安全隔离与信息交换系统产品安装调试指导手册VHEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】络环境、业务模式、安全需求等情况进行详细的了解，充分做好产品上线准备，确保网闸上线后高效、稳定，与用户业务安全结合。

了解实际用户网络环境或主机环境网络环境充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑网络拓扑图可以请用户网络工程师协助提供。

拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。

部署位置根据用户提供拓扑，分清安全域界限，明确网闸部署位置。

IP规划明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。

主机环境明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。

服务器系统平台信息了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。

了解各服务器网络配置信息，如服务器IP地址、服务器连接位置等。

数据库信息对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。

软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。

了解实际用户应用及安全需求业务模式了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。

应用相关信息了解业务所采用的协议类型，业务端口开放情况等业务相关信息。

业务流程分析通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更合适的方式来实现所需要的功能服务。

业务软件模式针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现方式。

安全需求了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全。

访问用户限制针对不同的访问用户进行业务应用限制，功能使用限制；对于不同的管理员赋予不同的权限。

访问客户端限制针对IP段、MAC地址的访问限制；应用层过滤针对业务应用进行的策略限制，黑白名单策略、命令限制、文件类型限制等。

开箱、加电设备开箱设备开箱请按装箱清单进行清点，并对设备外观进行检查，若有异常请认真详细地做好记录。

打开网闸包装后，确认包装箱内是否包含以下各物品以及状态是否良好：网神SecSIS 3600网闸配件盒：电源线×1串口线×1网线×2软盘/CD-ROM 光盘（包括网闸相关信息文件和手册）如果发现任何物品丢失或出现损坏，则立即联系网御神州公司。

如果需要运输或将网神SecSIS 3600安全隔离与信息交换系统保存起来以待后用，那么切勿丢掉包装材料或装运纸箱。

设备加电如上图所示，网闸分别与、网段相连接，内、外网口IP分别为和。

确认上述IP 信息无误后，即可在网闸上进行操作配置。

以内网为例。

登录网闸WEB管理界面，点击网络配置：网卡配置，选择网络设备属性，此处选择net，确定。

网络地址，选择网口，ip地址栏填写网闸内网口实际地址。

此处填写，子网掩码：。

点击确定保存。

外网IP设置与内网设置方法一致。

实际应用中，仅仅配置完IP并不能保证网闸的网路连通，还需要根据网络的实际状况添加路由设置。

本例中需要分别为网闸内、外网添加路由。

配置如下图所示：外网路由设置与内网设置方法一致至此，本应用中的网闸网络配置已经完成，可以通过网闸WEB管理界面中工具箱下的调试工具测试网闸在网络中的连通性。

中级“假设法”手把手教您如何快速调试网闸产品的基本功能安全浏览说明：1 网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

2 管理主机与网闸的内外网管理端口相连接，分别以10.0.0.1和访问，用户名和密码为：admin。

客户需求需求一：内网主机能够通过网闸访问互联网，采用代理服务器模式，即需要在客户端主机上添加代理服务，不需要添加网关地址和DNS地址。

需求二：内网主机能够通过网闸访问互联网，采用透明模式，即需在客户端主机添加网关地址和DNS地址网络配置内网网络端口配置修改地址为：内网管理端口地址如与网络接口不冲突，可以为默认。

外网网络端口配置修改地址为：，如此为公网地址请直接指定。

外网网关配置此处网关为：，如此为公网地址请直接指定。

外网管理端口地址如与网络接口不冲突，可以为默认。

网闸具体配置需求一配置内网主机能够通过网闸访问互联网，采用代理服务器模式，即需要在客户端主机上添加代理服务，不需要添加网关地址和DNS地址。

内网模块配置1.安全浏览→客户端→基本设置，进行安全浏览服务设置。

选择代理方式，选择侦听地址：，端口8080 ，其他选项默认。

2.安全浏览→基本设置→启动设置点击启动服务按钮外网模块配置1.安全浏览→服务端→配置DNS，添加DNS地址（当地的DNS服务器地址）2.安全浏览→基本设置→启动设置，选择启动服务按钮。

内网客户端主机配置在用户的主机IE属性中选择连接/局域网连接，添加代理服务器地址（端口8080）需求二配置内网主机能够通过网闸访问互联网，采用透明模式，即需在客户端主机添加网关地址和DNS地址内网模块配置1.安全浏览→客户端→基本配置，选择透明方式，本地地址，服务端口 80。

