绿盟网闸怎么配置

❶ 用Server-u怎样把数据从外网通过网闸转到内网

作者：蔡老板
链接：https://www.hu.com/question/26954479/answer/171177491
来源：知乎
着作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

大概有三种方式：
1、使用网闸的映射功能：即在网闸中配置指定ip段的外网机器，只能访问内网指定ip、端口的机器所提供的指定服务。
评价：此种方式较为方便，但不是最安全的。
2、文件同步功能：此种方式需要一台外网服务器和一台内网服务器，在内外网服务器上分别部署webservice服务程序，并在内外网机器上分别建立共享文件夹，供网闸进行文件的同步（从内网到外网，从外网到内网）。
实现思路大致是：
（1）、外网服务器部署的webservice程序供外网用户访问，一旦接受请求，则将请求生成xml或者其他格式文件，放到外网服务器的共享请求目录。
（2）、通过在网闸中配置内外网的共享请求目录与共享响应目录，网闸会定时（最低一分钟）扫描内外网服务器的指定的若干目录，看有无新增文件，有则同步过去。
（3）、内网服务器webservice程序内部定时扫描指定请求目录，网闸将外网服务器的请求文件同步到内网服务器的请求目录后，内网程序检测到请求文件则立即触发调用本地或者内网其他机器的webservice服务，并将结果生成响应文件放到响应目录。
（4）、网闸检测响应目录的新增文件，将文件同步到外网服务器的响应目录，外网服务器程序线程接受到请求后， 一直等待指定时间，扫描响应目录下有无响应文件产生（请求文件与响应文件采取同名方式，以便区分），读取到响应文件后，返回给外网用户调用者。
评价：此种方式虽然较上种方式安全，但网闸扫描频率最快一分钟扫描一次的限制便将该种方式kill了（让客户等待至少2分钟是完全不可行的）。
然而对于新的网闸内外网数据交换平台可以支持1s扫描一次，因此对于需要交换图片、视频等应用，则可考虑升级旧网闸数据交换系统；此时采取文件同步是比较理想的。
3、数据库同步方式：
实现思路：
（1）、需要两台服务器，内网服务器与外网服务器，两台机器同时部署两个程序（程序不完全相同），两台服务器都要安装数据库，并建立相同的表结构（指需要通过网闸同步的表的结构相同，本例中需要响应表和请求表）
（2）、在网闸中配置数据库同步，需要两个库的连接方式，及需要同步那些表；注意，同步的表字段不可有clob或者blob等类型（网闸不能同步，猜测是大字段类型不能导出的原因），基本类型最好。
（3）、外网webservice程序接收请求，将请求插入到请求表中，然后线程休眠指定时间后读取响应表中的响应结果。
（4）、网闸将外网数据库的请求表中的插入的数据，即时（可能采用触发器，具体不知，相当于即时）同步到内网数据库的请求表中。
（5）、对内网请求表预先建立行级触发器，当请求表每插入一条数据时，即执行触发器，在触发器中调用内网的webservice程序。
（6）、可在触发器中插入结果到响应表中，若是业务逻辑复杂，则可在webservice程序内部将结果插入到响应表中。
（7）、网闸将响应表中数据即时同步到外网服务器的响应表中。
（8）、(3) 中等待的线程在限定时间内每隔100ms（自己指定）查询响应表，查询到等待的结果则返回给客户。
4、总结：映射方式与数据库同步方式最为靠谱，但若是对安全性要求非常高，则建议使用数据库同步方式，否则使用映射方式最为便捷。

❷ 交换机直连网闸需要做路由吗

三层连接一般是要做路由的，要上网总要个缺省路由呀。

❸ 各大网络安全厂商（天融信、启明、绿盟、网域、深信服等）的硬件设备优劣之处是

我们一一看下这些网络安全公司的特点

当然国内还有其它一下知名的网络安全公司

网康:与深度信任和网域技术一样，康康也更专注于网络行为管理、防火墙等产品。但是，下一代防火墙不太可能通过资格测试。

值得一樱枣提的是，在中国，所谓的下一代防宴颂配火墙实际上只是一种噱头，只有通过国家检测，才敢调用第二代防火墙。事实上，“下一代防火墙”，本身就是一个疾病句，我想问“下一代防火墙”出来后应该叫什么?

