地址池

2.勾选ARP代理

进入【SSL VPN】-【应用设置】-【NC管理】配置NC配置

3.NC设置

进入【SSL VPN】-【应用设置】-【NC管理】配置NC设置：

将nc授权给用户组。

1.4.4新建WSDP应用

进入【SSL VPN】-【应用设置】-【应用和组】在应用列表中添加WSDP应用

1.5添加策略进行授权

进入【SSL VPN】-【策略设置】-【服务控制策略】添加服务控制策略，给用户组授权访问的应用。

以上配置完成，用户登陆客户端，就可以访问到授权的应用。

ios&Android应用封装

随着4G网络的发展，很多企业客户都在智能手机上使用APP移动办公，但是直接使用互联网来接入企业内网，数据传输没有进行过加密，很容易被黑客监听导致传输的数据泄漏，终端设备及服务端也可能不安全。

通过对现有的办公APP进行重新封装加固，即可通让iPhone、iPad、Android 手机及平板使用封装后的APP轻松安全地访问企业内部网，实现从用户登录、数据传输、服务端和终端设备的安全防护。

移动端互联网防火墙SSL VPN

内部服务器

Wan：PPPOE

（演示拓扑图）

管理员通过以下7个简单的步骤，即可完成APP 的封装。

（ios/Android 应用封装流程图）

注：用户使用封装的APP 访问业务，管理端需要添加有效用户账号，并授权相关代理应用。

应用商店

2.1配置域名解析、花生壳或希网

2.1.1配置域名解析

通过配置主、次DNS，SSL VPN可以在互联网或内网进行域名解析，主要

功能就是把域名解析成IP地址。

在域名解析配置界面上输入：

主DNS：公网或内部DNS的IP地址（必须输入）

次DNS：可以不用输入

2.1.2配置花生壳

花生壳提供动态域名解析，为方便使用拨号上网且没有固定公网IP地址的用户提供域名解析。

配置花生壳需要在花生壳官网（https://www.360docs.net/doc/c89295749.html,/）免费注册一个账号并领取一个域名。

在花生壳配置界面上输入：

使用者名称：花生壳的账号

密码：花生壳的密码

域名:花生壳的有效域名

2.1.3配置希网

希网提供动态域名解析，为方便使用拨号上网且没有固定公网IP地址的用户提供域名解析。

配置希网需要在希网官网（https://www.360docs.net/doc/c89295749.html,/）免费注册一个账号并领取一个域名。

在希网配置界面上输入：

使用者名称：希网的账号

密码：希网的密码

域名:希网的有效域名

2.2申请可信网关证书

封装后的ios-app 需要可信的网关证书才能在本地下载、安装。

2.2.1申请可信网关证书依赖条件：

1、sslvpn能访问到公网的wosign证书签发服务器。

2、有一个指向sslvpn的域名。

3、从公网通过域名能访问到sslvpn设备。

2.2.2申请可信网关证书

在申请可信网关证书配置界面上输入

公网访问域名：花生壳或希网有效的域名

公网访问端口：SSL VPN的监听端口

2.3导入ios、Android应用签名文件

2.3.1导入ios应用签名文件

ios的签名文件可以在ios app开发人员那里获取，开发人员具体获取ios签名文件的具体方法请参考附录

ios应用签名文件配置界面：

导入.mobileprovision文件：文件类型为.mobileprovision

导入.cer|.crt文件：文件类型为.cer或.crt

导入.p12文件：文件类型为.p12

证书密码：iOS应用签名证书的密码

ios应用签名文件已经导入,见下图

2.3.2导入Android应用签名文件

Android的签名文件可以在Android开发人员那里获取，开发人员具体获取ios签名文件的具体方法请参考附录

系统有默认的Android keystore证书，用户可以直接使用，不用再导入Android keystore证书。

Android应用签名文件配置界面：

导入Andriod keystore证书：Andriod keystore应用签名证书

证书密码：Andriod keystore应用签名证书的密码

