中網(wǎng)物理隔離網(wǎng)閘用戶操作手冊

1、第一章網(wǎng)閘的配置本章將向用戶介紹中網(wǎng)公司安全產(chǎn)品物理隔離網(wǎng)閘的配置方法，內(nèi)容包 括系統(tǒng)配置、相關(guān)數(shù)據(jù)傳輸協(xié)議的配置、審計管理配置、主機安全性配置，等等。 請仔細(xì)閱讀這一章，特別是在第一次啟動網(wǎng)閘時。用戶啟動網(wǎng)閘后，將進(jìn)入登錄界面，如圖11所示。圖11登錄界面網(wǎng)閘IP地址：這個IP地址在登錄時已經(jīng)默認(rèn)設(shè)置，具體地址值根據(jù)用戶實 際網(wǎng)絡(luò)使用的IP地址域來確定，用戶無須更改。管理員名稱：不可更改。管理員口令：口令或密碼的位數(shù)應(yīng)長于6位，且開頭字母必須是字母或者數(shù) 字。點擊“確定”按鈕后進(jìn)入系統(tǒng)配置管理頁面；點擊“Demo進(jìn)入”按鈕后， 則進(jìn)入演示頁面，如圖42所示。1. 1系統(tǒng)配置進(jìn)入演示頁面后，首

2、先默認(rèn)選擇“系統(tǒng)配置”（若選擇其它配置服務(wù)，只需 用鼠標(biāo)點擊一下選中的配置選項），所列信息如下：版本信息：目前為2004年4月5日發(fā)布的1.0版本。許可證（License）：在“演示Demo”情況下，用戶不能輸入。系統(tǒng)關(guān)閉：點擊“系統(tǒng)關(guān)閉”按鈕將關(guān)閉網(wǎng)閘，點擊“系統(tǒng)重啟”將重新啟 動網(wǎng)閘。1. 1. 1系統(tǒng)狀態(tài)點擊“系統(tǒng)配置”左邊的“ + ”，即進(jìn)入配置子目錄選項。圖1 3為“系統(tǒng)狀態(tài)”的頁面。| |X|文件(E)工具(I)幫助(tl)蜃系統(tǒng)找態(tài) 宣內(nèi)部主機 曾外部主機 I系毓管理員 外出訪問服務(wù)推出變換服務(wù)準(zhǔn)入交換服務(wù)審計管理認(rèn)證管理主機安全系統(tǒng)配置系統(tǒng)關(guān)閉|系統(tǒng)關(guān)閉| 系統(tǒng)重啟|版本信息X

3、GapConf 73. 2 ( Build 20031203 )License圖4 2演示頁面廖XGAP配置管理文件 工具(!)幫助(to-晤系統(tǒng)配亶系毓配置系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)S-.H-: .閶內(nèi)部主機 曾外部主機 系統(tǒng)管理員 外出訪問服務(wù) 推出宜換服務(wù) 準(zhǔn)入交換服務(wù) 審計管理 認(rèn)證管理 主機安全系統(tǒng)狀態(tài)刷新：r自動刷新| 刷新 |系統(tǒng)運行總時長：StaticCPU 占用：Static磁盤占用：Static活動會話數(shù) TOC o 1-5 h z OUT/TCP128OUT/UDP128OUT/FTP128OUT/ORA128IN/TCP128IN/UDP128IN/FTP128IN/ORA128

4、圖1 3系統(tǒng)配置 系統(tǒng)狀態(tài) 系統(tǒng)狀態(tài)刷新：靜態(tài)，無需用戶更改。系統(tǒng)運行總時長：靜態(tài)，無需用戶更改。磁盤占用率：靜態(tài)，無需用戶更改。CPU占用率：靜態(tài)，無需用戶更改。 活動會話數(shù)：靜態(tài)，無需用戶更改。2內(nèi)部主機圖14示出了內(nèi)部主機的配置頁面。文件（已工具（I）幫助-I |X|系統(tǒng)配置 霸系統(tǒng)狀態(tài)弱外部主機 蠢系統(tǒng)管理員 外出訪問服薈待出交換服薈待入交換服薈審計管理認(rèn)證管理主機安全內(nèi)部主機主IF地址子網(wǎng)掩碼I-配從置地址|內(nèi)部主機系統(tǒng)日期（YYYY-MM-DD）:|0000-00-00系統(tǒng)時間|00:00 TOC o 1-5 h z 主機名稱：|域名：|DNS：|: HYPERLINK l boo

5、kmark14 o Current Document 網(wǎng)關(guān)：I:接口名 狀態(tài)圖14系統(tǒng)配置內(nèi)部主機系統(tǒng)日期：用戶在設(shè)置日期的時候，必須按照左邊括號內(nèi)的格式輸入，如， 2004-04-05。系統(tǒng)時間：舉例：“13： 25： 38”（表示當(dāng)前系統(tǒng)時間為13點25分38秒）。主機名稱：即為本臺計算機的名稱，鼠標(biāo)右擊“我的電腦”，然后進(jìn)入“屬 性”一 “網(wǎng)絡(luò)標(biāo)識”，就能看到完整的計算機名稱。在設(shè)置其它選項之前，應(yīng)將用戶的網(wǎng)絡(luò)結(jié)構(gòu)、各個IP地址與子網(wǎng)掩碼劃分 清楚，以免配置不當(dāng)，影響網(wǎng)閘的正常使用。域名：在互聯(lián)網(wǎng)出現(xiàn)之初，訪問網(wǎng)絡(luò)的形式主要是IP地址，后來又出現(xiàn)了 更容易記憶的形式，如，.等等，稱為“域

