帮助中心Appearance
3.3 网络安全
说明:网络安全模块用于配置DASS系统中网络与安全的相关参数,包括网口配置、无线配置、NAT、防火墙、网桥配置、DNS。(注:配置此模块需要开启hms-network服务)。
- 接口设置
- 无线网络设置
- 路由
- NAT
- 防火墙
- 网桥
- DNS
3.3.1 接口
说明:该模块用于展示和配置网口信息,提供网口启停控制、网口ip修改、安全域设置、虚拟网卡添加等功能。
- 网口信息
- 安全域
- 虚拟网卡
网口信息
(注:当网口已连接时才展示ip、掩码、网关等信息。)
网口名称:根据网口个数依次自动生成eth0、eth1……,不可修改。
连接状态
l 未连接 :网口(eth)未插网线,或无线网络(wlan)未启用。
l 已连接 :网口已插网线,或无线网络已经连接到WiFi(热点),但不能上网。
l Internet :表示网口已连接,并且已经具备上网功能。
IP地址*
l etho:默认192.168.100.169
l eth1:默认192.168.0.169
l wlan0:由所连wifi分配
子网掩码
l eth:默认255.255.255.0
l wlan:所连wifi网关
网关:默认为空
MAC地址******:网卡物理地址
安全域:用于设置ip所属的防火墙区域,详细说明见下节。
网口操作****(Tip:仅有线网口可控制启停)****
l 禁用eth口:网卡禁用并停止该网口
l 禁用wlan口:网卡禁用并停止该网口和WiFi服务模块
NAT
l 开启后实现动态NAT。适用于需要变化的防火墙IP
操作(Tip:仅有线/WiFi网口可设置,拨号、虚拟网卡等方式不可)****
l 自动获取IP地址:开启DHCP动态获取ip。
l 手动设置IP:特殊服务器/专线设备可配固定地址。Ip地址、子网掩码必填,默认网关选填。
安全域
说明:安全域是通过安全策略进行认证、授权、访问控制的计算机环境。此处提供安全域设置,控制策略需要在【防火墙-域间规则】中配置,两者需搭配使用。
操作:
1、点击相应网口的安全域下拉框,选择对应安全域。
**NONE :可以和任何区域互通(默认)。
**WAN:外部网络区域,安全级别低。
**DMZ:隔离区,安全级别中等。
**LAN:内部网络区域,安全级别高。
2、安全域修改提示框,点击确认,提示修改成功即可。
虚拟网卡
说明:虚拟网卡解决物理网口有限的问题,无法直接对应多台设备,添加虚拟网卡可增加直连设备数。
操作:
1、 点击【添加虚拟网卡】,填写配置信息
网口名称 :自动生成,不可修改。格式:所属网口名称:序号,如eth:0
IP地址**** :必填项
**子网掩码 :默认值255.255.255.0
1、 点击确定,弹出成功提示框。返回检查相应网口下增加的一条网口信息。
3.3.2 无线网络
说明:该模块包含WiFi、4G、VPN、WiFi热点的网络配置功能,功能种类由盒子型号决定。(注:该模块正常生效需在接口页面启用wlan口)
- Wifi
- 蜂窝网络
- VPN
- WiFi热点
WiFi
说明:WiFi模式下,盒子相当于一块无线网卡,用于接收其他设备的WiFi信号。用于可以在此处连接公共或隐藏的WiFi,设置WiFi的保存信息。(注:WiFi与WiFi热点功能互斥,不可同时开启)
操作:
1、 点击左上WiFi网络的开关,切换至Running状态。
2、点击所要连接的WiFi,正确输入密码即可连接。已连接过的WiFi会自动保存,若保存了多个WiFi,默认连接最近保存的一项。
3、若需要连接隐藏WiFi,点击左下角的【加入其他网络】,通过手动输入WiFi名、PSK密码、加密方式来进行连接。
4、对于已连接的WiFi,可以点击WiFi右侧的设置按钮查看WiFi的详细信息,也可以设置【取消保存】/【断开连接】。
**取消保存:取消密码保存,下次连接该WiFi需重新输入密码。
**断开连接:即时断开与此WiFi的连接。下次连接点击WiFi名和弹窗内【连接WiFi】即可,无需重输密码。
蜂窝网络
说明:蜂窝网络模块用于配置盒子2G/3G/4G拨号上网和GPS管理。
