網(wǎng)神SecSIS3600安全隔離和信息交換系統(tǒng)管理員手冊

...wd......wd......wd...網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)管理員手冊聲明本手冊所含內(nèi)容如有任何變動，恕不另行通知。在法律法規(guī)允許的最大范圍內(nèi)，網(wǎng)神信息技術(shù)(北京)股份除就本手冊和產(chǎn)品應(yīng)負的瑕疵擔保責(zé)任外，無論明示或默示，不作其他任何擔保，包括〔但不限于〕本手冊中推薦使用產(chǎn)品的適用性和安全性、產(chǎn)品的適銷性和適合某特定用途的擔保。在法律法規(guī)的最大允許范圍內(nèi)，網(wǎng)神信息技術(shù)(北京)股份對于您的使用或不能使用本產(chǎn)品而發(fā)生的任何損害〔包括，但不限于直接或間接的個人損害、商業(yè)利潤的損失、業(yè)務(wù)中斷、商業(yè)信息的遺失或任何其他損失〕，不負任何賠償責(zé)任。本手冊的信息受到版權(quán)保護，本手冊的任何局部未經(jīng)網(wǎng)神信息技術(shù)(北京)股份的事先書面許可，任何單位與個人不得以任何方式影印或復(fù)印。網(wǎng)神信息技術(shù)(北京)股份北京市海淀區(qū)上地開發(fā)區(qū)開拓路7號先鋒大廈前言感謝您使用網(wǎng)神信息技術(shù)(北京)股份的網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)，您能成為我們的用戶，是我們莫大的榮幸。為了使您盡快熟練地使用網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)，我們隨機配備了內(nèi)容詳細的管理員手冊。網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)必須通過管理主機對安全隔離與信息交換系統(tǒng)進展設(shè)置管理。這本手冊能幫助您更好地管理設(shè)置。希望用戶在遇到設(shè)置問題的時候能在手冊里得到幫助。我們對管理員手冊的編排力求內(nèi)容全面而又簡單易懂，從中您可以獲取有關(guān)安裝步驟、系統(tǒng)設(shè)置、基本操作、軟硬件使用方法以及安全本卷須知等各方面的知識。在第一次安裝和使用之前，請務(wù)必仔細閱讀所有資料，這會有助于您更好地使用本產(chǎn)品。這本手冊的讀者對象是網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)的管理員。在安裝安全隔離與信息交換系統(tǒng)之前及過程中，為更好地應(yīng)用與配置，同時防止可能出現(xiàn)的各類問題，請仔細閱讀本手冊。我們認為手冊中所提供的信息是正確可靠的，請盡量防止人為的失誤。謝謝您的合作！網(wǎng)神信息技術(shù)(北京)股份安全使用本卷須知本章列出的安全使用本卷須知，請仔細閱讀并在使用網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)過程中嚴格執(zhí)行。這將有助于更好地使用和維護您的安全隔離與信息交換系統(tǒng)。安全隔離與信息交換系統(tǒng)應(yīng)用環(huán)境為溫度10℃~35℃和濕度40%~80%；存儲環(huán)境為溫度0℃~采用交流220V電源。必須使用三芯帶接地保護的電源插頭和插座。良好的接地是您的安全隔離與信息交換系統(tǒng)正常工作的重要保證。對于安全隔離與信息交換系統(tǒng)來說，如果缺少接地保護線，在機箱的金屬背板上可能會出現(xiàn)感應(yīng)電壓。雖然不會對人體造成傷害，但在接觸時，可能會產(chǎn)生麻、痛等輕微觸電的感覺。另外，如果您擅自更換標準電源線，可能會帶來嚴重后果。特別提示：①遇到故障，請不要自行拆卸安全隔離與信息交換系統(tǒng)，建議與我們的技術(shù)支持人員〔免費咨詢：400-610-8220〕取得聯(lián)系，以獲得最正確解決方案。②安全隔離與信息交換系統(tǒng)的搬運應(yīng)注意：⑴本安全隔離與信息交換系統(tǒng)的搬運最好使用出廠原包裝。搬運之前請清點好所有部件和隨機附帶的資料。⑵最好將各個部件和隨機附帶的資料按出廠時的包裝復(fù)原。⑶安全隔離與信息交換系統(tǒng)不可帶電搬運，任何零部件不可帶電插拔，否則可能損壞安全隔離與信息交換系統(tǒng)。⑷將安全隔離與信息交換系統(tǒng)打包完成后，用膠帶封箱，即可搬運。安全隔離與信息交換系統(tǒng)搬運過程中，請不要劇烈碰撞和跌摔，不可雨淋。搬運過程請遠離強靜電，強磁場環(huán)境。正確標準的操作是安全的保證。目錄第一章準備工作111.1產(chǎn)品介紹111.2產(chǎn)品特點121.3產(chǎn)品功能12第二章登陸管理界面132.1Web管理132.2串口管理15第三章網(wǎng)絡(luò)配置173.1網(wǎng)絡(luò)配置183.2網(wǎng)絡(luò)地址183.3管理地址193.4路由配置203.5路由表213.6源地址路由223.7DNS配置233.8主機名配置243.9IPMAC綁定243.10IPMAC探測253.11雙機和負載263.11.1基本配置273.11.2虛擬地址283.11.3雙機檢測303.11.4負載服務(wù)303.11.5負載服務(wù)323.11.6啟動配置33第四章管理員配置344.1訪問控制344.2管理員組配置354.3組權(quán)限配置364.4管理員配置374.5登陸配置384.6安裝證書394.7更換證書394.8重啟管理服務(wù)40第五章文件交換405.1任務(wù)管理415.1.1添加任務(wù)415.1.2修改任務(wù)455.1.3刪除任務(wù)455.2文件名過濾455.3關(guān)鍵字過濾465.4類型過濾475.5修改smb口令48第六章數(shù)據(jù)庫同步496.1數(shù)據(jù)庫496.1.1數(shù)據(jù)庫配置496.1.2數(shù)據(jù)庫狀態(tài)516.1.3同步表配置516.1.4字段配置526.1.5數(shù)據(jù)庫信息536.2同步任務(wù)536.2.1添加任務(wù)536.2.2刪除任務(wù)566.2.3修改任務(wù)576.2.4任務(wù)信息576.3同步工具586.4啟動配置58第七章安全瀏覽597.1服務(wù)端607.1.1DNS配置607.1.2啟動配置617.2客戶端627.2.1基本配置627.2.2認證配置657.2.3訪問控制677.2.4域名訪問控制687.2.5MIME過濾697.2.6病毒檢測697.2.7啟動配置70第八章安全FTP718.1服務(wù)端718.1.1基本配置718.1.2啟動配置728.2客戶端738.2.1基本配置738.2.2用戶過濾758.2.3命令過濾768.2.4類型過濾768.2.5允許服務(wù)器788.2.6上傳文件名798.2.7下載文件名798.2.8訪問控制808.2.9重新定向818.2.10啟動配置82第九章FTP訪問829.1服務(wù)端839.2客戶端849.3訪問控制85第十章數(shù)據(jù)庫訪問8610.1ORACLE數(shù)據(jù)庫8610.1.1ORACLE數(shù)據(jù)庫服務(wù)端8610.1.2ORACLE客戶端8810.1.3用戶配置8910.1.4訪問控制9010.2SqlServer數(shù)據(jù)庫9110.2.1SqlServer服務(wù)端9110.2.2SqlServer客戶端9210.2.3sqlserver用戶配置9310.2.4sqlserver訪問規(guī)則9410.3Sysbase數(shù)據(jù)庫9510.3.1sysbase服務(wù)端9510.3.2Sysbase客戶端9610.3.2Sysbase訪問控制9710.4Mysql數(shù)據(jù)庫9810.4.1Mysql服務(wù)端9810.4.2Mysql客戶端9910.4.3Mysql訪問控制10010.5DB2數(shù)據(jù)庫10110.5.1DB2服務(wù)端10110.5.2DB2客戶端10210.5.3DB2訪問控制103第十一章郵件訪問10411.1SMTP服務(wù)端10511.2SMTP客戶端10611.3SMTP訪問控制10711.4POP3服務(wù)端10811.5POP3客戶端11011.6POP3訪問控制11111.7病毒檢測11211.8內(nèi)容過濾11211.8.1地址列表11311.8.2關(guān)鍵字11311.8.3附件114第十二章SSL通道11512.1服務(wù)端11512.1.1任務(wù)配置11612.1.2用戶管理11612.1.3用戶服務(wù)權(quán)限11712.1.4啟動配置11712.2客戶端11812.2.1基本配置11912.2.2更新證書11912.2.3啟動配置12012.2.4下載客戶端120第十三章SOCKS模塊12113.1服務(wù)端12113.1.1基本配置12113.1.2啟動配置12213.2客戶端12313.2.1基本配置12313.2.2認證配置12413.2.3訪問控制12513.2.3啟動配置126第十四章定制模塊12714.1TCP訪問12714.1.1TCP服務(wù)端12714.1.2TCP客戶端12814.1.3TCP訪問控制12914.2UDP訪問13114.2.1UDP服務(wù)端13114.2.2UDP客戶端13214.2.3UDP訪問控制13314.3組播13414.3.1組播服務(wù)端13414.3.2組播客戶端135第十五章告警中心135第十六章防護設(shè)置13616.1入侵檢測13716.1.1基本配置13716.1.2接口配置13716.1.3啟動配置13716.2抗攻擊配置13816.3ICMP應(yīng)答138第十七章工具箱13917.1許可證管理13917.1.1上傳許可證14017.1.2下載許可證14017.1.3硬件序列號14017.2配置管理14117.2.1導(dǎo)入配置14117.2.2導(dǎo)出配置14117.2.3恢復(fù)出廠配置14217.3SNMP配置14217.4SSH配置14317.5狀態(tài)日志配置14317.5.1基本配置14317.5.2啟動配置14517.6防病毒設(shè)置14517.6.1在線升級14617.6.2本地升級14617.6.3啟動配置14617.7系統(tǒng)時間14717.8同步時間14717.9修改口令14817.10系統(tǒng)升級14817.11補丁管理14817.12導(dǎo)出診斷信息14917.13網(wǎng)閘狀態(tài)檢測14917.14系統(tǒng)資源15017.15路由信息15017.16調(diào)試工具15117.17版本信息151第十八章關(guān)閉系統(tǒng)15218.1安全重啟15218.2安全關(guān)機152第十九章安全退出153概述隨著互聯(lián)網(wǎng)的開展，電子政務(wù)與企業(yè)信息化工作的展開，Web服務(wù)已經(jīng)成為互聯(lián)網(wǎng)上最流行的服務(wù)。