加密安全网关使用说明1 设备介绍IP-guard 安全网关控制设备(以下简称控制器) ,分为三个型号:IPG-2000:3 个千兆网卡,其中管理端口为 EMP;IPG-3000:4 个千兆网卡,一组 BYPASS( ETH0 和 ETH1) ,其中管理端口为 EMP;IPG-4000:4 个千兆网卡,一组 BYPASS( ETH0 和 ETH1) ,其中管理端口为 EMP;说明 管理端口的固定 IP 为 190.190.190.190,初始配置时使用;BYPASS 功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用2 部署前提先部署好需要保护的服务器环境3 具体部署过程3.1 安装安全网关管理器运行网络准入管理器安装程序 SGManSetup.exe,根据默认提示安装3.2 部署安全网关3.2.1 安全网关 IP 设置首先要确定安全网关串联接入网络中的具体位置,据此确定安全网关的 IP 地址,接着便要开始设置安全网关的 IP安全网关管理端口的固定 IP 为 190.190.190.190,通过管理端口进行安全网关 IP 配置设置的具体操作如下:1) 计算机 A 安装了安全网关管理器,使计算机 A 脱离内网环境,而直接用网线将安全网关的管理端口与计算机 A 连接,修改计算机 A 的 IP,让它能与安全网关通讯。
如修改计算机 A 的 IP 如下:IP 地址:190.190.190.1子网掩码:255.255.255.0默认网关:可不填2) 在计算机 A 上开始菜单中运行安全网关管理器,操作:【工具→控制器连接参数】 ,如图 1:图 1控制器:输入控制器的固定 IP,即 190.190.190.190;密码:初始为空3) 输入完毕,点击【确定】 ,此时 【工具->控制器管理】为可选状态,点击进入,弹出控制器管理窗口,如图 2:图 24) 点击【设置网络参数】 ,弹出安全网关设置 IP 的对话框,如图 3:图 35) 点击【确定】 ,设置的网络参数需要重启生效,点击控制器管理界面的【重启控制器】 ,重启之后,安全网关 IP 修改成功3.2.2 安全网关桥接入网络互 联 网路由器核心层交换机汇聚层交换机交换机客户端 客户端 客户端E R P 服务器 邮件服务器无线接入点安全网关控制器远程客户端V P N客户端 O A 服务器接入层交换机接入层交换机连接方法:使用设备的 ETH0 和 ETH1 端口将其连入网络;3.3 安全控制前的设置3.3.1 连接安全网关启动安全网关管理器, 【菜单栏->工具->控制器连接参数】 ,弹出控制器连接设置窗口(图 1) 。
对应的输入内容:控制器:输入修改后的控制器 IP;密码:初始密码为空成功连接之后,能在状态列表内看到默认 IP 范围的计算机状态情况;3.3.2 设置管理范围在安全网关管理器界面,切换到管理配置标签页,如图 4:图 4设置控制器所能管理的计算机范围,此范围的计算机有通信经过控制器时,就会出现在“状态信息”内支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102 3.3.3 设置控制范围在安全网关管理器界面,切换到管理配置标签页, 如上图 4在“控制范围”中添加要控制的计算机范围,支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.1023.3.4 设置服务器连接参数在安全网关管理器界面,切换到管理配置标签页, 如上图 4指定受保护的服务器 IP和 TCP 协议端口支持“IP:端口 ”的输入,如:192.168.1.2:80803.3.5 设置转发的 URL计算机访问网络受阻后,将其引导至“转发的 url”可使用 IP-guard 提供 web 服务器架设程序( WebServerSetup.exe)进行部署。
1) 双击运行该程序,根据默认提示安装成功安装之后,web 服务自动在后台运行,默认开放 8282 端口2) 把客户端安装程序改名为 Agent3.exe,放置在 TEC\WebServer 安装目录下的 html文件夹里即可以上步骤完成之后,则可在管理配置标签页中的转发设置处填写:转发的 url:设置好的转发网页地址+ /index_sg.html,即http://192.168.1.2:8282/index_sg.html (192.168.1.2 为安装 web 服务的机器 IP)4 加密客户端的配置1) 设置平时访问 OA 等系统的软件为授权软件如 SVN 客户端或浏览器如果预定义中没有此软件,可使用自定义授权软件例如设定 IE 为自定义授权软件2) 对加密客户端指定授权软件,例如对加密客户端指定 IE 为授权软件3) 对授权软件启动安全通讯功能启动控制台,在【策略->客户端配置】中设置客户端配置策略: a) 如果授权软件是 SVN,新建客户端配置 safe_netconnect_svn,值为 1b) 如果授权软件是其他软件,如 IE,新建客户端配置策略safe_netconnect_process,值为 iexplore.exe (支持多进程,以分号分隔)c) 如果授权软件需要访问安全网关之外的服务器,在客户端配置策略中设置白名单。
名称:safe_netconnect_whitelist,值为 OA 或 SVN 服务器 IP,如:192.168.1.2注意 设置白名单之后,加密文档可以上传到这些网站并解密,这样会存在泄密风险,设置白名单须谨慎5 安全网关的使用6.1 开启/停止控制在安全网关管理器, 【菜单栏->系统->启动】 ,则开启安全网关控制的功能菜单栏->系统->停止】 ,则关闭安全网关控制的功能6.2 设置白名单对访问受阻的计算机启用白名单,则在该计算机中使用浏览器访问任一个网站,可正常访问添加白名单的方法有两种方法:1) 安全网关管理器主界面,切换至“状态信息”窗口,选中一台或多台计算机,右键菜单->设置白名单,也可取消白名单2)安全网关管理器主界面,切换至“白名单”标签页,右键 ->添加白名单,如图 5:图 5填入要设为白名单的计算机 IP,多个 IP 使用“,”分隔开,支持 IP、IP 段输入,如:192.168.3.0,192.168.0.2-192.168.1.160点击【确定】之后,设置成功,列表中出现添加的IP 机器删除白名单:在“白名单”列表中选择一个或多个计算机,右键菜单->删除白名单,这些机器将不再具有白名单功能。
6 加密客户端的使用加密客户端不改变平时使用习惯,加解密操作对用户透明不过启动了安全通讯功能的浏览器只能访问受保护的 OA 服务器,不能访问其他网站;如需要刚问其他网站,请使用其他浏览器,如 360 浏览器未启用安全通讯功能的浏览器不能访问受保护的 OA 系统。