最近听到的消息，网上，已经是360买了，我也真的想说360是真正富有的各种收购公司，只有网络安全公司，我已经知道很多，包括网络康、网神等知名厂商。

❹ 网闸的其它问题

（一）安全隔离网闸通常布置在什么位置？
安全隔离网闸通常布置在两个安全级别不同的两个网络之间，如信任网络和非信任网络，管理员可以从信任网络一方对安全隔离网闸进行管理。
（二）安全隔离网闸的部署是否需要对网络架构作调整？
采用透明方式的网闸只需要在两个网络各提供一个有效的IP地址即可。采用路由模式的网闸要求一定的改动。有的网闸支持两种连接方式。有的只支持一种。只支持路由模式的网闸就会要求对网络结构有改动。
（三）安全隔离网闸是否可以在网络内部使用？
可以，网络内部安全级别不同的两个网络之间也可以安装安全隔离网闸进行隔离。
（四）安全隔离网闸支持交互式访问吗？
鉴于安全隔离网闸保护的主要是内部网络，一旦支持交互式访问如支持建立会话，那么无法防止信息的泄漏以及内部系统遭受攻击，因此，安全隔离网闸不支持交互式访问.
（五）支持反向代理的安全隔离网闸安全吗？
支持反向代理意味着可以从非信任网络间接授权访问信任网络上的资源，一旦代理软件在安全检查或者软件实现上出现问题，那么很有可能会被黑客利用并非法存取内部资源。因此从安全性上讲，支持反向代理的安全隔离网闸不安全。
（六）如果对应网络七层协议，安全隔离网闸是在哪一层断开？
如果针对网络七层协议，安全隔离网闸是在硬件链路层上断开。
（七）安全隔离网闸支持百兆网络吗？千兆网络如何支持？
安全隔离网闸支持百兆网络，目前国内最快的可以达到120MBps。对于千兆网络，可以采用多台安全隔离网闸进行负载均衡。
（八）安全隔离网闸自身的安全性如何？
安全隔离网闸双处理单元上都采用了安全加固的操作系统，包括强制访问控制、基于内核的入侵检测等安全功能，并且该系统得到国家权威部门的认证。
（九）安全隔离网闸有身份认证机制吗？
有。安全隔离网闸在用于邮件转发和网页浏览的时候，对用户进行用户名/口令、证书认证等多种形式的身份认证。
（十）有了防火墙和IDS，还需要安全隔离网闸吗？
防火墙是网络层边界检查工具，可以设置规则对内部网络进行安全防护，而IDS一般是对已知攻击行为进行检测，这两种产品的结合可以很好的保护用户的网络，但是从安全原理上来讲，无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络，如果用户对内部网络的安全非常在意，那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。
（十一）受安全隔离网闸保护的内部网络需要不断升级吗？
安全隔离网闸首先在链路层断开，彻底切断网络连接，并仅允许仅有的四种指定静态数据进行交换，对外不接受请求，并且在内部用户访问外部网络时采用静态页面返回（过滤ActiveX、Java、cookie等），并且木马无法通过安全隔离网闸进行通讯，因此内部网络针对外部的攻击根本无需升级。
（十二）为什么受防火墙保护的内部网络需要不断升级？
防火墙是在网络层对数据包作安全检查，并不切断网络连接，很多案例证明无论包过滤还是代理防火墙都很难防止木马病毒的入侵内部网络，Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证，因此需要用户的内部网络不断升级自己的客户端如浏览器。
（十三）安全隔离网闸能否防止内部无意信息泄漏？
由于安全隔离网闸在数据交换时采用了证书机制，对所有的信息进行证书验证，因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。
（十四）使用安全隔离网闸时需要安装客户端吗？
有的网闸管理员使用通用的浏览器即可对其进行管理配置，使用安全隔离网闸时不需安装其他客户端。 但是这种方式具有极大的安全风险，因为远程连接会引入安全威胁，而这种对于控制口的攻击更为严重。所以安全性要求高的网闸，不允许通过远程进行配置，只允许通过专有的配置程序，也就是客户端通过串口进行配置。一些重要部门均不允许对网闸具有远程配置的功能。
（十五）安全隔离网闸接受外来请求吗？
不接受，安全隔离网闸上的数据交换全部由管理员来进行配置，其所有的请求都由安全隔离网闸主动发起，不接受外来请求，不提供任何系统服务。 如果接受远程配置，就会接受外来的请求，造成严重的安全问题。
（十六）安全隔离网闸是否支持所连接的两个网络的网段地址相同？
支持。
（十七）安全隔离网闸的主机系统是否经过安全加固？
由于从网络架构上来讲，安全隔离网闸是处在网关的位置，因此其自身安全性非常重要，两个处理单元 加固包括硬件加固、操作系统加固以及协议的加固。详情见扩展阅读3.
（十八）安全隔离网闸采用什么样的接口？有几个接口？
安全隔离网闸通常提供2个标准以太网百兆接口。
（十九）安全隔离网闸如何管理，支持远程管理吗？
安全性高的安全隔离网闸不支持远程管理。
（二十）安全隔离网闸适用于大规模的部署吗？
安全隔离网闸的安全部署不需对现有网络作调整，同时支持多台冗余
（二十一）安全隔离网闸适用于什么样的场合？
如果用户的网络上存储着重要的数据、运行着重要的应用，通过防火墙等措施不能提供足够高的安全性保护的情况下，可以考虑使用安全隔离网闸。
（二十二）安全隔离网闸直接转发IP包吗？
否。安全隔离网闸从不直接或者间接地转发IP包形式的数据。安全隔离网闸的安全性体现在链路层断开，直接处理应用层数据，对应用层数据进行内容检查和控制，在网络之间交换的数据都是应用层的数据。如果直接转发IP的话，由于单个IP包中一般不包含完整的应用数据，所以无法进行全面的内容检查和控制，也就无法保证应用层的安全。因此，如果直接转发IP包，则背离了安全隔离网闸的安全性要求，不能称为安全隔离网闸。

❺ 网闸，路由器和前置机之间怎么配置

路由器
只要完成路由学习，并按自己的路由表来转发数据的，这个数据可以是IP,也可以是IPX等。它主要转发我们常说的“数据包”。而且它有多种接口，可以连接不同的物理线路，比如以太网，ATM,E1,DDN，Frame relay等等。还可以拨号，做VPN。当然了，还支持很多的高级特性。

硬件防火墙
防火墙主要是保护网络安全的，可以对进入的数据包进行检查，来自己定义的规则来处理，比如那些接受并转发，那些丢掉。具体用的技术太多了。。。做ACL了，做inspection，做TCP代理等等。

网闸
主要功能有，切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。

交换机
我们说的交换机一般指以太网交换机，主要是根据自己学习到的MAC地址表来转发数据帧的。
当然了，真是传统的2层交换机，三层交换机有很多路由器的功能，可以跑路由协议，转发IP数据包，做ACL等等。但是支持的介质很单一，一般以太网交换机只支持以太网。。。ATM交换机支持ATM等。