政府與企業(yè)為了不斷的提升自己的對外服務(wù)質(zhì)量與內(nèi)部工作效率，正在紛紛建設(shè)自己的內(nèi)部的或與Internet相連接的Web服務(wù)系統(tǒng)。在提供Web服務(wù)的同時往往帶來黑客攻擊、非授權(quán)訪問等安全風(fēng)險，為了確保客戶資料等重要信息資源的安全性，通常將這些信息放在單獨的網(wǎng)絡(luò)上，該網(wǎng)絡(luò)并不與外部網(wǎng)絡(luò)直接相連接。文件服務(wù)是網(wǎng)絡(luò)上主機之間交流信息的一種非常普通的方式，但多個網(wǎng)絡(luò)之間的隔離卻文件交換又回到了最原始的方式，通過人為的干預(yù)來實現(xiàn)，定期將需要轉(zhuǎn)移的數(shù)據(jù)拷貝到軟盤等存儲介質(zhì)上，然后再將其復(fù)制到目標網(wǎng)絡(luò)中。而隨著電子政務(wù)、電子商務(wù)的開展，不同網(wǎng)絡(luò)間交換數(shù)據(jù)的數(shù)量和頻率呈幾何量級上升，網(wǎng)絡(luò)間文件傳輸導(dǎo)致給管理人員帶來了巨大的工作量，同時也帶來了網(wǎng)絡(luò)間信息流的遲滯，信息不能實現(xiàn)在網(wǎng)絡(luò)間及時的共享。這種原始的解決方案已經(jīng)越來越無法滿足用戶的需求。分析以上網(wǎng)上的多種不同應(yīng)用，信息的安全性保護需要重要信息保存在獨立的安全網(wǎng)絡(luò)上，同時網(wǎng)絡(luò)服務(wù)需要訪問不同網(wǎng)絡(luò)間的信息資源。針對網(wǎng)絡(luò)間的信息訪問需求，安全信息交換系統(tǒng)應(yīng)運而生。網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)是網(wǎng)神信息技術(shù)(北京)股份針對政府、企業(yè)等重要部門在多個網(wǎng)絡(luò)之間相互交流信息的要求，提出的面向各種不同應(yīng)用的網(wǎng)絡(luò)間信息交流方案。特別是對不同網(wǎng)絡(luò)互相之間物理隔離的情況下，實現(xiàn)信息的安全流轉(zhuǎn)而設(shè)計的整體解決方案。網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)是在物理隔離的根基上使用戶能夠更方便的進展信息交流系統(tǒng)，它的使用并不限于某一特定的行業(yè)或部門，其應(yīng)用對象非常廣泛，包括：政府部門、行政機關(guān)、事業(yè)機構(gòu)、企業(yè)單位、各類公司等。適合對象本手冊適用于負責(zé)支持、維護網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)的安全管理員，技術(shù)工程師，是對網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)進展配置管理時的必備手冊。適合產(chǎn)品本書適合網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)系列產(chǎn)品，以后簡稱"安全隔離網(wǎng)閘"。手冊內(nèi)容網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)是模塊化系統(tǒng)，不同的功能模塊對應(yīng)不同的應(yīng)用模塊，還包括管理系統(tǒng)常用的工具等功能。第一章準備工作：主要描述產(chǎn)品的特點及功能；第二章登陸管理界面：若何登陸管理界面的方法、界面的功能介紹；第三章網(wǎng)絡(luò)配置：主要配置系統(tǒng)的網(wǎng)絡(luò)、管理地址，路由信息等；第四章管理員配置：管理員源地址的訪問控制，權(quán)限分配，新增管理員及參數(shù)設(shè)置；第五章文件交換：實現(xiàn)將一側(cè)的文件擺渡到另一側(cè)的功能；第六章數(shù)據(jù)庫同步：實現(xiàn)將一側(cè)數(shù)據(jù)庫中的數(shù)據(jù)同步到另外一測；第七章安全瀏覽：上網(wǎng)瀏覽的具體配置；第八章安全FTP：提供對FTP服務(wù)器的安全防護第九章FTP訪問：FTP文件傳輸?shù)幕九渲?；第十章?shù)據(jù)庫訪問：提供對oracle、sql、DB2等數(shù)據(jù)庫的訪問控制第十一章郵件訪問：訪問郵件服務(wù)器的具體配置第十二章SSL通道：通過SSL通道訪問基于TCP的常服務(wù)，對傳輸數(shù)據(jù)進展加密第十三章SOCKS模塊：網(wǎng)閘提供SOCKS代理應(yīng)用第十四章定制模塊：標準TCP/UDP訪問的配置第十五章防護設(shè)置：防病毒、抗攻擊、入侵檢測等基本配置第十六章工具箱：系統(tǒng)許可證、配置管理、系統(tǒng)時間、修改口令，版本等信息的管理。第十七章關(guān)閉系統(tǒng)：關(guān)閉本側(cè)主機系統(tǒng)。第十八章安全退出：退出管理界面，切換到登陸界面。第一章準備工作1.1產(chǎn)品介紹網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)是網(wǎng)神信息技術(shù)(北京)股份利用自身的優(yōu)勢，結(jié)合國內(nèi)用戶的特點開發(fā)出來的具有自主版權(quán)的、符合我國安全政策的網(wǎng)絡(luò)安全產(chǎn)品。網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)是網(wǎng)神信息技術(shù)(北京)股份針對政府、企業(yè)等重要部門在多個網(wǎng)絡(luò)之間相互交流信息的要求，提出的面向各種不同應(yīng)用的網(wǎng)絡(luò)間信息交流方案。特別是對不同網(wǎng)絡(luò)互相之間物理隔離的情況下，開發(fā)出具有強大的信息內(nèi)容過濾、日志審計功能、網(wǎng)絡(luò)防病毒等多種安全策略綜合應(yīng)用的穩(wěn)定可靠的網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)，實現(xiàn)信息的安全流轉(zhuǎn)而設(shè)計的整體解決方案。網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)屬于網(wǎng)絡(luò)安全產(chǎn)品范疇，全部設(shè)置基于WEB界面，充分表達網(wǎng)神SecSIS3600合創(chuàng)網(wǎng)絡(luò)科技產(chǎn)品易用、好用的原則，可以為政府、軍隊、網(wǎng)站和企業(yè)級用戶提供方便、快速、靈活、穩(wěn)定的網(wǎng)絡(luò)安全解決方案，在保持原有的網(wǎng)絡(luò)架構(gòu)上輕松、快速地構(gòu)建自己的安全網(wǎng)絡(luò)或安全通道。1.2產(chǎn)品特點物理層安全隔離本系統(tǒng)遵循嚴格物理隔離的原則，采用雙主機加上專有隔離硬件的體系架構(gòu)，確保兩個網(wǎng)絡(luò)之間無物理層的直接連接，實現(xiàn)物理隔離。專有交換卡內(nèi)外主機系統(tǒng)中安全檢測與控制處理單元采用專有硬件交換電路設(shè)計的雙通道高速數(shù)據(jù)交換卡。數(shù)據(jù)交換卡具有獨立的硬件交換控制邏輯，無OS及任何“軟〞控制，自主完成數(shù)據(jù)的交換。協(xié)議阻斷在兩個主機系統(tǒng)之間采用專有協(xié)議，阻斷TCP/IP協(xié)議的連接。這樣基于操作系統(tǒng)的漏洞攻擊和網(wǎng)絡(luò)層協(xié)議的攻擊基本被杜絕或者只發(fā)生在主機系統(tǒng)一側(cè)，從而實現(xiàn)一種隔離交換的安全。1.3產(chǎn)品功能網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)根據(jù)不同的應(yīng)用需求，量身定制功能模塊，滿足用戶的不同應(yīng)用需求，主要包括：網(wǎng)絡(luò)配置：完成設(shè)備網(wǎng)絡(luò)參數(shù)的基本配置以及高可用性的配置管理員配置：管理員源地址的訪問控制，權(quán)限分配，新增管理員及參數(shù)設(shè)置。文件交換：實現(xiàn)將網(wǎng)閘一側(cè)的文件安全可控的擺渡到另外一側(cè)數(shù)據(jù)庫同步：實現(xiàn)將網(wǎng)閘一側(cè)數(shù)據(jù)庫中的數(shù)據(jù)擺渡到另一側(cè)的數(shù)據(jù)庫中安全瀏覽：在內(nèi)外網(wǎng)隔離環(huán)境下保證內(nèi)網(wǎng)用戶安全瀏覽外網(wǎng)資源。