二医院FTP安全交换网关应用场景
一、用户需求
1. 办公网与内网之间需文件隔离交互。
2. 采用U盘拷贝两网的文件,拷贝的文件中可能存在病毒、木马等,将外网的恶意代码扩散到内网的风险。
3. 只可传入院里用到的类型文件,如文档、图片、视音频等。
4. 传入内网的文件需进行病毒查杀。
5. 文件从内网拷出要有记录,事后可查,避免重要文件外流。
6. 每个部门相互独立,又有一个公用的文件夹。
7. 机子多不能每台机子安装客户端,需用标准的FTP直接在地址栏中输入,即可使用。
二、现状
1. 通过对防火墙、网闸穿透,在内网部署一个FTP,实现内外网的文件交互。
2. 整个医院使用同一帐号。
3. 无杀毒、文件类型限制,会传入病毒、木马等危险文件。
三、部署
现摆渡产品,部署在内外网两端,办公网接防火墙至公网。如下图,中间红框设备为摆渡产品。
四、平台功能
1、通过IB通信实现以太网隔离;
2、通过MIME(多用途互联网邮件扩展类型),进行文件深度检测,实现类型限制。
3、外网使用卡巴斯基,调用命令查杀,内网使用clamav,调用接口查杀。
4、记录用户、IP、时间、目录、文件等信息到日志中。
5、外传的文件会自动备份到指定的目录,避免用户传完文件后,删除文件,无法查证。
6、通过Linux挂载文件fstab,将公用文件挂到每个用户目录下,实现每个部门相互独立,又有一个公用的文件夹。
五、使用
1.用户访问如下
外网通过FTP防问路径为ftp://aaa:aaa@192.168.0.111
内网通过FTP防问路径为ftp://aaa:aaa@192.168.130.247
2.通过添加网络位置,方便使用,如下图中的网络位置,直接打开如本地盘一样。
3.打开网络盘后,如下,gg为公用目录,其它为部门内部目录及文件。
4.各部门配置信息如下:
序号 科室 用户名 密码 路径 备注
1 安全保卫科 /data/aqbwk
2 财务科 /data/cwk
3 党政综合办公室 /data/dzzhbgs
4 干部保健办公室 /data/gbbjbgs
5 工会 /data/gh
6 公共 /data/gg
7 公共卫生科 /data/ggwsk
8 后勤保障中心 /data/hqbzzx
9 护理部 /data/hlb
10 基建科 /data/jjk
11 纪委监察室 /data/jwjcs
12 健康管理中心 /data/jkglzx
13 健康教育科 /data/jkjyk
14 科教科 /data/kjk
15 门诊部 /data/mzb
16 评审办 /data/psb
17 签到单模板 /data/qddmb
18 人事科 /data/rsk
19 设备科 /data/sbk
20 社工部 /data/sgk
21 团委 /data/tw
22 外网资料 /data/wwzl
23 信息科 /data/xxk
24 信息系统问题统计 /data/xxxtwttj
25 宣传统战部 /data/xctzb
26 医保(物价)办公室 /data/ybbgs
27 医共体办公室 /data/ygtbgs
28 医患沟通办公室 /data/yhgtbgs
29 医技科室 /data/yjks
30 医务管理中心 /data/ywglzx
31 医院发展中心 /data/yyfzzx
32 医院感染管理科 /data/yygrglk
33 院领导 /data/yld
34 质量管理办公室 /data/zlglbgs
35 住院部 /data/zyb
管理员人员 /data/
window系统内置功能远程桌面,可以实现在家远程连接公司局域网内的服务器,比第三方控制工具灵活,方便。
具体配置,直接上图
1、开启远程服务:
控制面板\系统和安全\查看本地服务
2、开启局域网内 Windows的远程访问端口
1)开启防火墙
控制面板\系统和安全\Windows 防火墙\自定义设置
3、添加远程用户(注意该用户要设置登录密码)
4、路由器上做远程桌面端口映射
前提: 路由器上拨号上网;wan口ip要是公网ip,以及要和在内网的电脑上打开浏览器输入 www.ip138.com 得到的ip地址一致。(若遇到不一致,要打电话向网络运营商开通外网功能)
工具: TP_LINK企业级VPN路 由 器(TL-R473G)
5、访问远程桌面资源
下图为window端远程桌面资源
补充: 各端访问远程桌面资源文档
问题一:电脑连不上内网怎么办? 电脑连不上内网怎么办:
1,首先检查下电脑是否处于同一个网络,看下电脑是否是静态ip,如果不是,请改成静态ip。而且把相互访问的电脑设置成同一网段。
2,
看下电脑是否是处在同一个工作组。在电脑属性里可以看到电脑的工作组名称(如图:
);
3,把电脑的网络防火墙关闭。在控制面板-防火墙设置里关闭防火墙完毕后,即可连接内网。
问题二:如何使我的电脑连接到局域网中 说的太清楚怕你不明白
其实很简单
看旁边电脑的网络连接 点网上户居属性 本地连接属性 双击 Internet协议 (TCP/IP)
点选使用下面的IP地址
再看你旁边机器的IP地址 只要在一段内 例如他的是 192.168.1.1 你设置成和他的不一样就成 192.168.1.2就可以!
