×

#原创分享#网闸部署上架之代理模式
  

寒山古路 240848人觉得有帮助

{{ttag.title}}
网闸介绍
  网闸主要部署在不同的网络安全域之间,通过应用代理和协议转换的技术手段,采用专用硬件切断网络连接,以信息摆渡的形式实现数据的安全交换。支持的应用包括文件同步、数据库同步或访问、视频访问、应用代理等。通常,符合TCP/IP协议规范的应用都通过网闸摆渡。这个摆渡就是指网闸的数据交换由网闸主动发起会话,从源服务器上抓取,经过内容检查和摆渡后,主动推送到目标服务器上。在整个会话过程中,网闸自身不提供任何服务、端口,安全性极高。
网闸的主要部署模式:
    代理模式、透明模式、路由模式
代理模式:主要是使用在不允许访问对方真实IP的情况下,可以使用代理模式,该模式支持部署在两端网络同网段的环境中。即内网模块与外网模块的IP地址是一样的,这就是GAP能做到防火墙做不到的特殊的其中一点。
透明模式:主要是使用在客户端与服务器本身就可以正常通信、加入了网闸设备之后不希望改变原有的网络拓扑情况下使用
路由模式:类似于防火墙的功能,客户端与服务器本身在不同的网段,且要求必须访问对端的真实IP才能实现正常通信,此时才建议路由模式部署。
注意:由于网闸是物理隔离,所以在部署上架网闸之前,必须清楚需要放通哪些数据,需要采用哪种业务访问形式,是否有特殊限制等。

————————————————————————————————————————————————
————————————————————————————————————————————————
切入正题,目前存在两个不互通的网络A和网络B,现在客户想要在保持当前两个网络不互通的情况下,在两个网络中间部署一台网闸使网络A的1**2.1**.1.0/24网段主机可以经过网闸后,访问到网络B的服务器1:172.16.1.10的22端口以及服务器2:1**.16.1.11的80端口。


此时可以考虑代理模式实现访问。
1.PC配置10.2
**.251.X/24的地址,然后PC直接接GAP的MAN口。先使用默认的地址10.2**.251.**/24,在浏览区输入https://10.2**.251.11,登录到GAP,默认账号为******,密码为******
2.在【设备管理】-【基本设置】设置网闸部署模式为代理模式,开启策略日志记录


3.定义对象,类似于防火墙配置IP组,定义外网以及内网的网络对象
在【策略管理】-【对象】添加源网络对象以及目的网络对象
源网络对象A,
**2.168.1.1-**2.168.1.2**——注意:GAP只能写范围哦

目的网络对象两个服务器


4.定义应用
这里GAP与防火墙不同,像AF设备已经有定义好的应用,只需要直接在策略里面调用即可。GAP需要手动配置应用,根据需求可知,需要实现外网可以访问到内网服务器1的22端口,以及服务器2的80端口



注意这里端口的区分:
目的端口——是指的服务器真实开放的端口
代理端口——网闸的端口(即客户端访问的端口)
5.之前有说道网闸有内网模块以及外网模块,两个模块之间互相数据是不通的。故,此时我们需要设置安全通道,顾名思义安全通道就是指实现数据包从这个通道里面过去。
在【策略管理】-【安全通道】添加


6.设置时间模式,网闸可以设置策略的生效时间,一般建议设置为24小时生效即可

7.不知道大家发现没有,我们还没有配置IP,没有IP的话服务器到网闸都是不通的,又怎么实现代理访问呢?
现在设置网闸内网处理单元以及外网单元的IP地址
将内网处理单元的ETH1口配置为服务器的网关地址:1**.16.1.1/
**

将外网处理单元的NET2口配置为客户端的网关地址:**2.168.1.2**/24

8.由于服务器这边地址有某公司公司,所以还需要配置多IP对应,实现客户端访问网闸外网处理单元不同端口对应到内网的不同的服务器,即:实现**2.**8.1.0/**的网段访问网闸A侧的192.168.1.254的22端口对应网闸B侧服务器1:1**.16.1.10的22端口,访问网闸A侧的1**.1**.1.254的80端口对应网闸B侧服务器2:1**.16.1.11的80端口。


9.设置规则放通数据


配置到此结束,即可实现1
**.168.1.0/24的地址可以通过访问网闸的**2.168.1.254 22端口与 80端口分别访问到内网的服务器。此时,是不是觉得这个代理模式类似于AF设备的目的地址转换呢?












打赏鼓励作者,期待更多好文!

打赏
13人已打赏

Sangfor2419 发表于 2020-4-30 23:26
  
楼主的分享很详细,其实网闸的部署比较简单,只要大家理解了几种部署模式分别适用什么场景就能很快完成部署上架,感谢楼主的分享,如果增加一些排障案例会对大家的工作有更大的帮助。期待楼主有更加精彩的分享。
小白白白白白 发表于 2020-5-9 08:49
  

将内网处理单元的ETH1口配置为服务器的网关地址:172.16.1.1/24

将外网处理单元的NET2口配置为客户端的网关地址:192.168.1.254/24


这一条有点不太理解啊。这个是随便定义一个该段的空闲IP(空闲IP的话,是怎么能够把访问172的数据引到网闸的呢)。。那如果说是192和172的网关不是更不可能了吗。。
Sangfor_闪电回_朱丽 发表于 2020-4-20 11:05
  
您好,感谢您参与社区原创分享计划8,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
关于技术文章的管理流程,请参考:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
新手325719 发表于 2020-4-20 14:43
  
打卡学习
新手996757 发表于 2020-4-30 14:12
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
冯润泽 发表于 2020-5-4 16:16
  
楼主,是你让我深深地理解了‘人外有人,天外有天’这句话。谢谢你!在看完这帖子以后,我没有立即回复,因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了,因为觉得如果不能在如此精彩的帖子后面留下自己的网名,那我会遗憾终生的!
flying 发表于 2020-5-5 09:06
  
图文并茂,分享的很详细了,认真学习一下
南京 发表于 2020-5-5 14:13
  
如果我没有猜错的话,深信服的网闸是OEM天融信的,因为几乎和天融信的网闸菜单和配置方法一样
司马缸砸了光 发表于 2020-5-6 09:42
  
点赞,打赏,学习
新手599870 发表于 2020-5-6 11:38
  
谢谢楼主分享,简单易懂,正好需要
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
自助服务平台操作指引
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人