伟思ViGAP 300(网闸)配置一例
网闸是网络安全中常用的一种设备,它可以很好的保护两边网络的安全而又可以交换数据。最常见的就是企业上网内网与企业内网之间数据的交换。它是一种非TCP/IP的数据交换。本例中为伟思信安的ViGAP300安全隔离与信息交换系统(俗称网闸)。
环境描述:
1、拓扑
2、描述
利用网闸将内、外网连接,内网(可信端)的终端用户10.10.100.0段的用户通过访问地址10.7.99.1然后通过网闸跳转到外网(不可信端)的192.1.100.45应用服务器上。
配置步骤:
1、物理网络连接
将网闸的可信端NIC0与内网的三层交换机gig1/0/10口相连,网闸的不可信端NIC0与外网交换机fast1/0/10口相连。
2、网络配置
telnet至内网三层交换机上进行操作:
vlan 701
inter vlan 701
ip add 10.7.99.30 255.255.255.224
undo shut
inter gig1/0/10
des to-wangza-nic0
port acc vlan 701
3、网闸配置
1)连线
将笔记本连接在内网三层交换机上并将口划至VLAN701中,然后笔记本配置IP 119.119.119.117/8。该网闸通过内网NIC0口来管理,默认出厂的管理地址为10.119.119.119/8,刚才配置的笔记本IP和管理网段为同一网络,所以打开笔记本上的网闸管理软件就可以对网闸进行管理了。
2)配置
打开管理软件,输入默认的用户名密码admin/admin05,进入管理主界面。
在“隔离设备”中点右键新建一设备,然后点击“配置”,出现配置主界面,先点击“下载设备配置”把网闸的配置下载到本地,然后点击“设置安全隔离与信息交换设备属性” 进行配置,如下图
点击“下一步”
配置可信端与不可信端的IP地址及网关
选择需要转换的协议
完成配置。
在主界面中选择“访问控制规则表”,在协议上右键新建协议,然后新建7081的端口
点击载入ACL
再回到“配置主界面”,选择“协议属性配置”,将7081的“钩”打上,点击确定
下面开始配置映射关系,选择“隔离设备内部映射配置”,点击“新建”,按照如下进行配置
完成后的配置如下图,再点击“更新设备配置”完成配置的上传
再回到主界面,打开“高级隔离功能”->“路由设置”,在可信端增加一条路由,如下图
完成后,就可以在终端用户上在浏览器上打地址http://10.7.99.1:7081/app来测试是否可以打开外网服务器应用http://192.1.100.45:7081/app的界面。