安全FTP：實現(xiàn)對FTP服務(wù)器的安全防護FTP訪問：在內(nèi)外網(wǎng)隔離環(huán)境下實現(xiàn)安全的FTP訪問。數(shù)據(jù)庫訪問：在內(nèi)外網(wǎng)隔離環(huán)境下實現(xiàn)安全的數(shù)據(jù)庫訪問。郵件訪問：在內(nèi)外網(wǎng)隔離環(huán)境下實現(xiàn)安全的郵件訪問。SSL通道：通過SSL通道訪問基于TCP的常服務(wù)，對傳輸數(shù)據(jù)進展加密。SOCKS模塊：網(wǎng)閘提供SOCKS代理應(yīng)用。定制模塊：在內(nèi)外網(wǎng)隔離環(huán)境下實現(xiàn)對所有的基于TCP/UDP服務(wù)的訪問。防護設(shè)置：用于配置設(shè)備是否進展入侵檢測、防病毒、抗攻擊等。工具性：系統(tǒng)許可證、配置管理、系統(tǒng)時間、修改口令，版本等信息的管理。第二章登陸管理界面網(wǎng)閘提供兩種管理方式，Web管理和串口管理，下面介紹登陸界面的操作和管理的菜單功能。網(wǎng)神安全隔離與信息交換系統(tǒng)使用了安全套接層〔SSL〕協(xié)議，在網(wǎng)神安全隔離與信息交換系統(tǒng)連接期間，所有的交換信息均被SSL加密，默認的訪問端口為443。2.1Web管理網(wǎng)閘分內(nèi)網(wǎng)管理和外網(wǎng)管理內(nèi)網(wǎng)默認管理地址為：s://外網(wǎng)默認管理地址為：s://默認管理用戶名：admin默認密碼：admin默認日志用戶名：auditor默認密碼：auditor用戶管理機地址設(shè)置與管理地址同一網(wǎng)段〔10.0.0.*/24〕，用穿插線與網(wǎng)閘的內(nèi)網(wǎng)管理口和外網(wǎng)管理口相連。管理機網(wǎng)卡設(shè)置(/)翻開IE瀏覽器，輸入s://(內(nèi)網(wǎng)為例)配置管理員：用戶名admin，密碼admin日志管理員：用戶名auditor，密碼auditor進入管理界面菜單區(qū)：系統(tǒng)的所有功能菜單，不同的功能對應(yīng)不同的菜單配置區(qū)：配置系統(tǒng)相關(guān)參數(shù)的區(qū)域系統(tǒng)信息：顯示系統(tǒng)在CPU、內(nèi)存、流量、IO等信息2.2串口管理基于串口連接，提供命令行方式的基本配置管理和災(zāi)難恢復(fù)功能，提供了管理的安全、方便與靈活性?？梢蕴峁┗謴?fù)出廠設(shè)置、關(guān)閉遠程管理等基本管理功能。配置終端參數(shù)：登陸用戶名為hawk，口令hawk。命令表如下：命令名稱描述|help幫助功能，列表所有串口命令Clear清屏Serviceweb<open|close>開啟和關(guān)閉web管理界面Servicessh<open|close>開啟和關(guān)閉ssh管理界面Configdefault恢復(fù)出廠配置Passwd修改串口口令Netcap<interface>[ip][port]抓包工具Ping<host>Ping測試Detect檢測對方主機Showcpu顯示cpu信息Showmemory顯示內(nèi)存信息Showdisk顯示存儲器信息Showproc顯示當前進程Showinterface顯示端口信息Showlink顯示連接信息Showgw顯示路由信息Showarp顯示arp表Showver顯示系統(tǒng)版本Quit|exit退出第三章網(wǎng)絡(luò)配置該模塊主要配置系統(tǒng)的相關(guān)網(wǎng)絡(luò)配置、網(wǎng)絡(luò)地址，管理地址，路由、DNS、主機名配置、雙機和負載及IPMAC地址的綁定功能。3.1網(wǎng)絡(luò)配置用于配置系統(tǒng)的網(wǎng)絡(luò)接口的屬性，包括net、bridge和bond三種模式。Net模式，網(wǎng)絡(luò)接口作為獨立網(wǎng)卡使用，可以直接連接相關(guān)網(wǎng)絡(luò)。Bridge模式，可以將多個網(wǎng)絡(luò)接口綁定成為一個橋來使用。Bond模式，可以將多個網(wǎng)絡(luò)接口綁定成為一個接口來使用，提供冗余負載功能。參數(shù)說明參數(shù)名稱描述備注網(wǎng)絡(luò)設(shè)備選擇配置的網(wǎng)絡(luò)接口〔net1，net2，net3,net4〕網(wǎng)絡(luò)接口顯示net1……與面板絲印一致屬性可選net模式、bridge模式或bond模式Bridge模式支持最多兩個橋Bond模式最多支持兩個bond口確定提交配置3.2網(wǎng)絡(luò)地址用于配置系統(tǒng)的網(wǎng)絡(luò)地址參數(shù)說明參數(shù)名稱描述備注網(wǎng)絡(luò)設(shè)備選擇配置的網(wǎng)絡(luò)接口可選接口包括所有net模式的接口以及brige1和bridge2、bond0和bond1IP地址網(wǎng)絡(luò)接口的IP地址可在一個網(wǎng)絡(luò)接口上配置多個IP地址，每個接口最多支持配置255個地址子網(wǎng)掩碼網(wǎng)絡(luò)接口的子網(wǎng)掩碼MTU可以修改網(wǎng)絡(luò)口接口的MTU值刪除刪除現(xiàn)有的IP地址配置增加增加新的網(wǎng)絡(luò)地址確定提交配置配置說明：增加網(wǎng)絡(luò)地址，點擊【增加】，選擇網(wǎng)絡(luò)設(shè)備net2，IP地址：，子網(wǎng)掩碼：，點擊【確定】，增加地址成功。修改網(wǎng)絡(luò)地址，修改的IP地址為，點擊【確定】，修改地址成功。刪除網(wǎng)絡(luò)地址，標記要刪除的IP地址，點擊【確定】，刪除地址成功。3.3管理地址用于配置系統(tǒng)的管理地址參數(shù)說明參數(shù)名稱描述備注網(wǎng)絡(luò)設(shè)備默認為manage，不可更改IP地址管理接口的IP地址管理地址不能與網(wǎng)絡(luò)口地址為同一網(wǎng)段子網(wǎng)掩碼管理接口的子網(wǎng)掩碼MTU可以修改管理口的MTU值確定提交配置配置說明：修改管理地址，修改管理地址為6，在原地址上修改地址為6，子網(wǎng)掩碼：，點擊【確定】，修改地址成功。注意：管理地址不能與網(wǎng)絡(luò)口地址為同一網(wǎng)段。3.4路由配置用于配置系統(tǒng)不同接口到不同網(wǎng)絡(luò)的路由信息參數(shù)說明參數(shù)名稱描述目標網(wǎng)段網(wǎng)絡(luò)要到達目標網(wǎng)段子網(wǎng)掩碼網(wǎng)絡(luò)要到達目標網(wǎng)段的子網(wǎng)掩碼網(wǎng)關(guān)地址網(wǎng)絡(luò)要到達目標網(wǎng)段的下一跳址新增網(wǎng)關(guān)地址與接口設(shè)備地址是同一網(wǎng)段。接口設(shè)備網(wǎng)絡(luò)路由使用的接口設(shè)備新增網(wǎng)關(guān)地址與接口設(shè)備地址是同一網(wǎng)段。刪除刪除對應(yīng)路由配置增加增加新的網(wǎng)絡(luò)地址確定提交配置配置說明：增加默認路由，點擊【增加】，目標網(wǎng)段，子網(wǎng)掩碼，網(wǎng)關(guān)地址，接口設(shè)備net1，點擊【確定】，增加路由成功。增加目的網(wǎng)絡(luò)的路由，點擊【增加】，目標網(wǎng)段，子網(wǎng)掩碼，網(wǎng)關(guān)地址，接口設(shè)備net2，點擊【確定】，增加路由成功。刪除路由，標記要刪除的到網(wǎng)段路由，點擊【確定】，刪除路由成功。注意：新增到達目的網(wǎng)段路由的網(wǎng)關(guān)地址與接口設(shè)備必須是同一網(wǎng)段，如不是同一網(wǎng)段會添加失敗。3.5路由表 路由表配置項用于配置源IP路由選擇中的路由表，需要指定路由表ID號和下一路網(wǎng)關(guān)。WEB界面顯示如下：參數(shù)說明參數(shù)名稱描述路由表ID號路由表的標識ID號的范圍1-250，下一跳地址下一跳網(wǎng)關(guān)的IP地址刪除刪除路由表項增加增加路由表配置項確定確定配置配置說明：配置路由表，路由表ID號配置為1，下一跳地址配置為54；點擊“確定〞，配置成功；增加路由表配置，點擊“增加〞，路由表ID號配置為250，下一跳地址配置為54；點擊“確定〞，配置成功；刪除路由表配置，勾先ID號為1的路由表配置項后面的刪除選框，點擊“確定〞，刪除成功；3.6源地址路由 源地址路由配置項用于配置基于客戶端源IP地址的路由，需要指定真實客戶端地址，本地地址和路由表ID號。WEB界面顯示如下：參數(shù)說明參數(shù)名稱描述客戶端地址真實客戶端的IP地址本地IP網(wǎng)閘本地網(wǎng)口配置的地址路由表ID號“路由表〞中配置的路由表ID號，下拉列表可選擇刪除刪除指定“源地址路由〞配置增加增加相應(yīng)源地址路由配置確定確定配置參數(shù)配置說明：配置源地址路由，客戶端地址4，本地地址4，路由表ID號1，點擊“確定〞，配置成功；增加源地址路由，客戶端地址00，本地地址4，路由表ID號250，點擊“確定〞，配置成功；刪除源地址路由，勾先4規(guī)則后面的刪除選框，點擊“確定〞，刪除成功；3.7DNS配置用于配置系統(tǒng)的DNS參數(shù)說明參數(shù)名稱描述備注IP地址DNS地址，最多可添加3個DNS刪除刪除對應(yīng)DNS配置增加增加新的DNS確定提交配置配置說明：新增DNS，點擊【增加】，IP地址0，點擊【確定】，增加成功。修改DNS，修改DNS為0，在原DNS0上修改地址為0，點擊【確定】，修改成功。刪除DNS，標記要刪除的DNS0，點擊【確定】，刪除成功。