网闸CopGap管理手册(bs模式).doc

《网闸CopGap管理手册(bs模式).doc》由会员分享，可在线阅读，更多相关《网闸CopGap管理手册(bs模式).doc（36页珍藏版）》请在咨信网上搜索。

1、科博安全隔离与信息交换系统（CopGap 200)使用手册2009年11月关于本手册本手册适用于采用B/S方式管理的科博安全隔离与信息交换系统。主要面向安全管理员,介绍如何配置和管理“科博安全隔离与信息交换系统”，并对产品的功能特性进行说明，对安装使用环境提出要求，介绍了安装方法，列出了常见故障检查和服务支持信息。为您正确使用“科博安全隔离与信息交换系统”提供便利。本手册的全部内容已链接于我公司的网站 www.copsec。com用户可上网浏览，下载本手册。版权声明本公司拥有本产品软硬件系统及相关文档的全部版权。未经本公司书面许可,任何单位及个人不得以任何方式或理由对本产品的任何部分进行复制，

2、抄录，传播，或将技术文档翻译成他国语言，并不得与其他产品捆绑销售.信息反馈本公司欢迎您通过尽可能多的渠道向我们提供尽可能多的信息，您的意见和问题都会得到我们的重视和妥善处理。请将反馈信息投递到下述地址：地址：北京市海淀区永丰开发区友谊路北京城市学院城北校区电话：（010）62478843、82470343 传真：（010)62478368邮编:100094科博安全隔离与信息交换系统CopGap使用手册目 录第一章 初始化配置1第二章 系统管理22.1 关机/重启32。2 网络配置32.3 配置管理92。4 系统校时112.5 用户管理11第三章 服务映射123。1 服务映射123。2 访问控制

3、143。3 协议控制17第四章 文件同步194。1 文件同步任务194.2 筛选器21第五章 数据库同步285。1 数据库同步285.2同步程序日志335.3同步程序升级345。2同步程序版本34第六章 系统监控346。1 设备状态346.2 地址信息356。3系统信息356。4运行状态36第七章 日志审计367。1 系统日志377。2 管理日志377。3映射日志397。4文件同步日志40附件：典型案例42服务映射42文件同步49科博安全隔离与信息交换系统CopGap使用手册第一章 初始化配置1) 科博安全隔离与信息交换系统CopGap200的内端机连接可信的内网，外端机连接不可信的外网。2)

4、 科博安全隔离与信息交换系统采用B/S模式管理，管理口缺省IP地址为10.111。14。119/24。3) 选择一台安装有IE浏览器的客户机，与管理口相连，修改客户机IP地址，使其与内端管理接口（默认为：10.111。14。119/24)处于同一个网段,例如设置为10.111.14。110/24;在浏览器地址栏输入：https:/10.111.14.119即出现管理系统登陆界面。4) 在“用户名”一栏输入用户名admin，在“密码一栏输入其对应默认口令“123456” （提醒管理人员及时更改系统初始缺省管理员的用户名和口令），进入科博安全隔离与信息交换系统CopGap200的管理系统,如图所示

5、。管理系统分为：系统管理、服务映射、文件同步、数据库同步、系统监控、日志审计六个模块。第二章 系统管理系统管理模块可查看和配置系统基本信息，功能如下：2.1 关机/重启单击“关机”按钮可关闭系统，单击“重启”可重启系统。2。2 网络配置显示基本网络信息（包括IP地址、DNS、网关、路由、域名解析、高可用性等），如图:以上页面显示的是科博安全隔离与信息交换系统主要网络配置。 2.1.1 接口配置1） 添加IP地址首先选中需要配置的网络接口,然后在IP地址和子网掩码文本框内填写正确的IP和掩码,最后点击“添加按钮即可。例如：网络接口选择“业务口1”,填写IP地址10。0.0。56，子网掩码为24位