(1)蜂窝网络连接
| 属性 | 说明 |
|---|---|
| <查询> | 点击即可更新蜂窝网络的连接信息。 |
| <拨号>/<断开> | 点击进行蜂窝网络的连接/断开。(注:点击拨号后,后台会持续尝试拨号,等待15s后再点击查询按钮查看结果,无需持续点击。) |
| 连接状态 | 连接失败时,会自动执行重启策略。l 模块重启:重启无线网络模块,不影响其他服务。l 系统重启:先进行模块重启,若无效则执行系统重启,会影响所有服务,可能导致采集和上传的中断。 |
| 心跳地址 | 判断在线状态 |
| 信号强度 | 蜂窝网络信号强度 |
| Iccid | Ic卡唯一识别码 |
| SIM卡状态 | Ready |
| IMSI | 国际移动用户识别码,用于区分蜂窝网络中不同用户的唯一识别码。 |
| 流量统计 | 统计蜂窝流量使用情况。重置:流量统计清零并记录重置时间。 |
| 模块注册状态 | 2G/3G/4G |
| APN设置 | 接入点设置,当蜂窝网络为未连接状态时,APN设置才能修改。自定义接入需设置:接入点名称、用户名、密码; |
***(2)*GPS
说明:GPS定位需开启蜂窝网络并连接GPS天线,相关数据存储在W3.sys节点下。
| 属性 | 说明 |
|---|---|
| 卫星个数 | GPS使用的卫星个数 |
| 连接状态 | GPS正常连接条件:(1)开启蜂窝网络(2)GPS天线正常连接 |
| 高度、经度、维度 | 设备定位参数 |
| 定位模式 | w 单次定位(0:失败;1:成功):适用于固定设备,仅发起一次定位请求.w 持续定位(0:启用;1:关闭):适用于位置变动的设备,间隔若干时间(默认60s)发起一次定位请求。 |
VPN
说明:虚拟专用网络,即在公用网络上建立专用网络。VPN网关通过对数据包的加密和目标地址转换实现远程访问。
WiFi热点**
说明:该模式下,盒子作为WiFi热点为其他设备提供连接,以实现无线数据采集。(注:WiFi和WiFi热点不可同时开启)
典型应用:通过app连接盒子的WiFi热点,进行盒子配置。
(注意:当使用手机APP扫描盒子硬件上的二维码进行连接时,需要保证盒子的WiFi热点模式的配置信息保持默认。如果您修改了SSID或密码等信息,请复位后重试,或按照您自定义的参数手动连接到盒子。)
(1)热点配置
操作:
1、点击左上角的WiFi热点开关,切换状态为Running。由于WiFi和WiFi热点不可同时开启,开启热点会提示关闭WiFi连接。
2、点击【编辑】按钮,可修改热点配置。
**SSID:WiFi热点名称
**隐藏热点
l 禁用:默认值。即盒子的WiFi热点可以被正常扫描到。
l 开启:盒子WiFi热点无法被扫描到,需要手动添加。
模式
l IEE802_11A
l IEE802_11B
l IEE802_11G:默认
加密方式
l WPA-PSK:加密要求不高时选择
l WPA2-PAK:加密要求较高时选择
信道:1~11
PSK密码:默认magustek,可自行修改。
**黑白名单
l 黑名单:该模式下,将拒绝黑名单内设备的连接请求。(默认)
l 白名单:该模式下,仅白名单内设备可以连接到wifi热点。
3、 点击【应用】按钮使热点配置生效,点击【取消】则不保存修改并恢复至编辑前状态。
(2)设备列表管理
说明:开启WiFi热点后,可以在设备列表内对接入设备进行查看和管理。包括接入管理、黑白名单管理。
**接入管理
Ÿ 删除:强制断开该设备与WiFi热点的连接,单次生效。
Ÿ 加入黑名单:断开与该设备的连接,并将其移至黑名单,拒绝其接入请求。
w 黑白名单管理
添加黑/白名单:
对于已接入设备:点击【移入黑名单】按钮,检查黑名单新增项即可。
对于未接入设备:点击【添加设备】按钮,填写设备设备名称、mac地址,点击确定添加,检查黑/白名单新增项即可。
移除黑/白名单
单击【移除】按钮,无二次确认,即可将设备从黑/白名单内删除。
3.3.3 静态路由
说明:通过手动设置路由,使数据包按预定路径传送至目标网络,可实现不同网段间的设备互联。
