04-单向文件同步配置举例

本章节下载 (2.96 MB)

04-单向文件同步配置举例

3.4.2 H3C SecPath GAP3000接口、路由配置

3.5 文件服务器配置

3.5.1 文件服务器为Linux系统

3.5.2 文件服务器为Windows系统

1 文件同步模块介绍

文件同步模块专用于解决隔离两网服务器之间的文件传输难题。能够提供比普通文件传输协议更安全的传输途径。避免黑客借助应用层文件传输协议漏洞，攻击内部网络。

2 配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解H3C SecPath GAP3000特性和文件同步系统功能。

3 配置指导

3.1 测试准备

PC、H3C安全隔离与信息单向导入系统（H3C SecPath GAP3000）、SW（交换机）、文件服务器。

3.2 组网需求

如3-1所示，HOST1和HOST2为文件服务器。现有以下组网需求：

将外端侧文件服务器的文件单向导入到内端侧文件服务器中，实现外网到内网文件自动安全单向导入。

图3-1 文件同步配置组网图

3.3 使用版本

此单向文件同步配置在H3C i-Ware Software, Version 3.1, ESS 6001版本实现。

3.4 连通性配置

3.4.1 组网环境配置

配置HOST1、HOST2、管理PC、SW互联口，在HOST2上配置184.0.0.0/24网段到113.1.1.0/24网段的路由，下一跳地址184.0.0.1。

3.4.2 H3C SecPath GAP3000接口、路由配置

图3-2 配置内端机GE0-0地址

图3-3 配置外端机GE0-0地址

在H3C SecPath GAP3000外端机上配置113.1.1.0/24网段到184.0.0.0/24网段的路由。

图3-4 新增路由

3.5 文件服务器配置

以配置文件服务器的SMB服务为例，在内外端文件服务器进行相同配置。

3.5.1 文件服务器为Linux系统

使用root用户ssh登录文件服务器

1. 安装smb服务

yum -y install samba samba-client cifs-utils

文件服务器yum安装需要服务器联网，并且服务器支持yum，也可用安装包方式安装。如已安装可忽略此步骤。

2. 创建文件同步目录并赋权

mkdir /smb #此目录为测试用，可根据实际情况配置需要同步的目录，赋权即可

chmod -R 777 smb

3. 修改smb配置文件

vi /etc/samba/smb.conf

在最后添加新一段：

[smb]

path=/smb #此目录与第2步配置相同

browseable=yes

Writable=yes

Public=no

Valid users=smb

4. 添加smb用户

useradd smb

smbpasswd -a smb

图3-5 添加smb用户

5. 开启smb服务

Samba服务开启：service smb start

图3-6 开启smb服务

Samba服务状态：service smb status

图3-7 查看smb服务状态

Samba服务开机启动：chkconfig smb on

6. 验证smb服务是否创建成功

使用与文件服务器可连通的PC，打开资源管理器，输入\\22.1.1.80连接，可以打开smb目录即可。

图3-8 访问共享目录

3.5.2 文件服务器为Windows系统

1. 创建文件同步目录

在C盘创建smb文件夹，或使用已有的文件目录。

2. 添加目录权限

右键文件夹smb ，选择“共享”>“特定用户”。

图3-9 选择特定用户

在文件共享对话框中，点击下拉框，选择指定用户，一般情况下选择“smb”点击“添加”。

图3-10 添加smb用户

在smb出现后，选择赋予“读/写”权限。

图3-11 Smb用户赋予读写权限

点击“共享”退出保存。

图3-12 共享完成

3. 验证是否创建成功

打开资源管理器，输入\\22.1.1.80连接，可以打开smb目录即可。

图3-13 访问共享目录

3.6 文件同步通道配置

3.6.1 创建文件同步通道-内端机

登录secrecy用户，依次点击：文件同步管理>文件同步通道>添加，添加文件同步通道如下：

图3-14 配置内端机通道

表3-1 参数说明

参数	说明	注意事项
通道名称	通道的唯一标识	需和后置通道名称一样，接收端才有效
协议类型	有5种协议类型，ftp，smb，sftp，nfs，ftpserver选择配置	注意用户权限，中文文件权限，文件所属用户权限组。 Ftpserver需要开启通道和admin下ftp服务，添加本地服务用户。共享目录中的文件数目有限制，其中windows下nfs和sftp方式不能超过5千个，smb、ftp方式不能超过10万个；linux方式，smb、nfs、sftp、ftp方式均为10万个
协议版本	针对不同服务器，提供单向H3C SecPath GAP3000系列设备协议版本选择	支持nfs，smb 可能出现一些特殊服务器，选择单向H3C SecPath GAP3000系列设备协议不传输情况，需换另外一种协议版本
用户名	访问服务器的用户名	Nfs不需要填写
密码	访问服务器的密码	Nfs不需要填写
ip	发送同步文件的服务器的IP	Ftpserver不需要填写，地址为管理ip
端口	发送同步文件的服务器的监听端口	Nfs，ftpserver不需要填写
共享目录	发送同步文件的服务器的监听目录
文件落地	选择是否为落地模式	文件大小≤1MB（1048576）为小文件，选择是否落地无影响，都为落地。范围外都为大文件，选择落地，外端机接收文件再传至目标端。选择不落地，直接通过外端机传输至目标端
调度时间（毫秒）	文件扫描时间(建议使用1000ms以上)	仅外端机需要配置
源端操作类型	“移动”为同步完成后删除源文件；“复制”为同步完成后源文件不删除	仅外端机需要配置
是否删除空目录	只在移动模式下显示，选择是否删除源端空目录
是否启用病毒文件过滤	选择是，为病毒管理，病毒库文件过滤
过滤模式	不启用过滤，既不挂载策略，正常传输。白名单模式，只允许勾选下列过滤格式的文件传输。黑名单模式，勾选下列过滤格式的文件不允许传输
主被动模式	只支持ftp，ftpserver协议类型被动模式
字符集	只支持FTP，FTPserver协议类型，常用字符集GBK，UTF-8，以及其它存在的字符集填写（请选择或填写与服务器相同的字符集）	传输文件出现乱码情况，请核对服务器配置的字符集、传输的文件是否与H3C SecPath安全隔离与信息单向导入系统配置一致
挂载文件同步策略	策略类型：文件名过滤、文件类型过滤、文件内容关键字过滤、文件大小过滤、文件长度过滤。可以选择：