3.8主機名配置 用于配置網(wǎng)閘系統(tǒng)的主機名，重啟設(shè)備才能生效。注：內(nèi)網(wǎng)默認主機名為Inside，外網(wǎng)默認主機名為Outside。3.9IPMAC綁定 用戶手工綁定相關(guān)機器的IP地址和MAC地址，防止IP地址和MAC地址非法篡改。參數(shù)說明參數(shù)名稱描述備注默認允許所有使用系統(tǒng)應(yīng)用的機器都允許使用本系統(tǒng)，沒有限制配置默認允許，所有地將都將能夠訪問默認制止只有符合下面IP/MAC配置才可以使用本系統(tǒng)請選擇綁定管理主機的IP/MAC，否則網(wǎng)閘就無法管理。IP地址計算機的IP地址IP/MAC綁定以后，只有兩個完全對應(yīng)，該用戶方可訪問，修改IP地址和MAC地址都會影響使用MAC地址計算機IP地址對應(yīng)的MAC地址，格式：00:00:00:00:00:00刪除刪除配置增加增加配置確定提交配置配置說明：新增綁定，點擊【增加】，默認制止，IP地址，MAC地址00:0A:E4:3F:A1:38，點擊【確定】，增加成功。修改綁定，修改MAC為00:0A:E4:3F:A1:38，在原上修改IP地址為，點擊【確定】，修改成功。刪除綁定，標記要刪除的，點擊【確定】，刪除成功。3.10IPMAC探測 系統(tǒng)自動探測相關(guān)機器的IP地址和MAC地址，選擇綁定的機器IP和MAC，防止IP地址和MAC地址非法篡改。參數(shù)說明參數(shù)名稱描述備注默認允許所有使用系統(tǒng)應(yīng)用的機器都允許使用本系統(tǒng)，沒有限制選擇默認允許，所有地址都將能夠訪問默認制止只有符合下面IP/MAC配置才可以使用本系統(tǒng)IP地址計算機的IP地址IP/MAC綁定以后，只有兩個都符合是，該用戶方可訪問，修改IP地址和MAC地址都會影響使用MAC地址計算機IP地址對應(yīng)的MAC地址，格式：00:00:00:00:00:00綁定綁定IP和對應(yīng)的MAC地址增加增加配置確定提交配置配置說明：綁定，標記要綁定的IP和對應(yīng)MAC，點擊【確定】，綁定成功新增綁定，點擊【增加】，默認制止，IP地址，MAC地址00:0A:E4:3F:A1:38，點擊【確定】，增加成功。修改綁定，修改MAC為00:0A:E4:3F:A1:38，在原上修改IP地址為，點擊【確定】，修改成功。3.11雙機和負載 提供雙機熱備和負載均衡等高可用性服務(wù)。配置包括：基本配置、虛擬地址、雙機檢測、負載服務(wù)、負載信息和啟動配置。3.11.1基本配置用于配置雙機和負載服務(wù)的基本配置信息。參數(shù)說明參數(shù)名稱描述備注本機標識表示本機在HA服務(wù)中的名稱參與HA服務(wù)的所有主機，包括內(nèi)網(wǎng)和外網(wǎng)，標識都不可以重復(fù)狀態(tài)設(shè)置配置當前主機的工作狀態(tài)該狀態(tài)為設(shè)備初始工作狀態(tài)，在一個HA服務(wù)組中，不要出現(xiàn)多個主設(shè)備當前狀態(tài)顯示設(shè)備當前工作狀態(tài)設(shè)備優(yōu)先級同一個HA服務(wù)組中，不同設(shè)備工作的優(yōu)先級直接關(guān)系到主備切換的順序，取值范圍：1-255，數(shù)值越大優(yōu)先級越高，不同級別之間以50為一個級別跨度，默認值為101是否郵件通知配置是否需要在狀態(tài)變化是進展郵件通知郵件服務(wù)器地址發(fā)送郵件通知所使用的郵件服務(wù)器地址只支持IP方式，不支持域名接收郵件地址發(fā)送郵件通知的目的地址郵件源址通知郵件中顯示的發(fā)送源地址確定提交配置配置說明：本機標識，本機主閘或備閘的標示，例如主閘內(nèi)網(wǎng)：min，主閘外網(wǎng)：mout狀態(tài)設(shè)置，設(shè)置本機的狀態(tài)標識設(shè)備優(yōu)先級，添加150，主閘的必須比備閘的優(yōu)先級大50的倍數(shù)新增綁定，點擊【確定】，增加成功。3.11.2虛擬地址 配置對外提供服務(wù)的虛擬IP地址。點擊虛擬地址菜單，首先要選擇該虛擬地址屬于哪個網(wǎng)絡(luò)設(shè)備，點擊選定的網(wǎng)絡(luò)設(shè)備的下一步，配置虛擬IP地址。參數(shù)說明參數(shù)名稱描述備注網(wǎng)絡(luò)設(shè)備名顯示上一步選擇的網(wǎng)絡(luò)設(shè)備名稱該名稱不可更改虛擬路由標識同一個HA服務(wù)組的標識有效數(shù)字，取值范圍：1-999，同一個HA服務(wù)組的表示必須一樣，不同的組不可以一樣。內(nèi)網(wǎng)默認值為101，外網(wǎng)默認值為201虛擬IP配置配置虛擬IP地址該地址可以為任何方案對外提供服務(wù)的IP地址，該地址不會和實際網(wǎng)絡(luò)地址沖突刪除刪除選定配置增加增加新的虛擬地址確定提交配置配置說明：增加虛擬IP地址，點擊【增加】，虛擬IP地址：，子網(wǎng)掩碼：點擊【確定】，增加地址成功。刪除虛擬IP地址，選中【刪除】，點擊【確定】，刪除虛擬IP地址成功。3.11.3雙機檢測配置雙機切換的檢測條件，除了默認切換條件外還額外提供ping測試和TCP 連接測試。默認切換條件為宕機、網(wǎng)絡(luò)接口狀態(tài)變化、交換模塊通訊失敗等。參數(shù)說明參數(shù)名稱描述備注檢測方式提供ping測試和TCP連接測試該名稱不可更改配置配置進展測試的IP地址、端口和超時時間要求確保測試IP地址或者服務(wù)端口可以作為網(wǎng)絡(luò)故障的判斷依據(jù)確定提交配置配置說明：Ping檢測，添加允許ping的IP地址〔54〕超時時間10秒TCP連接檢測，添加遠端IP地址〔54〕，服務(wù)端口號〔80〕，超時時間6秒，點擊【確定】，檢測條件添加成功。3.11.4負載服務(wù) 配置需要進展負載的虛擬服務(wù)以及分擔負載的實際服務(wù)器地址。 配置虛擬服務(wù)器，確定在指定虛擬地址上面需要進展負載的服務(wù)端口。參數(shù)說明參數(shù)名稱描述備注虛擬IP地址選擇參與負載分擔的虛擬服務(wù)地址該地址需要作為實際訪問任務(wù)重的監(jiān)聽地址端口配置進展負載分擔的服務(wù)端口該端口需要作為實際訪問任務(wù)重的監(jiān)聽端口協(xié)議選擇進展負載分擔的協(xié)議可以選擇TCP/UDP協(xié)議刪除刪除制定策略增加增加新的策略確定提交配置配置分擔該虛擬服務(wù)的實際服務(wù)器地址。參數(shù)說明參數(shù)名稱描述備注IP地址實際分擔指定虛擬服務(wù)的負載的設(shè)備網(wǎng)絡(luò)地址該地址為實際綁定虛擬地址的網(wǎng)絡(luò)接口地址，最多支持32臺設(shè)備負載刪除刪除該負載實際服務(wù)器增加增加新的負載實際服務(wù)器確定提交配置配置說明：配置提供服務(wù)的虛擬IP地址和端口號及協(xié)議類型，添加虛擬IP地址端口10000協(xié)議為TCP，點擊【確定】，提交成功。刪除虛擬IP地址協(xié)議TCP，選中【刪除】，點擊【確定】，刪除成功。添加實際服務(wù)器地址。點擊【增加】，服務(wù)器地址：5，點擊【確定】，提交成功。刪除實際服務(wù)器地址，刪除服務(wù)器地址5，選中【刪除】，點擊【確定】，刪除成功。3.11.5負載服務(wù)顯示負載運行狀態(tài)，提供伏在協(xié)議，負載虛擬地址、負載實際地址和負載連接數(shù)的顯示。參數(shù)說明參數(shù)名稱描述備注協(xié)議顯示當前負載的協(xié)議地址：端口顯示當前負載的虛擬地址和實際地址每一組虛擬地址和端口下跟著實際服務(wù)器地址和端口連接數(shù)顯示連接總數(shù)和各實際服務(wù)器分擔的連接數(shù)3.11.6啟動配置參數(shù)說明參數(shù)名稱描述備注系統(tǒng)啟動時加載配置在系統(tǒng)啟動時即啟動雙機和負載模塊，電源重新啟動設(shè)備時，此模塊會一起啟動服務(wù)保存配置保存系統(tǒng)啟動時加載的選項重啟服務(wù)在界面中重新啟動該服務(wù)啟動服務(wù)在界面中啟動該服務(wù)停頓服務(wù)在界面中停頓該服務(wù)配置說明：選擇系統(tǒng)啟動時加載該服務(wù)，點擊【保存配置】，該服務(wù)將在下次啟動時自動啟動。點擊【啟動服務(wù)】，可以即時啟動該服務(wù)。點擊【停頓服務(wù)】，可以即時停頓該服務(wù)。點擊【重啟服務(wù)】，可以即時重新啟動該服務(wù)，并加載新的配置項。第四章管理員配置 可以配置管理員源地址的訪問控制，不同管理員組的權(quán)限分配，新增不同權(quán)限的管理員及參數(shù)設(shè)置。4.1訪問控制用于控制管理系統(tǒng)的管理機的源IP地址是否允許或制止管理系統(tǒng)，使系統(tǒng)的管理是安全可控的。參數(shù)說明參數(shù)名稱描述備注默認允許除了配置的策略以外的其它地址為允許默認制止除了配置的策略以外的其他地址為制止客戶端地址管理主機的IP地址客戶端端口管理主機連接收理系統(tǒng)使用的端口允許/制止控制管理主機是否可以訪問系統(tǒng)刪除刪除配置增加增加配置確定提交配置配置說明：新增訪問控制，點擊【增加】，默認制止，客戶端地址，客戶端端口any，allow，點擊【確定】，增加成功，只有地址為，的才可以訪問系統(tǒng)修改訪問控制，修改客戶端地址為，客戶端端口any，deny，點擊【確定】，修改成功，不能訪問系統(tǒng)，只有的可以訪問系統(tǒng)刪除配置，標記要刪除的，點擊【確定】，刪除成功。4.2管理員組配置用戶新的管理權(quán)限，新增不同的管理員組。參數(shù)說明參數(shù)名稱描述備注用戶組編碼標示用戶組的編碼，必須是3位有效數(shù)字取值范圍：1到999，不可以與默認組編碼重復(fù)用戶組名稱用戶組名稱可以使用字母和數(shù)字組合，長度小于20個字符增加增加配置確定提交配置配置說明：新增配置，點擊【增加】，用戶組編碼800，用戶組名稱“技術(shù)部〞，點擊【確定】，增加成功。