6、名”。此處的 域名，可根據(jù)“我的電腦（右鍵）一屬性一 網(wǎng)絡(luò)標(biāo)識一屬性”來查看本機所 在的域，也可向網(wǎng)絡(luò)管理員咨詢。DNS：全稱為“Domain Name System域名服務(wù)系統(tǒng)”，實際要填寫的是一個 點分十進(jìn)制的IP地址，可根據(jù)“（桌面）右鍵網(wǎng)上鄰居一右鍵本地連接 一 屬性一（選中）Internet Protocol （TCP/IP） 屬性”，即可看到“首選 DNS 服務(wù)器的具體地址”。網(wǎng)關(guān)：根據(jù)“（桌面）右鍵網(wǎng)上鄰居 一右鍵本地連接 一屬性一（選 中網(wǎng)公司版權(quán)所有3地址：北京亞運村國際會議中心七層 電話：84979800 傳真：84991784中）Internet Protocol （TC

7、P/IP）- 屬性”查看“默認(rèn)網(wǎng)關(guān)”的設(shè)置。如果本機即 處于網(wǎng)關(guān)位置，此處不填。網(wǎng)絡(luò)接口管理：此處的設(shè)置主要是定義和設(shè)置主IP地址及其相應(yīng)的子網(wǎng)掩 碼。設(shè)置主IP地址（點分十進(jìn)制）后，將鼠標(biāo)點擊子網(wǎng)掩碼欄，即可自動填充， 如果填充有誤，還需要手工修改（將某個0變?yōu)?55），具體向網(wǎng)絡(luò)管理員咨詢。點擊“配置從地址”，即彈出圖1-4 （a）所示頁面。圖1-4 （a） 系統(tǒng)配置內(nèi)部主機（從地址配置）頁面中的“接口”、“從地址”、“子網(wǎng)掩碼”選中或填好后，在點擊囑定”， 就可在下面的列表中看到這個設(shè)置。如果發(fā)現(xiàn)列表中的某一項有錯誤，選中后， 再點擊“刪除”，即可清除。添加完畢后，點擊確定”，將保存這些

8、設(shè)置并返回 圖1-4頁面。若點擊“取消”，則所有的新設(shè)置全部無效，同時返回圖1-4頁 面。內(nèi)部主機全部設(shè)置完畢，點擊圖1-4上的“確定”，就完成保存。3外部主機圖1-5示出了 “外部主機”的配置頁面，其配置與“內(nèi)部主機”的配置相 同，具體參考以上配置過程。1. 1. 4系統(tǒng)管理員圖1-6示出了系統(tǒng)管理員的配置頁面。文件（日工具ffl 幫助（to系統(tǒng)配置蜃系統(tǒng)狀態(tài) 蠢內(nèi)部主機帽1系統(tǒng)管理員 外出訪問服冬待出交換服蓉 準(zhǔn)人.交換服芬 審計管理 認(rèn)證管理 主機安全外部主機系統(tǒng)配置外部主機系統(tǒng)日期（YYYY-MM-DD）:|0000-00-00系統(tǒng)時間（|00:00主機名稱：|域名：|DNS：|: H

9、YPERLINK l bookmark21 o Current Document 阿關(guān)：I:圖15系統(tǒng)配置外部主機文件（日工具（I）幫助（5系統(tǒng)配置系統(tǒng)狀態(tài)內(nèi)部主機外部主機系統(tǒng)管理員外出訪問服務(wù)準(zhǔn)出交換服案準(zhǔn)入交換服薈審計管理認(rèn)證管理主機安全系統(tǒng)配置系統(tǒng)管理員管理員屬性圖1 6系統(tǒng)配置 系統(tǒng)管理員管理員類型：可在下拉菜單中選擇。帳號：該帳號要與管理員類型相匹配。密碼：密碼的位數(shù)應(yīng)長于6位，且開頭字母必須是字母或者數(shù)字。此時，若點擊“添加”按鈕，就會將所選中及填寫信息加入到下面的列表中； 若需要更改密碼，則首先在“密碼”框中輸入新密碼，同時在“密碼確認(rèn)”中重 新輸入新密碼，然后點擊“更改密碼”，

10、這樣就改變了對應(yīng)于該帳號的密碼。所有需要填寫或選擇的內(nèi)容填充完畢，點擊“確定”即可關(guān)閉此頁面；若點 擊“取消”，則剛剛輸入的內(nèi)容全部無效，并關(guān)閉此頁面。1. 2外出訪問服務(wù)查看狀態(tài)頁面如圖1一7所示。文件(E)工具(I)幫助E-S-S-.S-E-;+系統(tǒng)配置外出訪問服苗外出訪問服務(wù)準(zhǔn)出交換服苗準(zhǔn)入壹換服苗審計管理主機安全外出訪問服務(wù)狀態(tài)HTTP瀏覽:關(guān)閉場SMTP發(fā)郵件：關(guān)閉F0P3收郵件：關(guān)閉FTP訪問:關(guān)閉圖17外出訪問服務(wù)點擊“關(guān)閉”按鈕后，網(wǎng)絡(luò)內(nèi)的計算機將不能進(jìn)行上網(wǎng)、收發(fā)郵件等操作； 點擊“開啟”按鈕，即可重新打開；當(dāng)出現(xiàn)瀏覽網(wǎng)頁或收發(fā)郵件的異常情況時， 可點擊“重啟”按鈕，對外出訪

11、問的控制狀態(tài)進(jìn)行重新默認(rèn)設(shè)置；點擊狀態(tài)刷 新”按鈕，將重新載入當(dāng)前頁面的配置動作。1. 2. 1 瀏覽點擊“外出訪問服務(wù)”左邊的“ + ”，即彈出樹型目錄。圖1 8為“瀏覽” 的狀態(tài)控制窗口。該頁面的“開啟”、“關(guān)閉”、“重啟”、“刷新”四個按鈕將對瀏覽網(wǎng)頁進(jìn)行控 制，其意義與圖17中的四按鈕意義相同。史件 工具(I)幫助(K)國日田田田田國系統(tǒng)配置外出訪問服務(wù)FTF服芬 收郵件 發(fā)郵件 準(zhǔn)出變換服務(wù)準(zhǔn)入變換服務(wù)審計管理認(rèn)證管理主機安全 |xl出訪問服薈洌覽HTTP配置說明:外出訪問HTTF啟動后，將在網(wǎng)閘外端機器上監(jiān):聽.0.0. 1:北端口；需要在準(zhǔn)出交換服務(wù)中增加一條到此端口的定制TCF