问题三:一个电脑怎么能同时上内网和外网? 首先你的电脑上需要有两个网卡连接两个网络。
都连接好并配置好内网IP后,CMD下看看路由表,输入route print。看看是不是有两行0.0.0.0开头的。这样的话就需要设置下路由了。具体设置追问解决吧
问题四:怎么用新电脑连接到一个局域网里 ip按照本来的那个设置一下。
问题五:家里两台电脑怎么连局域网? 两台电脑无论是笔记本还是台式的,恭可以建局域网.方法很多.用网卡(包括用网线直接连,还有通过路由器),用USB直连(但做起来复杂).如果都一起上网,可用路由器.连宽带猫.还可以用网线直连网卡.可实现两台电脑互连.但要共享文件.还要对两台电脑进行设置.同一工作组.建立管理员帐户.带密码的.设共享文件(右击想要共享的文件或文件夹,选共享)重启电脑后,在网上邻居里查看工作组.就可以看见另一台电脑的共享文件了!
工具:1,两个网卡,一台电脑一个.一根网线.成本50元左右.现在电脑一般都集成网卡了.就不用买了.弄一根网线就可以了.(用网卡直连)2.除1里的,还需要加1根网线,一台路由器 成本不到100元(用路由器)
一个网卡2,3十块.一根网线看多长的.一般1块一米.一台路由器.30左右.50块都不错的了.
问题六:电脑内网和外网怎么同时使用! 50分 ADSL的端口映射
有的ADSL有自带的代理功能,这个功能可以让我们不需要主机就可以实现多机共享上网了,但也就无法实现外网访问Web、FTP等服务了。下面以全向ADSL 1680来实现外网访问内网Web服务这一服务。
访问IP地址:10.0.0.2(这是1680的缺省内网IP地址),缺省用户名输入“Admin”,缺省密码为“qxmsupport”。
点击“虚拟服务”,进入端口映射配置主界面。
在“公网端口”里填入我们想在Internet开放的端口80,并且在“内网端口”上填入内网机器已经开放的80端口。
选择“端口类型”是TCP协议还是UDP协议(如Web、FTP协议为TCP,QQ为UDP协议)。
最后在“主机IP”里加上内网开放Web服务的电脑IP地址。
宽带路由器端口映射
在IE地址栏里输入“192.168.0.1”(这里假设该IP为路由器)登录到路由器。
输入初始密码。
点击“Virtual Server/DMZ”进入端口映射的配置主界面。
如果要添加Web服务器勾选上“HTTP(Port 80)”然后把内网主机IP地址的最后一位填入,在“(Port No.)”里输入端口号80,并点击下方的“Save”按钮,这样一个端口就添加成功了。
其实无论是Winroute、PortTunnel、ADSL和宽带路由器的使用都很简单,我们只需添加不同的IP地址和端口就能实现各种服务了,利用好软件和硬件的映射功能将会为我们在网络上的应用带来无限的便利。
很多宽带用户搞不清楚自己到底属于内网还是外网,以至于在使用BT等软件进行下载前,盲目进行端口映射等操作,反而事倍功半。
首先纠正一个普遍错误的说法。我们经常会听到诸如“某某ADSL是内网”或者“某某ADSL是外网”的说法,这种说法本身是错误的。因为“ADSL宽带”只是宽带的运营商所提供的一种服务形式,它只是一项技术、一项业务而已,并没有什么内网还是外网的概念。我们所提到的内网还是外网,指的实际上是使用这种ADSL宽带业务的终端用户的计算机当前所处的网络位置是属于内网还是外网。或者换句话说,终端客户的计算机是内网还是外网,完全在于他如何使用ADSL这种宽带业务,而与他使用的到底是哪种宽带形式无关。