刪除配置，標記要刪除的用戶組編碼800，點擊【確定】，刪除成功。4.3組權(quán)限配置設(shè)置不同管理員組擁有不同的管理系統(tǒng)的權(quán)限“技術(shù)部〞管理權(quán)限分配配置說明：新增配置，點擊“技術(shù)部〞，選擇要分配的菜單，點擊【提交】，增加成功。修改配置，點擊“技術(shù)部〞，修改要分配的菜單，點擊【提交】，修改成功。注意：必須先選擇主菜單，再選擇相對應(yīng)的子菜單才生效。4.4管理員配置 根據(jù)不同用戶使用系統(tǒng)的權(quán)限，配置不同用戶的用戶屬于不同的用戶組。參數(shù)說明參數(shù)名稱描述備注角色名稱選擇不同的用戶組可選擇的用戶組包括默認用戶組admin和auditor組以及自行配制的用戶組管理員賬號設(shè)置管理員可以使用字母和數(shù)字組合，長度小于20個字符管理員口令設(shè)置管理員的口令可以使用字母和數(shù)字組合，長度小于20個字符刪除刪除配置增加增加配置確定提交配置配置說明：新增配置，點擊【增加】，角色為“技術(shù)部〞，管理員賬號test，管理員口令test，點擊【確定】，增加成功。管理賬號只支持小寫字母組合。4.5登陸配置參數(shù)說明參數(shù)名稱描述備注使用管理員證書認證配置是否啟動管理員證書認證重啟服務(wù)才生效允許登陸失敗的次數(shù)允許用戶登陸的次數(shù)，超過次數(shù)則鎖定用戶出于安全設(shè)備最小反響的考慮，用戶登錄失敗和鎖定，不做任何提示，取值范圍：1-10超時時間當用戶沒有任何操作的超時時間，超時則需重新登陸單位為秒，取值范圍：60-3600秒鎖定時間用戶超出登錄失敗次數(shù)后，系統(tǒng)鎖定該用戶的時間單位為秒，取值范圍：60-3600秒確定提交配置4.6安裝證書參數(shù)說明參數(shù)名稱描述備注安裝根證書下載并安裝根證書兩個證書必須同時安裝安裝管理員證書現(xiàn)在和安裝管理員證書4.7更換證書參數(shù)說明參數(shù)名稱描述備注更新證書文件可以更新系統(tǒng)證書文件4.8重啟管理服務(wù)參數(shù)說明參數(shù)名稱描述備注重新啟動web管理程序重啟web管理服務(wù)配置管理證書后必須重啟管理服務(wù)第五章文件交換通過網(wǎng)閘自身提供共享空間或使用外部共享空間的方式，實現(xiàn)將內(nèi)網(wǎng)的文件擺渡到外網(wǎng)的功能。文件交換模塊提供獨立任務(wù)運行、是否同步子目錄、是否同步二進制文件、承受目錄大小、接收文件數(shù)量、文件大小和修改時間等限制條件；提供文件名和擴展名關(guān)鍵字過濾以及文件內(nèi)容關(guān)鍵字過濾等過濾條件；支持傳輸方向可控制，提供完全一致、完全復(fù)制、源端刪除等多種傳輸方式。5.1任務(wù)管理配置和管理文件同步任務(wù)，所有文件同步任務(wù)可以獨立運行和配置。同一個文件交換任務(wù)內(nèi)外網(wǎng)任務(wù)號必須一致，配置策略應(yīng)該一致，如果不一致，日志會報錯。5.1.1添加任務(wù)新建和配置新的文件交換任務(wù)，可以配置該任務(wù)的同步方式和同步策略等。參數(shù)說明參數(shù)名稱描述備注任務(wù)號文件同步任務(wù)的編號同一個任務(wù)兩側(cè)任務(wù)號必須一樣同步目錄需要進展同步操作的目錄該固定目錄路徑為/mnt/ram,不和更改，默認目錄為sand1、send2、recv1、recv2、date等四個，需要新目錄可以界面配置，后臺會自動生成目錄類型用戶選擇使用本地共享目錄還是外部共享目錄本地共享目錄是在網(wǎng)閘內(nèi)部的空間，相對較小；外部共享目錄為用戶文件服務(wù)器的共享空間文件共享IP地址提供外部共享空間的文件服務(wù)器地址選擇外部共享目錄的服務(wù)器的IP地址文件共享目錄提供外部共享空間的文件服務(wù)器的文件夾共享名選擇外部共享目錄的出現(xiàn)文件共享用戶名提供外部共享空間的文件服務(wù)器的用戶名選擇外部共享目錄的出現(xiàn)文件共享密碼提供外部共享空間的文件服務(wù)器的密碼選擇外部共享目錄的出現(xiàn)是否運行該任務(wù)是否運行傳輸方向 雙向同步〔內(nèi)〕--文件雙向傳輸，保持兩側(cè)文件一致，初試運行時以內(nèi)網(wǎng)為準 雙向同步〔外〕--文件雙向傳輸，保持兩側(cè)文件一致，初試運行時以外網(wǎng)為準 內(nèi)網(wǎng)同步到外網(wǎng)—將內(nèi)網(wǎng)文件傳輸?shù)酵饩W(wǎng) 外網(wǎng)同步到內(nèi)網(wǎng)—將外網(wǎng)文件傳輸?shù)絻?nèi)網(wǎng)所謂一那一側(cè)為準，只是確定在任務(wù)剛剛開場運行時一那一邊的內(nèi)容為準。工作模式 完全一致：保持兩側(cè)完全一致，關(guān)注目的端文件，保持目的與源端一致 完全復(fù)制：將一側(cè)的文件復(fù)制到另外一側(cè)，不關(guān)注目的端的文件首次復(fù)制+新增：首次采用完全復(fù)制方式，以后只同步新增，修改的文件 源端移動：當文件傳輸完畢后，源端的文件將預(yù)定到指定位置 源端刪除：當文件傳輸完畢后，遠端文件將被刪除完全一致方式，對于目的目錄內(nèi)的變化也進展監(jiān)控，如果雙向傳輸，會將這一變化同步到源端；如果單向傳輸，會將這一變化恢復(fù)到變化前。復(fù)制方式，只有單向傳輸有效。移動目錄當配置為遠端移動時，制定移動目錄只有采用源端移動是有效可選項配置高級的控制功能可以選擇配置暫緩傳輸文件配置在文件傳輸過程中，制定某類文件暫時不進展傳輸，可以選擇指定前綴的文件、指定后綴的文件、指定文件名的文件或者指定目錄的文件。子目錄同步是否包含子目錄掃描病毒是否對同步的文件進展病毒掃描默認掃描文件的最大長度為1M，但可配置二進制文件是否同步二進制文件承受空間限制即目的端文件存儲的最大值，當目的端存儲文件總大小大于該數(shù)值，將停頓傳輸承受文件數(shù)目限制目的端文件數(shù)量的最大值，當目的端存儲文件數(shù)量大于該數(shù)值，將停頓傳輸循環(huán)周期文件傳輸?shù)闹芷?，單位為秒，不填為默認1秒運行時間為文件傳輸開場時間，不填為當前立即開場源文件大小限制限制傳輸文件的大小源文件修改時間限制限制傳輸文件的修改時間斷點續(xù)傳是否允許斷點續(xù)傳傳送優(yōu)先級方式不排序：默認不對同步的文件排序；小文件優(yōu)先：按文件大小從小到大的順序同步文件；大文件優(yōu)先：按文件大小從大到小的順序同步文件；指定后綴名文件優(yōu)先：可以再輸入框輸入優(yōu)先傳送的后綴名，出現(xiàn)在輸入框中的文件會先傳；指定后綴名方式的，如果配置成txt;exe;doc;pdf,這四種類型的文件會先同步，但這四種類型的文件沒有先后順序之說確定提交配置配置說明：點擊“文件交換〞→“任務(wù)管理〞→“添加任務(wù)〞，添加文件交換任務(wù)。填寫任務(wù)號，1-99之間的數(shù)字，同一條任務(wù)，兩側(cè)任務(wù)號應(yīng)該一致。填寫同步目錄，該目錄默認路徑為/usr/admin/，該路徑不用添加；該目錄應(yīng)該為已經(jīng)存在的目錄。默認存在五個共享目錄：send1、send2、recv1、recv2、data，新建目錄可以通過共享連接后，在以上5個目錄中添加；也可自行定義目錄名，系統(tǒng)自動創(chuàng)立。選擇目錄類型，可以選擇使用本地目錄即設(shè)備內(nèi)部共享空間或者外部目錄即系統(tǒng)外的共享空間。如果使用外部目錄需要進一步填寫提供外部共享目錄的主機地址、共享名、共享用戶和口令。選擇運行標記，如果不選擇運行，該任務(wù)不會啟用。選擇同步類型，目前提供雙向同步〔內(nèi)〕、雙向同步〔外〕、內(nèi)網(wǎng)同步到外網(wǎng)、外網(wǎng)同步到內(nèi)網(wǎng)四種同步方式。選擇工作模式，目前提供完全一致、完全復(fù)制、新增模式、準完全復(fù)制、源端移動、源端刪除等6種工作模式，不同模式以不同的同步類型相配合，不能配合的將不可以選擇使用。填寫移動目錄，只有在選擇源端移動時才有效。高級選項，以上配置已經(jīng)可以實現(xiàn)該任務(wù)正常運行，如果需要做深度檢查或者控制，請點擊“可選配置〞。配置子目錄是否傳輸，傳輸選擇“是〞，不傳輸選擇“否〞選擇二進制文件是否傳輸，傳輸選擇“是〞，不傳輸選擇“否〞配置暫緩文件傳輸，如果有文件不想進展實時傳輸，可以選擇使用暫緩文件傳輸功能，可以指定前綴、后綴或者文件名，指定的文件將不會被傳輸。通過配置承受空間大小限制，可以限制傳輸?shù)侥康亩说奈募目偞笮?。配置循環(huán)周期和運行時間，可以確定該任務(wù)運行時間。通過配置源文件大小限制，決定多大的文件可以傳輸。通過配置源文件修改時間限制，決定多新的文件可以傳輸。如果兩側(cè)配置不一致，以源端或者為主的一端配置為準。5.1.2修改任務(wù)修改已經(jīng)配置的任務(wù)，點擊修改配置即可。5.1.3刪除任務(wù)刪除已經(jīng)配置的文件交換任務(wù)，選擇刪除，點擊確定。5.2文件名過濾對要交換的文件進展文件名過濾，可以對全文件名過濾，包括文件名和擴展名。支持單個過濾，也支持通配符和正則表達式。參數(shù)說明參數(shù)名稱描述備注類型文件名過濾方式提供擴展名過濾、文件名過濾和正則表達式過濾內(nèi)容過濾的內(nèi)容支持字符、通配符和正則表達式允許/制止過濾動作刪除刪除該策略點擊刪除為全選增加增加新的策略確定提交配置配置說明：選擇文件名過濾方式，包括擴展名過濾、文件名過濾、和正則表達式過濾方式。文件名過濾包含文件全名。填寫過濾能容，更具選擇的過濾類型，填寫不同的過濾能容。選擇動作，滿足過濾條件的文件，允許還是制止通過文件交換。5.3關(guān)鍵字過濾對要交換的文本文件進展內(nèi)容過濾，支持單個關(guān)鍵字過濾，也支持通配符和正則表達式。