12、服務(wù)；例如192. 168.8.202 :80 - 127. 0. 0. 1 : 30；瀏覽器中，需要設(shè)置代理服務(wù)器地址192. 163.8.202,端口即；如果不想更改瀏覽器的設(shè)置，可以更改DNS的設(shè)置，將所有域名都解析到網(wǎng)閘的IF 192. 168. 8. 202；當(dāng)前狀態(tài)：關(guān)閉狀態(tài)控制：|開啟| 關(guān)閉|重啟|刷新|外出訪問服務(wù) 瀏覽1. 2. 1. 1 HTTP 請求點擊“瀏覽”左邊的“ + ”，即彈出樹型目錄。圖1 9為“HTTP請求”的 狀態(tài)控制選擇窗口。此頁面是用戶根據(jù)自己需要，對所使用的相應(yīng)協(xié)議作出選擇。htp協(xié)議：超文本傳輸協(xié)議。當(dāng)用戶在瀏覽器地址欄輸入一個網(wǎng)站地址或者 單擊一

13、個超級鏈接時，就確定了要瀏覽的地址。然后，瀏覽器需要通過http協(xié)議 將Web服務(wù)器站點上的網(wǎng)頁代碼提取出來，并翻譯成漂亮的網(wǎng)頁。https協(xié)議：使用http協(xié)議，在網(wǎng)絡(luò)上傳輸?shù)氖菦]有加密的明文。若要求安 全傳輸，則要使用支持SSL的https協(xié)議。打開IE瀏覽器(或其它)，單擊“工 具”菜單，然后進(jìn)入“Internet選項一高級一安全”，就可看到已經(jīng)默認(rèn)選擇了 “使用 SSL2.0、3.0”。ftp協(xié)議：文件傳輸協(xié)議。選中后，就可以在IE的地址欄中輸入類似于 HYPERLINK ftp:/aaa.bbb.ccc ftp:/aaa.bbb.ccc 的FTP服務(wù)器地址，訪問該服務(wù)器上的資源。go

14、pher協(xié)議:gopher是Internet上一個非常有名的信息查找系統(tǒng)，它將I nternet 上的文件組織成某種索引，很方便地將用戶從Internet的一處帶到另一處。這一 協(xié)議使得新用戶不必成為專家，就能迅速找到Internet上的優(yōu)秀資源。史件工具（I）幫助（也國：日系統(tǒng)配置 外出訪問服務(wù) 屈刖覽瀏1覽 HTTF請求HTTFiS 求|X|m-.m-.m-僵HTTF內(nèi)容 _固高綴選項 FTF服芬收郵件 發(fā)郵件準(zhǔn)出變換服務(wù)準(zhǔn)入變換服務(wù)審計管理認(rèn)證管理主機安全允許協(xié)議：F http,.r httP3I 確定 Ir ftp取消 |r gopher充許HTTP方法：F GETr postr其他

15、|目標(biāo)域：舊白名單（只有在列表中的網(wǎng)站能被訪問）黑名單（禁止訪I可列表中的網(wǎng)站）網(wǎng)站列表|皿控制：廠啟用（禁止皿路徑/文件/參數(shù)中出現(xiàn)列表中的字符串）圖19外出訪問服務(wù)瀏覽HTTP請求允許HTTP方法：http方法get用來取回請求URI （requestURI）標(biāo)志的 任何信息，并以實體的形式返回。http方法post用來要求服務(wù)器保存請求包中的 實體信息。例如，當(dāng)選中了 post后，就會允許用戶將信息發(fā)布到BBS、新聞組 或郵件列表中。若用戶需要使用其它http方法，可選中“其它”，并在后面的文 本框中填入，如options head等。目標(biāo)域：若對用戶訪問的站點有所限制，則可以點擊“網(wǎng)站

16、列表”按鈕進(jìn)行 編寫。點擊后，如圖19 （&）所小。配置說明：每個定義的域占用一行，回車直接輸人下一域名；輸入完之后按確定保存，按取消不保存并關(guān)閉窗口；取消圖19 （a） 外出訪問服務(wù)瀏覽HTTP請求（網(wǎng)站列表） 按照配置說明進(jìn)行添加，添加之后點擊“確定”即可。在“目標(biāo)域”中，根據(jù)用戶的需要，自主選擇“白名單”或者“黑名單”對 列表中的網(wǎng)站地址進(jìn)行訪問控制。URL控制：若選中，則會禁止將下面文本框中所列出的各種各樣的字符串 在URL路徑、文件等中顯示。1. 2. 1. 2 HTTP 內(nèi)容頁面如圖1 10所示。-I |X|交件（已工具（I）幫助系統(tǒng)配置 外出訪問服薈 削覽El HTTFffig固

17、高綴選項FTF服與 收郵件 發(fā)郵件惟出交換服薈準(zhǔn)入變換服薈審計管理認(rèn)證管理主機安全E日E-E-E-E-EHTTF內(nèi)容瀏1覽 HTTF內(nèi)容腳本過濾:H JavaScript r TOScript n ActiveX字體下載:廠禁止文件類型:富白名單只充許下載列表中的文件類型）廠黑名單禁止下載列表中的文件類型）類型列表.|廠啟用禁止UEL路徑/文件/參數(shù)中出現(xiàn)列表中的字符串）關(guān)鍵詞過濾:圖1 10夕卜出訪問服務(wù)瀏覽HTTP內(nèi)容若用戶瀏覽網(wǎng)頁，不希望瀏覽器翻譯網(wǎng)頁中的某些腳本程序，或者不允許下 載字體格式，可選中“腳本過濾”或“字體下載”中的相應(yīng)選項。“文件類型”和“關(guān)鍵詞過濾”的使用與圖1 10中

