概述

安全隔離與信息交換系統(tǒng)，簡(jiǎn)稱網(wǎng)閘。網(wǎng)閘常見(jiàn)的硬件組成是“2+1”架構(gòu)，即硬件由內(nèi)網(wǎng)機(jī)、外網(wǎng)機(jī)和一個(gè)隔離交換模塊組成。本期文章，結(jié)合實(shí)際應(yīng)用案例，總結(jié)分享天融信安全隔離與信息交換系統(tǒng)的代理安全策略。

代理功能應(yīng)用場(chǎng)景

組網(wǎng)拓?fù)浼癐P地址規(guī)劃分配如下圖所示。設(shè)置SW2設(shè)備上無(wú)回執(zhí)192.168.100.0/24路由的條件下，實(shí)現(xiàn)PC1可SSH遠(yuǎn)程訪問(wèn)Ser1的目標(biāo)。

代理功能應(yīng)用配置示例

網(wǎng)閘代理安全策略實(shí)現(xiàn)的基本思路：PC1僅能通過(guò)三層路由訪問(wèn)到外網(wǎng)機(jī)IP和端口，外網(wǎng)機(jī)把該訪問(wèn)遞交給內(nèi)網(wǎng)機(jī)，內(nèi)外機(jī)以自身的IP代理PC1的IP訪問(wèn)Ser1的SSH服務(wù)。

代理安全策略配置

關(guān)于交換機(jī)的配置，網(wǎng)閘內(nèi)網(wǎng)機(jī)、外網(wǎng)機(jī)接口IP、路由和資源管理等基礎(chǔ)配置，在此不做贅述，重點(diǎn)說(shuō)明網(wǎng)閘代理安全策略的配置。待配置代理安全策略前，網(wǎng)閘內(nèi)網(wǎng)機(jī)需要測(cè)試訪問(wèn)Ser1的SSH服務(wù)端口。測(cè)試方式，依次點(diǎn)擊，系統(tǒng)管理->系統(tǒng)診斷->內(nèi)端機(jī)->TCP，然后，在診斷地址中輸入Ser1的IP，在目的端口中輸入SSH服務(wù)的端口，最后點(diǎn)擊開(kāi)始診斷，如下圖所示；若有返回?cái)?shù)據(jù)，說(shuō)明網(wǎng)閘內(nèi)網(wǎng)機(jī)可正常訪問(wèn)Ser1的SSH服務(wù)。

配置代理安全策略，依次點(diǎn)擊，安全策略->訪問(wèn)控制->“外->內(nèi)”->添加->其他->TCP-ANY，如下圖所示；

在打開(kāi)“添加”頁(yè)面，如下圖所示；

名稱——必填項(xiàng)，自定義，符合要求即可；

接入模式——代理；

源地址——設(shè)置為PC1的IP；

代理-地址——必填項(xiàng)，設(shè)置為網(wǎng)閘外網(wǎng)機(jī)IP，即10.1.100.2；

代理-端口——必填項(xiàng)，可自定義，此處填寫(xiě)端口3022；

目的-地址——必填項(xiàng)，設(shè)置為Ser1的IP；

目的-端口——必填項(xiàng)，設(shè)置為Ser1 SSH服務(wù)的端口，此處填寫(xiě)端口22；

其他-出口IP——必填項(xiàng)，設(shè)置為網(wǎng)閘內(nèi)網(wǎng)機(jī)IP，即10.1.200.2；

其他-訪問(wèn)控制日志——選擇“記錄”；

最后，點(diǎn)擊確定。

PC1訪問(wèn)測(cè)試

在PC1上，利用SSH登陸工具，如putty，輸入登陸的IP是網(wǎng)閘外網(wǎng)機(jī)IP，即10.1.100.2，端口號(hào)則是3022，如下圖所示。

總結(jié)

以上總結(jié)，希望各位小伙伴有所收獲，不足之處，歡迎留言指正。

好了，這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里，如果大家網(wǎng)絡(luò)推廣引流創(chuàng)業(yè)感興趣，可以添加微信：80709525  備注：發(fā)貨聯(lián)盟引流學(xué)習(xí)； 我拉你進(jìn)直播課程學(xué)習(xí)群，每周135晚上都是有實(shí)戰(zhàn)干貨的推廣引流技術(shù)課程免費(fèi)分享！