加密安全閘道器使用說明

企業內的加密檔案有時候需要上傳到oa、plm、svn等系統中，希望oa等系統中儲存的檔案是明文的，從oa等系統中**到本地為加密檔案，並希望其它沒有允許訪問的計算機不可以訪問oa等伺服器，viacontrol安全閘道器功能就是為了解決這一問題而誕生的。

viacontrol安全閘道器，可以實現啟用安全通訊的加密客戶端上傳解密**加密。未啟用加密功能的客戶端或者未啟動安全通訊的加密客戶端，不能訪問受保護的oa等系統。

viacontrol安全閘道器功能的工作模式為：網橋模式。

企業內的網路常見的網路簡易拓撲結構：

viacontrol的安全閘道器控制模式：

使用網橋模式，可以對網路結構和配置不做任何修改，直接將安全閘道器控制裝置串接進網路中需要進行控制的重要的伺服器處，對通過其的網路通訊進行控制。

當計算機或其他網路終端裝置，訪問受安全閘道器保護的伺服器時，安全閘道器會判斷訪問請求是否屬於安全通訊。當安裝了客戶端的計算機，使用已經啟動安全通訊功能的授權軟體訪問時，就可以正常訪問伺服器。而其他的計算機會被阻止訪問伺服器。

對於一些外來的或者特殊許可權的計算機，也可以通過設定白名單允許未啟用安全通訊的計算機訪問伺服器。

1 23 viacontrol網路控制裝置（以下稱控制器），分為三個型號：

2000：

3個千兆網絡卡，其中管理埠為eth2；

3000：

4個千兆網絡卡，一組bypass（eth0和eth1），其中管理埠為eth3；

4000：

4個千兆網絡卡，一組bypass（eth0和eth1），其中管理埠為eth3；

說明管理埠的固定ip為190.190.190.190，初始配置時使用；

bypass功能，可以在控制器斷電或宕機的情況下，將控制器所連線的兩端直接物理上導通，不影響網路的使用。

viacontrol網路控制器以橋接的方式串接入網路。控制器一般位於限制訪問的計算機之前。

連線方法：使用裝置的兩個埠將其連入網路；

2000使用eth0和eth1；3000、4000使用eth0、eth1、eth2中任兩個；

說明部署前為保證控制器能在網路中正常通訊，需要對其設定ip，詳見4.2。

4 在計算機a上執行網路准入管理器安裝程式根據預設提示安裝。安裝完成後，可以在【開始選單->viacontrol securegatewag manager】中啟動安全閘道器管理器工具。

控制器管理埠的固定ip為190.190.190.190，開始時可以通過它進行初始化的配置，首先必須配置「網路引數」，使得它能與網路中其他機器可以正常通訊。具體步驟如下：