18、的“目標(biāo)域”和“URL 控制”近似，可參考上面已述的釋義和使用方法。1. 2. 1. 3高級選項控制頁面如圖1 11所示。頁面中，可根據(jù)用戶自身的需要，對“個人隱私保護”、“防止通過URL泄 密”、“查殺病毒”進(jìn)行選擇。過濾瀏覽器包含的用戶信息：禁止使用用戶數(shù)據(jù)禁止使用用戶證書禁止URL中包含文件路徑和文件名史件 工具(I)幫助(也系統(tǒng)配置外出訪問服務(wù)屈刖覽固 HTTFiS求值.皿F四爸FTF服芬收郵件發(fā)郵件準(zhǔn)出變換服務(wù)準(zhǔn)入變換服務(wù)審計管理認(rèn)證管理主機安全高綴選項外出訪問服薈洌覽高綴選項個人隱私保護:r過濾瀏覽器包含的用戶信息r禁止使用用戶數(shù)據(jù)r禁止選擇用戶證書防止通過皿泄密:查殺病毒:r禁止

19、皿中包含文件路徑和文件名 r禁止Crossite交叉站點r開啟系統(tǒng)配置 外出訪問服薈 蓊刖覽FTF服薈蜃收郵件 蠢發(fā)郵件 待出交換服薈 待入交換服薈 審計管理 認(rèn)證管理 主機安全圖1-11外出訪問服務(wù) 瀏覽 高級選項禁止Crossit交叉站點：1. 2. 2FTP 服務(wù)圖1-12為“FTP服務(wù)”的狀態(tài)控制窗口。該頁面的“開啟、“關(guān)閉”、“重 啟”、“刷新”四個按鈕將對FTP訪問服務(wù)進(jìn)行控制設(shè)置?？奨GAP配置管理文件(曰工具(I)幫助(ti)外出訪問服務(wù) FTF服罟FTP配置說明：外出訪問FTF啟動后，將在網(wǎng)閘外端機器上監(jiān)聽12T.Cl.Cl. 1:21端口；需要在準(zhǔn)出交換服務(wù)中增加一條到此端

20、口的FTP交換服務(wù)；例如192. 168.8.202 :21 - 127. 0. 0. 1 : 21；在使用F TP客戶端如Cut eF TP/L唧F TP中，需要設(shè)置代理服務(wù)器地址為192. 16S. 8. 202,端021,使用模式Xlusersite的方式；如果使用命令行ftp,則先連接到192. 168.8.202 : 21,在后面輸入用戶名時輸入 usernameftpsit e_ip_or_najne； 例如 anonyniousftp. microsoft. com；當(dāng)前狀態(tài)：關(guān)閉狀態(tài)控制：|開啟| 關(guān)閉|重啟|刷新|圖1-12夕卜出訪問服務(wù)FTP服務(wù)1. 2. 2. 1 FTP

21、 命令頁面如圖1 13所示。-I |X|文件（曰工具（I）幫助（tl）系統(tǒng)配置外出訪問服薈國日-+弱刖覽-蠢FTF服薈固FTF文件內(nèi)容FTF命令+弱收郵件+蠢發(fā)郵件-田田田田田待出交換服薈 待入交換服薈 審計管理 認(rèn)證管理 主機安全禁止使用傳輸模式：F PORT （主動模式，客戶端打開高端口）r PASV （被動模式，要求網(wǎng)閘打開高端口）禁止文件/目錄操作：r RETR （下載文件）r STOR （上載文件）r LIST （列出目錄下的文件）r DELE （刪除FTP服務(wù)器上的文件）r MKD （在FTP服務(wù)器上創(chuàng)建目錄）r ETO （刪除FTF服務(wù)器上的目錄） FTF服罟 FTF命令禁止其它

22、FTF命令：r其它 圖1 13外出訪問服務(wù)FTP服務(wù)FTP命令FTP協(xié)議的數(shù)據(jù)傳輸存在兩種模式：即主動模式和被動模式。這兩種模式發(fā) 起連接的方向截然相反，主動模式由服務(wù)器端向客戶端發(fā)起，被動模式由客戶端 向服務(wù)器端發(fā)起。一般來說，選用主動模式應(yīng)慎重。因為此模式有可能造成由服 務(wù)器向客戶機發(fā)起的ls、get和put等數(shù)據(jù)傳輸命令很難成功運行。對于訪問服務(wù)器上資源的操作權(quán)限，如僅限瀏覽、禁止上傳下載，等等，可 根據(jù)用戶的自身需要在“禁止文件/目錄操作”中做出選擇。禁止其它FTP命令：填入要過濾的FTP命令，多個命令以逗號分隔。選擇配置完畢后，可點擊“確定”。1. 2. 2. 2 FTP文件內(nèi)容頁面

23、如圖1 14所示。這一頁面對文件的上傳及下載做出若干訪問控制。文件大?。哼x中，并填充限制傳輸?shù)奈募萘浚▎挝唬篕B）。之后，客戶端 上傳或下載的數(shù)據(jù)文件，其容量都會限制此范圍之內(nèi)，超過此范圍會拒絕。文件類型：在文本框中填入要限制的文件類型，如.doc、.exe等，多個文件 類型以空格或逗號分隔，為空表示無限制。白名單表示從嚴(yán)處理，選中后，用戶 將只能上傳或下載文件類型列表中的文件類型；黑名單表示從寬處理，選中后， 用戶將不能上傳或下載文件類型列表中的文件類型。若要求資源訪問的安全性更高，可以在“文件類型深度檢查”和“查殺病毒”做出選擇。文件（日工具（!）幫助E.:日-系藐配置 外出訪問服務(wù)+蜃

