加密安全网关使用说明
企业内的加密文件有时候需要上传到OA、PLM、SVN等系统中,希望OA等系统中保存的文件是明文的,从OA等系统中下载到本地为加密文件,并希望其它没有允许访问的计算机不可以访问OA等服务器,IP-guard安全网关功能就是为了解决这一问题而诞生的。
IP-guard安全网关,可以实现启用安全通讯的加密客户端上传解密下载加密。未启用加密功能的客户端或者未启动安全通讯的加密客户端,不能访问受保护的OA等系统。
- 网络架构
IP-guard安全网关功能的工作模式为:网桥模式。
企业内的网络常见的网络简易拓扑结构:
IP-guard的安全网关控制模式:
使用网桥模式,可以对网络结构和配置不做任何修改,直接将安全网关控制设备串接进网络中需要进行控制的重要的服务器处,对通过其的网络通讯进行控制。
- 控制流程
当计算机或其他网络终端设备,访问受安全网关保护的服务器时,安全网关会判断访问请求是否属于安全通讯。当安装了客户端的计算机,使用已经启动安全通讯功能的授权软件访问时,就可以正常访问服务器。而其他的计算机会被阻止访问服务器。
对于一些外来的或者特殊权限的计算机,也可以通过设置白名单允许未启用安全通讯的计算机访问服务器。
- 部署
- 设备介绍
IP-guard网络控制设备(以下称控制器),分为三个型号:
说明 管理端口的固定IP为190.190.190.190,初始配置时使用;
BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
-
- 部署方式
IP-guard网络控制器以桥接的方式串接入网络。控制器一般位于限制访问的计算机之前。
连接方法:使用设备的两个端口将其连入网络;
IPG-2000使用ETH0和ETH1;IPG-3000、IPG-4000使用ETH0、ETH1、ETH2中任两个;
说明 部署前为保证控制器能在网络中正常通讯,需要对其设置IP,详见4.2。
- 使用
- 安装安全网关管理器
在计算机A上运行网络准入管理器安装程序SGManSetup.exe,根据默认提示安装。安装完成后,可以在【开始菜单->IP-Guard SecureGatewag Manager】中启动安全网关管理器工具。
-
- 设置控制器IP
控制器管理端口的固定IP为190.190.190.190,开始时可以通过它进行初始化的配置,首先必须配置“网络参数”,使得它能与网络中其他机器可以正常通讯。具体步骤如下:
- 修改计算机A的IP,使其能与控制器通讯。如修改计算机A的IP为:
IP地址:190.190.0.1
子网掩码:255.255.0.0
默认网关:可不填
- 在计算机A上使用网线将控制器的管理端口与计算机A连接,在计算机A上,启动安全网关管理器工具,操作“工具→控制器连接参数”。如图1:
图1
字段 |
输入值 |
|
控制器 |
输入控制器的最后一个网卡的固定IP,即190.190.190.190; |
|
密码 |
初始为空; |
|
- 点击【确定】,进入安全网关管理器主界面,“工具→控制器管理”,见图3;
- 点击【设置网络参数】,设置控制器的IP(需要重启控制器,设置方能生效),如图2:
图2
- 点击控制器管理界面上的【重启控制器】按钮,控制器重启之后,IP修改成功。
- 连入网络
修改完IP之后便可将控制器串联接入网络环境中。
-
- 连接控制器
在计算机A上启动安全网关管理器,执行操作【工具→控制器连接参数】,见图1,对话框中包含以下内容:
字段 |
说明 |
控制器 |
输入修改后的控制器IP; |
密码 |
初始密码为空,成功连接控制台后可以修改密码,在“工具->控制器管理->修改登录密码”中修改。 |
点击【确定】之后进入安全网关管理器的主界面,如图3:
图 3
如需要重新连接控制器,在菜单栏,“系统->重新连接”,可与控制器重新建立连接。
如需要连接其他的控制器,在菜单栏,“工具->控制器连接参数”,弹出图2窗口,输入其他控制器的IP和登录密码即可。
-
- 控制器管理
安全网关管理器工具菜单栏,“工具->控制器管理”,如图4
图4
按钮 |
功能说明 |
修改登录密码 |
可修改连接控制器的密码; |
升级 |
可导入IP-guard提供的版本升级包,对控制器软件进行升级; |
恢复出厂设置 |
可将控制器的设置恢复到出厂时的设置; |
重启控制器 |
可将控制器重启; |
设置控制器时间 |
可设置控制器当前的时间; |
设置网络参数 |
可设置控制器的IP、掩码、网关信息; |
-
- 管理配置
“安全网关管理器主界面->配置管理标签页”,在此设置安全网关控制器的管理配置信息。如图5:
图5
配置项目 |
说明 |
管理范围 |
设置控制器所能管理的计算机范围,此范围的计算机有通信经过控制器时,就会出现在“状态信息”内。支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。 |
控制范围 |
设置控制器所能控制的计算机范围,此范围内的计算机需要使用启动安全通讯功能的授权软件才可以正常访问受保护的服务器,否则将会被阻止。支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。 |
服务器连接参数 |