6、即255。255.255.0，如下。完成“添加”后,该配置信息将显示在列表中(如下图所示),同时，在与业务口1相连的主机上配置与10。0.0.56/255.255。255。0同网段的IP地址,可ping 得此IP。2） 删除IP地址单击列表中需要删除的IP配置所在行按钮，即可删除该行配置。3） 修改IP地址单击列表中需要修改的IP配置所在行按钮，出现修改IP配置页面：修改参数，点击“修改”完成配置修改返回主页面；点击“返回”放弃修改返回主页面。2.1.2 路由配置在文本框内输入正确的网关地址后点击“设置”即可。2.1.3DNS/网关/管理口输入可信端与不可信端正确的网关DNS，点击设置即可。可

7、信端管理口默认地址为：10.111.14.119/255.255。255。0；不可信端管理口默认地址为：10。111。14。118/255.255.255.0。管理口地址可配置，新配置重启后生效.2。1。4 名称解析静态域名解析配置当前系统的DNS解析条目。例如，配置：“可信端” “10。0。0。66” “www。sinotest。com 。表示，在可信端www.sinotest。com将被解析为ip地址10。0.0。66。例如，配置:“不可信端” “10.1.1.58” “www.nihao。com” 。表示,在不可信端将被解析为ip地址10.1。1.58.2。1。5 高可用性（只有具备高可

8、用性模块的设备可配置)。高可用性(high available）,解决一种不可避免的计划和非计划系统宕机问题的软件解决方案.当某个主机故障时，运行在其上的服务就可以被其它主机接管。在这个过程中，用户只需要经受一定程度可接受的时延，而能够在最短的时间内恢复服务。配置界面如下：需要配置的参数有：位置、节点名。位置:远程(指非本机以外的其他设备）；本地（本机设备).节点名:在1254之间的一个ID号.案例如下：两台CopGap设备，简称为GapA、GapB，做高可用配置.1、 GapA、GapB除高可用性模块以外的所有配置完全一致。2、 将两台设备心跳线用交叉线互连.3、 在GapA上配置两条：1）

9、、“本地,“1”；（表示当前设备的ID号为1）2)、“远程”，“2”。（表示另一台设备ID号为2)4、 在GapB上配置两条：1）、“本地”,“2”;(表示当前设备的ID号为2）2）、“远程”,“1”.（表示另一台设备ID号为1）5、启动两台设备,完成高可用性配置，当一台设备故障时，另一台设备自动接管业务。2。1。6 MAC绑定将特定IP与一台主机的网卡物理地址绑定。只有指定主机用特定IP地址连接安全隔离与信息交换系统时，连接才被接受。其他主机用此特定IP地址连接全隔离与信息交换系统时,连接被认为不合法，拒绝。例如:内网IP：10.0.0.41/24和物理地址00-0e-f5-004ca1绑定

10、，如下：当MAC地址非000e-f500-4ca1的主机使用IP10.0。0。41连接安全隔离与信息交换系统,连接失败。不可通过当前系统访问外网资源。同理在外端也可进行MAC地址绑定。2.3 配置管理2.3。1 配置文件备份点击“配置备份”出即可把当前系统配置下载到本机；配置文件名称为：copgap64.cfg2.3。2 配置文件加载配置文件加载可把本机上已备份的配置上传至科博安全隔离与信息交换系统,将系统恢复为备份的配置，如图：选择正确的配置文件，点击加载即可。2.3。3 恢复出厂设置配置文件加载可把本机上已备份的配置上传至科博安全隔离与信息交换系统，将系统恢复为备份的配置，如图:2.3.3

11、 恢复出厂设置 点击“恢复出厂设置”按钮可将当前设备配置恢复为出厂默认设置：可信端管理口默认地址为10。111。14.119/255.255。255.0；不可信端管理口默认地址为10。111。14.118/255.255。255。0;无其他配置信息2.4 系统校时 用本地时间校准系统时间。2。5 用户管理本系统用户分为操作员admin和审计员audit；默认口令均为“123456”;用户初次登陆系统建议修改密码。1。审计员可以进行日志审计，系统监控和修改自己的登陆密码.无权进行其他任何操作。2。操作员操作员登陆系统之后，可修改设备网络配置，修改当前用户密码，修改信息交换和接入控制模块的配置，查