24、謝覽-蠢FTF服苗固FTF命令函匚二+弱收郵件+蠢岌郵件n準(zhǔn)出壹換服務(wù)I準(zhǔn)入壹換服務(wù)I審計管理I認(rèn)證管理I主機安全FTF史件內(nèi)容 FTF服薈 FTF文件內(nèi)容文件大?。?11F限制不大于（單位：K） |取消 |文件類型：行白名單（只充許傳輸列表中的文件類型）廠黑名單禁止傳輸列表中的文件類型）文件擴展名只寫后綴，用逗號格開）:文件類型深度檢查不僅根據(jù)文件擴展名，還根據(jù)文件的實際內(nèi)容）：r啟用查殺病毒：r啟用圖1 14夕卜出訪問服務(wù)冬??？服務(wù)FTP文件內(nèi)容1. 2.3 收郵件頁面如圖1 15所示?；豖GAP配置管理文件（日工具（!）幫助回曰系藐配置外出訪問服務(wù)謝覽FTF服苗外出訪問服薈收郵件收郵件成

25、郵件準(zhǔn)出壹換服務(wù) 準(zhǔn)入壹換服務(wù) 審計管理認(rèn)證管理主機安全F0F3配置說明:外出訪問POP3啟動后，將在網(wǎng)閘外端機器上監(jiān)聽127. 0.0. 1:110端口；需要在準(zhǔn)出交換服務(wù)中增加一條到此端口的定制TCF服務(wù)，例如：192. 168.8.202 :110 - : 110在POF3郵件客戶端的設(shè)置中，需要將郵件服務(wù)器IP地址設(shè)置為192. 1窗.8. 2典，端 110；郵件賬號需要設(shè)置為umern卸覬regl pop3_ip_or_najne；例如 zhangpop3. sina. com. cn? 注意不能為zliang應(yīng)wina. com!當(dāng)前狀態(tài)：關(guān)閉狀態(tài)控制：|開啟| 關(guān)閉|重啟|刷新|

26、圖1 15夕卜出訪問服務(wù) 收郵件POP3 （Post Office Protocol 3）協(xié)議是Internet上用來接收電子郵件的協(xié)議，它允許客戶端將郵件從服務(wù)器上下載到本地。這個協(xié)議使用110端口監(jiān)聽郵件收 取服務(wù)。該服務(wù)器協(xié)議通常包含三種狀態(tài)：認(rèn)可狀態(tài)、處理狀態(tài)和更新狀態(tài)。當(dāng) 客戶端與服務(wù)器端建立連接時，連接會話處于認(rèn)可狀態(tài)；當(dāng)客戶通過了身份認(rèn)證， 連接會話將處于處理事務(wù)狀態(tài)；客戶端發(fā)出了退出命令時，會話就進(jìn)入了更新狀 態(tài)；當(dāng)更新狀態(tài)結(jié)束后，又將回到認(rèn)可狀態(tài)。在網(wǎng)閘的POP3端口上運行POP3 代理服務(wù)器，配置所有的POP3請求連接到該服務(wù)器上，然后配置客戶的程序訪 問在網(wǎng)閘上POP3代

27、理服務(wù)器上。所有內(nèi)部網(wǎng)絡(luò)的用戶可以通過POP3郵件服務(wù)器收取所有郵件，POP3代理 能夠?qū)崿F(xiàn)如下安全保護：避免內(nèi)部電子郵件服務(wù)器的結(jié)構(gòu)和信息暴露于公網(wǎng)。限制接收用于郵件發(fā)送的POP3指令外的其它指令。確認(rèn)收件人的電子郵件服務(wù)器是否存在。拒絕/允許發(fā)送指定電子郵件服務(wù)器的郵件。限制發(fā)送的電子郵件容量。防止給特定用戶發(fā)送超容量的郵件(郵件炸彈)。1. 2. 3.1郵件內(nèi)容頁面如圖1 16所示。-I |X|系統(tǒng)配置 外出訪問服薈 削覽 FTF服與 收由職 劇二二 國發(fā)郵件 惟出交換服薈準(zhǔn)入變換服薈審計管理認(rèn)證管理主機安全E日E-E-E-E-E郵件內(nèi)容交件(已工具(I)幫助收郵件郵件內(nèi)容郵件正文：廠禁

28、止整個郵件大干(K) |r禁止正文含有代碼r禁止郵件正文出現(xiàn)下面的字符串：郵件附件：r禁止郵件包含任何附件廠禁止郵件附件大干(K) |附件文件類型黑白名單：行白名單 黑名單附件文件類型深度檢查：r啟用附件文件進(jìn)行病毒查殺：廠啟用圖1 16夕卜出訪問服務(wù) 收郵件 郵件內(nèi)容郵件正文：用戶根據(jù)自身需求，對郵件正文的傳輸做出限制，如郵件傳輸?shù)?容量限制、過濾正文中的代碼及其它字符串(需要選中并在文本框中填充)。郵件附件：用戶根據(jù)自身需求，對郵件附件的傳輸做出限制，如，禁止傳輸 附件、限制附件的大小、限制附件的類型(白/黑名單表示從嚴(yán)/寬處理，即，用戶只能/不能 接收過濾文本框中列舉的附件類型）、附件類

29、型深度檢查、查殺病 毒等。4 發(fā)郵件頁面如圖1 17所示。1-1 |x|系藐配置外出訪問服務(wù)謝覽FTF服與收郵件國日國國國國田待出交換服薈 待入交換服薈 審計管理認(rèn)證管理主機安全發(fā)郵件文件（日工具（!）幫助發(fā)郵件SMTF配置說明:外出訪問SMTF啟動后，將在網(wǎng)閘外端機器上監(jiān)聽127. 0.0. 1: 25端口；需要在準(zhǔn)出交換服務(wù)中增加一條到此端口的定制TCF服務(wù)；例如：192. 168.8.202 :25 - 127. 0. 0. 1 : 25在SMTF郵件客戶端的設(shè)置中，需要將鄒TP服務(wù)器IF地址設(shè)置為192. 168.8. 202, 端口為技；還需要設(shè)置郵件服務(wù)器需要認(rèn)證，us e rna