证书别名：Andriod keystore应用签名证书的别名

别名密码：Andriod keystore应用签名证书的别名密码

2.4配置应用商店下载地址

通过配置应用商店下载方式、地址、端口可以将封装好的app发布给用户，用户可以使用手机扫描二维码来下载封装好的app。

2.4.1配置应用商店下载方式、地址、端口

导航到【SSL-VPN】->【企业移动管理】->【全局设置】->【关键配置】，配置应用封装相关设置：

客户端连接保持：若开启该开关，客户端无需重新登录，连接一直保持。（仅

对封装后的应用有效）。

封装服务器IP地址：设备出厂时的默认地址，请勿修改。可以通过连通测

试来验证所填写IP地址是否可达。

应用商店下载方式：若为HTTP方式，则只支持Android应用下载；若为HTTPS

方式，同时支持ios和Android应用下载。

ios应用下载只能通过HTTPS方式，必须满足两个条件，1是应用下载地址使用域名方式，2是在网关证书上启用申请的可信网关证书。

应用商店下载地址：花生壳或希网有效的域名或IP。https方式必须为域名

应用商店下载端口：SSL VPN的监听端口

2.5应用封装

2.5.1添加ios应用封装

【封装文件上传】

导航到【SSL-VPN】->【企业移动管理】->【全局设置】->【应用封装】配置界面，点击“添加”,根据提示选择需要封装的.ipa的文件，点击上传。

文件上传成功后，弹出应用封装配置界面，如下图：

应用名称：应用封装的名称

应用描述：对所添加的应用封装的简单描述

VPN接入地址：封装后的应用连接的VPN地址，请输入花生壳或希网的有效域名。

VPN接入端口：封装后的应用连接的VPN端口，请输入SSL VPN的监听端口。登录账号：登陆ssl网关账号。可以选择内置公共账号或者用户自行输入。注：内置公共账号请确保账号存在，且已配置公共账号策略。

签名文件：可以使用全局签名文件或自行导入签名文件。

【app封装】

app封装状态，见下图

app封装成功，见下图

应用封装完毕后，点击按钮可将封装好的应用下载到本地，然后分发给用户安装使用。

点击按钮将封装好的应用发布到应用商店：

2.5.2添加Android应用封装

同IOS封装。

在【应用封装】界面上点击“添加”,根据提示选择需要封装的.apk的文件，点击上传。

文件上传成功后，弹出应用封装配置界面，输入相关信息：

应用名称：应用封装的名称

应用描述：对所添加的应用封装的简单描述

VPN接入地址：封装后的应用连接的VPN地址，请输入花生壳或希网的有效域名。

VPN接入端口：封装后的应用连接的VPN端口，请输入SSL VPN的监听端口。登录账号：登陆ssl网关账号。可以选择内置公共账号或者用户自行输入。内置公共账号请确保账号存在，且已配置公共账号策略。

网闸配置注意事项20140910

网闸调试注意事项 1、笔记本装上控制台也连接到了设备的管理口却搜索不到设备 可能笔记本存在多个网卡，首先确认一下安装完控制台后选择的通信网卡是否正确，如果选择的网卡正确，再确认下笔记本正确的连接到了网闸内网的管理口。选择网卡界面如下：可以根据网卡存在的IP地址区分哪一块是物理网卡 2、能搜索到设备却怎么都无法登录 先查看出错信息，如果信息提示未知错误，可能是设备密码输入错误，或者上次登录没有退出控制台就拔掉了网线，确认一下密码输入的是否正确，如果输入正确，重启一下设备尝试重新登录。 3、对象定义注意事项：定义对象以及对象组时，名称和备注等信息不能使用IP/MAC/MASK等关键字。

4、对象定义注意：定义一个地址范围要用“-”来间隔，如（192.168.1.1-192.168.1.253） 如果要定义所有客户端都可以访问内网服务器，IP地址MAC地址和子网掩码全为0。 示。

6、定义服务时注意：如果存在相应的处理模块要选择处理模块或者不选。选择处理模块可以控制的更加细密，如果用户的服务不属于内置模块的服务，勾选“此应用中未定义 的命令允许执行”选框。 7、安全通道选择要注意：默认存在两个安全通道，内网到外网的LAN1通道和外网到内网的LAN1方向，分别用InToOut和OutToIn来表示。如果部署模式没有使用默认的这两 个接口，可以自己修改或者重新建立安全通道。