12、看当前系统状况并使用工具箱。无权进行系统控制，配置文件管理,日志审计.第三章 服务映射服务映射包括以下模块，如图：3。1 服务映射服务映射对某个服务的IP地址和端口进行转换。若用户在外网的192.168.80。41上有服务,其端口为1536,传输协议为tcp。如下配置。添加服务映射规则:进入“服务映射”“服务映射”节点，添加规则。添加完毕如图示:若内网用户想要访问原来外网服务器192.168.80。41上1536端口的服务，访问10。0.0。59的1536端口即可.此规则各参数含义：映射方向:由内向外(用户在内网去访问外网的服务）；由外向内（用户在外网访问内网的服务）。服务器地址:真正的服务器

13、IP或域名。服务器端口：服务所监听的端口（比如http服务一般监听在80端口）.映射后地址:选择当前系统的某个地址。映射后端口：经过映射后服务所监听的端口（一般来说与“服务器端口”参数一致即可）。映射协议：当前被映射服务的协议(协议共有8个选项，见“CopGap典型应用）。状态：启用（当前规则生效）；停用（当前规则不生效)。3。2 访问控制访问控制是针对服务映射生效的.在缺省情况下，被映射的服务是允许所有人访问的。通过访问控制可定义和用户安全需求一致的规则,用来控制允许进出的数据流.3.2.1 什么是访问控制规则一个规则定义包括：1. 映射ID:指此规则对哪一条映射生效。2. 客户端IP范围：

14、发起连接的地址（主机地址或网络地址）。3。 掩码：客户端IP范围的正确的网络掩码（若为某个确定的IP地址，则填写32或255.255.255.255）。4起始时间:此规则在什么时候开始生效。5终止时间:此规则在工作至什么时候结束。6. 动作：指定当遇到匹配参数将要执行的动作（DENY：用户无法访问;PASS：用户可以正常访问）。3.2.2 访问控制规则的例子内网IP为10。2.2。5/24的用户在11:30到16：30不允许访问一个已经通过映射的外网服务器192。168.80.41上的1536服务，其他时间可访问（该服务已在映射ID为“0”的服务映射中被映射到内网的一个IP地址10.0.0。5

15、9上）。其它用户不受限制通过使用下面的参数能创建一个发生这个动作的规则:10.2。2。5在11:30到16:30这段时间内，对映射ID为“0”的服务映射发起访问请求是无法正常访问的。其他用户可任意访问。3。2.3 访问控制规则如何工作访问控制规则是一个用户定义规则的集合，用来确保安全。系统根据下面的过程应用规则：1。当在系统中一个新的连接到设备时,设备持续的检查每一个在访问控制里的规则，依据新连接的匹配参数,直到第一个匹配被找到。2.当一个匹配找到时，停止检查规则，并依据匹配规则的动作参数对连接进行处理，可以允许或拒绝。3。如果数据没有与匹配参数匹配上，则继续检查规则。如果检查了在接入控制里的

16、所有规则仍没有发现匹配，则此数据执行DEF_PASS或DEF_DENY规则。就像上面的过程一样，系统使用第一个规则来匹配连接.那就是说规则顺序（也叫规则过程）对于正确执行安全策略是非常重要的.建议:资源控制对象采用以下两种方式配置。 *PASS；*PASS；;*PASS；*DEF_DENY。或 *DENY；*DENY；*DENY；*DEF_PASS。3.3 协议控制3。3。1 什么是协议控制规则现有协议控制主要针对HTTP和FTP服务，控制的内容包括：FTP_ACTION、FTP_NAME、HTTP_METHOD、HTTP_HOST、HTTP_PATH。一条协议控制规则定义包括：1. 映射ID