2.3.安全浏览→客户端→启动配置，重启服务4.内网允许DNS请求通过定制模块→UDP访问→UDP客户端→添加任务，地址端口 53 任务号1 （此任务号可以任意，但一定要与外网模块的相同）外网模块配置1.网络配置→配置DNS ：2.安全浏览”→基本设置→启动设置→确定，启动服务外网允许DNS请求通过定制模块→UDP访问→ UDP服务端，地址：，端口：53，任务号：1（此任务号可以任意，但一定要与内网模块的相同）内网客户端主机配置1.在本地PC机的“TCP/IP”属性设置如下：2.默认网关：，DNS服务器：浏览器的设置（把代理去掉）安全FTP说明：1 网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

2 管理主机与网闸的内外网管理端口相连接，分别以10.0.0.1和访问，用户名和密码为：admin。

网闸FTP工作原理：FTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号，就可以通过代理方式，透明方式，混合模式访问内网或外网的FTP服务器。

可以使用LeapFTP、FlashFXP等FTP软件和命令行方式，顺利进行访问和数据操作。

在百兆网络的测试环境中，FTP的平均传输速率可达Mbps。

对于FTP服务端所在网络只是FTP代理服务器的情况，提供了很好的解决方案，仅需添加代理FTP服务器的IP地址和端口即可。

客户需求内网做为客户端，外网做为服务器端，实现内网用户可通过网闸访问到外网的FTP服务器，并且内网用户对FTP服务器的上传、下载等操作正常运行。

对访问的服务器进行目的地址控制。

对访问ftp的用户进行源地址控制。

隐藏真实服务器地址。

1、在网闸内网配置FTP代理监听并启用FTP客户端服务2、在网闸外网启用FTP服务3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作网络配置内网网络端口配置修改地址为：内网管理端口地址如与网络接口不冲突，可以为默认。

外网网络端口配置修改地址为：外网网关配置此处网关为：外网管理端口地址如与网络接口不冲突，可以为默认。

网闸具体配置代理模式配置在网闸内网配置FTP代理监听并启用FTP客户端服务。

通过允许服务器控制用户访问的目的地址通过访问控制对访问ftp的用户源地址进行控制通过重定向隐藏真实服务器地址在网闸外网启用FTP服务内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作。

内网模块配置安全ftp→客户端→基本配置，运行方式：代理模式，本地地址：，本地端口：21，其它参数项默认不修改即可。

安全FTP→客户端→启动设置，点击启动服务按钮，启用FTP客户端模块。

客户要求只允许通过网闸访问指定的FTP服务器，即和两台，其他ftp服务器不允许访问。

通过配置允许的服务器可以进行目的地址控制。

点击安全ftp—客户端—允许的服务器，添加允许用户访问的服务器地址即可。

注意：默认不填，为全部都允许；如果添加了允许的服务器，未添加的就都不允许；在添加允许的服务器时，首先应该将网闸FTP访问的监听地址允许访问，否则就全部都无法访问了。

源地址访问控制通过配置客户端的访问控制规则，可以对使用安全ftp访问的用户的源地址进行控制，例如只允许这个网段的用户使用该模块。

配置如下：点击安全FTP—客户端—访问控制；选择默认禁止，除以下配置策略外的其他任何地址都是禁止访问的；添加允许访问的客户端地址段，格式如下；客户端端口为任意；动作为允许；重定向通过配置重定向，可以隐藏用户的实际服务器地址。

比如用户要求访问ftp服务器的终端不知道实际服务器的地址，只告诉他们一个虚拟的访问地址，虚拟成为，虚拟成为；配置如下：点击安全FTP—客户端—重定向；添加虚拟服务器地址和真实服务器地址；用户通过网闸访问时访问方式不变，但是只需访问虚拟地址就可以重定向到真实的服务器地址；外网模块配置安全FTP→基本设置→启动设置，点击启动服务按钮，启用FTP服务端模块内网客户端主机访问FTP服务器设置3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作。

4、用户可采用代理模式访问外网ftp服务器，或者使用透明模式访问。

5、基本配置中运行方式中选择“混合模式”，使用方式见，FTP访问说明：1 网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

2 管理主机与网闸的内外网管理端口相连接，分别以10.0.0.1和访问，用户名和密码为：admin。

网闸FTP工作原理：FTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号，就可以通过代理方式，透明方式，混合模式访问内网或外网的FTP服务器。

可以使用LeapFTP、FlashFXP等FTP软件和命令行方式，顺利进行访问和数据操作。

在百兆网络的测试环境中，FTP的平均传输速率可达Mbps。

对于FTP服务端所在网络只是FTP代理服务器的情况，提供了很好的解决方案，仅需添加代理FTP服务器的IP地址和端口即可。

客户需求内网做为客户端，外网做为服务器端，实现内网用户可通过网闸访问到外网的FTP服务器，并且内网用户对FTP服务器的上传、下载等操作正常运行。