8、定义系统规则：系统规则把系统模版和安全通道绑定在一起，确保通过网闸的数据 符合系统模版和安全通道的规定。 9、设备规则应用注意：在应用规则前要确认你定义的规则是正确的，可以到设备规则 栏下边双击当前系统规则栏内相应的规则名称，查看定义规则的全部信息。

最新联想网御网闸(SIS-3000)配置过程教学文稿

联想网御网闸（SIS-3000）设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘——管理证书文件夹下，密码：hhhhhh）,管理IP:10.0.0.200 ，掩码：255.255.255.0 。 2、登录内网：用网线连接内网专用管理口，在IE浏览器输入：https://10.0.0.1:8889 3、输入用户名/密码：administrator/ administrator (超级用户)或输入：admin/admin123(管理员用户)。 4、登录外网：用网线连接外网专用管理口，在IE浏览器输入：https://10.0.0.2:8889或输入用户名/密码：administrator/ administrator (超级用户) 或输入：admin/admin123(管理员用户)。 测试拓扑结构： FTP客户端 FTP服务端注：网闸的工作模式有两种，普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下 区别透明访问普通访问 含义外部客户端，“无视”网闸的存在，直接访 问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器； 原理区别两者相同两者相同 配置区别1）只需配置网闸客户端任务，无需配置网 闸服务端任务； 2）客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同； 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络 地址同网段 支持支持 网闸两侧网络 地址不同网段 支持支持

有关网闸的配置案例

有关网闸配置的案例 1.1配置网闸的基本步骤有哪些？ 答： 1）在PC上安装客户端；本地IP为192.168.1.1/24,用交叉线与仲裁机相连（默认无法ping）；2）通过客户端连接仲裁机（192.168.1.254）用户名/口令superman/talent123登录； 3）设置内端机IP地址，设置外端机地址（一般均为eth0） 4）为了调试方便，通过命令行的方式允许ping 通内外端机； 5）设置TCP应用通道，启用通道 6）配置安全策略 1.2通过一个案例来说明如何配置网闸来保证内外数据安 全交换 1.2.1拓扑图如下： 1.2.2基本说明： 1.在OA区域里有服务器，安全管理和终端，边界由网闸来隔离，只允许有限的访问。 2.目前具体的要求是只允许外部的终端10.10.1.1访问OA服务器，内部机器可以访问外

部的WEB 10.10.1.5 3.不能泄漏内（外）部的网络结构。 1.2.3基本配置： 设置内外端地址 1.2.4测试验证： 由于是端口转发，客户端的IE无需作代理设置，只是将访问的目的设为外（内）端机地址10.10.1.2（10.10.0.1）即可。 1.2.5效果 用户只需访问本地的服务器，通过网站作代理映射，就可以到达从内部（外部）访问外部（内部）的目的。以下为链接： http: //10.10.0.1 （可以访问到10.10.1.5） http://10.10.1.2(可以访问到10.10.0.109) 1.3 对于级联的网闸的配置如何来做 在等级保护的实际案例中，需要两个或以上的网闸来配置一条完整的通道，如以下图

1.3.1基本要求 OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3 门户网站区域（）可以访问位于OA区域的OA服务器10.10.0.109 1.3.2基本配置 1.3. 2.1 OA区域网闸配置 说明：从内到外的访问目的就是门户网闸的外端机地址（192.168.4.2） 从外到内的访问目的是真实的服务器地址10.10.0.109

力控网闸配置示例

目录 1TCP协议-------------------------------------------------------------------------- 2 1.1 同网段配置实例 --------------------------------------------------------------- 2 1.2不同网段配置实例 -------------------------------------------------------- 6 2UDP协议 ------------------------------------------------------------------------ 10 2.1同网段配置实例--------------------------------------------------------------- 10 2.2不同网段配置实例------------------------------------------------------------ 14 3定制访问 ------------------------------------------------------------------- 18 3.1映射模式 ----------------------------------------------------------------------- 18 4双机热备 ------------------------------------------------------------------- 22

网闸典型应用方案范文

网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案

目录 1.前言.......................................... 错误！未定义书签。 2.需求分析................................ 错误！未定义书签。3网络安全方案设计............ 错误！未定义书签。