17、：指此规则对哪一条映射生效。2。 客户端IP范围：发起连接的地址(主机地址或网络地址）。3。 掩码：客户端IP范围的正确的网络掩码（若为某个确定的IP地址,则填写32或255.255。255。255).4方法：此规则对协议中哪部分生效。5参数：此规则中指定方法的参数是什么。6。 动作：指定当遇到匹配参数将要执行的动作（DENY：用户无法访问；PASS:用户可以正常访问)。3。3.2 协议控制规则的例子例如，现在我做如下配置：当客户端IP为:10。0.0。25的用户访问映射ID为“1的服务映射时，若该用户进行了HTTP_METHOD为POST的动作，则访问控制不通过,该用户无法正常访问。其他用户

18、可访问此映射是不受限制.建议：资源控制对象采用以下两种方式配置。 *PASS；*PASS；;*PASS;*DEF_DENY。或 *DENY；*DENY；;*DENY;*DEF_PASS。3。3.3 协议控制规则如何工作协议控制对象是一组规则的集合以下面的流程对映射后的资源应用这一组规则：1.当在系统中一个新的连接到设备时,设备持续的检查每一个在访问控制里的规则，依据新连接的匹配参数,直到第一个匹配被找到.2.当一个匹配找到时，停止检查规则,并依据匹配规则的动作参数对连接进行处理，可以允许或拒绝。3。如果数据没有与匹配参数匹配上,则继续检查规则。如果检查了在接入控制里的所有规则仍没有发现匹配，则

19、此数据执行DEF_PASS或DEF_DENY规则。第四章 文件同步文件同步实现了基于传输任务和过滤器的文件同步功能。4.1 文件同步任务以下举例说明如何配置一个正确、完整的传输任务。网络环境：外网有FTP服务器,IP地址为192.168。80.34/24，FTP用户anonymous,用户密码为“123456”，用户目录为“/test”；内网有FTP服务器,IP地址为10。0。0。100/24，FTP用户anonymous，密码为“123123，用户目录为“/receive”;例一:要求：把外网FTP服务器上/test目录下所有文件,传输至内网FTP服务器的/receive目录下。配置如下：6

20、. 配置完毕。检验结果:登陆内网FTP服务器查看，外网FTP服务器上/test目录下所有文件，传输至/receive目录下.4.2 筛选器它针对文件同步计划定义一组规则,规定了在一个同步计划中哪个文件能从一个服务器传输到另一个服务器。如果没有对某个文件同步计划定义规则，表示传输所有的文件。一条规则定义包括：1动作,指某文件满足此规则要对其执行的动作（接受、拒绝）.2. 方法，对文件的哪种属性进行限制（文件名、文件大小、文件时间).3.最大值、最小值、键值：属性的具体匹配条件（当方法选择“文件大小“文件时间，需要填写“最大值”和“最小值”；当方法选择“文件名”，需要填写“键值;文件大小的单位为：

21、字节；文件修改时间的格式为:yyyy-mm-dd-hh：mm）.一个筛选器的例子 针对文件同步任务ID为“1”的任务定义如下规则。以上过滤器的含义为：在文件同步任务ID为“1”的同步计划中，文件大小在200 50000000字节之间的文件不同步；文件修改时间在20090202-12:00 200905-22-12：00之间的文件不同步;文件名包含“手册”字样的文件不同步；其他文件正常同步。建议：文件资源过滤以以下两种方式配置。 *PASS；*PASS;；*PASS；*DEF_DENY。或 *DENY；*DENY；*DENY；*DEF_PASS。过滤器如何工作过滤器是一组规则的集合，用来筛选要传

22、输的文件。文件同步计划以下面的流程对一个文件应用这一组规则:一个文件参与到文件同步计划之后，分别对文件名和文件格式进行检查.若无对某种属性的检查，则表示对这种属性不做检查，此属性检查得出的动作是接受。只有当文件名和文件格式的检查得出的动作都为接受的情况下，一个文件才允许传输。在对某中属性做检查的过程中，若一个文件没找到匹配的规则，继续向下检查；若一个匹配找到，如果动作为接受，继续向下检查；若一个匹配找到，如果动作为拒绝,则停止检查规则，并依据规则的动作参数进行处理，此规则以后的规则对此文件不起作用。“拒绝所有文件或“接受所有文件”为一个文件资源对象的缺省规则。当一个文件在文件资源对象中找不到其

