TIPTOP隔離網閘映射訪問配置案例2009-4-7版權聲明本手冊中的內容是TIPTOP隔離網閘映射訪問配置案例。本手冊的相關權力歸深圳市利譜信息技術有限公司所有。手冊中的任何部分未經本公司許可，不得轉印、影印或復印。?2005-2007深圳市利譜信息技術有限公司ShenzhenTiptopInformationTechnologyCo.,Ltd -Allrightsreserved.TIPTOP隔離網閘映射訪問配置案例本手冊將定期更新，如欲獲取最新相關信息，請訪問公司網站：您的意見和建議請發送至深圳市利譜信息技術有限公司地址：深圳市福田區泰然工業園泰然四路210棟東座7B電話：0郵編:518040傳真：8網址：電子信箱網絡拓撲 錯誤!未定義書簽。客戶需求 錯誤!未定義書簽。網絡配置 錯誤!未定義書簽。內網網絡端口一配置 錯誤!未定義書簽。外網網絡端口一配置 錯誤!未定義書簽。網閘具體配置 錯誤!未定義書簽。需求一FTP服務器的訪問配置 錯誤!未定義書簽。FTP訪問規則配置 錯誤!未定義書簽。透明方式訪問FTP 錯誤!未定義書簽。網關模式訪問數據庫 錯誤!未定義書簽。映射模式訪問數據庫 錯誤!未定義書簽。需求二WEB訪問端口自定義協議轉換配置 錯誤!未定義書簽。WEB訪問配置規則 錯誤!未定義書簽。透明方式訪問數據庫 錯誤!未定義書簽。網關模式訪問數據庫 錯誤!未定義書簽。映射模式訪問數據庫 錯誤!未定義書簽。1網絡拓撲PC1H3C（24口）交換機客戶端2/24WEB服務器03FTP服務器23管理機PC1H3C（24口）交換機客戶端2/24WEB服務器03FTP服務器23管理機外端網口3/24客戶端2/24客戶端3/24客戶端3/24內端網口一/24安全隔離與信息交換系統說明：1網閘的內網管理端口地址默認為:，如果與已有網絡沖突可以在管理界面上進行更改。2管理主機為PC3,其地址要求與網閘的管理端口（內端網口一）地址在同一個網段。3管理主機與網閘的內網管理端口相連接，其管理登陸地址為：用戶名為：admin密碼為：admin注意：管理主機要使用管理端口進行管理時必須使用加密key才可以使用。2客戶需求TCP訪問需求一：FTP服務器的訪問。內網主機通過訪問規則不使用代理方式可以直接訪問外網的FTP服務器。需求二：WEB服務器瀏覽端口自定義協議轉換內網主機通過IE瀏覽器，，訪問到外網的服務器基于tcp80端口的WEB服務3網絡配置3.1內網網絡端口一配置默認ip地址為： 子網掩碼：如需修改按如下方法配置：在左邊窗口中選擇“網閘網絡設置”->“內網網絡參數設置”，系統顯示以下界面內網網絡端口配置在上面的相應項輸入網閘內網網絡的ip地址及其它網絡設置，網閘內端機上有三個網絡接口（標準配置），可連接三個不同的內網網段。如果內端機還有更多的網絡接口，可以繼續添加。（注：設置的該內端機ip必須是合法的未被占用的ip）3.2外網網絡端口一配置默認ip地址為： 子網掩碼：如需修改按如下方法配置：在左邊窗口中選擇“網閘網絡設置”->“外網網絡參數設置”，系統顯示以下界面：在上面的相應項輸入網閘外網網絡的ip地址，外網網絡的ip地址與內網網絡的ip地址沒有關聯，外端機上也有三個網絡接口（標準配置），可連接三個不同的外網網段。4網閘具體配置4.1需求一FTP服務器的訪問配置4.1.1FTP訪問規則配置網閘其他服務設置一網絡映射與路由設置系統顯示如下界面：該項功能提供各種復雜環境下內外網之間的數據庫訪問。