1.前言 Internet作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。中国互联网络信息中心（CNNIC）在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数已经达到4580万人，而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户，为商家提供了无限商机。同时，若通过Internet中进行传统业务，将大大节约运行成本。据统计，网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用Internet这种新的运作方式，以适应面临的剧烈竞争。为了迎接WTO的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。 所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。目前，出现了一种新的网络安全产品——联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。

网闸操作简易流程及说明

网闸操作简易流程及说明 1.登录 1)运行管理控制端：选择“开始”菜单下“GoldenSecurity”下的“FerryWay 管理端”。 2)显示登录窗口。如图： . 3)在登录窗口中输入登录主机地址、用户帐号、密码，按“确定”，登录管理控制端。 4)FerryWay默认登录信息 登录主机：192.168.1.168 默认用户帐号：admin2003 默认密码：admin2003 2.设置内端机 IP 地址 选择“系统”菜单下的“设置”项，显示系统设置列表，可以看到eth0~eth6多个内外端IP设置（eth1~eth6用于多网口或扩展），选择“设置内端机eth0 IP地址”，显示设置窗口。选择“高级…”，显示多个IP地址设置窗口。

3.设置外端机 IP 地址 选择“系统”菜单下的“设置”项，显示系统设置列表，可以看到eth0~eth6多个内外端IP设置（eth1~eth6用于多网口或扩展），选择“设置外端机eth0 IP地址”，显示设置窗口。选择“高级…”，显示多个IP地址设置窗口。

4.添加新的应用通道 在“应用通道”菜单中选择“TCP应用通道”-->“添加”或在“TCP应用通道列表”右键快捷菜单中选择“添加”，显示添加界面。 4.1.设置应用通道 应用通道源：发起访问的源方向。 工作模式：一般选转发模式 通道名称：给该通道取的名称，可随意命名。 应用类型：除FTP需要选择FTP类型外，一般情况请选择Null_TCP。

源机IP地址：对外被访问的IP地址，为网闸接口地址。 源机端口：网闸内/外端机监听的端口号。 目的机IP地址：实际服务器的IP地址。 目的机端口：实际服务器监听的端口号。 允许的最大连接数：一般输入10000即可。 身份认证：默认为不需要即可。 4.2.使用时间安排的设置 设置应用通道可以使用的时间段。在指定的时间段内，该应用通道是可用的。应用通道的起始使用时间必须早于结束时间。

500网闸配置

伟思安全隔离网闸Vigap500型号的配置说明与注意事项 （500的设备是基于b/s结构的，即可以通过浏览器直接访问来配置的，另外500的设备配置过程中要注意的是设备默认是不支持可信端与非可信端一个网段，如果需要，可以修改某些参数来实现。） 1)配置前的准备工作： 1)500设备的默认管理地址是https://192.168.0.254:10000，用户名：admin，密码：888888。 如果来配置一台新设备，首先我们将用来配置网闸的电脑IP修改成192.168.0.*（254除外），掩码255.255.255.0。然后用直连网线（B类网线）连接设备可信端的NIC0口，然后ping 192.168.0.254，测试网络连通性。如果没问题，直接打开IE，地址栏输入https://192.168.0.254:10000，回车登录。 2)新设备如果网络不通，重新启动下设备，观察设备前面板左下角的两个硬盘指示灯，开机过程中， 有没有硬盘数据灯闪烁，2个都闪烁，可以排除硬盘和主板的故障，可以尝试下串口恢复下设备配置。（发货过程中，由于物流方面的拿放不当，可能造成设备出现故障） 2)网闸配置的一般步骤： 1)IE地址栏直接输入https://IP:10000（IP为可信端或者非可信端IP，其中如果客户不需要从非可信端 IP访问配置页面，可以在隐藏页面关闭，登录进设备后，隐藏页面为https://IP:10000/firewall），回车，弹出证书页面，选择是，用户名：admin，密码：888888。弹出如下登录界面： 2)接口配置： “接口配置”包括：模式选择和接口配置。

模式选择：系统默认模式为SAT+NAT模式，该模式是转源的（注意：有些认证系统是从源mac来登记的，该情况只能用不转源模式来实现）。如果需要可以转换成SAT模式，该模式不转源。 接口配置：如下图，其中不可信端可以直接配置接口IP地址及网关，可信端只能配置相应的IP地址，如果下面挂的有三层设备，需要指回程路由，可以在下面的网络配置下静态路由中可信端添加。 配置完成后点击“保存”按钮保存当前接口配置，点击“重启” 重启系统后配置才会生效。下次访问管理地址需要以改动后的可信端或者非可信端IP来访问。（非可信端IP访问可以在隐藏页面中关闭掉——该隐藏页面为https://IP:10000/firewall）。