示例:主机A想要访问主机F。
**目的地址:目的ip。示例为192.168.2.2。
**掩码 :ip掩码。示例为255.255.255.0。
******下一跳:****即相邻路由器的入口ip。示例为192.168.100.5。
**优先级:即路由的管理距离。可设置0-255的整数,数字越小优先级越高。默认60。静态路由表将按优先级由高到低排序
**接口:数据从路由器流出的网口。下拉列表内展示终端内所有网口的名称(包含虚拟网口)。示例:ip为192.168.100.4的网口。
2、点击确认保存路由条目。尝试ping通即可。
3.3.4 NAT
- 源NAT
- 虚拟服务器
新建SNAT********(源NAT)**
说明:SNAT用于将私网IP转换为合法的公网IP,可用于共享公网IP,隐藏内网设备。
示例:内网主机A(192.168.100.144)想访问公网中主机X上的EMQ服务器(58.247.126.13)
1、 点击【新建】按钮,填写源IP和目的IP。
源IP****:私网的原IP。如192.168.100.144
目的IP****:盒子的公网IP。如58.247.126.12
1、 点击确认按钮,NAT服务器列表内新增一条转换。默认为启用状态。
新建DNAT********(虚拟服务器)**
说明:DNAT用于将公网IP转换为私网IP,可以选择进行端口转换。
步骤:(示例同SNAT)
1、 返回虚拟服务器页面,点击【新建】按钮,填写配置信息
**外部地址:58.247.126.13
**内部地址:192.168.100.144
**端口转换 :可选项。不勾选则不进行端口转换。
**协议 :TCP/UDP
**内部端口:外部端口 :2333:12883
2、 点击确定,右上提示添加成功则该DNAT生效。返回列表即可查看新增的转换。
3.3.5 防火墙
- 防火墙使用指南
- 本地策略
- 域间规则
Pre:《防火墙使用指南》**
【说明】:
防火墙分为WAN、LAN、DMZ三个安全域。通过配置防火墙和域内设备ip,可实现基于默认策略的域间访问。通过配置域间规则,可实现域间访问的指定约束。
【示例】
1、 画出目标网络拓扑图。后续即根据该拓扑图设置防火墙和域内设备。
2、 访问【接口】菜单,配置防火墙IP、安全域。
3、 配置域内设备的IP、网关。
l 网关:对应域的防火墙IP
l IP:同网段自定义IP
4、 添加[域间规则](file:///Users/wangxuhui/Documents/%E9%BA%A6%E6%9D%B0%E7%A7%91%E6%8A%80/%E5%B7%A5%E4%BD%9C%E4%BA%A4%E6%8E%A5%E6%96%B9%E9%9B%AA/%E6%89%8B%E5%86%8C/2.5.6%20%20%E7%94%A8%E6%88%B7%E6%89%8B%E5%86%8C/markdown%E6%96%87%E4%BB%B6/DASS%20V2.0.0%20%E5%8A%9F%E8%83%BD%E6%8C%87%E5%8D%97.md#%E5%9F%9F%E9%97%B4%E7%AD%96%E7%95%A5)。完成域间配置开始测试前,需关闭连接至防火墙以外的其他网络,以防止数据包从其他路径发送。(如:PC有线连接至防火墙,则需关闭WiFi等其他连接)。
(1) 允许DMZ的特定设备访问特定内网设备(LAN)。
本地策略
说明:本地策略用于配置盒子接收数据时的INPUT链策略和发送数据时的OUTPUT链策略。
(1)新建策略
1、单击创建按钮,弹出策略配置框。
*安全域
INPUT:配置盒子本地[接收]**数据的规则。需填写源ip和端口。
OUTPUT:配置盒子本地[发送]***数据的规则。需填写目的ip和端口。
**协议
all :tcp、udp
tcp(默认值)
udp
icmp
******检测状态:****对添加的状态执行动作
NEW :建立连接时第一次握手的状态。
ESTABLISHED:建立连接时第二次握手及之后的状态。
RELATED:被动产生的数据包的状态,依赖于一个ESTABLISHED的连接。
