H3C SecPath GAP2000-BE网闸如何配置管理口地址

你好，参考这个配置

1.4.3  通过B/S方式登录网闸外端机

通过网闸外端机MAN管理口登录网闸，打开浏览器输入https://192.168.0.2，（MAN口为外端机专用管理口）

系统管理员默认账号：admin；默认密码：adminh3c

安全管理员默认账号：secrecy；默认密码：secrecyh3c

图11 外端机登录页面

1.4.4  外端机网络配置

点击“网络管理”>“IP地址管理”，选中GE0/0，点击“+”设置网闸外端系统的IP。

图12 设置外端系统IP

设置完后点“保存”退出。

图13 添加、保存外端IP设置

如果需要配置多个IP，可以继续添加，如下图：

图14 添加IP

点击“网络管理”>“路由配置”设置外端机的路由，如下图。

图15 路由管理

点击“新增路由”按钮添加路由。由于网闸是多机体系，请注意所添加的路由是在哪一端系统上的。设置完毕后点“保存”退出。

图16 添加、保存外端路由

1.4.5  通道设置

该配置在内、外端系统的安全管理员secrecy下操作

1. 外端通道配置

针对需要开放的服务，配置网闸通道，点击“通道管理”，如下图：

图17 外端机系统-通道管理

点击“添加通道”

图18 添加通道

图19 设置ServerB监听通道参数1

图20 设置ServerA监听通道参数1

2. 内端通道配置

图21 设置ServerB连接通道参数2

图22 设置ServerA连接通道参数2

通道ID=2的作用是，内网服务器Server A 192.168.10.30，其21端口的FTP服务映射到网闸外端172.16.1.11的21端口上。当外网的用户访问ftp://172.16.1.11时，网闸会将请求摆渡到内网。随后以192.168.1.10这个连接IP作为源地址，192.168.10.30作为目标地址重新封装数据包，发送给Server A。

如果监听通道不需要挂载策略，直接点击保存并启用即可，或保存后手动启用，如下图：

图23 启用通道

注意：

·     网闸默认不主动释放连接，若有业务存在客户端不释放连接的情况，需根据业务情况配置通道空闲超时时间，在连接无数据传输时，网闸主动释放连接。否则会导致连接不释放占用系统并发连接，影响业务使用。

·     内外端机同一个业务的监听通道和连接通道ID必须保持一致

1.4.6  策略设置

该配置在安全管理员secrecy下操作

每条端口类型的通道都可以对访问源IP进行限制。或者根据所选通道类型对相应内容进行过滤。这些都需要通过配置策略和挂载策略来实现。

点击“策略管理”→“客户端地址”配置源地址限制，如下图：

图24 策略-客户端地址

点击“策略管理”中的“新增”添加策略集，如下图：

图25 新增策略集

策略集有两种过滤类型，分别是“白名单”和“黑名单”，设置完后点“保存”退出。

图26 配置、保存策略集

每个策略集可以容纳多条策略，点击策略中的“新增”，设置具体策略，如下图：

图27 新增策略

图28 保存策略

按照测试环境要求，创建了一个“客户端地址”白名单策略集，其中包含网段172.16.1.0/24、188.33.0.0/24，以及终端172.16.11.250/32，如下图：

图29 策略集-允许访问源1

将策略集挂载到通道上。停用通道后，编辑通道，如下图：

图30 策略集挂载通道

选择需要挂载的策略集，在此测试环境中，仅“允许访问源1”中的三条策略对象访问此通道，即通过网闸访问内网Server A的FTP服务，Server B的FTP通道配置类似。保存后启用通道。

1.5  验证配置

通过Host A、Net B、Net C分别访问ftp://172.16.1.11和ftp://172.16.1.12。

图31 访问ftp://172.16.1.11

图32 172.16.1.11界面

图33 访问ftp://172.16.1.12

图34 172.16.1.12界面

应用都能正常访问。

通过其它访问源访问ftp://172.16.1.11和ftp://172.16.1.12。

图35 其它访问源访问ftp://172.16.1.11

图36 其它访问源访问ftp://172.16.1.12

通过其它访问源，应用都无法正常访问。