30、mer e al_ smt p_ ip_ o r_name ；例 zhangsmtp. sina. com. cn?注意不能為zhangsina. com!當(dāng)前狀態(tài)：關(guān)閉狀態(tài)控制：|開啟| 關(guān)閉|重啟|刷新|圖1 17夕卜出訪問服務(wù) 發(fā)郵件SMTP （Simple Mail Transfer Protocol）簡單郵件傳輸協(xié)議是 Internet 上一組 由源地址到目的地址傳送郵件的規(guī)則，控制電子郵件的中轉(zhuǎn)。SMTP服務(wù)器能為 本地（如Outlook）及其它站點提供郵件的轉(zhuǎn)發(fā)服務(wù)。SMTP代理服務(wù)器保護內(nèi)部網(wǎng)絡(luò)中的電子郵件，使內(nèi)部網(wǎng)絡(luò)免遭外部的入侵 和破壞，并最大限度地隱藏內(nèi)部網(wǎng)絡(luò)信息，完善內(nèi)

31、部電子郵件服務(wù)器，增強其安 全性。SMTP郵件服務(wù)服務(wù)主要是集中處理電子郵件的傳輸，并處理向外部網(wǎng)絡(luò)發(fā) 送郵件。所有內(nèi)部網(wǎng)絡(luò)的用戶可以向SMTP代理郵件服務(wù)器發(fā)送所有郵件。SMTP 郵件代理能實現(xiàn)如下安全保護：避免內(nèi)部電子郵件Mail服務(wù)器的結(jié)構(gòu)和信息暴露于公網(wǎng)。限制接收用于郵件發(fā)送的SMTP指令外的其它指令。確認(rèn)發(fā)件人的電子郵件服務(wù)器是否存在。拒絕/允許接收來自指定電子郵件服務(wù)器的郵件。拒絕/允許接收指定發(fā)件人的郵件。限制接收電子郵件容量。防止給特定用戶接收超容量的郵件（郵件炸彈）。【警告】SMTP代理服務(wù)器只有存在于內(nèi)部網(wǎng)絡(luò)中，才能保護電子郵件安全。1. 2. 4. 1 SMTP 命令頁面

32、如圖1 18所示。文件（曰工具（I）幫助（tl）國日田田田田田系統(tǒng)配置-I |X|待入交換服薈審計管理認(rèn)證管理主機安全外出訪問服薈置FTF服薈 置收郵件 蠢翩也 SB 固郵件內(nèi)容 待出交換服薈發(fā)郵件 SMTF命令3MTF命令禁止5MTF命令：r泗Y （驗證電子郵件地址，可能被利用來收集郵件帳號）| 確定 |廠其它I取消 |發(fā)件人，域名：行白名單 L黑名單收件人F域名：行白名單 廠黑名單圖1 18外出訪問服務(wù)發(fā)郵件SMTP命令禁止SMTP命令：用戶選擇此項，可以阻止某些來自公網(wǎng)的惡意操作。發(fā)件人/域名：填入要限制的發(fā)件人地址，如 HYPERLINK mailto:support support

33、多個地址之間以空格、逗號或換行符分隔。為空表示無限制。白名單表示從嚴(yán)處 理，代理用戶只能發(fā)送發(fā)件人/域名為列表中的地址的郵件；黑名單表示從寬處 理，代理用戶代理用戶不能發(fā)送發(fā)件人/域名為列表中的地址的郵件。收件人/域名：填入要限制的收件人地址，如 HYPERLINK mailto:support support 多個地址之間以空格、逗號或換行符分隔。為空表示無限制。白名單表示從嚴(yán)處 理，代理用戶只能發(fā)送收件人/域名為列表中的地址的郵件；黑名單表示從寬處 理，代理用戶代理用戶不能發(fā)送收件人/域名為列表中的地址的郵件。1. 2. 4. 2郵件內(nèi)容頁面如圖1 19所示。郵件正文：用戶根據(jù)自身需求，對

34、郵件正文的傳輸做出限制，如郵件傳輸?shù)?容量限制、過濾正文中的代碼及其它字符串（需要選中并在文本框中填充）。郵件附件：用戶根據(jù)自身需求，對郵件附件的傳輸做出限制，如，禁止傳輸史件工具(I)幫助(也準(zhǔn)入變換服務(wù)審計管理認(rèn)證管理主機安全系統(tǒng)配置外出訪問服務(wù) 刖覽 FTF服芬 收郵件 發(fā)郵件 固.迎F.魚令.準(zhǔn)出變換服務(wù)郵件內(nèi)容發(fā)郵件郵件內(nèi)容郵件正文：廠禁止整個郵件大干(K) Ir禁止正文含有代媽r禁止郵件正文出現(xiàn)下面的字符串：郵件附件：r禁止郵件包含任何附件廠禁止郵件附件大干(K) |附件文件類型黑白名單：什白名單廠黑名單附件文件類型深度檢查：r啟用附件文件進(jìn)行病毒查殺：廠啟用圖 1 19外出訪問服

35、務(wù) 發(fā)郵件 郵件內(nèi)容附件、限制附件的大小、限制附件的類型(白/黑名單表示從嚴(yán)/寬處理，即，用 戶只能/不能 接收過濾文本框中列舉的附件類型)、附件類型深度檢查、查殺病 毒等。1. 3準(zhǔn)出交換服務(wù)圖120為“準(zhǔn)出交換服務(wù)”的狀態(tài)控制窗口。該頁面的“開啟、“關(guān)閉”、 “重啟”、“刷新狀態(tài)”四個按鈕將對TCP、UDP、數(shù)據(jù)庫等準(zhǔn)出訪問服務(wù)進(jìn)行控 制設(shè)置。系統(tǒng)配置外出訪問服務(wù)準(zhǔn)出壹換服資國：國：日E S . H匾ll準(zhǔn)出交換服苗弱定制TCFg FTF服蓉量Oracle數(shù)據(jù)庫蠹1定制皿準(zhǔn)入交換服務(wù)審計管理主機安全準(zhǔn)出TCF信息交換：關(guān)閉準(zhǔn)出UDP信息交換：關(guān)閉FTP信息交換：關(guān)閉數(shù)據(jù)庫_ORACLE:關(guān)

