• 首页
• 产品目录
  • 加密产品
    • 标准版
    • 标准版+
    • 专业版
  • 商用安全产品
    • 数据服务器
    • 安全U盘
    • Web 防篡改系统
  • 企业防泄密系统
    • 设计经典版
    • 管理平台版
    • 至尊企业版
• 解决方案
• 服务与支持
  • 在线支持
  • 软件下载
• 保密技术
• 关于我们

　　由于secWall加密系统不能直接在Linux中加密端口，在做Linux的保密方案时一般会选择设置一台代理服务器。在代理服务器上将Linux的服务端口代理出来，在代理服务器上做加密设置即可。

　　网络架构图如下：

一、ssh服务

1、netsh设置22端口的转发服务

　　我们的Linux服务器IP地址是172.16.1.100，Windows代理与办公网络连接的网卡IP是192.168.1.141，另一块与Linux服务器连接的网卡IP地址是172.16.1.115。通过netsh设置端口转发：

　　C:\> netsh interface portproxy add v4tov4 listenport=22 listenaddress=192.168.1.141 connectport=22 connectaddress=172.16.1.100

　　22是ssh的服务端口

　　设置转发后，用户访问192.168.1.141机器的22端口时会自动转到172.16.1.100的机器上。

2、设置连接涉密和端口加密

　　在客户端将代理服务器设置为可信安全区域，确保客户端和服务器之间可以正常通讯。勾选“连接涉密”选项，设置ssh服务是涉密的，从这个服务获取 的数据会被自动加密（“落地加密”的效果）。

　　为了防止未安装加密客户端的用户直接连接到服务器取走机密数据，还需要在服务器端设置端口加密。

　　为服务器开设一个独立的加密用户server，双击server用户选择高级设置，在远程管理中将22端口设置为加密端口。

　　设置完成后，服务器端需要以server用户登录加密。这样，没有正常登录加密的客户端就不能通过ssh访问服务器了。

二、svn服务

1、netsh设置端口转发

　　通过netsh转发svn服务的设置参考网站上的文章《使用secWall端口加密控制IP Helper转发的Linux SVN服务》

2、端口加密与客户端数据自动加密

　　参照上文ssh服务的设置，将ssh的端口号改成svn的服务端口号即可。

3、将指定的浏览器设置成涉密浏览器

　　有的用户是通过浏览器来访问svn的，浏览器在默认设置中都是隔离应用，在svn加密后就无法正常访问了。需要将指定的浏览器设置为涉密浏览器才能访问。

　　例：客户将IE指定为访问svn专用浏览器，chrome浏览器是正常访问外网的。

　　操作步骤如下：

　　进入集控服务管理器，选择“文件”→“编辑安全策略”→“全局策略”→“网络应用进程”→“浏览器”，找到IE的进程“iexplore.exe”，将其删除后点击确定即可。

　　设置完成后，IE默认就是涉密连接的了，用户可以用它直接访问SVN服务器。

三、ftp/sftp服务

　　被动式FTP无法通过简单代理转发，如果使用FTP服务，建议将FTP服务直接转移到代理服务器上使用。

1、设置连接涉密和端口加密

　　与ssh同样的方法设置可信安全区域和端口加密。

　　另外需要注意的是，由于大多数ftp在传输数据的时候使用的是动态端口（被动式ftp），所以在设置可信安全区域的时候还需要勾选“被动连接”选项。被动连接指示在主端口建立连接后允许同一目标的动态端口连接。

四、Samba服务

1、netsh设置端口转发

　　C:\> netsh interface portproxy add v4tov4 listenport=139 listenaddress=192.168.1.141 connectport=139 connectaddress=172.16.1.100

　　139是Linux中SAMBA服务的端口。

　　注意如果要使用139端口代理，首先要关闭代理服务器本身的文件和打印共享服务，同时还要关闭NetBIOS，保证本地139端口不被占用。

　　SAMBA服务和别的服务不同的是不需要设置可信安全区域和端口加密，客户端可以直接加密服务器上的文件。

　　如果用户需要让上传到服务器的文件自动解密，则需要在策略中设置文件系统安全区域。

　　进入策略编辑后选择“文件系统安全区域”，点击“添加”按钮输入共享文件夹路径后点击确定即可。

　　文件系统安全区域应该和端口加密配合使用，代理服务器上应该设置Samba端口为涉密端口，防止未授权客户端直接访问Samba服务。