网闸配置

该应用模块要求实现内网IE 浏览器用户通过安全隔离网隔安全地访问外网Web 服务器(在IE 浏览器地址栏输入: http: //192.168 .1 0.2后，返回正确的页面，说明访问成功)。根据网络拓扑，其具体需求要点如下: ①网间内、外网络口各直连一台装有WindowsXP Professional 系统的主机，与网闸外侧相连的是Web 服务器(端口80) ，与网闸内侧相连的是IE 浏览器用户: ②今要求以透明和普通两种方式访问: ③IP 地址设置如图6-27 所示。 (1)添加网闸内侧访问控制中的访问规则，并启动服务 添加普通访问规则，如图6-28 所示。 其中，源地址addrgroup1 包含了192.168 .20.2;普通访问时，在IE 浏览器中添加代理服务器，具体代理IP: 192.168.20. 1，端口号80; 添加透明访问规则，如图6-29 所示。

源地址addrl包含了192.168.20.2;目的地址lenovo包含了192 .1 68.10.2; 透明访问不支持负载均衡:透明访问时，需要在IE 浏览器用户主机上添加一个默认网关或静态路由指向网闸内侧的IP: 192.168.20.1; 启动服务，如图6-30 所示。 (2) 启动网闸外侧服务 无论是透明访问还是普通访问，仅进入"安全浏览→基本配置"启动服务。 (3)配置IE 浏览器用户主机 针对普通访问，需要设置代理，步骤如下:

打开浏览器，找到"Internet 选项(0)... 飞单击"Internet 选项(0)... "，弹出对话框，找到"连接"标签，单击"局域网设置(L)..."，弹出对话框，如围6-31 所示。 针对透明访问，需要设置默认网关或静态路由，方法如下: 添加默认网关，步骤如下: 打开"本地连接状态"对话框"属性(P)" 按钮，单击"本地连接属性"对话框"属性(R)" 按钮，弹出如围6-32 所示默认网关设置。

网闸配置(新)

网闸配置教程 上电开机进入初始状态。内外网接口机要设网关 常规操作： 1、用户名：admin(回车)，密码：84681142（直接回车），密码不显示 2、弹出是否查看相关信息，输入n。 3、进入最初配置这里输入/int pri查看已经安装的网卡信息 4、出现网卡信息，R表示网卡已经激活了，如果是X那还需激活网卡：命令Int enable 0 表示激活第一张网卡

5、给各网口分配IP 命令：ip address add address 192.168.1.0/24 interface=ether1回车 IP.这里设置为192.168.1.0/24，24表示子网掩码。然后是要设置的网卡名字。 6、查看配置信息命令：ip add pri查看IP地址配置信息！ 7、改网卡名便于后续操作：int set 0(表示第一张网卡) name=Lan(也可以WAN表示外网)。 8、修改密码命令：password 9、重启命令：sys reboot 10、关机命令：sys shutdown 11、重置命令：sys reset 12、系统备份并保存为test：sys backup save name=test 13、导入备份文件test：sys backup load name=test 14、查看防火墙配置：ip firewall filter pri 15、返回上级菜单：.. 16、设置机器名：sy ide set name=机器名 17、增加用户：ip hotspot user add name=user1 password=1 网闸配置脚本： 设内网1主机IP为192.168.0.5；内网2主机IP为192.168.1.5; 外网1主机IP为192.168.254.168；外网2主机IP为192.168.250.168 [admin@ MX-NSA-3000] interface set ether1 name= lan1 /给网卡1命名为lan1 [admin@ MX-NSA-3000] interface set ether2 name= wan1 /给网卡2命名为wan1 [admin@ MX-NSA-3000] interface set ether3 name= lan2 /给网卡3命名为lan2 [admin@ MX-NSA-3000] interface set ether4 name= wan2 /给网卡4命名为wan2 [admin@ MX-NSA-3000] ip address add address=192.168.0.1/24 interface=lan1