36、閉推出交換服務(wù)當(dāng)前狀態(tài)圖120準(zhǔn)出交換服務(wù)1. 3.1 定制TCP頁面如圖121所示。| |x|史件 工具(I)幫助國國日系統(tǒng)配置外出訪問服務(wù)準(zhǔn)出變換服務(wù) 定制TCF FTF服芬 Oracle數(shù)據(jù)庫 定制皿F推出交換服薈定制TCF準(zhǔn)入變換服務(wù)審計管理認(rèn)證管理主機安全服務(wù)方向：1出代理協(xié)議：| TCP/TCPZ1當(dāng)前狀態(tài)：狀態(tài)控制：關(guān)閉開啟關(guān)閉| 重啟刷新圖121準(zhǔn)出交換服務(wù)定制TCP服務(wù)的內(nèi)容包括規(guī)定數(shù)據(jù)的傳輸方向(當(dāng)前為“出”)、使用的代理協(xié)議，這 兩項服務(wù)無須用戶修改。頁面上的“開啟”、“關(guān)閉”、“重啟”、“刷新”四個按鈕將僅對定制TCP的 訪問服務(wù)進(jìn)行控制設(shè)置。用戶點擊“服務(wù)/規(guī)則管理”

37、按鈕，可對TCP的傳輸規(guī)程進(jìn)行詳細(xì)配置，如 圖1一21 (a)所小。圖121 (a)準(zhǔn)出交換服務(wù)定制TCP (服務(wù)管理規(guī)則)標(biāo)識名：用戶可填寫自己熟悉并能夠識別的服務(wù)名稱。代理地址/端口：指供內(nèi)部網(wǎng)絡(luò)用戶訪問外界公網(wǎng)的代理服務(wù)器上的某一地 址及端口，該地址/端口負(fù)載與外部網(wǎng)絡(luò)相連，具體設(shè)置請向系統(tǒng)管理員咨詢。目標(biāo)地址/端口：指要訪問的目的網(wǎng)絡(luò)或主機，端口為目的網(wǎng)絡(luò)或主機提供 的服務(wù)所對應(yīng)的端口號。內(nèi)容：用戶可在下拉菜單中選擇。時間：用戶可在下拉菜單中選擇。以上內(nèi)容全部填充、選擇完畢后，點擊“添加”按鈕，即可把這些內(nèi)容填寫 到下面的列表中；若某一行已經(jīng)無效，選中并點擊“刪除”按鈕，即可將其刪除

38、掉；若某一行需要修改，選中并點擊“修改”，即可將該條信息調(diào)入上面各個文 本框及下拉框中，用戶可自行修改，修改完畢，點擊“添加”，即可重新加入到歹0表中。用戶點擊“內(nèi)容管理”，可對認(rèn)證內(nèi)容信息進(jìn)行詳細(xì)配置管理。用戶點擊“時間管理”，可對時間信息進(jìn)行詳細(xì)配置管理。完成所有“服務(wù)/規(guī)則”的配置后，點擊“確定”按鈕以示確認(rèn)；點擊“取 消”按鈕，則先前配置全部無效。1. 3. 2 FTP 服務(wù)FTP服務(wù)頁面及其配置規(guī)程與圖120相似，請參考上面所述方法。1. 3. 3 Oracle 數(shù)據(jù)庫Oracle數(shù)據(jù)庫頁面及其配置規(guī)程與圖120相似，請參考上面所述方法。1. 3. 4 定制 UDP定制UDP頁面及其

39、配置規(guī)程與圖120相似，請參考上面所述方法。1. 4 準(zhǔn)入交換服務(wù)圖122為“準(zhǔn)入交換服務(wù)”的狀態(tài)控制窗口。該頁面的“開啟、“關(guān)閉”、 “重啟”、“刷新狀態(tài)”四個按鈕將對TCP、UDP、數(shù)據(jù)庫等準(zhǔn)入訪問服務(wù)進(jìn)行控 制設(shè)置。文件(E)工具ffl幫助(M系統(tǒng)配置外出訪問服蓉準(zhǔn)出壹換服蓉定制TCFFTF服務(wù)Oracle數(shù)據(jù)庫定制訶ESB審計管理主機安全定制TCP信息交換：關(guān)閉定制UDP信息交換：關(guān)閉FTF信息交換：關(guān)閉數(shù)據(jù)庫_ORACLE8i：關(guān)閉圖122準(zhǔn)入交換服務(wù)這一部分的各個配置細(xì)節(jié)與1.3節(jié)相似，其配置方法可參考1.3節(jié)之所述。1.5審計管理圖123為“審計管理”的狀態(tài)控制窗口。該頁面的“開

40、啟”、“關(guān)閉”、“重 啟”、“刷新狀態(tài)”四個按鈕將對告警、日志進(jìn)行控制設(shè)置。文件（已工具（I）幫助系統(tǒng)配置外出訪問服薈待出交換服薈待入交換服薈申計管理認(rèn)證管理主機安全審計管理日志實時傳送服務(wù)當(dāng)前狀態(tài)：開啟/關(guān)閉（活動連接數(shù)：%.）狀態(tài)控制：I開啟I 關(guān)閉I 重啟I 刷新I圖1 23審計管理1.5.1告警設(shè)置頁面如圖124所示。系統(tǒng)配置外出訪問服務(wù)準(zhǔn)出變換服務(wù)準(zhǔn)入變換服務(wù)審計管理日志查看告警設(shè)置E-.E8認(rèn)證管理 主機安全告警設(shè)置r SNMPTRAP:r揚聲器：I Email ：圖 124審計管理告警設(shè)置告警設(shè)置：中網(wǎng)物理隔離網(wǎng)閘將監(jiān)測非法登錄系統(tǒng)和嘗試管理員口令這兩個 安全事件，并當(dāng)其中一個或

