#原创分享#网闸部署上架之代理模式

网闸介绍：
  网闸主要部署在不同的网络安全域之间，通过应用代理和协议转换的技术手段，采用专用硬件切断网络连接，以信息摆渡的形式实现数据的安全交换。支持的应用包括文件同步、数据库同步或访问、视频访问、应用代理等。通常，符合TCP/IP协议规范的应用都通过网闸摆渡。这个摆渡就是指网闸的数据交换由网闸主动发起会话，从源服务器上抓取，经过内容检查和摆渡后，主动推送到目标服务器上。在整个会话过程中，网闸自身不提供任何服务、端口，安全性极高。
网闸的主要部署模式：
    代理模式、透明模式、路由模式
代理模式：主要是使用在不允许访问对方真实IP的情况下，可以使用代理模式，该模式支持部署在两端网络同网段的环境中。即内网模块与外网模块的IP地址是一样的，这就是GAP能做到防火墙做不到的特殊的其中一点。
透明模式：主要是使用在客户端与服务器本身就可以正常通信、加入了网闸设备之后不希望改变原有的网络拓扑情况下使用
路由模式：类似于防火墙的功能，客户端与服务器本身在不同的网段，且要求必须访问对端的真实IP才能实现正常通信，此时才建议路由模式部署。
注意：由于网闸是物理隔离，所以在部署上架网闸之前，必须清楚需要放通哪些数据，需要采用哪种业务访问形式，是否有特殊限制等。
————————————————————————————————————————————————
————————————————————————————————————————————————
切入正题，目前存在两个不互通的网络A和网络B，现在客户想要在保持当前两个网络不互通的情况下，在两个网络中间部署一台网闸使网络A的1**2.1**.1.0/24网段主机可以经过网闸后，访问到网络B的服务器1：172.16.1.10的22端口以及服务器2：1**.16.1.11的80端口。


此时可以考虑代理模式实现访问。
1.PC配置10.2**.251.X/24的地址，然后PC直接接GAP的MAN口。先使用默认的地址10.2**.251.**/24，在浏览区输入https://10.2**.251.11,登录到GAP，默认账号为******，密码为******。
2.在【设备管理】-【基本设置】设置网闸部署模式为代理模式，开启策略日志记录

3.定义对象，类似于防火墙配置IP组，定义外网以及内网的网络对象
在【策略管理】-【对象】添加源网络对象以及目的网络对象
源网络对象A，**2.168.1.1-**2.168.1.2**——注意：GAP只能写范围哦

目的网络对象两个服务器


4.定义应用
这里GAP与防火墙不同，像AF设备已经有定义好的应用，只需要直接在策略里面调用即可。GAP需要手动配置应用，根据需求可知，需要实现外网可以访问到内网服务器1的22端口，以及服务器2的80端口


注意这里端口的区分：
目的端口——是指的服务器真实开放的端口
代理端口——网闸的端口（即客户端访问的端口）
5.之前有说道网闸有内网模块以及外网模块，两个模块之间互相数据是不通的。故，此时我们需要设置安全通道，顾名思义安全通道就是指实现数据包从这个通道里面过去。
在【策略管理】-【安全通道】添加

6.设置时间模式，网闸可以设置策略的生效时间，一般建议设置为24小时生效即可

7.不知道大家发现没有，我们还没有配置IP，没有IP的话服务器到网闸都是不通的，又怎么实现代理访问呢？
现在设置网闸内网处理单元以及外网单元的IP地址
将内网处理单元的ETH1口配置为服务器的网关地址：1**.16.1.1/**

将外网处理单元的NET2口配置为客户端的网关地址：**2.168.1.2**/24

8.由于服务器这边地址有某公司公司，所以还需要配置多IP对应，实现客户端访问网闸外网处理单元不同端口对应到内网的不同的服务器，即：实现**2.**8.1.0/**的网段访问网闸A侧的192.168.1.254的22端口对应网闸B侧服务器1：1**.16.1.10的22端口，访问网闸A侧的1**.1**.1.254的80端口对应网闸B侧服务器2：1**.16.1.11的80端口。


9.设置规则放通数据


配置到此结束，即可实现1**.168.1.0/24的地址可以通过访问网闸的**2.168.1.254 22端口与 80端口分别访问到内网的服务器。此时，是不是觉得这个代理模式类似于AF设备的目的地址转换呢？