網絡映射和路由設置有三種工作方式：透明模式、網關模式和映射方式：透明模式：提供內（外）網到外（內）網的透明代理（TransparentProxy）訪問，這種模式下保留源地址的真實IP，訪問時訪問真實目的IP。網關模式：提供內（外）網到外（內）網通過網關模式NAT）訪問，這種模式下所有的源地址經過7SNAT（源地址轉換）。映射方式：提供內（外）網到外（內）網通過映射方式（PNAT）訪問，這種模式把目的ip和端口轉化外網閘外（內）端的虛擬IP,訪問時訪問映射的虛擬IP。注釋：（透明模式：提供內（外）網到外（內）網的透明訪問，這種模式下網閘對內外網的主機是透明的。映射方式：提供內（外）網到外（內）網的都通過內網或外網的接口的訪問或接受服務，這種模式下，對內外網的主機相互之間都是不可見的。通過網閘來提供或者接受服務。網關模式：提供內（外）網到外（內）網的統一接口的訪問，這種模式下內網的主機對外網來說都是不可見的，內（外）網（即訪問源）都通過網閘向外訪問服務。）透明方式訪問FTP網閘其他服務設置一網絡映射與路由設置一添加新任務 協議類型：FTP設置方式如下圖表示：在內網機器上，使用已有的FTP用名密碼直接訪問外網FTP的服務器注意：此方式訪問時內網機器的網關必須指向網閘的內網口一，外網的機器的網關必須指向外網口一。解釋： 訪問過程數據包走向為：源IP（內網客戶端主機，可缺省）一入口設備（即為網閘的內網網卡一，不可缺省）一出口設備（即為網閘的外網網卡一，不可缺省）一目的IP（所要訪問的外網數據庫IP，不可缺省）源IP若加了限定則表明訪問時只能限定在IP為（掩碼根據需要也可不加）這一個段的機器上對目的^為的FTP進行訪問，可缺省。源端口是指限定訪問機器的源訪問端口，可缺省。內網網關接口是指當內網的客戶端（源IP主機）與入口設備不在同一個網段需要經過路由時添加的如下圖：表明為一個連接與網閘的內網端的路由設備IP.入口設備表示數據包進入網閘的網絡接口，不可缺省。入口設備IP為數據包進入網閘入口設備時使用的IP，可缺省。入口設備端口表示數據包經過網閘入口設備是走的端口，可缺省。出口設備表示數據包轉發出網閘的網絡接口，不可缺省。出口設備IP為數據包轉發出網閘出口設備時使用的IP，可缺省。出口設備端口表示數據包經過網閘出口設備是走的端口，可缺省。外網網關接口指當外網的目的端（目的IP主機）與出口設備（即網閘外端IP）不在同一個網段需要經過路由時添加的如下圖：表明為一個連接目的IP為與網閘的外網端的路由設備的IP。目的端口為訪問目的主機的數據庫端口，如FTP服務端口為21，不可缺省目的IP為訪問的目的數據庫IP，不可缺省。網關模式訪問數據庫網閘其他服務設置一網絡映射與路由設置一添加新任務 協議類型：FTP設置方式如下圖表示：在內網機器上，使用已有的FTP用戶名密碼直接訪問外網FTP的服務器注意：此方式訪問時內網機器的網關必須指向網閘的內網口一解釋： 訪問過程數據包走向為：源IP（內網客戶端主機，可缺省）一入口設備（即為網閘的內網網卡一，不可缺省）一出口設備（即為網閘的外網網卡一，不可缺省）一目的IP（所要訪問的外網FTP服務器IP，不可缺省）源IP若加了限定則表明訪問時只能限定這一個段的機器上對目的^為的數據庫進行訪問，可缺省。源端口是指限定訪問機器的源訪問端口，可缺省。內網網關接口是指當內網的客戶端（源IP主機）與入口設備不在同一個網段需要經過路由時添加的如下圖:表明為一個連接與網閘的內網端的路由設備IP.入口設備表示數據包進入網閘的網絡接口，不可缺省。