41、兩個同時發(fā)生時，網(wǎng)閘將向外告警。所有告警方式依 如下的設(shè)置進(jìn)行。SNMPTRAP:選中后，將向陷阱接收器發(fā)送SNMPTRAPO揚聲器：選中后，將通過聲音報警，用戶可以在文本框中根據(jù)自己需要設(shè)置 報警的揚聲時間，單位為“秒”。Email:選中后，將會給郵件接收者發(fā)送告警日志，Email的各項設(shè)置與使 用Outlook或Foxmail等工具發(fā)送郵件時的設(shè)置相同。發(fā)件人地址：用戶填寫發(fā)件人的Email地址。收件人地址一(二)用戶填寫收件人的Email地址，并且至少要填寫收件 人一。SMTP服務(wù)器地址：用戶填寫發(fā)送郵件時候需要連接到的SMTP服務(wù)器地 址，可向系統(tǒng)管理員咨詢。如果發(fā)送郵件時SMTP服務(wù)

42、器需要認(rèn)證，則用戶必須在“用戶名”和“用戶 口令”文本框中正確輸入。1. 5. 2日志服務(wù)器頁面如圖125所示。E-.E系統(tǒng)配置外出訪問服務(wù)準(zhǔn)出變換服務(wù)準(zhǔn)入變換服務(wù)審計管理告警設(shè)置日志服芬器_日志查看 8認(rèn)證管理主機安全日志服薈器圖 125審計管理 日志服務(wù)器網(wǎng)閘在本機上保存部分日志，但日志會不斷增長，為了避免日志占滿網(wǎng)閘的 所有存儲空間，必須限制日志的總?cè)萘?。存放本地電子盤：網(wǎng)閘系統(tǒng)總是在本地電子盤中存放當(dāng)前產(chǎn)生的日志，用戶 需要在這里給出一個存儲空間限制。總空間限制：設(shè)置網(wǎng)閘日志所能占據(jù)的最大總空間，當(dāng)日志總?cè)萘砍^這個 限制時，新產(chǎn)生的日志將會覆蓋原有日志。存放日志服務(wù)器：將這個指定的日

43、志服務(wù)器用于存儲、維護和管理網(wǎng)閘系統(tǒng) 的日志信息，同時更便于審計。服務(wù)器地址：如果需要實時地將網(wǎng)閘日志從網(wǎng)閘發(fā)送到指定的日志服務(wù)器， 用戶就必須在這里的文本框中填寫日志服務(wù)器的IP地址。服務(wù)器端口：如果需要實時地將網(wǎng)閘日志從網(wǎng)閘發(fā)送到指定的日志服務(wù)器， 用戶就必須在這里的文本框中填寫日志服務(wù)器用于接收日志的端口號。網(wǎng)閘會自動探測日志服務(wù)器的當(dāng)前狀態(tài)，能夠發(fā)現(xiàn)日志服務(wù)器失效和“滿” 狀態(tài)，針對不同狀態(tài)，用戶管理員可選擇相應(yīng)措施。這些措施包括忽略、告警和 宕機。忽略：當(dāng)日志服務(wù)器失效或存儲空間已滿時，網(wǎng)閘系統(tǒng)對此不予理睬，忽略 該狀態(tài)，這不會影響網(wǎng)閘的正常運行。告警:當(dāng)日志服務(wù)器失效或存儲空間已滿

44、時，網(wǎng)閘將向網(wǎng)閘系統(tǒng)管理員告警， 同時不影響網(wǎng)閘的正常運行。宕機：當(dāng)日志服務(wù)器失效或存儲空間已滿時，網(wǎng)閘將停機，這將會影響網(wǎng)閘 的正常運行?！窘ㄗh】“忽略”和“宕機”都是較極端的處理方式，在對日志安全性要求不高的情況下，可以考慮“忽略”設(shè)置；若對日志的完整性要求很高，應(yīng)當(dāng)采取宕 機”設(shè)置，而“告警”則是一種折衷的設(shè)置選擇。1.5.3 日志查看頁面如圖126所示。用戶可在“日志類型”下拉菜單中自行選擇，然后，點擊“查看”按鈕，即 可把這一類型的全部日志列在下面的表中。-I |x|文件(曰工具(I)幫助(ti)E.E系統(tǒng)配置外出訪問服薈待出交換服薈 待入交換服薈 審計管理告警設(shè)置日志服薈器日志查看

45、8認(rèn)證管理主機安全日志查看日志類型：|三 查看 |圖126審計管理日志查看1. 6認(rèn)證管理圖127為“認(rèn)證管理”的狀態(tài)控制窗口。網(wǎng)閘除了提供基于IP的過濾和訪問控制機制外，還要提供基于用戶的身份 認(rèn)證、授權(quán)和審計等，即要實現(xiàn)AAA認(rèn)證體系的功能，實現(xiàn)對所有用戶進(jìn)行分 組，對用戶組進(jìn)行授權(quán)管理。在高安全的場所，當(dāng)用戶通過網(wǎng)閘進(jìn)行訪問時，首 先要進(jìn)行的身份認(rèn)證是非常必要的，認(rèn)證的方式可通過任何支持認(rèn)證的網(wǎng)頁瀏覽 器。身份認(rèn)證是基于密碼技術(shù)的，對管理員用戶名和口令在傳輸前進(jìn)行加密，并 對網(wǎng)閘和控制端之間傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密，這樣就可以有效防范數(shù)據(jù)在傳輸 過程中被竊聽或篡改。在用戶通過身份認(rèn)證之后，確定用戶所屬的用戶組，并根 據(jù)該用戶組所擁有的權(quán)限來進(jìn)行訪問控制，同時對用戶被授權(quán)后的所有訪問進(jìn)行 中網(wǎng)公司版權(quán)所有23地址：北京亞運村國際會議中心七層 電話：84979800 傳真：84991784系統(tǒng)配置外出訪問服務(wù)推出交換服務(wù)準(zhǔn)入交換服務(wù)審計管理認(rèn)證管理國ee;e:s:r.內(nèi)端認(rèn)證服務(wù)外端認(rèn)證服薈認(rèn)證規(guī)則認(rèn)證用戶管理屈主機安全文件(曰工具(!)幫助(to圖 1 27認(rèn)證管理記錄以實現(xiàn)審計。因此，這就可以避