參數(shù)說明參數(shù)名稱描述備注類型關(guān)鍵子過濾方式提供文件內(nèi)容和正則表達式過濾內(nèi)容過濾的內(nèi)容支持字符、通配符和正則表達式允許/制止過濾動作刪除刪除該策略點擊刪除為全選增加增加新的策略確定提交配置配置說明：選擇文件名過濾方式，包括文件內(nèi)容過濾、和正則表達式過濾方式。填寫過濾能容，更具選擇的過濾類型，填寫不同的過濾能容。選擇動作，滿足過濾條件的文件，允許還是制止通過文件交換。內(nèi)容過濾目前只支持對文本文件的過濾檢查。5.4類型過濾 類型過濾用于對特定文件的類型進展判斷，并根據(jù)配置的類型過濾規(guī)則允許或制止特定類型的文件通過，與文件的后綴名無關(guān)。WEB界面顯示如下：參數(shù)說明參數(shù)名稱描述備注默認允許默認情況下允許所有類型的文件可以在文件列表“允許〞處，取消某類型文件的“勾選〞狀態(tài)，以制止某種類型的文件，默認情況下為全部勾選狀態(tài)默認制止默認情況下制止所有的文件可以在文件列表“允許〞處，勾選某類型的文件，以允許某種類型的文件，默認情況下為全部勾選狀態(tài)類型名稱可以對某進展配置的文件類型的名稱，不于些列表中的文件只能通過默認允許、默認制止來控制類型描述文件類型的描述允許如果為勾選狀態(tài)，就是允許；如果為未勾選狀態(tài)，就是制止此處于默認允許、默認制止無關(guān)配置說明：勾選“默認允許〞，點擊“確定〞，此時所有類型的文件為全部允許；勾選“默認制止〞，點擊“確定〞，此時只能文件列表中的文件允許同步；勾選“默認制止〞，取消文件列表中所有文件的“勾選〞狀態(tài)，此時所有類型的文件全部制止同步；5.5修改smb口令支持修改網(wǎng)閘共享目錄的口令參數(shù)說明參數(shù)名稱描述備注新口令新的口令確認口令確認口令確定提交配置配置說明：可以修改SAMBA的的登陸口令。默認口令為123456，修改后的口令必須滿足安全強度要求。第六章數(shù)據(jù)庫同步該模塊提供內(nèi)、外網(wǎng)數(shù)據(jù)庫之間的數(shù)據(jù)同步功能。此模塊以網(wǎng)閘本身主動讀寫實現(xiàn)內(nèi)、外網(wǎng)數(shù)據(jù)庫之間的數(shù)據(jù)同步，無需任務(wù)第三方軟件支持；支持常用關(guān)系型數(shù)據(jù)庫數(shù)據(jù)交換。WEB界面導(dǎo)航菜單如下：6.1數(shù)據(jù)庫“數(shù)據(jù)庫〞局部主要提供數(shù)據(jù)庫配置、數(shù)據(jù)庫狀態(tài)、同步表配置、字段配置、數(shù)據(jù)庫信息等配置參數(shù)。6.1.1數(shù)據(jù)庫配置數(shù)據(jù)庫配置，用于配置源及目的數(shù)據(jù)庫連接信息。參數(shù)表參數(shù)名稱描述備注數(shù)據(jù)庫標識同步數(shù)據(jù)庫唯一標識數(shù)據(jù)庫名數(shù)據(jù)庫名IP地址數(shù)據(jù)庫服務(wù)器地址端口數(shù)據(jù)庫服務(wù)器端口類型數(shù)據(jù)庫類型用戶名數(shù)據(jù)庫登錄用戶名密碼數(shù)據(jù)庫登錄密碼位置數(shù)據(jù)庫服務(wù)相對網(wǎng)閘所在位置刪除刪除無效的數(shù)據(jù)庫連接信息增加增加新的數(shù)據(jù)庫信息確定提交配置配置說明：點擊“數(shù)據(jù)庫〞→“數(shù)據(jù)庫配置〞，添加數(shù)據(jù)庫連接信息數(shù)據(jù)庫標識，自定義，但須唯一。建議定義規(guī)則〔數(shù)據(jù)庫名_(IN|OUT)_[1-9]〕；數(shù)據(jù)庫名、IP地址、端口、類型、用戶名、密碼參數(shù)根據(jù)實際環(huán)境添加或選擇；位置，數(shù)據(jù)庫位置相對于網(wǎng)閘內(nèi)、外網(wǎng)而言。數(shù)據(jù)庫服務(wù)器在網(wǎng)閘內(nèi)網(wǎng)一側(cè)請選inside；反之選outside；刪除，選擇刪除，點擊【確定】可以刪除已經(jīng)配置的數(shù)據(jù)庫配置參數(shù)；增加，增加新的數(shù)據(jù)庫信息；確定，提交配置。6.1.2數(shù)據(jù)庫狀態(tài)數(shù)據(jù)庫狀態(tài)，用于測試所有數(shù)據(jù)庫配置信息的有效性。參數(shù)表參數(shù)名稱描述備注數(shù)據(jù)庫標識同步數(shù)據(jù)庫唯一標識連接測試結(jié)果連接信息提示根據(jù)提示信息做相應(yīng)操作配置說明：點擊“數(shù)據(jù)庫〞→“數(shù)據(jù)庫狀態(tài)〞，測試連接信息有效性；請不要屢次點擊，以便最快顯示測試信息；連接測試結(jié)果，如有錯誤提示，請根據(jù)提供做相應(yīng)修改；在使用數(shù)據(jù)庫狀態(tài)時，必須先啟動網(wǎng)閘外網(wǎng)數(shù)據(jù)庫模塊服務(wù)且保存自啟動。具體操作可參考6.3操作。6.1.3同步表配置同步表配置，用于自動獲取同步的表名。參數(shù)表參數(shù)名稱描述備注表名數(shù)據(jù)庫表名選擇選擇按鈕可多項選擇，點擊選擇可以實現(xiàn)全選功能確定提交配置配置說明：點擊“數(shù)據(jù)庫〞→“同步表配置〞，添加同步表名；點擊數(shù)據(jù)庫標識符，選擇所需要的同步表名，點擊確定提交。6.1.4字段配置 字段配置，用于自動獲取選定表構(gòu)造信息。參數(shù)表參數(shù)名稱描述備注字段名表字段名類型表字段類型長度表字段長度主鍵標記表字段是否為主鍵小數(shù)位數(shù)表字段準確度選擇選擇同步的表字段可多項選擇，點擊選擇可以實現(xiàn)全選功能確定提交配置配置說明：點擊“數(shù)據(jù)庫〞→“字段配置〞→“數(shù)據(jù)庫標識〞，添加表構(gòu)造‘點擊表名，獲取對應(yīng)表構(gòu)造，選擇同步字段，點擊確定提交；針對字段選擇，只選擇需要同步的字段。6.1.5數(shù)據(jù)庫信息 數(shù)據(jù)庫信息，用于檢查所需的同步表構(gòu)造信息。6.2同步任務(wù)“同步任務(wù)〞局部主要提供添加任務(wù)、刪除任務(wù)、修改任務(wù)、任務(wù)信息等配置參數(shù)。6.2.1添加任務(wù) 添加任務(wù)，用于添加同步表同步策略。參數(shù)表參數(shù)名稱描述備注數(shù)據(jù)庫數(shù)據(jù)庫標識表數(shù)據(jù)庫表名使用標記任務(wù)是否運行操作類型任務(wù)可選同步類型開場日期任務(wù)開場日期復(fù)制周期任務(wù)復(fù)制周期單位〔秒〕同步操作任務(wù)同步操作下一步選擇源表字段選擇源表對應(yīng)的目的表配置說明：點擊“數(shù)據(jù)庫〞→“同步任務(wù)〞→“添加任務(wù)〞；數(shù)據(jù)庫，選擇源數(shù)據(jù)庫；表，選擇源表名；使用標記，如果不選使用標記，則不啟動此任務(wù)；建議此選項必選；操作類型，包括周期復(fù)制、實時復(fù)制、增量更新三種同步方式；開場日期，只針對周期復(fù)制、實時復(fù)制有效，默認為啟動同步服務(wù)日期；開場時間，只針對周期復(fù)制、實時復(fù)制有效，默認為啟動同步服務(wù)時間；同步操作，只針對增量更新有效，主要針對特殊要求進展動過過濾；下一步，選擇同步的源表字段。選擇源表字段 選擇源表字段，用于選擇源同步表字段信息。參數(shù)表參數(shù)名稱描述備注字段名表字段名類型表字段類型長度表字段長度主鍵標記表字段是否為主鍵小數(shù)位數(shù)表字段準確度選擇選擇同步的表字段可多項選擇，點擊選擇可以實現(xiàn)全選功能下一步選擇目的數(shù)據(jù)庫及目的表名配置說明：點擊“數(shù)據(jù)庫〞→“同步任務(wù)〞→“添加任務(wù)〞，添加源表字段名；點擊下一步，獲取源表字段信息，選擇同步字段；點擊下一步，選擇目的數(shù)據(jù)庫及目的表名。選擇目的表 選擇目的表，用于添加源表對應(yīng)目的表，與6.2.1操作類似。參數(shù)表參數(shù)名稱描述備注數(shù)據(jù)庫數(shù)據(jù)庫標識目的表目的表名下一步選擇目的表字段配置說明：數(shù)據(jù)庫，選擇對應(yīng)目的數(shù)據(jù)庫；目的表，選擇對應(yīng)目的表名；點擊下一步，選擇目的數(shù)據(jù)庫及目的表名。選擇目的字段 選擇目的字段，用于選擇與源表對應(yīng)的目的字段。配置說明：源字段，有自動匹配及手動匹配兩種方式，默認為自動匹配；點擊確定，提交配置。操作信息操作信息，用于顯示提交成功、一對多表同步添加功能。參數(shù)表參數(shù)名稱描述備注繼續(xù)添加目的表。添加一個源表對應(yīng)多個目的表配置說明：繼續(xù)，點擊“繼續(xù)〞連接，添加多個對應(yīng)目的表；重復(fù)操作到操作即可。6.2.2刪除任務(wù) 刪除任務(wù)，選擇刪除標記，點擊確定；刪除已配置的同步任務(wù)。6.2.3修改任務(wù)“修改任務(wù)〞局部主要提供添加目的表、刪除目的表、修改任務(wù)等配置。添加目的表添加目的表，點擊繼續(xù)，再接到操作即可。刪除目的表刪除目的表，選擇刪除標記，點擊確定；刪除選定的目的表。點擊刪除標記可以實現(xiàn)全選。修改任務(wù)參數(shù)修改任務(wù)參數(shù)，主要用于調(diào)整周期復(fù)制、實時復(fù)制同步方式任務(wù)使用標記；修改使用標記，點擊確定提交。提供同步操作過濾，可以指定那些數(shù)據(jù)庫操作進展同步，選項包括：全部操作、只插入、只更新、只刪除、插入與更新、插入與刪除、更新與刪除。6.2.4任務(wù)信息 任務(wù)信息，用于檢查配置任務(wù)中源及目的表字段對應(yīng)關(guān)系。6.3同步工具提供數(shù)據(jù)庫初始化工具，可以消除對源數(shù)據(jù)庫和目的數(shù)據(jù)庫中已經(jīng)進展過的數(shù)據(jù)庫同步操作的影響。