有关网闸的配置案例

1.1配置网闸的基本步骤有哪些？

答：

1）在PC上安装客户端；本地IP为 192.168.1.1/24,用交叉线与仲裁机相连（默认无法ping）；

2）通过客户端连接仲裁机（192.168.1.254） 用户名/口令 superman/talent123登录；

3）设置内端机IP地址，设置外端机地址（一般均为eth0）

4）为了调试方便，通过命令行的方式允许ping 通 内外端机；

5）设置TCP应用通道，启用通道

6）配置安全策略

1.2通过一个案例来说明如何配置网闸来保证内外数据安全交换

1.2.1拓扑图如下：

1.2.2基本说明：

1.在OA区域里有服务器，安全管理和终端，边界由网闸来隔离，只允许有限的访问。

2.目前具体的要求是 只允许外部的终端 10.10.1.1访问OA服务器，内部机器可以访问外部的WEB 10.10.1.5

3.不能泄漏内（外）部的网络结构。

1.2.3基本配置：

设置内外端地址

由于是端口转发，客户端的IE无需作代理设置，只是将访问的目的设为外（内）端机地址10.10.1.2（10.10.0.1）即可。 

1.2.5效果

用户只需访问本地的服务器，通过网站作代理映射，就可以到达从内部（外部）访问外部（内部）的目的。以下为链接：

http: //10.10.0.1 （可以访问到10.10.1.5）

http://10.10.1.2   (可以访问到10.10.0.109)

1.3对于级联的网闸的配置如何来做

在等级保护的实际案例中，需要两个或以上的网闸来配置一条完整的通道，如以下图

1.3.1基本要求

OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3

门户网站区域（）可以访问位于OA区域的OA服务器 10.10.0.109

1.3.2基本配置

1.3.2.1 OA区域网闸配置

设置内外端地址

从外到内的访问目的是真实的服务器地址10.10.0.109

1.3.2.2 门户区域网闸配置

设置内外端地址

从外到内的访问目的是真实的服务器地址192.168.2.3

1.3.3测试验证：

OA和门户的终端只需访问自己的网闸的内端机地址就可以访问到对端的服务器资源，这样做到了隐藏内部拓扑的目的

OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3

OA访问门户：http: //10.10.0.1

门户网站区域（192.168.*.*）可以访问位于OA区域的OA服务器 10.10.0.109

门户访问OA：http: //192.168.3.2