咨询热线:0510-8229-3900
 
                   
   
安全方案
Linux服务器常用服务的加密方案
SolidWorks Enterprise PDM 加密方案
文件服务器部署方案之七:特定系统中的托管模式
文件服务器部署方案之六:与系统防火墙组合使用
文件服务器部署方案之五:网关控制模式
文件服务器部署方案之四:不同系统互联代理服务器模式
文件服务器部署方案之三:透明文件服务器模式
文件服务器部署方案之二:简单共享
文件服务器部署方案之一:概览
Rgs功能简介及加密方案之二:和secWall的结合应用
Rgs功能简介及加密方案之一:RGS功能简介
secWall反截屏技术详解
VPS解决方案:使用USB for Remote Desktop
泛微OA系统secWall保密方案之三:secWall与泛微OA的工作流集成
泛微OA系统secWall保密方案之二:客户端部署
泛微OA系统secWall保密方案之一:服务器端部署
瑞友天翼虚拟化应用保密方案
基于web访问的加密方案
SVN跨平台部署方案之三:可信安全区域
SVN跨平台部署方案之二:端口加密
更多>>
 
Linux服务器常用服务的加密方案
万华数据

  由于secWall加密系统不能直接在Linux中加密端口,在做Linux的保密方案时一般会选择设置一台代理服务器。在代理服务器上将Linux的服务端口代理出来,在代理服务器上做加密设置即可。

  网络架构图如下:

一、ssh服务

1、netsh设置22端口的转发服务

  我们的Linux服务器IP地址是172.16.1.100,Windows代理与办公网络连接的网卡IP是192.168.1.141,另一块与Linux服务器连接的网卡IP地址是172.16.1.115。通过netsh设置端口转发:

  C:\> netsh interface portproxy add v4tov4 listenport=22 listenaddress=192.168.1.141 connectport=22 connectaddress=172.16.1.100

  22是ssh的服务端口

  设置转发后,用户访问192.168.1.141机器的22端口时会自动转到172.16.1.100的机器上。

2、设置连接涉密和端口加密

  在客户端将代理服务器设置为可信安全区域,确保客户端和服务器之间可以正常通讯。勾选“连接涉密”选项,设置ssh服务是涉密的,从这个服务获取 的数据会被自动加密(“落地加密”的效果)。

  为了防止未安装加密客户端的用户直接连接到服务器取走机密数据,还需要在服务器端设置端口加密。

  为服务器开设一个独立的加密用户server,双击server用户选择高级设置,在远程管理中将22端口设置为加密端口。

  设置完成后,服务器端需要以server用户登录加密。这样,没有正常登录加密的客户端就不能通过ssh访问服务器了。

二、svn服务

1、netsh设置端口转发

  通过netsh转发svn服务的设置参考网站上的文章《使用secWall端口加密控制IP Helper转发的Linux SVN服务》

2、端口加密与客户端数据自动加密

  参照上文ssh服务的设置,将ssh的端口号改成svn的服务端口号即可。

3、将指定的浏览器设置成涉密浏览器

  有的用户是通过浏览器来访问svn的,浏览器在默认设置中都是隔离应用,在svn加密后就无法正常访问了。需要将指定的浏览器设置为涉密浏览器才能访问。

  例:客户将IE指定为访问svn专用浏览器,chrome浏览器是正常访问外网的。

  操作步骤如下:

  进入集控服务管理器,选择“文件”→“编辑安全策略”→“全局策略”→“网络应用进程”→“浏览器”,找到IE的进程“iexplore.exe”,将其删除后点击确定即可。

  设置完成后,IE默认就是涉密连接的了,用户可以用它直接访问SVN服务器。

三、ftp/sftp服务

  被动式FTP无法通过简单代理转发,如果使用FTP服务,建议将FTP服务直接转移到代理服务器上使用。

1、设置连接涉密和端口加密

  与ssh同样的方法设置可信安全区域和端口加密。

  另外需要注意的是,由于大多数ftp在传输数据的时候使用的是动态端口(被动式ftp),所以在设置可信安全区域的时候还需要勾选“被动连接”选项。被动连接指示在主端口建立连接后允许同一目标的动态端口连接。

四、Samba服务

1、netsh设置端口转发

  C:\> netsh interface portproxy add v4tov4 listenport=139 listenaddress=192.168.1.141 connectport=139 connectaddress=172.16.1.100

  139是Linux中SAMBA服务的端口。

  注意如果要使用139端口代理,首先要关闭代理服务器本身的文件和打印共享服务,同时还要关闭NetBIOS,保证本地139端口不被占用。

  SAMBA服务和别的服务不同的是不需要设置可信安全区域和端口加密,客户端可以直接加密服务器上的文件。

  如果用户需要让上传到服务器的文件自动解密,则需要在策略中设置文件系统安全区域。

  进入策略编辑后选择“文件系统安全区域”,点击“添加”按钮输入共享文件夹路径后点击确定即可。

  文件系统安全区域应该和端口加密配合使用,代理服务器上应该设置Samba端口为涉密端口,防止未授权客户端直接访问Samba服务。



分享到:


  关于我们|联系方式|资质认证|站点地图|职位招聘|建议与投诉  
地址:江苏省无锡市梁溪区锡澄路260-1号圆融发展中心17F  邮编:214031 总机:(0510)82293900 传真:(0510)82702019
版权所有 © 2003-2019 无锡万华数据科技有限公司
苏ICP备05009260号
苏公网安备 32020202000075号