下面先给出我的结论,然后再进行详细的分析:
1、 第一种情况:使用电信ADSL的用户,如果只有一个用户一台计算机在使用此宽带,没有使用路由功能,而是用拨号软件直接拨号上网的,这种情况下,该用户目前所处的网络为外网;或者更加简单的说,电信局派人安装完ADSL后,什么都没有改动的情况下,此时计算机属于外网;
2、 第二种情况:使用电信ADSL的用户,如果在ADSL modem中设置了路由功能,多人共同使用同一条ADSL线路进行上网的话,此时每台计算机都属于内网;
3、介绍一种比较特殊的宽带形式:内网中的内网;
在具体分析之前,首先说明对于内网外网的判断标准:(引述自Bitet的帮助信息)
1、 判断标准之一:0.50或以上版本的Bitet的“全局统计”,里面的对外IP就是公网IP,对内IP就是内网IP,如果这2个值相同那么您就是公网用户,否则就是内网用户。当然,内网用户通过端口映射可以获得和公网完全一样的效果。
2、判断标准之二:用MSN Messenger“工具->选项->连接”中的“高级连接信息”(注意:这里用的是MSN Messenger,不是Windows Messenger。Windows Messenger高级连接信......>>
问题七:如何访问局域网里用路由器接出来的电脑? 100分 访问局域网电脑步骤:
1、打开系统中的计算机图标,在计算机页面中点击“网络”选项。
2、在网络选项中,点击找到需要访问的计算机,选择“打开”按钮。
3、需要被访问的计算机开放Guest账户权限,同时电脑中存在共享文件夹才可以正常访问,否则需要输入账户和密码才可以。
问题八:怎么样设置才可以访问局域网里的另一个电脑 1.确保工作组是一样的.在我的电脑,右键属性,计算机名,更改的底下设置.一般设为workgroup.
2.把要传送的文件所在的文件夹共享,在文件夹上点右键,共享和安全,在网络上共享这个文件夹,确定,即可.
你就可以在另一台电脑的网上邻居里看到共享文件夹了.进去可以复制.
如果网上邻居里没有显示出共享文件夹,你可以点右边的查看工作组计算机,进去后,应该有两台电脑,一台A,一台B.进另一台就可以看到了.
如果你从A进B电脑时,出错,如说耽没有权限啦什么的...你可以在B电脑里,控制面板,用户帐户,点那个GUEST,启用来宾帐户.
问题九:一台电脑如何同时连接内外网 100分 用个路由器就比较简单了,把外网的网线接在路由器的wan口,内网的网线和电脑网卡的连接线接路由器的任意俩lan口。然后把路由器的广域网按照外网参数设置,内网按照内网的地址范围设置,电脑的ip按内网原来的地址,即可。
你说的办法理论上也是可以的(要路由器),不过可能比较麻烦了,需要在电脑上做路由功能(同时好用的话),具体怎么搞,我没弄过了。如果不需要同时的话,两个网卡各自设置内外网参数,用的时候断开一个,另一个就好用了。
问题十:在同一个局域网如何通过网络连接到另一台电脑 \\后面输入对方的IP地址或计算机名。。就可以连接到另外一台电脑的共享文件了。(前面一定要加 \ )