入口設備IP為數據包進入網閘入口設備時使用的IP，不可缺省。入口設備端口表示數據包經過網閘入口設備是走的端口，不可缺省。出口設備表示數據包轉發出網閘的網絡接口，不可缺省。出口設備IP為數據包轉發出網閘出口設備時使用的IP，可缺省。出口設備端口表示數據包經過網閘出口設備是走的端口，可缺省。外網網關接口指當外網的目的端（目的IP主機）與出口設備（即網閘外端IP）不在同一個網段需要經過路由時添加的如下圖:表明為一個連接目的IP為與網閘的外網端的路由設備的IP。目的端口為訪問目的主機的數據庫端口，如FTP為21，不可缺省目的IP為訪問的目的數據庫IP，不可缺省。映射模式訪問數據庫網閘其他服務設置一網絡映射與路由設置一添加新任務 協議類型：FTP設置方式如下圖表示在內網機器上，使用已有的FTP用戶名密碼直接訪問映射后的IP，就相當于訪問的是外網FTP的服務器。解釋： 訪問過程數據包走向為：源IP（內網客戶端主機，可缺省）一入口設備（即為網閘的內網網卡一，不可缺省）一出口設備（即為網閘的外網網卡一，不可缺省）一目的IP（所要訪問的外網數據庫IP，不可缺省）源IP若加了限定則表明訪問時只能限定IP與之相同的機器上對目的^為的FTP進行訪問，可缺省。源端口是指限定訪問機器的源訪問端口，可缺省。內網網關接口是指當內網的客戶端（源IP主機）與入口設備不在同一個網段需要經過路由時添加的如下圖:表明為一個連接與網閘的內網端的路由設備IP.入口設備表示數據包進入網閘的網絡接口，即也就是將目的IP地址映射到入口IP地址上，訪問的目的IP的時候實際上是訪問入口設備IP這個地址，不可缺省。入口設備IP為數據包進入網閘入口設備時使用的IP，也就是將目的IP映射到內網的入口設備IP上，不可缺省。入口設備端口表示數據包經過網閘入口設備是走的端口，也就是將目的端口映射到內網的入口設備端口，不可缺省。出口設備表示數據包轉發出網閘的網絡接口，不可缺省。出口設備IP為數據包轉發出網閘出口設備時使用的IP，不可缺省。出口設備端口表示數據包經過網閘出口設備是走的端口，可缺省。外網網關接口指當外網的目的端（目的IP主機）與出口設備（即網閘外端IP）不在同一個網段需要經過路由時添加的如下圖:表明為一個連接目的IP為與網閘的外網端的路由設備的IP。目的端口為訪問目的主機的FTP服務器端口，口FTP為21，不可缺省目的IP為訪問的目的數據庫IP，不可缺省。4.2需求二WEB訪問端口自定義協議轉換配置4.2.1WEB訪問配置規則網閘其他服務設置一網絡映射與路由設置系統顯示如下界面：該項功能提供各種復雜環境下內外網之間的數據庫訪問。網絡映射和路由設置有三種工作方式：透明模式、網關模式和映射方式：透明模式：提供內（外）網到外（內）網的透明代理（TransparentProxy）訪問，這種模式下保留源地址的真實IP，訪問時訪問真實目的IP。網關模式：提供內（外）網到外（內）網通過網關模式NAT）訪問，這種模式下所有的源地址經過7SNAT（源地址轉換）。映射方式：提供內（外）網到外（內）網通過映射方式（PNAT）訪問，這種模式把目的ip和端口轉化外網閘外（內）端的虛擬IP，訪問時訪問映射的虛擬IP。注釋：（透明模式：提供內（外）網到外（內）網的透明訪問，這種模式下網閘對內外網的主機是透明的。映射方式：提供內（外）網到外（內）網的都通過內網或外網的接口的訪問或接受服務，這種模式下，對內外網的主機相互之間都是不可見的。通過網閘來提供或者接受服務。