- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-单向FTPserver配置举例
本章节下载 (2.52 MB)
文件同步管理模块下的FTP server协议类型专用于解决隔离两网之间的文件传输难题。H3C SecPath GAP3000两端系统可以当作服务端使用,传输基于FTP协议,能够提供比普通文件传输协议更安全的传输途径。避免黑客借助应用层文件传输协议漏洞,攻击内部网络。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解H3C SecPath GAP3000特性和文件同步系统功能。
PC、H3C安全隔离与信息单向导入系统(H3C SecPath GAP3000)、SW(交换机)、文件客户端HOST1和HOST2。
如3-1所示,HOST1和HOST2为文件客户端。现有以下组网需求:
将H3C SecPath GAP3000外端机上的server中的文件单向导入到内端机上的server中,实现外网到内网文件自动安全的单向导入。
图3-1 文件同步配置组网图
此单向文件同步FTP server协议类型配置在H3C i-Ware Software, Version 3.1, ESS 6001版本实现。
配置HOST1、HOST2、管理PC、SW互联口,在HOST2上配置184.0.0.0/24网段到113.1.1.0/24网段的路由,下一跳地址184.0.0.1。
登录admin用户,依次点击:网络管理>IP地址管理>GE0-0>添加,添加内端机IP地址如下:
图3-2 配置内端机GE0-0地址
登录admin用户,依次点击:网络管理>IP地址管理>GE0-0>添加,添加外端机IP地址如下:
图3-3 配置外端机GE0-0地址
依次点击:网络管理>路由管理>添加,添加外端机GE0-0 113.1.1.0/24网段到184.0.0.0/24网段的路由。
图3-4 新增路由
登录内端机admin用户,系统设置>服务管理,FTP服务点击“启用”按钮,开启内端机FTP服务。
图3-5 内端机FTP服务开启
登录外端机admin用户,系统设置>服务管理,FTP服务点击“启用”按钮,开启外端机FTP服务。
图3-6 外端机FTP服务开启
登录secrecy用户,依次点击:本地服务用户>添加,添加内端机本地服务用户管理如下:
图3-7 配置内端机本地服务用户管理
图3-8 配置参数
点击保存,添加成功:
图3-9 内端机本地服务用户添加成功
登录secrecy用户,依次点击:文件同步管理>文件同步通道>添加:
图3-10 添加内端机文件同步通道
图3-11 配置内端机通道
|
参数 |
说明 |
注意事项 |
|
通道名称 |
通道的唯一标识 |
需和外端通道名称一样,内端才有效 |
|
协议类型 |
有5种协议类型,ftp,smb,sftp,nfs,ftpserver选择配置 |
注意用户权限,中文文件权限,文件所属用户权限组。 Ftpserver需要开启通道和admin下ftp服务,添加本地服务用户。 共享目录中的文件数目有限制,其中windows下nfs和sftp方式不能超过5千个,smb、ftp方式不能超过10万个;linux方式,smb、nfs、sftp、ftp方式均为10万个 |
|
用户名 |
访问服务器的用户名 |
Nfs不需要填写 |
|
密码 |
访问服务器的密码 |
Nfs不需要填写 |
|
共享目录 |
发送同步文件的服务器的监听目录 |
|
|
文件落地 |
选择是否为落地模式 |
文件大小≤1MB(1048576)为小文件,选择是否落地无影响,都为落地。范围外都为大文件,选择落地,外端机接收文件再传至目标端。选择不落地,直接通过外端机传输至目标端 |
图3-12 连接测试
点击保存并启用,添加成功。
图3-13 添加成功
登录secrecy用户,依次点击:本地服务用户>添加,添加外端机本地服务用户管理如下
图3-14 配置外端机本地服务用户管理 
图3-15 配置参数
点击保存,添加成功:
图3-16 外端机本地服务用户添加成功
登录secrecy用户,依次点击:文件同步管理>文件同步通道>添加:
图3-17 添加外端机文件同步通道
图3-18 配置外端机通道
表3-2 参数说明
|
参数 |
说明 |
注意事项 |
|
通道名称 |
通道的唯一标识 |
需和内端通道名称一样,外端机才有效 |
|
协议类型 |
有5种协议类型,ftp,smb,sftp,nfs,ftpserver选择配置 |
注意用户权限,中文文件权限,文件所属用户权限组。 Ftpserver需要开启通道和admin下ftp服务,添加本地服务用户。 共享目录中的文件数目有限制,其中windows下nfs和sftp方式不能超过5千个,smb、ftp方式不能超过10万个;linux方式,smb、nfs、sftp、ftp方式均为10万个 |
|
用户名 |
访问服务器的用户名 |
Nfs不需要填写 |
|
密码 |
访问服务器的密码 |
Nfs不需要填写 |
|
共享目录 |
发送同步文件的服务器的监听目录 |
|
|
调度时间(毫秒) |
文件扫描时间(建议使用1000ms以上) |
|
|
源端操作类型 |
“移动”为 同步完成后删除源文件;“复制”为 同步完成后 源文件不删除 |
|
|
是否删除空目录 |
只在移动模式下显示,选择是否删除源端空目录 |
|
|
是否启用病毒文件过滤 |
选择是,为病毒管理,病毒库文件过滤 |
|
|
过滤模式 |
不启用过滤,既不挂载策略,正常传输。白名单模式,只允许勾选下列过滤格式的文件传输。黑名单模式,勾选下列过滤格式的文件不允许传输 |
|
|
挂载文件同步策略 |
策略类型:文件名过滤、文件类型过滤、文件内容关键字过滤、文件大小过滤、文件长度过滤。 可以选择:
|
|
表3-3 连接测试
点击测试连接,测试连接成功。
图3-19 连接测试
点击保存并启用,添加成功。
图3-20 添加成功
在HOST1和HOST2上,均装上文件客户端工具,本典配以FileZilla为例。
HOST2通过FileZilla FTP客户端连接到H3C SecPath GAP3000外端机GE0-0口。
图3-21 连接外端机FTP server成功
· 管理口和业务口上的任意地址均可用于登录外端机系统上的ftp-server服务。
HOST1通过FileZilla FTP客户端连接到H3C SecPath GAP3000内端机GE0-0口。
图3-22 连接内端机FTP server成功
· 管理口和业务口上的任意地址均可用于登录内端机系统上的ftp-server服务。
图3-23 上传测试文件成功
图3-24 接收测试文件成功
打开系统日志审计>文件传输日志(内外端均可查看)。
图3-25 外端文件传输日志
图3-26 内端文件传输日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
