×

随风随 发表于 2021-11-10 17:36
  
楼主,是你让我深深地理解了‘人外有人,天外有天’这句话。谢谢你!在看完这帖子以后,我没有立即回复,因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了,因为觉得如果不能在如此精彩的帖子后面留下自己的网名,那我会遗憾终生的!
蟲爺 发表于 2022-7-8 22:57
  
感谢分享
西红柿煮番茄的猫 发表于 2024-6-21 10:16
  
非常好的实践教程,谢谢分享
zjwshenxian 发表于 2024-7-12 20:33
  
楼主的分享很详细,其实网闸的部署比较简单,只要大家理解了几种部署模式分别适用什么场景就能很快完成部署上架,感谢楼主的分享,如
不想上班 发表于 2024-7-31 09:47
  
非常好的实践教程,谢谢分享
#原创分享#网闸部署上架之代理模式
  

寒山古路 240778人觉得有帮助

{{ttag.title}}
网闸介绍
  网闸主要部署在不同的网络安全域之间,通过应用代理和协议转换的技术手段,采用专用硬件切断网络连接,以信息摆渡的形式实现数据的安全交换。支持的应用包括文件同步、数据库同步或访问、视频访问、应用代理等。通常,符合TCP/IP协议规范的应用都通过网闸摆渡。这个摆渡就是指网闸的数据交换由网闸主动发起会话,从源服务器上抓取,经过内容检查和摆渡后,主动推送到目标服务器上。在整个会话过程中,网闸自身不提供任何服务、端口,安全性极高。
网闸的主要部署模式:
    代理模式、透明模式、路由模式
代理模式:主要是使用在不允许访问对方真实IP的情况下,可以使用代理模式,该模式支持部署在两端网络同网段的环境中。即内网模块与外网模块的IP地址是一样的,这就是GAP能做到防火墙做不到的特殊的其中一点。
透明模式:主要是使用在客户端与服务器本身就可以正常通信、加入了网闸设备之后不希望改变原有的网络拓扑情况下使用
路由模式:类似于防火墙的功能,客户端与服务器本身在不同的网段,且要求必须访问对端的真实IP才能实现正常通信,此时才建议路由模式部署。
注意:由于网闸是物理隔离,所以在部署上架网闸之前,必须清楚需要放通哪些数据,需要采用哪种业务访问形式,是否有特殊限制等。

————————————————————————————————————————————————
————————————————————————————————————————————————
切入正题,目前存在两个不互通的网络A和网络B,现在客户想要在保持当前两个网络不互通的情况下,在两个网络中间部署一台网闸使网络A的1**2.1**.1.0/24网段主机可以经过网闸后,访问到网络B的服务器1:172.16.1.10的22端口以及服务器2:1**.16.1.11的80端口。


此时可以考虑代理模式实现访问。
1.PC配置10.2
**.251.X/24的地址,然后PC直接接GAP的MAN口。先使用默认的地址10.2**.251.**/24,在浏览区输入https://10.2**.251.11,登录到GAP,默认账号为******,密码为******
2.在【设备管理】-【基本设置】设置网闸部署模式为代理模式,开启策略日志记录


3.定义对象,类似于防火墙配置IP组,定义外网以及内网的网络对象
在【策略管理】-【对象】添加源网络对象以及目的网络对象
源网络对象A,
**2.168.1.1-**2.168.1.2**——注意:GAP只能写范围哦

目的网络对象两个服务器


4.定义应用
这里GAP与防火墙不同,像AF设备已经有定义好的应用,只需要直接在策略里面调用即可。GAP需要手动配置应用,根据需求可知,需要实现外网可以访问到内网服务器1的22端口,以及服务器2的80端口



注意这里端口的区分:
目的端口——是指的服务器真实开放的端口
代理端口——网闸的端口(即客户端访问的端口)
5.之前有说道网闸有内网模块以及外网模块,两个模块之间互相数据是不通的。故,此时我们需要设置安全通道,顾名思义安全通道就是指实现数据包从这个通道里面过去。
在【策略管理】-【安全通道】添加


6.设置时间模式,网闸可以设置策略的生效时间,一般建议设置为24小时生效即可

7.不知道大家发现没有,我们还没有配置IP,没有IP的话服务器到网闸都是不通的,又怎么实现代理访问呢?
现在设置网闸内网处理单元以及外网单元的IP地址
将内网处理单元的ETH1口配置为服务器的网关地址:1**.16.1.1/
**

将外网处理单元的NET2口配置为客户端的网关地址:**2.168.1.2**/24

8.由于服务器这边地址有某公司公司,所以还需要配置多IP对应,实现客户端访问网闸外网处理单元不同端口对应到内网的不同的服务器,即:实现**2.**8.1.0/**的网段访问网闸A侧的192.168.1.254的22端口对应网闸B侧服务器1:1**.16.1.10的22端口,访问网闸A侧的1**.1**.1.254的80端口对应网闸B侧服务器2:1**.16.1.11的80端口。


9.设置规则放通数据


配置到此结束,即可实现1
**.168.1.0/24的地址可以通过访问网闸的**2.168.1.254 22端口与 80端口分别访问到内网的服务器。此时,是不是觉得这个代理模式类似于AF设备的目的地址转换呢?












打赏鼓励作者,期待更多好文!

打赏
13人已打赏

发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
安装部署配置
排障笔记本
技术晨报
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人