基于secWall加密系统不能直接在Linux中加密端口,在做Linux的保密方案时一般会选择设置一台代理服务器。在代理服务器上将Linux的服务端口代理出来,在代理服务器上做加密设置即可。
网络架构图如下:
一、ssh服务
1、netsh设置22端口的转发服务
我们的Linux服务器IP地址是172.16.1.100,Windows代理与办公网络连接的网卡IP是192.168.1.141,另一块与Linux服务器连接的网卡IP地址是172.16.1.115。通过netsh设置端口转发:
C:> netsh interface portproxy add v4tov4 listenport=22 listenaddress=192.168.1.141 connectport=22 connectaddress=172.16.1.100
22是ssh的服务端口
设置转发后,用户访问192.168.1.141机器的22端口时会自动转到172.16.1.100的机器上。
2、设置连接涉密和端口加密
在客户端将代理服务器设置为可信安全区域,确保客户端和服务器之间可以正常通讯。勾选“连接涉密”选项,设置ssh服务是涉密的,从这个服务获取 的数据会被自动加密(“落地加密”的效果)。
为了防止未安装加密客户端的用户直接连接到服务器取走机密数据,还需要在服务器端设置端口加密。
为服务器开设一个独立的加密用户server,双击server用户选择高级设置,在远程管理中将22端口设置为加密端口。
设置完成后,服务器端需要以server用户登录加密。这样,没有正常登录加密的客户端就不能通过ssh访问服务器了。
二、svn服务
1、netsh设置端口转发
通过netsh转发svn服务的设置参考网站上的文章《使用secWall端口加密控制IP Helper转发的Linux SVN服务》
2、端口加密与客户端数据自动加密
参照上文ssh服务的设置,将ssh的端口号改成svn的服务端口号即可。
3、将指定的浏览器设置成涉密浏览器
有的用户是通过浏览器来访问svn的,浏览器在默认设置中都是隔离应用,在svn加密后就无法正常访问了。需要将指定的浏览器设置为涉密浏览器才能访问。
例:客户将IE指定为访问svn专用浏览器,chrome浏览器是正常访问外网的。
操作步骤如下:
进入集控服务管理器,选择“文件”→“编辑安全策略”→“全局策略”→“网络应用进程”→“浏览器”,找到IE的进程“iexplore.exe”,将其删除后点击确定即可。
设置完成后,IE默认就是涉密连接的了,用户可以用它直接访问SVN服务器。
三、ftp/sftp服务
被动式FTP无法通过简单代理转发,如果使用FTP服务,建议将FTP服务直接转移到代理服务器上使用。
1、设置连接涉密和端口加密
与ssh同样的方法设置可信安全区域和端口加密。
另外需要注意的是,由于大多数ftp在传输数据的时候使用的是动态端口(被动式ftp),所以在设置可信安全区域的时候还需要勾选“被动连接”选项。被动连接指示在主端口建立连接后允许同一目标的动态端口连接。
四、Samba服务
1、netsh设置端口转发
C:> netsh interface portproxy add v4tov4 listenport=139 listenaddress=192.168.1.141 connectport=139 connectaddress=172.16.1.100
139是Linux中SAMBA服务的端口。
注意如果要使用139端口代理,首先要关闭代理服务器本身的文件和打印共享服务,同时还要关闭NetBIOS,保证本地139端口不被占用。
SAMBA服务和别的服务不同的是不需要设置可信安全区域和端口加密,客户端可以直接加密服务器上的文件。
如果用户需要让上传到服务器的文件自动解密,则需要在策略中设置文件系统安全区域。
进入策略编辑后选择“文件系统安全区域”,点击“添加”按钮输入共享文件夹路径后点击确定即可。
文件系统安全区域应该和端口加密配合使用,代理服务器上应该设置Samba端口为涉密端口,防止未授权客户端直接访问Samba服务。
为各位朋友分享的相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多