6.4啟動配置“啟動配置〞，用于配置數(shù)據(jù)庫同步模塊一側(cè)的啟動選項。參數(shù)說明參數(shù)名稱描述備注系統(tǒng)啟動時加載配置在系統(tǒng)啟動時即啟動數(shù)據(jù)庫同步模塊保存配置保存系統(tǒng)啟動時加載的選項重啟服務(wù)在界面中重新啟動該服務(wù)啟動服務(wù)在界面中啟動該服務(wù)停頓服務(wù)在界面中停頓該服務(wù)第七章安全瀏覽該模塊支持用戶通過瀏覽器訪問Internet，采用代理模式和透明模式，代理方式需要用戶客戶端配置代理服務(wù)器，代理服務(wù)器的地址和端口即網(wǎng)閘的地址和服務(wù)端口；透明方式不需要配置代理服務(wù)器，但是終端的網(wǎng)關(guān)要指向網(wǎng)閘。WEB界面導(dǎo)航菜單如下：7.1服務(wù)端"服務(wù)端"局部，用于配置安全瀏覽模塊連接服務(wù)器一側(cè)的DNS和啟動等參數(shù)。7.1.1DNS配置“DNS〞配置，用于配置安全瀏覽模塊服務(wù)端一側(cè)的DNS參數(shù)。參數(shù)說明參數(shù)名稱描述備注DNS地址專用于安全瀏覽模塊的DNS服務(wù)器地址可添加2個DNS刪除刪除現(xiàn)有的DNS地址配置可多項選擇確定提交配置配置說明：點擊“服務(wù)端〞→“DNS配置〞在DNS地址一欄填寫使用的DNS服務(wù)器的地址點擊【確定】提交配置選擇刪除，點擊【確定】可以刪除已經(jīng)配置的DNS參數(shù)DNS服務(wù)器地址為必填，如果沒有配置，用戶只能通過IP地址的方式訪問另一側(cè)的web服務(wù)。7.1.2啟動配置“啟動配置〞，用于配置安全瀏覽模塊服務(wù)端一側(cè)的啟動選項。參數(shù)說明參數(shù)名稱描述備注系統(tǒng)啟動時加載配置在系統(tǒng)啟動時即啟動安全瀏覽模塊如電源重新啟動設(shè)備時，此模塊會一起啟動服務(wù)保存配置保存系統(tǒng)啟動時加載的選項重啟服務(wù)在界面中重新啟動該服務(wù)啟動服務(wù)在界面中啟動該服務(wù)停頓服務(wù)在界面中停頓該服務(wù)配置說明：選擇系統(tǒng)啟動時加載該服務(wù)，點擊【保存配置】，該服務(wù)將在下次啟動時自動啟動。點擊【啟動服務(wù)】，可以即時啟動該服務(wù)。點擊【停頓服務(wù)】，可以即時停頓該服務(wù)。點擊【重啟服務(wù)】，可以即時重新啟動該服務(wù)，并加載新的配置項。7.2客戶端"客戶端"局部，用于配置安全瀏覽模塊連接客戶端一側(cè)的基本配置、認證配置、訪問控制、域名過濾、MIME過濾、啟動配置等參數(shù)。7.2.1基本配置“基本配置〞，用于配置安全瀏覽模塊客戶端一側(cè)提供服務(wù)的地址、端口；工作時間段；允許的方法，、s可訪問的端口；JavaApplet、ActiveX、Script等頁面內(nèi)容的過濾以及認證方式等參數(shù)的配置。參數(shù)說明參數(shù)名稱描述備注運行方式客戶通過何種方式使用該模塊，支持透明模式和代理模式透明模式，客戶機只需要指定網(wǎng)關(guān)和DNS就可以瀏覽上網(wǎng)，網(wǎng)關(guān)和DNS指向網(wǎng)閘口的地址。代理模式需要在IE瀏覽器中添加設(shè)置的代理服務(wù)地址和端口號即可上網(wǎng)瀏覽。本地地址該模塊提供服務(wù)的本地監(jiān)聽地址可以選擇指定地址，或者不選表示監(jiān)聽所有地址本地端口該模塊提供服務(wù)的本地監(jiān)聽端口代理服務(wù)器端口號，只能指定一個，常用80，8080，或與其他應(yīng)用沒有沖突的端口號。允許訪問的SSL端口允許通過模塊的SSL端口默認443允許訪問的端口允許通過該模塊訪問的端口默認為80，8080，可添加多個，例：7001，7002每個IP允許的有效連接數(shù)每個客戶機與服務(wù)器的有效連接數(shù)連接數(shù)為數(shù)字，不添加表示沒有限制工作時間端指出該條訪問控制規(guī)則在指定的時間段內(nèi)生效，其它時間內(nèi)為失效狀態(tài)。只能添加一個時間段，24小時時間制；時間段中間為英文中杠“-〞，例：12:01-17:30制止訪問的文件擴展名制止通過該模塊的訪問的文件的后綴名例如：jpg.html,wav.mp3允許使用的協(xié)議允許通過該模塊使用的協(xié)議類型制止使用的方法制止通過該模塊使用的方法獲取網(wǎng)頁一般使用的命令GET發(fā)布內(nèi)容是使用命令為POST允許斷點續(xù)傳是否允許斷點續(xù)傳，默認情況下允許JavaApplet程序是否過濾HTML頁面中的Activex控件ActiveX標簽是否制止加載Javaapplet小程序Script標簽是否過濾HTML頁面中的Javascript腳本認證方式用于管理使用認證的方式，包括"不認證"、"本地認證"、“LDAP〞、“Radius〞方式。需要和下面的各種認證功能配合使用。需要用戶有相關(guān)認證服務(wù)器支持確定提交配置配置說明：點擊“安全瀏覽〞→“客戶端〞→“基本配置〞選擇運行方式，目前提供透明方式和代理方式，用戶通過代理方式訪問另一側(cè)的web服務(wù)，需要在客戶機配置代理服務(wù)器；通過透明方式訪問，不需配置代理服務(wù)器，但是需要將網(wǎng)關(guān)指向網(wǎng)閘。選擇本地地址，下拉列表中為本地網(wǎng)絡(luò)口地址及所有別名，為空代表監(jiān)聽所有地址。填寫本地端口，指定客戶端配置代理服務(wù)器的代理端口，默認為8080。填寫允許通過s協(xié)議訪問的SSL端口，默認為443，多個端口可以通過“，〞隔開。填寫允許通過協(xié)議訪問的端口，默認為80和8080；多個端口通過“，〞隔開。填寫工作時間段，默認為全天00：00—23：59，只允許添加一個時間段。填寫制止訪問文件后綴，如配置：exe，則內(nèi)網(wǎng)用戶不能訪問含有exe后綴的文件。文件名后綴按exe或txt的方式輸入，多個后綴名通過“，〞隔開。選擇用戶使用該模塊訪問時，允許通過該模塊的協(xié)議，默認提供，s，ftp。勾選為允許使用，不勾選為制止使用。默認為全選，其中協(xié)議未必選。選擇用過戶通過該模塊訪問制止使用的方法，默認為全部允許，可以通過勾選來制止對應(yīng)的方法。選擇用戶使用該模塊式的認證方法，用于管理使用認證的方式，包括"本地認證"和"不認證"兩種方式。需要和下面的各種認證配置配合使用。點擊確認提交配置提交配置后需要重啟服務(wù)來加載新的配置7.2.2認證配置該局部用于所有與安全瀏覽中與用戶認證有關(guān)的配置，包括：本地用戶認證管理、radius認證管理、LDAP認證管理。 中選擇使用不認證時，界面如以以以下圖：當用戶在"認證方式"中選擇了"本地認證"時，可以在此處配置本地的用戶管理。參數(shù)說明參數(shù)名稱描述備注刪除刪除已配置的用戶名用戶名稱本地添加的用戶名英文、數(shù)字，最大長度為20個字符口令本地添加的口令英文、數(shù)字，最大長度為20個字符增加增加新的用戶確定提交配置當用戶在"認證方式"中選擇了"LDAP認證"時，可以在此處配置LDAP服務(wù)器。參數(shù)說明參數(shù)名稱描述備注本地地址LDAP服務(wù)器的地址本地端口LDAP服務(wù)器的端口默認為389LDAP基準DNLDAP服務(wù)器的DN不同的服務(wù)器DN也不一樣不同的服務(wù)器DN也不一樣認證LDAP的用戶名不同的服務(wù)器uid也不一樣確定提交配置當用戶在"認證方式"中選擇了"radius認證"時，可以在此處配置radius服務(wù)器。參數(shù)說明參數(shù)名稱描述備注Radius服務(wù)器地址服務(wù)器地址Radius服務(wù)器端口服務(wù)器端口默認為1812Radius服務(wù)器共享密鑰要實現(xiàn)認證服務(wù)器認證的密鑰確定提交配置7.2.3訪問控制該模塊用于配置不允許使用該模塊的內(nèi)網(wǎng)用戶的源地址。參數(shù)說明參數(shù)名稱描述備注默認允許除了配置的策略以外的其它地址為允許默認制止除了配置的策略以外的其他地址為制止客戶端地址訪問控制的客戶端地址any，單個地址，制定地址段客戶端端口訪問控制的客戶端端口格式：any或單一端口號或范圍1-65535允許/制止動作刪除刪除已有的控制策略點擊刪除為全選增加增加新的控制策略確定提交配置配置說明：點擊“安全瀏覽〞→“客戶端〞→“訪問控制〞，添加訪問控制策略如果采用黑名單方式，選擇默認允許。采用白名單方式，選擇默認制止。在客戶端地址中添加制止訪問的客戶端源IP或者網(wǎng)段，格式為IPADDESS/MASK。在客戶端端口中添加制止訪問的客戶端源端口，范圍0-65535。動作選擇allow或者deny，allows表示允許訪問，deny表示制止訪問。點擊【增加】，可以添加新的控制策略。點擊【確定】提交配置。7.2.4域名訪問控制該模塊用于對用戶訪問的域名進展黑白名單控制。參數(shù)說明參數(shù)名稱描述備注默認允許訪問任意域名除配置的規(guī)則外其他域名都允許默認制止訪問任意域名出配置的規(guī)則外其他域名都制止域名控制用戶訪問的域名，如配置：sina.cn。則控制用戶訪問sina.cn。域名前加“.〞表示控制該域名及其子域名，否則表示只控制該域名。比方：.sina.cn表示控制sina.cn的同時也控制了news.sina.cn,sports.sina.cn等等子域名。格式可以為域名全稱或模糊匹配允許/制止域名控制的動作刪除刪除已配置的域名過濾規(guī)則點擊刪除為全選增加增加新的域名過濾規(guī)則確定提交配置配置說明：設(shè)置完各配置項后，點擊【增加】，繼續(xù)添加；點擊【確定】，返回列表顯示界面，并刷新該界面。7.2.5MIME過濾該模塊用于配置用于過濾Internet上的各種MIME類型。配置說明：選中各個MIME類型前面的復(fù)選框，并點擊【確定】保存。