23、他匹配规则的情况下，对其执行缺省规则的动作。现有文件资源对象filter，规则如下：“接受” “文件名 “包含” “app .即:接受文件名包含为“app的文件.“拒绝” “文件名” “包含” “test” 。即：接受文件名包含为“test”的文件。“接受” “文件名” “包含” “txt” 。即：接受文件名包含为“txt”的文件。“接受” “文件类型” “等于” “zip”。即:接受文件类型为zip的文件。“拒绝” “所有”。文本文件1.txt进入文件同步以后,过滤流程: 对文件名、文件格式进行过滤:第一条:接受文件名包含“app的文件.1.txt不符合条件，继续向下进行过滤。第二条：拒绝文

24、件名包含“test的文件。1.txt不符合条件,继续向下进行过滤.第三条：接受文件名包含“txt”的文件。1。txt符合条件,由于动作是接受，所以继续向下进行过滤。缺省规则：拒绝所有文件。在对文件名的过滤中，1。txt已经找到匹配的规则，那么就不需要执行缺省规则.所以对文件名这个属性的过滤,1。txt的最终动作是“接受”。第四条：接受文件格式为ZIP的文件.1。txt不符合条件，继续向下进行过滤。缺省规则:拒绝所有文件。在对文件格式的过滤中，1。txt在之前没有找到匹配的规则,执行缺省规则。所以对文件格式的过滤，1.txt的最终动作是“拒绝。综合文件名和文件格式过滤的结果：拒绝传输1。txt文

25、件。文本文件test.txt进入文件同步以后，过滤流程： 对文件名进行过滤：第一条：接受文件名包含“app”的文件.test。txt不符合条件，继续向下进行过滤。第二条：拒绝文件名包含“test”的文件.test.txt符合条件，动作为“拒绝”。找到一条匹配的规则,其动作为“拒绝”，那么无须再进行过滤:拒绝传输test.txt文件。ZIP文件aaa.zip进入文件同步以后，过滤流程： 对文件名、文件格式进行过滤：第一条：接受文件名包含“app”的文件。aaa.zip不符合条件，继续向下进行过滤。第二条：拒绝文件名包含“test”的文件。aaa。zip不符合条件，继续向下进行过滤。第三条：接受文

26、件名包含“txt”的文件.aaa.zip不符合条件，继续向下进行过滤。缺省规则：拒绝所有文件。在对文件名的过滤中，aaa。zip没有找到匹配的规则,那么就执行缺省规则.所以对文件名这个属性的过滤，aaa。zip的最终动作是“拒绝。第四条：接受文件格式为ZIP的文件。aaa.zip符合条件,动作为“接受”，继续向下进行过滤。缺省规则：拒绝所有文件.在对文件格式的过滤中，aaa.zip在之前已经找到匹配的规则,不需要执行缺省规则。所以对文件格式的过滤，aaa.zip的最终动作是“接受。综合文件名和文件格式过滤的结果:拒绝传输aaa。zip文件。ZIP文件app222.zip进入文件同步以后，过滤流

27、程： 对文件名、文件格式进行过滤：第一条：接受文件名包含“app”的文件。app222.zip符合条件,动作为“接受”，继续向下进行过滤.第二条：拒绝文件名包含“test”的文件.app222。zip不符合条件，继续向下进行过滤。第三条：接受文件名包含“txt的文件。app222.zip不符合条件，继续向下进行过滤.缺省规则：拒绝所有文件.在对文件名的过滤中，app222.zip已经找到一条匹配的规则，那么就不需要执行缺省规则。所以对文件名这个属性的过滤，app222.zip的最终动作是“接受”.第四条：接受文件格式为ZIP的文件。app222。zip符合条件，动作为“接受，继续向下进行过滤。