INVALID:数据包无法被识别属于哪个链接或无状态。
UNTRACKED:报文未被追踪,无法找到相关链接。
**动作
ACCEPT :允许数据包通过
DROP:直接丢弃数据包,不提供回应信息。发送方需要等待超时结果。
REJECT:拒绝数据包通过,并回应发送端拒绝信息。
******源地址:**本地发送使用的ip,默认any,即0.0.0.0/0。
**源端口:本地发送使用的端口,默认0-65535的任意端口。
******目的地址:**本地接收使用的ip,默认any,即0.0.0.0/0。
**目的端口:本地接收使用的端口,默认0-65535的任意端口。
2、单击确认,弹出添加成功提示,返回查看相应的INPUT/OUTPUT链内增加一条规则。
(2)调整策略优先级
说明:INPUT/OUTPUT链内根据规则ID依次进行匹配过滤,若符合到条件按的规则即执行动作,后续规则不再执行。
操作:点击【向上】/【向下】按钮即可调整规则优先级。
(3)启停策略
说明:单条规则可设置启用/禁用状态,禁用状态下将跳过该条规则的匹配。
操作:单击开关,在提示框内确认操作,即可进行状态切换。
(4)****编辑**策略
说明:单条规则可进行修改操作。除所在链不可修改,源/目的地址均可修改。
操作:点击编辑按钮,修改策略内容,点击确定保存修改。
(5)删除策略
单条删除:点击规则后的【删除】按钮,弹出操作确认框,再次确认即可。
域间规则
说明:用于配置盒子在不同安全域间作转发功能(FORWARD)时的过滤规则。
操作:单击创建按钮,在弹窗内进行规则编辑。
**安全域:
l WAN-LAN:默认策略为DROP。应添加白名单对象。
l LAN-WAN:默认策略为ACCEPT。应添加黑名单对象。
l WAN-DMZ:默认策略ACCEPT。应添加黑名单。
l DMZ-WAN:默认策略ACCEPT。应添加黑名单。
l LAN-DMZ:默认策略ACCEPT。应添加黑名单。
l DMZ-LAN:默认策略为DROP。应添加白名单。
**源地址:默认any,即域内任意地址。
**源MAC地址:选填。
**并发数量:单位时间(s)内最多能转发的数据包量。
**目的地址:目的ip。默认any。
**协议: tcp(默认)、udp、icmp、all
**源端口:默认0-65535的任意端口。
**目的端口:默认0-65535的任意端口。
**动作:
l ACCEPT :允许数据包通过
l DROP:直接丢弃数据包,且不回应。发送端需要等到超时才知道结果。
l REJECT:拒绝数据包通过,并回应发送端拒绝信息。
**检测状态:
l NEW :建立连接时第一次握手的状态。
l ESTABLISHED:建立连接时第二次握手及之后的状态。
l RELATED:被动产生的数据包的状态,依赖于一个ESTABLISHED的连接。
l INVALID:数据包无法被识别属于哪个链接或无状态。
l UNTRACKED:报文未被追踪,无法找到相关链接。
3.3.6 网桥
说明:网桥用于将两个以上的LAN互联为一个逻辑LAN,使LAN上的所有用户都可访问服务器。网桥设置支持新增、删除、刷新功能。
操作:
1、 点击【创建】按钮,编辑网桥配置。
| 网桥配置 |
|---|
| 网桥名称 |
| 网口 |
| IP |
| 子网掩码 |
| 网关 |
2、 点击确定,返回查看列表新增网桥信息。
3、 在接口页面,网桥也可以和网口一样控制启停、设置安全域和NAT。
3.3.7 DNS
说明:DNS(Domain Name System)是TCP/IP设计的字符串形式的主机命名机制,为网络上设备建立域名与IP地址的对应关系。用户可以使用便于记忆的、有意义的域名,由网络中的DNS服务器将域名解析为正确的IP地址。
操作:
1、在输入框内填写DNS服务器的IP地址,点击【添加】,右上提示添加成功,列表内新增添加的服务器信息。
**IP:DNS服务器IP
**获取方式:默认STATIC不可修改,将域名直接解析到某个IP地址。
示例:添加114DNS,输入地址114.114.114.114,点击添加,列表新增相应服务器信息。