網關模式：提供內（外）網到外（內）網的統一接口的訪問，這種模式下內網的主機對外網來說都是不可見的，內（外）網（即訪問源）都通過網閘向外訪問服務。）透明方式訪問數據庫網閘其他服務設置一網絡映射與路由設置一添加新任務 協議類型：TCP設置方式如下圖表示：在內網機器上，使用IE訪問外網WEB服務器的8000端口，來達到訪問80端口服務的目的。注意：此方式訪問時內網機器的網關必須指向網閘的內網口一，外網的機器的網關必須指向外網口一。解釋： 訪問過程數據包走向為：源IP（內網客戶端主機，可缺省）一入口設備（即為網閘的內網網卡一，不可缺省）一出口設備（即為網閘的外網網卡一，不可缺省）一目的IP（所要訪問的外網數據庫IP，不可缺省）源IP若加了限定則表明訪問時只能限定在IP為（掩碼根據需要也可不加）這一個段的機器上對目的IP為的WEB服務器進行訪問，可缺省。源端口是指限定訪問機器的源訪問端口，可缺省。內網網關接口是指當內網的客戶端（源IP主機）與入口設備不在同一個網段需要經過路由時添加的如下圖：表明為一個連接與網閘的內網端的路由設備IP..入口設備表示數據包進入網閘的網絡接口，不可缺省。入口設備IP為數據包進入網閘入口設備時使用的IP，可缺省。入口設備端口表示數據包經過網閘入口設備是走的端口，可缺省。出口設備表示數據包轉發出網閘的網絡接口，不可缺省。出口設備IP為數據包轉發出網閘出口設備時使用的IP，可缺省。出口設備端口表示數據包經過網閘出口設備是走的端口，可缺省。外網網關接口指當外網的目的端（目的IP主機）與出口設備（即網閘外端IP）不在同一個網段需要經過路由時添加的如下圖：表明為一個連接目的IP為與網閘的外網端的路由設備的IP。目的端口為訪問目的主機的數據庫端口，如FTP服務端口為21，不可缺省目的IP為訪問的目的數據庫IP，不可缺省。 網關模式訪問數據庫網閘其他服務設置一網絡映射與路由設置一添加新任務 協議類型：TCP設置方式如下圖表示：在內網機器上，使用IE訪問外網FTP的服務器即在IE輸入：注意：此方式訪問時內網機器的網關必須指向網閘的內網口一解釋： 訪問過程數據包走向為：源IP（內網客戶端主機，可缺省）一入口設備（即為網閘的內網網卡一，不可缺省）一出口設備（即為網閘的外網網卡一，不可缺省）一目的IP（所要訪問的外網FTP服務器IP，不可缺省）源IP若加了限定則表明訪問時只能限定這一個段的機器上對目的^為的數據庫進行訪問，可缺省。源端口是指限定訪問機器的源訪問端口，可缺省。內網網關接口是指當內網的客戶端（源IP主機）與入口設備不在同一個網段需要經過路由時添加的如下圖:表明為一個連接與網閘的內網端的路由設備IP.入口設備表示數據包進入網閘的網絡接口，不可缺省。入口設備IP為數據包進入網閘入口設備時使用的IP，不可缺省。入口設備端口表示數據包經過網閘入口設備是走的端口，不可缺省。出口設備表示數據包轉發出網閘的網絡接口，不可缺省。出口設備IP為數據包轉發出網閘出口設備時使用的IP，可缺省。出口設備端口表示數據包經過網閘出口設備是走的端口，可缺省。外網網關接口指當外網的目的端（目的IP主機）與出口設備（即網閘外端IP）不在同一個網段需要經過路由時添加的如下圖:表明為一個連接目的IP為與網閘的外網端的路由設備的IP。目的端口為訪問目的主機WEB服務器端口，如WEB為21，不可缺省目的IP為訪問的目的數據庫IP，不可缺省。映射模式訪問數據庫網閘其他服務設置一網絡映射與路由設置一添加新任務 協議類型：TCP設置方式如下圖表示在內網機器上，使用IE訪問映射后的IP的8000端口，就相當于訪