28、缺省规则：拒绝所有文件.在对文件格式的过滤中，app222.zip已经找到匹配的规则,无须执行缺省规则。所以对文件格式的过滤，app222.zip的最终动作是“接受”。综合文件名和文件格式过滤的结果：传输app222。zip文件。就像看见上面的过程一样，一个文件资源对象的规则顺序对于正确的筛选文件是有一定影响的。第五章 数据库同步数据库同步实现了多种形式的同步功能。5.1 数据库同步1）、一个同步计划的配置项如下所示:任务 ID:当前任务的ID号。同步模式：单向、双向(单向模式下只有源数据库对象中的改变会反映到目的数据库中；双向模式下源数据库对象中的改变会反映到目的数据库中，目的数据库对象中的

29、改变也会在源数据库中有所反映）。同步策略：增量、镜像（增量情况下只将一个数据库表中的变化同步到另一个数据库表中；镜像的情况下在第一次启动任务时以源数据库为标准,使源和目的数据库的数据表示一致，之后在进行增量的同步).源数据库对象：作为数据源的数据库.目的数据库对象：作为数据源的另一个数据库。数据表：需要做数据库同步的表（系统自动从源数据库中取得，也可手动添加）.同步间隔：10秒。2）、同步计划的启用和停用 在下图右上角有启用和停用按钮。点击启用则同步程序开始运行；点击停用则同步程序停止运行。3)、以下举例说明如何配置一个正确、完整的数据库同步计划。网络环境：外网有ORACLE9I数据库192.

30、168.80.38/24。SID为TEST，有用户SYSTEM，用户密码为SYSTEM。用户SYSTEM表空间有表T10。内网有ORACLE9I数据库10。0。0。45/24。SID为TEST，有用户SYSTEM，用户密码为SYSTEM。用户SYSTEM表空间有表T10，T9.例一:要求：把外网数据库TEST中用户SYSTEM表空间中的表T10为源，内网数据库TEST中用户SYSTEM的表T10为目的,进行双向同步.两个数据库中的表T10，结构一致.T10表结构如下：ID（NUMBER，10）; WAGE（FLOAT，10)。其中ID字段为主键。配置步骤:1. 添加数据库访问规则，如下：将外网

31、数据库服务器192。168。80。38映射到内网地址10。0。0.100上，端口为1521.2。 新建数据库服务器3. 新建数据库同步计划如下:同步模式：双向；同步策略：增量；源表结构和目的表结构一致；同步间隔:10秒;源数据库：orasrc;目的数据库:oradst;表:T10；例二：要求：把内网数据库TEST中用户SYSTEM表空间中的表T9为源,自动在外网数据库TEST中用户SYSTEM的表空间中创建表T9，进行单向同步.1. 添加数据库访问规则，同例一；2。 新建数据库服务器,同例一；3。 新建数据库同步计划如下:同步模式：单向；同步策略:增量;同步间隔：10秒；源数据库：orasrc

32、；目的数据库：oradst；表：T9；5.2同步程序日志数据库同步程序在启动和发生错误是均会生成日志,用户可下载、删除、在线阅读。日志文件名称，统一以DbSynblog加日期的形式生成，后缀为.log。5.3同步程序升级当数据库同步模块的程序需要升级时，可上传正确的升级包简单完成升级.5。2同步程序版本查看本模块的版本信息.第六章 系统监控6。1 设备状态设备状态,显示设备所有网口状态.6。2 地址信息显示各网口上配置的地址信息。6。3系统信息显示当前系统的管理口IP，启动时间，心跳时间，系统状态。心跳时间是指在启动高性能模块时，切换为当前设备为活动状态的时间。系统状态分为：正常（活动);故障

33、（活动）;正常（待机）；故障(待机）.“正常”表示：该设备所有配置了IP地址的网口网线接入正常。“故障表示：该设备所有配置了IP地址的网口网线接入不正常。“活动表示：在高可用性模块启动的情况下，该设备是正在使用的设备.“待机”表示：在高可用性模块启动的情况下，该设备处于待机状态,所有程序不生效。6。4运行状态显示系统所有应用程序模块，最近一次活动的运行结果。第七章 日志审计日志所显示的事件,包括系统日志、管理日志、映射日志、文件同步的任务日志。通过“日志查询”管理员可以查看自己感兴趣的日志。在每种日志查询之前,选择相应的查询条件。若不做任何选择，查询结果为此类型的所有日志.7.1 系统日志系统