則被選中的MIME類型會被過濾。7.2.6病毒檢測“病毒檢測〞用于對上網(wǎng)時傳輸?shù)臄?shù)據(jù)文件進展病毒掃描，提高上網(wǎng)時的安全性。參數(shù)說明參數(shù)名稱描述備注檢測病毒是否啟用病毒檢測功能檢測圖片文件是否對圖片格式的文件進展病毒檢測檢查媒體文件是否對媒體格式的文件進展病毒檢測檢測最大內(nèi)容長度可配置要檢測的最大文件大小超長內(nèi)容超過“檢測最大內(nèi)容長度〞的文件是拒絕還是接收確定提交配置7.2.7啟動配置“啟動配置〞，用于配置安全瀏覽模塊客戶端一側(cè)的啟動選項。參數(shù)說明參數(shù)名稱描述系統(tǒng)啟動時加載配置在系統(tǒng)啟動時即啟動安全瀏覽模塊保存配置保存系統(tǒng)啟動時加載的選項重啟服務(wù)在界面中重新啟動該服務(wù)啟動服務(wù)在界面中啟動該服務(wù)停頓服務(wù)在界面中停頓該服務(wù)配置說明：選擇系統(tǒng)啟動時加載該服務(wù)，點擊【保存配置】，該服務(wù)將在下次啟動時自動啟動。點擊【啟動服務(wù)】，可以即時啟動該服務(wù)。點擊【停頓服務(wù)】，可以即時停頓該服務(wù)。點擊【重啟服務(wù)】，可以即時重新啟動該服務(wù)，并加載新的配置項。第八章安全FTP安全FTP模塊提供內(nèi)、外網(wǎng)用戶實現(xiàn)內(nèi)外網(wǎng)之間的雙向的FTP訪問，即內(nèi)網(wǎng)用戶可通過安全隔離網(wǎng)閘訪問外網(wǎng)FTP服務(wù)器，外網(wǎng)用戶可通過安全隔離網(wǎng)閘訪問內(nèi)網(wǎng)FTP服務(wù)器，雙向的FTP訪問可同時進展。WEB界面導(dǎo)航菜單如下：8.1服務(wù)端“服務(wù)端〞局部，用于配置安全FTP訪問模塊服務(wù)器一側(cè)的下一跳地址及端口號等參數(shù)。8.1.1基本配置“基本配置〞局部，用于配置FTP訪問模塊服務(wù)器一側(cè)的下一跳地址及端口號。參數(shù)說明參數(shù)名稱描述備注下一跳IP地址如果還需要一級代理服務(wù)器轉(zhuǎn)發(fā)的話，添寫下一級的代理服務(wù)器地址無下一級代理服務(wù)器時不需要添加內(nèi)容下一跳端口號如果還需要一級代理服務(wù)器轉(zhuǎn)發(fā)的話，添寫下一級的代理服務(wù)器端口無下一級代理服務(wù)器時不需要添加內(nèi)容確定提交配置8.1.2啟動配置“啟動配置〞，用于配置ftp訪問模塊服務(wù)端一側(cè)的啟動選項。參數(shù)說明參數(shù)名稱描述系統(tǒng)啟動時加載配置在系統(tǒng)啟動時即啟動FTP服務(wù)端模塊保存配置保存系統(tǒng)啟動時加載的選項重啟服務(wù)在界面中重新啟動該服務(wù)啟動服務(wù)在界面中啟動該服務(wù)停頓服務(wù)在界面中停頓該服務(wù)配置說明：選擇系統(tǒng)啟動時加載該服務(wù)，點擊【保存配置】，該服務(wù)將在下次啟動時自動啟動。點擊【啟動服務(wù)】，可以即時啟動該服務(wù)。點擊【停頓服務(wù)】，可以即時停頓該服務(wù)。點擊【重啟服務(wù)】，可以即時重新啟動該服務(wù)，并加載新的配置項。8.2客戶端“客戶端〞局部，用于配置FTP訪問局部服務(wù)的地址、端口、轉(zhuǎn)換模式、是否允許中文文件名和是否允許小于1024端口的數(shù)據(jù)連接、允許或者制止的用戶名、命令、上傳或者下載的文件名、允許FTP服務(wù)器、訪問控制等參數(shù)。8.2.1基本配置“基本配置〞局部，用于配置FTP訪問局部服務(wù)的地址、端口、轉(zhuǎn)換模式、最大并發(fā)數(shù)、是否允許中文文件名和是否允許小于1024端口的數(shù)據(jù)連接等參數(shù)。參數(shù)說明參數(shù)名稱描述備注運行方式代理模式，透明模式，混合模式代理模式：用戶FTP客戶端需要設(shè)置代理服務(wù)地址和端口號，支持雙機負載透明模式：用戶可以直接訪問FTP服務(wù)器，支持雙機不支持負載混合模式：代理和透明模式的混合使用本地地址安全隔離網(wǎng)閘本地地址，F(xiàn)TP用戶訪問此地址以代替FTP服務(wù)器地址實現(xiàn)FTP訪問。默認配置為，表示所有可用的本機網(wǎng)絡(luò)接口IP地址，建議用戶使用默認值。代理服務(wù)器的服務(wù)地址必須為本地地址本地端口安全隔離網(wǎng)閘開放此端口監(jiān)聽FTP用戶的訪問請求。此端口不得與其他假設(shè)該端口已被本機其他服務(wù)占用，則安全隔離網(wǎng)閘FTP客戶端服務(wù)無法啟動。默認值為21。代理服務(wù)器端口號最大并發(fā)數(shù)安全隔離網(wǎng)閘支持的最大并發(fā)數(shù)取值范圍:1-5000單個IP最大并發(fā)數(shù)安全隔離網(wǎng)閘支持的單個IP最大并發(fā)數(shù)取值范圍:0-5000,0表示不限制允許數(shù)據(jù)通道端口號為1024以下當FTP客戶端采用非PASV方式訪問FTP服務(wù)器時，客戶端向服務(wù)器發(fā)送PORT口的數(shù)據(jù)連結(jié)命令請求服務(wù)器翻開到指定地址及端口的連接實現(xiàn)數(shù)據(jù)傳輸。為安全起見應(yīng)制止服務(wù)器連接客戶端小于1024的端口。選中標記表示允許PORT命令的端口范圍小于1024；不選中標記表示制止PORT命令的端口范圍大于1024。FTP服務(wù)器可能要求客戶端的PORT命令端口范圍必須大于1024。允許中文文件名選中該項，允許傳輸文件的文件名包括中文字符，否則制止文件名包括中文字符的文件通過安全隔離網(wǎng)閘傳輸。允許斷點續(xù)傳是否允許斷點續(xù)傳默認允許病毒掃描是否對傳輸?shù)奈募M展病毒掃描掃描文件大小對其進展病毒掃描的文件的大小大于些配置的不進展病毒掃描確定提交配置8.2.2用戶過濾 對通過安全隔離網(wǎng)閘進展FTP訪問用戶的用戶名進展控制，可以選擇設(shè)置僅允許以下用戶訪問或制止以下用戶訪問兩種控制模式。參數(shù)說明參數(shù)名稱描述備注僅允許以下用戶訪問允許下面用戶名列表中的用戶通過，制止其余用戶通過。如果為空，則允許所有用戶通過。用戶名最長50個字符制止一下用戶訪問制止下面用戶名列表中的用戶通過，允許其余用戶通過。如果為空，則允許所有用戶通過。增加增加一條控制策略確定提交配置8.2.3命令過濾 該模塊用于配置允許或制止FTP的協(xié)議命令。參數(shù)說明參數(shù)名稱描述備注允許選中此項，則允許右側(cè)對應(yīng)的命令。假設(shè)取消此項，則制止右側(cè)對應(yīng)的命令。命令顯示支持允許或者制止的FTP協(xié)議命令，此項無法修改。注釋中文解釋左側(cè)對應(yīng)的命令。確定提交配置8.2.4類型過濾 用于對上傳或下傳的文件的類型進展過濾，與文件名的后綴無關(guān)。WEB界面示意圖如下：參數(shù)說明參數(shù)名稱描述備注默認允許默認情況下允許所有類型的文件可以在文件列表“允許〞處，取消某類型文件的“勾選〞狀態(tài)，以制止某種類型的文件，默認情況下為全部勾選狀態(tài)默認制止默認情況下制止所有的文件可以在文件列表“允許〞處，勾選某類型的文件，以允許某種類型的文件，默認情況下為全部勾選狀態(tài)類型名稱可以對某進展配置的文件類型的名稱，不于些列表中的文件只能通過默認允許、默認制止來控制類型描述文件類型的描述允許如果為勾選狀態(tài)，就是允許；如果為未勾選狀態(tài)，就是制止此處于默認允許、默認制止無關(guān)配置說明：勾選“默認允許〞，點擊“確定〞，此時所有類型的文件為全部允許；勾選“默認制止〞，點擊“確定〞，此時只能文件列表中的文件允許上傳和下載；勾選“默認制止〞，取消文件列表中所有文件的“勾選〞狀態(tài)，此時所有類型的文件全部制止上傳和下載；8.2.5允許服務(wù)器 該模塊用于配置允許訪問的FTP服務(wù)器。參數(shù)說明參數(shù)名稱描述備注允許服務(wù)器地址允許服務(wù)器地址列表的服務(wù)器被訪問。如果允許服務(wù)器地址列表為空，則制止訪問所有服務(wù)器，包括本地監(jiān)聽地址。默認情況下，最少應(yīng)該填寫本地監(jiān)聽地址，如果使用透明方式或者重定向方式，應(yīng)該包括所有需要訪問的服務(wù)器地址增加增加一條控制策略確定提交配置配置說明：允許服務(wù)器的地址最少應(yīng)該包括基本配置中的所選定的本地地址。8.2.6上傳文件名 該模塊用于配置允許或制止的上傳文件名。參數(shù)說明參數(shù)名稱描述備注僅允許以下文件名允許文件名列表的文件上傳，制止其余文件上傳。如果文件名列表為空，則允許所有文件上傳。每一行為一個文件名例：txt制止以下文件名制止文件名列表的文件上傳，允許其余文件上傳。如果文件名列表為空，則允許所有文件上傳。增加增加一條控制策略確定提交配置8.2.7下載文件名該模塊用于配置允許或制止的下載文件名。參數(shù)說明參數(shù)名稱描述備注僅允許以下文件名允許文件名列表的文件下載，制止其余文件下載。如果文件名列表為空，則允許所有文件上傳。每一行為一個文件名例：txt制止以下文件名制止文件名列表的文件下載，允許其余文件下載。如果文件名列表為空，則允許所有文件下載。增加增加一條控制策略確定提交配置8.2.8訪問控制該模塊用于配置不允許使用該模塊的內(nèi)網(wǎng)用戶的源地址，WEB界面示意圖如下：參數(shù)說明參數(shù)名稱描述備注默認允許除了配置的策略以外的其它地址為允許默認制止除了配置的策略以外的其他地址為制止客戶端地址訪問控制的客戶端地址格式：any/24客戶端端口訪問控制的客戶端端口any，單端口，端口范圍〔1025：65535〕允許/制止動作刪除刪除已有的控制策略增加增加新的控制策略確定提交配置配置說明：點擊“安全FTP〞→“客戶端〞→“訪問控制〞，添加訪問控制策略如果采用黑名單方式，選擇默認允許。采用白名單方式，選擇默認制止。在客