500网闸配置.doc

伟思安全隔离网闸 Vigap50 0型号的配置说明与注意事项( 500 的设备是基于 b/s 结构的, 即可以通过浏览器直接访问来配置的, 另外 500 的设备配置过程中要注意的是设备默认是不支持可信端与非可信端一个网段,如果需要,可以修改某些参数来实现。) 1) 配置前的准备工作: 1) 500 设备的默认管理地址是 :10000 ,用户名: admin ,密码: 888888 。如果来配置一台新设备,首先我们将用来配置网闸的电脑 IP 修改成 . *( 254 除外) ,掩码 。然后用直连网线(B 类网线) 连接设备可信端的 NIC0 口, 然后 ping , 测试网络连通性。如果没问题, 直接打开 IE, 地址栏输入 :10000 , 回车登录。 2) 新设备如果网络不通, 重新启动下设备, 观察设备前面板左下角的两个硬盘指示灯, 开机过程中, 有没有硬盘数据灯闪烁, 2 个都闪烁,可以排除硬盘和主板的故障,可以尝试下串口恢复下设备配置。(发货过程中,由于物流方面的拿放不当,可能造成设备出现故障) 2) 网闸配置的一般步骤: 1) IE 地址栏直接输入 https://IP:10000 ( IP 为可信端或者非可信端 IP ,其中如果客户不需要从非可信端 IP 访问配置页面, 可以在隐藏页面关闭, 登录进设备后, 隐藏页面为 https://IP:10000/firewall ), 回车, 弹出证书页面,选择是,用户名: admin ,密码: 888888 。弹出如下登录界面: 2) 接口配置: “接口配置”包括:模式选择和接口配置。模式选择: 系统默认模式为 SAT+NAT 模式, 该模式是转源的( 注意: 有些认证系统是从源 mac 来登记的,该情况只能用不转源模式来实现) 。如果需要可以转换成 SAT 模式,该模式不转源。接口配置: 如下图, 其中不可信端可以直接配置接口 IP 地址及网关, 可信端只能配置相应的 IP 地址, 如果下面挂的有三层设备,需要指回程路由,可以在下面的网络配置下静态路由中可信端添加。配置完成后点击“保存”按钮保存当前接口配置,点击“重启”重启系统后配置才会生效。下次访问管理地址需要以改动后的可信端或者非可信端 IP 来访问。( 非可信端 IP 访问可以在隐藏页面中关闭掉——该隐藏页面为 https://IP:10000/firewall )。 3) 网络配置“网络配置”包括:静态路由设置、地址池设置和内网绑定。静态路由设置:即人为的指定某一网络访问时所要经过的路径,也可以理解为该网络访问经过网闸的某些应用时的回程路由。非可信端默认配置的有网关,即缺省路由,一般不需要配置静态路由;可信端如果挂的有三层设备,别的网段如果需要访问非可信端在网闸上映射到可信端的某些服务时, 需要在静态路由设置中添加可信端的回程路由。比如网闸可信端接口 IP: , 过三层设备, 连的有 的客户机。该网段客户机需要访问非可信端的一台 web 服务器( 该服务已经在网闸上做过映射) ,这样需要在静态路由里点新增:如下图: 目的地 ip: 子网掩码: ( 该网段的掩码) 默认网关: 即网闸所在网段的网关地址池设置: 执行 SAT 映射时, SAT 转换地址来自地址池。地址池里的地址可以配置为接口的地址、或者与接口同一网段的地址、或者与接口不同网段的地址。在配置映射时必须要把 SAT 转换地址添加到地址池中。具体操作过程需要在网络配置下地址池设置中点新增,如下图:可以选择地址池添加的位置——即可信端或非可信端。需要注意:地址池中添加的 ip 地址在设备上即使映射没用到这个地址,该地址也是存在的。内网 IP 绑定:即通常内网管理中的 mac 绑定,在网闸设备中一般用户很少用到。 4) 安全配置“安全配置”包括: 计划任务、主机管理、服务、端口映射、 ACL 访问控制列表和隔离设备映射配置。其中计划任务、主机管理、服务是配合 ACL 访问控制列表来做相应配置的,即只有在这些地方做过配置后,在 ACL 访问控制列表中添加规则的时候,才会有相应的下拉选项。端口映射和隔离设备映射配置是结合着网络配置中的地址池中的地址来做配置的,即只有地址池首先将要映射的虚地址在地址池中添加后,映射到这个地址上的服务才能生效。 1) 计划表,如下图: 2) 主机管理,如下图: 点击“增加”或“修改”可以进入相应页面,如下图先输入名称后,再选择: : 这里可填入 IP和 MAC 地址, 如