34、日志：记录系统重要事件，例如关机，启动，重启，切换，等等。查询页面：结果:7.2 管理日志管理日志：用户登录、用户注销、管理员对本系统的配置管理动作。 查询页面：结果：用户可删除查询所得的结果；也可把查询结果保存到本地。7.3映射日志映射日志：记录了服务映射模块中的重要事件,例如，启动监听,连接到服务器等.查询页面：结果：7.4文件同步日志文件同步日志: 记录了文件同步过程中的错误事件.查询页面：结果：管理日志可删除,其他日志都不能删除，其他日志记录有上限，当日志达到一定数量之后,自动删除最老的记录；所有日志到可以通过查询之后点击“保存”按钮将查询结果保存到本地备份附件:典型案例服务映射服务映

35、射是CopGap的核心功能,主要是将被CopGap隔开的两个或多个（相同或不同)网域之间的地址进行映射转换。首先,应按照CopGap在网络中的架构，给CopGap 分配相应的IP地址，及内外端的网关，DNS等。【系统管理】【网络配置】例如下图示：一， FTP服务器映射【服务映射】【服务映射】目的是将CopGap另一端的FTP服务器映射到GapGap与自己相连接的网口上举例,将外网的FTP服务器（10。1.1。135）映射到内网，映射方向是：由内向外（访问)经过这样的映射，在内网访问192.168。0。46 端口21，即是访问10。1.135上的FTP服务器同理，如果要将内网的服务器映射到外网，

36、在映射方向上选择“由外向内”（访问)二， TCP协议映射将使用TCP协议的应用进行映射举例，将外网的一台SQLSERVER2000（10.1。1.145:1433）数据库服务器映射到内网通过映射之后,在内网访问192。168.0。46的1433端口,就是访问10.1.1。145服务器了。三， SMTP和POP3协议映射进行邮件服务器的映射举例，将新浪的邮件服务器映射的内网，用OUTLOOK访问经过映射之后，相当于192.168.0.46就是一台邮件收发服务器了, 在相应的邮件客户端（outlook,foxmail等）进行对应设置，就可以收发新浪的邮件了。四， SQUID协议代理（代理上网)外网

37、可上互联网,内网通过CopGap 代理上网首先在【系统管理】【网络配置】里的“DNS/网关/管理口选项卡里配置好不可信端的网关和DNS，如图：通过映射之后，在内网的浏览器上设置通过代理服务器（192。168.0。46:80）就可以访问互联网五， TNS协议映射将使用TNS协议的应用映射的对端举例,外网有个使用TNS协议的应用(WINDOWS版的ORACLE9I服务器按默认安装即使用的动态端口TNS协议）,现在将这个ORACLE9I（10。1。1。136：1521）映射到内网映射后在内网访问192。168.0。46：1521即是访问外网的ORACLE9I服务器六， UDP协议映射将使用UDP协议

38、的应用映射到对端举例,将公网的DNS服务器（使用的UDP协议）映射到内网首先还是在不可信端配好网关经过配置之后，在内网即相当于有了个DNS服务器192。168.0。46：53文件同步此功能是将被CopGap隔离开的两台FTP服务器指定的目录里的文件进行实时的同步【文件同步】【文件同步】举例,将内网的FTP服务器192.168。0.135上的登录路径下面的ssy文件夹里的内容实时的同步到外网10。1。1。145上的ssy145文件夹下配好后现在只要在内网的FTP服务器192.168。0。135登录路径下的ssy文件夹里放入文件,就会被实时（1分钟轮循环一次)的同步到外网的FTP服务器10。1。1。145登录路径下的ssy145文件夹里第 31 页