SANGFOR光闸硬件设备可能会因为不同的型号拥有不同的网络接口数,上层接口为内网接口,连接到内网;下层接口为外网接口,连接到外网。其中上层接口中标记MAN(管理口)、HA(热备口)、ETH1、ETH2、ETH3、ETH4等为通信口,CONSOLE为后台控制口;下层接口中标记MAN(管理口)、HA(热备口)、NET1、NET2、NET3、NET4等为通信口,CONSOLE为后台控制口。
发送端(外网面板)MAN口IP:10.252.252.12/24
接收端(内网面板)MAN口IP:10.251.251.12/24
系统管理员账号/密码:sysuser/admin
安全保密员用户名/密码:secuser/admin
日志管理员用户名/密码:loguser/admin
注:发送端接收端管理口ip不通
2.区域功能
外网端如下图所示
内网端如下图所示
3.网络部署
如上图所示,单向导入系统通常部署在两个不同安全域的环境中,由单向导入系统外端
机(NET)通过 FTP/数据库的账号密码登陆相应服务器后,进行主动抓取文件,再通过单向
导入设备内端机摆渡到内网服务器当中
4.具体配置
(1)内外网单元ip配置
注:光闸的规则都需在界面上点击应用配置
通过连接外网管理口,在 「 设备管理 →网络接口 」设备外网接口设置 IP。
通过连接内网管理口,在 「 设备管理 - > 网络接口 」设备内网接口设置 IP
(2)主机安全
设置项用来设置允许或拒绝用户从某 IP 或者某个网段访问设备。以具备管理主机安全权限的用户(如 secuser)登录,在「 策略管理 - > 主机安全 」的操作区,点击添加,然后在“源 IP 地址”框内添入相应的 IP 或网段,设置访问行为“允许”或“拒绝”,填入描述(可选),点击“确定”完成访问设置。
(3)文件传输
准备条件:对于 FTP 文件的单向搬运,单向光闸采用 FTP 主动交换功能来完成,需要两端服务器提供对应的 FTP 账号和上传、下载的权限,做好文件互斥,并在防火墙策略中允许单向光闸的 IP 访问其 FTP 服务。
第一步:分别登录内外网面板「 系统管理 -〉网络接口」配置对应内外网接口地址。
第二步:在外端机「 策略管理 -〉文件交换」 中定义源 FTP、目标 FTP 的传输路径,子路径是指该用户名下的路径,尽量勾选删除源文件,否则会每次都轮询到该文件。注:增量传输会对源文件和目的服务器文件做校验,将大大影响设备性能,如不是特殊需求不建议开启
第三步:在外端机应用策略
(4)数据同步
需求:外网服务器需要采用 TCP 方式发送实时数据流到内网服务器中。
原理:单向光闸的外端机、内端机分别与客户的外网服务器、内网服务器建立会话,只单向
传输应用层数据,传输层及以下的数据均不是。
第一步:在「 系统管理 -〉网络接口」配置对应内外网接口地址。
第二步:在「 策略管理 -> 数据传输 」添加本地 IP(光闸对外接口地址),本地端口(光闸对外开放端口),目的服务器 IP,目的服务器端口。
第三步:添加主机安全策略(默认开启 0.0.0.0)