1. 修改計算機a的ip，使其能與控制器通訊。如修改計算機a的ip為：

ip位址：190.190.0.1

子網掩碼：255.255.0.0

預設閘道器：可不填

2. 在計算機a上使用網線將控制器的管理埠與計算機a連線，在計算機a上，啟動安全閘道器管理器工具，操作「工具→控制器連線引數」。如圖1：

圖13. 點選【確定】，進入安全閘道器管理器主介面，「工具→控制器管理」，見圖3；

4. 點選【設定網路引數】，設定控制器的ip（需要重啟控制器，設定方能生效），如圖2：

圖25. 點選控制器管理介面上的【重啟控制器】按鈕，控制器重啟之後，ip修改成功。

修改完ip之後便可將控制器串聯接入網路環境中。

在計算機a上啟動安全閘道器管理器，執行操作【工具→控制器連線引數】，見圖1，對話方塊中包含以下內容：

點選【確定】之後進入安全閘道器管理器的主介面，如圖3：

圖 3如需要重新連線控制器，在選單欄，「系統->重新連線」，可與控制器重新建立連線。

如需要連線其他的控制器，在選單欄，「工具->控制器連線引數」，彈出圖2視窗，輸入其他控制器的ip和登入密碼即可。

安全閘道器管理器工具選單欄，「工具->控制器管理」，如圖4

圖4 「安全閘道器管理器主介面->配置管理標籤頁」，在此設定安全閘道器控制器的管理配置資訊。如圖5：

圖5說明關於**位址的具體部署，詳細參見5.2

需要對加密客戶端設定客戶端配置策略，客戶端才能正常訪問受保護的伺服器。

設定平時訪問oa等系統的軟體為授權軟體。如svn客戶端或瀏覽器。如果預定義中沒有此軟體，可使用自定義授權軟體。例如設定ie為自定義授權軟體。

1、對加密客戶端指定授權軟體。

2、對授權軟體啟動安全通訊功能。在客戶端配置策略中設定。

如果授權軟體是svn，可以用safe_netconnect_svn，值為1

如果授權軟體是其他軟體，如ie，則用safe_netconnect_process，值為（支援多程序，以分號分隔）

設定後，此授權軟體就只能訪問經過安全網關內的伺服器，不能訪問其他伺服器。

3、如果授權軟體需要訪問安全閘道器之外的伺服器，在策略-客戶端配置中設定白名單。

名稱：safe_netconnect_whitelist，值為oa或svn伺服器ip如192.168.1.2

設定白名單之後，加密文件可以上傳到這些**並解密。這樣會存在洩密風險，設定白名單需謹慎。

對於不允許訪問受保護的伺服器的計算機，訪問伺服器將被阻斷。將其設定白名單，便可解除限制。

設定白名單

方法1：

安全閘道器管理器主介面，切換至「狀態資訊」視窗，選中一台或多台計算機，右鍵選單->設定白名單，也可取消白名單。

方法2：

安全閘道器管理器主介面，切換至「白名單」標籤頁，右鍵選單->新增白名單，如圖8:

圖8填入要設為白名單的計算機ip，多個ip使用「,」分隔開，支援ip、ip段輸入，如：192.168.

3.0,192.168.

0.2-192.168.

1.160。點選【確定】之後，設定成功，列表**現新增的ip機器。

刪除白名單

在「白名單」列表中選擇乙個或多個計算機，右鍵選單->刪除白名單，這些機器將不再具有白名單功能。

被設定為白名單的計算機，訪問受保護的伺服器時，需使用沒有啟用安全通訊功能的授權軟體或者非授權軟體。

為了避免影響使用，建議完成以上控制器的連線、管理配置以及加密客戶端配置後再開啟安全閘道器控制功能。

「選單欄->系統->開啟」，則安全閘道器控制功能會按照各項設定生效。

「選單欄->系統->關閉」，安全閘道器控制功能關閉。

加密客戶端不改變平時使用習慣，加解密操作對使用者透明。不過啟動了安全通訊功能的瀏覽器只能訪問受保護的oa系統，不能訪問其他**；如需要剛問其他**，請使用其他瀏覽器，如360瀏覽器。未啟用安全通訊功能的瀏覽器不能訪問受保護的oa系統。

安全閘道器管理器工具切換到「狀態資訊」視窗。可以檢視管理範圍內計算機的狀態資訊，包括：計算機名稱、網路位址、啟動時間、最後**時間、是否白名單、是否授權、是否信任等。

在此視窗下，選定列表中的機器，右鍵選單可以進行如下操作：

重新整理當前列表

輸入關鍵字查詢列表中的機器

設定\取消白名單

刪除12 34 4.1

4.24.3

4.44.5

4.64.7

4.84.9

安全閘道器管理器工具切換到「日誌記錄」標籤頁，可以檢視控制器登入狀態、新接入計算機、計算機名稱發生變化等日誌。

5 在物件位置的地方輸入：sdviewer /process:」授權軟體安裝路徑」預設訪問**，例如：

sdviewer /process:"c:\program files\internet explorer\"

說明:可以新增-nomerge引數以獨立程序開啟ie，-nomerge引數在預設**之後，並與預設**中間有個空格，例如：sdviewer /process:

"c:\program files\internet explorer\" –nomerge。

注意：1、sdviewer後面有個空格。process後面跟的是瀏覽器或其他授權軟體的全路徑。

/process: 後面，程序名稱要用」」，此時引號以內表示程序路徑，引號以外表示命令行引數。如果沒有引號，則不識別命令列引數。

2、-nomerge 引數只支援ie8、ie9。

使用此快捷方式可以訪問oa系統，不能訪問其他**。其他原始的瀏覽器不能訪問oa系統，可以訪問其他**。

計算機訪問網路受阻後，將其經由設定好的「**的埠」引導至「**的url」。

可使用viacontrol提供web伺服器架設程式（進行部署。

加密安全閘道器使用說明

MailGateway郵件安全閘道器產品解決方案

閘道器管理器使用說明

安全帽安全帶安全網使用制度

加密安全閘道器使用說明

MailGateway郵件安全閘道器產品解決方案

閘道器管理器使用說明

安全帽 安全帶 安全網使用制度

相關推薦

安全帽安全帶安全網使用制度