指定受保护的服务器IP和TCP协议端口。支持“IP:端口”的输入,如:192.168.1.2:8080。 |
转发设置 |
设置访问网络受限时,转而链接到的地址。 |
转发的url |
输入转到的url;如:http://192.168.1.15/nac/index.html。 |
说明 关于转发地址的具体部署,详细参见5.2
-
- 加密客户端配置
需要对加密客户端设置客户端配置策略,客户端才能正常访问受保护的服务器。
设置平时访问OA等系统的软件为授权软件。如SVN客户端或浏览器。如果预定义中没有此软件,可使用自定义授权软件。例如设定IE为自定义授权软件。
- 对加密客户端指定授权软件。
- 对授权软件启动安全通讯功能。在客户端配置策略中设置。
如果授权软件是SVN,可以用safe_netconnect_svn,值为1
如果授权软件是其他软件,如IE,则用safe_netconnect_process,值为iexplore.exe (支持多进程,以分号分隔)
设置后,此授权软件就只能访问经过安全网关内的服务器,不能访问其他服务器。
- 如果授权软件需要访问安全网关之外的服务器,在策略-客户端配置中设置白名单。
名称:safe_netconnect_whitelist,值为OA或SVN服务器IP如192.168.1.2
设置白名单之后,加密文档可以上传到这些网站并解密。这样会存在泄密风险,设置白名单需谨慎。
-
- 设置白名单
对于不允许访问受保护的服务器的计算机,访问服务器将被阻断。将其设置白名单,便可解除限制。
设置白名单
方法1:
安全网关管理器主界面,切换至“状态信息”窗口,选中一台或多台计算机,右键菜单->设置白名单,也可取消白名单。
方法2:
安全网关管理器主界面,切换至“白名单”标签页,右键菜单->添加白名单,如图8:
图8
填入要设为白名单的计算机IP,多个IP使用“,”分隔开,支持IP、IP段输入,如:192.168.3.0,192.168.0.2-192.168.1.160。点击【确定】之后,设置成功,列表中出现添加的IP机器。
删除白名单
在“白名单”列表中选择一个或多个计算机,右键菜单->删除白名单,这些机器将不再具有白名单功能。
被设置为白名单的计算机,访问受保护的服务器时,需使用没有启用安全通讯功能的授权软件或者非授权软件。
-
- 开启控制
为了避免影响使用,建议完成以上控制器的连接、管理配置以及加密客户端配置后再开启安全网关控制功能。
“菜单栏->系统->开启”,则安全网关控制功能会按照各项设置生效。
“菜单栏->系统->关闭”,安全网关控制功能关闭。
-
- 加密客户端的使用
加密客户端不改变平时使用习惯,加解密操作对用户透明。不过启动了安全通讯功能的浏览器只能访问受保护的OA系统,不能访问其他网站;如需要刚问其他网站,请使用其他浏览器,如360浏览器。未启用安全通讯功能的浏览器不能访问受保护的OA系统。
安全网关管理器工具切换到“状态信息”窗口。可以查看管理范围内计算机的状态信息,包括:计算机名称、网络地址、启动时间、最后在线时间、是否白名单、是否授权、是否信任等。
在此窗口下,选定列表中的机器,右键菜单可以进行如下操作:
刷新当前列表
输入关键字查找列表中的机器
设置\取消白名单
删除
安全网关管理器工具切换到“日志记录”标签页,可以查看控制器登录状态、新接入计算机、计算机名称发生变化等日志。
在对象位置的地方输入:sdviewer /process:”授权软件安装路径” 默认访问网址,例如:sdviewer /process:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://192.168.1.2:8080
说明:可以添加-nomerge参数以独立进程打开IE,-nomerge参数在默认网址之后,并与默认网址中间有个空格,例如:sdviewer /process:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://192.168.1.2:8080 –nomerge。
注意:1、sdviewer后面有个空格。Process后面跟的是浏览器或其他授权软件的全路径。/Process: 后面,进程名称要用””,此时引号以内表示进程路径,引号以外表示命令行参数。如果没有引号,则不识别命令行参数。
2、-nomerge 参数只支持IE8、IE9。
使用此快捷方式可以访问OA系统,不能访问其他网站。其他原始的浏览器不能访问OA系统,可以访问其他网站。
-
- 转发URL设置
计算机访问网络受阻后,将其经由设置好的“转发的端口”引导至“转发的url”。
可使用IP-guard提供web服务器架设程序(WebServerSetup.exe)进行部署。
- 双击运行该程序,根据默认提示安装。成功安装之后,web服务自动在后台运行,默认开放8282端口。
- 把客户端安装程序改名为Agent3.exe,放置在TEC\WebServer安装目录下的html文件夹里即可。
以上步骤完成之后,则可在管理配置标签页中的转发设置处填写:
转发的url:设置好的转发网页地址+/index_sg.html,即
http://192.168.1.2:8282/index_sg.html
(192.168.1.2为安装web服务的机器IP)