FGAP-FTP文件交换实施实例分享。

1：首先需要了解一下FGAP与GAP的区别。

GAP-安全隔离与信息交换系统	FGAP-安全隔离与信息单向导入系统
应用场景：涉密网与低安全网络之间的数据摆渡。	应用场景：高级别涉密网络与低安全网络之间的单向数据导入。
组成：外部处理单元、内部处理单元、隔离硬件（存储单元、数据交换）	组成：外部单元、内部单元、分光单向传输单元、基于光的单向性，软硬件系统
数据摆渡方式：内<-->隔离硬件<-->外	数据摆渡方式：内<--单向传输单元<--外
特点：切分链路层，实现内外网安全隔离+适度可控数据交换	特点：基于光的单向性，高效、可靠、高安全

GAP：可以根据策略进行双向的数据摆渡。

FGAP：数据只能从外网单元单向摆渡到内网单元后再到应用服务器。

无论网闸还是光闸，其内部单独的数据交换单元都是采用私有协议进行数据摆渡的。使用的是专用交换通道PET(Private Exchange Tunnel)技术，通过专用硬件通信卡、私有通信协议和加密签名机制来实现的，而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性，从而在保证安全性的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求。

-------------------------------------------------------------------------------------------

关于GAP与FGAP暂时先介绍到这。今天主要是给大家分享一个FGAP的文件交换的实施实例分享，以及一些排错思路。如有错误的地方，请评论区反馈更正，共同学习进步。

-------------------------------------------------------------------------------------------

整体的客户环境是这样的。

FGAP部署在涉密网与非涉密网之间，两个独立网络之间需要通过FGAP进行FTP的文件安全交换。

1：基本设置：

系统出厂默认的 IP 地址如下：

发送端（外网面板）MAN 口 IP：10.***.252.12/24

接收端（内网面板）MAN 口 IP：10.251.***.12/24

记得开启策略日志记录，方便排错。

2：设备时间设置获取本地正确时间，也可以根据情况设置NTP服务器进行时间校时。

3：配置内外闸接口IP：eth1为客户涉密网IP，涂抹处理。配置网口IP应用后，网口状态才会正常生效。如果未配置，网口是不生效的。这点需要注意，不要认为是网口坏了，其实是没有配置应用生效而已。

4：后期应用排错可以用系统内置的排错工具。

5：设备状态信息可以查看到当前FGAP运行的设备策略信息，

6：主机安全：该设置项用来设置允许或拒绝用户从某 IP 或者某个网段访问设备是的符合等保合规要求。

7：系统内部的数据交换缓存文件夹，当文件交换存在异常的时候，交换文件会暂存在下列文件夹当中，以便后续内外侧闸应用服务器正常后继续进行文件交换的操作。

8：配置文件交换策略。

1） 配置好对应的源目的FTP服务器地址，端口号，FTP服务用户名密码，需要同步的FTP文件子路径。

2） 源目录文件处理记得勾选完成后移除源文件，（原因很简单，如果不勾选的情况下，后续有大量文件同步的时候，所有的同步文件都会存在光闸同步缓存文件中，导致后续设备存储缓存不够，造成同步异常。）同时，因为光闸本身存在丢失文件的可能性，所以勾选这个选项的时候，需要跟客户说明清楚，在进行文件同步的时候，一定要做好文件的提前备份。我的方法可以是让客户在FTP文件服务器设置一个缓存文件夹，确保文件正常同步传输之后，再做删除处理。缓存文件夹可设置单独的访问权限。

3） 启用文件类型过滤，可以使得设备可以仅同步部分文件类型。

4） 源FTP编码一定要选择正确，如果选择错误，会导致同步后的文件编码异常，进而使得同步后的文件无法正常打开使用。

9：这里边我的FTP文件交换目录是为空的，这个稍后做解释，为什么是空的？

10：配置完FTP文件交换策略后，勾选该策略，选择启用选中策略，之后右上角点击应用配置，否则策略配置是不会生效的。

11：搭建FTP文件服务器，查看FTP服务器内的文件同步日志。发现11:54:48一条日志显示550 CWD command failed，“E://ftptest”:directory not found。

------------------------------------------------------------------------------

这个点需要做个说明，以为之前FGAP处配置的FTP文件交换策略的FTP源目的的文件交换子路径就是这个E://ftptest，因为当时服务器只是将这一个路径文件夹做了共享处理，而光闸进行同步的时候会把文件交换策略配置的子路径提交给FTP服务器，而FTP服务器本身的FTP文件夹就是这个路径，没有其他子路径，这就导致了FTP文件服务器收到的FTP请求路径是错误重复的，所以，这个时候光闸的FTP文件交换策略的子路径应该为空即可，这样FTP收到的光闸FTP请求路径才是正确的，才能进行正常的文件交换同步。

-------------------------------------------------------------------------------

那什么情况下需要子路径？

很简单，当FTP文件服务器中的文件夹存在多个，或FTP文件夹下有多个子目录的情况下，就需要填写正确的文件交换子路径了。

12：调整修改为空的子路径后，FTP涉密网与非涉密网的文件交换同步正常。

13：FTP文件服务器处的日志也显示正常。

整个FGAP的文件交换配置到此就结束了，这只是FGAP的一个基本功能，后续将继续带来关于FGAP的其他应用操作实例以及深信服云与安全合规类设备的实施实例分享。目前还在整理当中。

上述如有错误，欢迎大家及时指正。

感谢您的分享，满满的干货，已将文章放入技术博客中！

社区技术博客征稿活动正在进行，只要符合内容要求，就有奖励，欢迎投稿~
了解奖励和投稿要求，请参考：https://bbs.sangfor.com.cn/forum ... read&tid=103115

社区图片不是很清楚，这是PDF。 FGAP-FTP文件交换.pdf (1.55 MB, 下载次数: 38)

2020-5-11 02:14 上传

点击文件名下载附件

感谢分享

感谢分享

.....................................

太强啦！谢谢

多谢楼主分享网闸的部署方案。

多谢分享

感谢分享~排查思路清晰