500网闸配置.docVIP

伟思安全隔离网闸Vigap500型号的配置说明与注意事项 （500的设备是基于b/s结构的，即可以通过浏览器直接访问来配置的，另外500的设备配置过程中要注意的是设备默认是不支持可信端与非可信端一个网段，如果需要，可以修改某些参数来实现。） 配置前的准备工作： 500设备的默认管理地址是54:10000，用户名：admin，密码：888888。 如果来配置一台新设备，首先我们将用来配置网闸的电脑IP修改成192.168.0.*（254除外），掩码。然后用直连网线（B类网线）连接设备可信端的NIC0口，然后ping 54，测试网络连通性。如果没问题，直接打开IE，地址栏输入54:10000，回车登录。 新设备如果网络不通，重新启动下设备，观察设备前面板左下角的两个硬盘指示灯，开机过程中，有没有硬盘数据灯闪烁，2个都闪烁，可以排除硬盘和主板的故障，可以尝试下串口恢复下设备配置。（发货过程中，由于物流方面的拿放不当，可能造成设备出现故障） 网闸配置的一般步骤： IE地址栏直接输入https://IP:10000（IP为可信端或者非可信端IP，其中如果客户不需要从非可信端IP访问配置页面，可以在隐藏页面关闭，登录进设备后，隐藏页面为https://IP:10000/firewall），回车，弹出证书页面，选择是，用户名：admin，密码：888888。弹出如下登录界面： 接口配置： “接口配置”包括：模式选择和接口配置。 模式选择：系统默认模式为SAT+NAT模式，该模式是转源的（注意：有些认证系统是从源mac来登记的，该情况只能用不转源模式来实现）。如果需要可以转换成SAT模式，该模式不转源。 接口配置：如下图，其中不可信端可以直接配置接口IP地址及网关，可信端只能配置相应的IP地址，如果下面挂的有三层设备，需要指回程路由，可以在下面的网络配置下静态路由中可信端添加。 配置完成后点击“保存”按钮保存当前接口配置，点击“重启” 重启系统后配置才会生效。下次访问管理地址需要以改动后的可信端或者非可信端IP来访问。（非可信端IP访问可以在隐藏页面中关闭掉——该隐藏页面为https://IP:10000/firewall）。  网络配置 “网络配置”包括：静态路由设置、地址池设置和内网 绑定。 静态路由设置：即人为的指定某一网络访问时所要经过的路径，也可以理解为该网络访问经过网闸的某些应用时的回程路由。非可信端默认配置的有网关，即缺省路由，一般不需要配置静态路由；可信端如果挂的有三层设备，别的网段如果需要访问非可信端在网闸上映射到可信端的某些服务时，需要在静态路由设置中添加可信端的回程路由。比如网闸可信端接口IP：54，过三层设备，连的有192.168.1.X的客户机。该网段客户机需要访问非可信端的一台web服务器（该服务已经在网闸上做过映射），这样需要在静态路由里点新增：如下图： 目的地ip:子网掩码：（该网段的掩码） 默认网关：即网闸所在网段的网关 地址池设置：执行SAT映射时，SAT转换地址来自地址池。地址池里的地址可以配置为接口的地址、或者与接口同一网段的地址、或者与接口不同网段的地址。在配置映射时必须要把SAT转换地址添加到地址池中。具体操作过程需要在网络配置下地址池设置中点新增，如下图：可以选择地址池添加的位置——即可信端或非可信端。需要注意：地址池中添加的ip地址在设备上即使映射没用到这个地址，该地址也是存在的。 内网IP绑定：即通常内网管理中的mac绑定，在网闸设备中一般用户很少用到。  安全配置 “安全配置”包括：计划任务、主机管理、服务、端口映射、ACL访问控制列表和隔离设备映射配置。其中计划任务、主机管理、服务是配合ACL访问控制列表来做相应配置的，即只有在这些地方做过配置后，在ACL访问控制列表中添加规则的时候，才会有相应的下拉选项。端口映射和隔离设备映射配置是结合着网络配置中的地址池中的地址来做配置的，即只有地址池首先将要映射的虚地址在地址池中添加后，映射到这个地址上的服务才能生效。 计划表，如下图： 主机管理，如下图： 点击“增加”或“修改”可以进入相应页面，如下图 先输入名称后，再选择： 单 ：这里可填入IP和MAC地址，如果IP和MAC都填入，则绑定这个IP和MAC。这里IP或MAC也可以为空。注：点击旁边的“*”按钮，可使输入框变为下拉菜单，其内容是由ARP列表中得到的IP和MAC，选定后可自动填入IP和MAC输入框。再次点击“*”按钮可使下拉菜单恢复为输入框形式. 一组IP：即以子网掩码限定的一组IP。 一段IP：即以起始IP和终止IP定义的一段IP地址。 其他IP或域名：这里可以填入IP或域名，也可以混合使用。（这里的IP为单IP，即默的子网掩码是55 ） 服务： 即定义端口的名称和它的值。这里有缺