概述

安全隔离与信息交换系统，简称网闸。网闸常见的硬件组成是“2+1”架构，即硬件由内网机、外网机和一个隔离交换模块组成。本期文章，结合实际应用案例，总结分享天融信安全隔离与信息交换系统的代理安全策略。

代理功能应用场景

组网拓扑及IP地址规划分配如下图所示。设置SW2设备上无回执192.168.100.0/24路由的条件下，实现PC1可SSH远程访问Ser1的目标。

代理功能应用配置示例

网闸代理安全策略实现的基本思路：PC1仅能通过三层路由访问到外网机IP和端口，外网机把该访问递交给内网机，内外机以自身的IP代理PC1的IP访问Ser1的SSH服务。

代理安全策略配置

关于交换机的配置，网闸内网机、外网机接口IP、路由和资源管理等基础配置，在此不做赘述，重点说明网闸代理安全策略的配置。待配置代理安全策略前，网闸内网机需要测试访问Ser1的SSH服务端口。测试方式，依次点击，系统管理->系统诊断->内端机->TCP，然后，在诊断地址中输入Ser1的IP，在目的端口中输入SSH服务的端口，最后点击开始诊断，如下图所示；若有返回数据，说明网闸内网机可正常访问Ser1的SSH服务。

配置代理安全策略，依次点击，安全策略->访问控制->“外->内”->添加->其他->TCP-ANY，如下图所示；

在打开“添加”页面，如下图所示；

名称——必填项，自定义，符合要求即可；

接入模式——代理；

源地址——设置为PC1的IP；

代理-地址——必填项，设置为网闸外网机IP，即10.1.100.2；

代理-端口——必填项，可自定义，此处填写端口3022；

目的-地址——必填项，设置为Ser1的IP；

目的-端口——必填项，设置为Ser1 SSH服务的端口，此处填写端口22；

其他-出口IP——必填项，设置为网闸内网机IP，即10.1.200.2；

其他-访问控制日志——选择“记录”；

最后，点击确定。

PC1访问测试

在PC1上，利用SSH登陆工具，如putty，输入登陆的IP是网闸外网机IP，即10.1.100.2，端口号则是3022，如下图所示。

总结

以上总结，希望各位小伙伴有所收获，不足之处，欢迎留言指正。

好了，这篇文章的内容发货联盟就和大家分享到这里，如果大家网络推广引流创业感兴趣，可以添加微信：80709525  备注：发货联盟引流学习； 我拉你进直播课程学习群，每周135晚上都是有实战干货的推广引流技术课程免费分享！