服务器网关文件,文件服务器部署方案之五:网关控制模式

最新推荐文章于 2022-12-12 23:57:24 发布
最新推荐文章于 2022-12-12 23:57:24 发布
阅读量2.3k 收藏 1
点赞数
文章标签: 服务器网关文件

文件服务器部署方案之五:网关控制模式

万华数据

五、 网关控制模式

用户可以使用windows自身的路由和远程访问功能,辅助以secWall的集控会话插件来控制允许访问文件服务器的客户端机器。

使用secWall集控服务器会话插件控制IP筛选器

secWall集控服务器支持会话插件,通过服务器端脚本可以获取当前的客户端登录用户的认证状态,会话插件在有用户登录或注销时都会触发事件,同时传出用户名、IP地址、MAC地址、事件类型等信息,可以通过这些触发事件实时控制路由器的IP筛选。从而达到和secWall端口加密同样的功能。

由于secWall端口加密功能仅能应用于Windows系统,而对路由器的控制则不受此制约。而且路由器IP筛选直接控制网络访问具有更高的效率。

实例:  环境:server2003,已启用路由和远程访问功能,两块网卡,一块连接客户端,另一块连接文件服务器。客户端的机器通过server2003来访问文件服务器。

实现功能:只有登录secWall客户端的机器才能访问文件服务器。

2263bc79c8271b0c6031040a9c53b1b2.png

server2003的两块网卡,“本地连接”是连接客户端的,客户端机器都是通过连接server2003的“本地连接”网卡转发到文件服务器的,所以应该在“本地连接”网卡上设置入站筛选器,这样才能对内网机器访问文件服务器起到控制作用。

1. 服务启用后,在“IP路由选择”中选择“常规”项,双击“本地连接”,弹出属性对话框,其中有“入站筛选器”和“出站筛选器”两个选项。

84b7dca03cd57208bfd395237a19974b.png

2. 点击“入站筛选器”进入,进行IP筛选配置。

数据包筛选器分为入站筛选器和出站筛选器两个选项,分别对应接收到的数据包和发出的数据包,对于某一个接口而言,入站数据包指的是从此接口接收到的数据包,而不论此数据包的源IP地址和目的IP地址。出站数据包指的是从此接口发出的数据包,而不论此数据包的源IP地址和目的IP地址。

c804c7abf46f0e595f2d38701e305355.png

3. 对于筛选器的设置,在子网掩码中设置为“0”的位,在IP地址中必须设置为“0”,如果设置错误,系统会有提示。

对于源网络和目标网络的匹配,路由和远程访问服务器是按照以下原则进行:将IP数据包的源IP地址和目的IP地址分别与IP筛选器中设置的源网络和目标网络的子网掩码进行相与操作,然后再和IP筛选器中的源网络的IP地址和目的网络的IP地址进行比较。在相与操作中,与“0”相与永远为“0”,因此任何IP地址和子网掩码的“0”位相与后均为“0”。而如果你设置的筛选器中IP地址对应的位却设置为“1”,那么你的筛选器将永远都得不到匹配,因此此筛选器就没有任何作用。

841515d5ec0eee6c71a7c6fc81b8dfd7.png

4. 因为要求是只有登录secWall客户端的机器才能访问文件服务器,所以入站筛选器的操作应该为“丢弃所有包,满足下面条件的除外”。

由于筛选器在没有记录时会回到默认状态“接受所有除符合下列条件以外的数据包”,所以应该先在筛选器中添加一条操作为“丢弃所有包,满足下面条件的除外”的记录,服务器的访问不需要受限制,可以将服务器的IP添加到筛选器中。这样设置后,之后所有添加的IP筛选都会保持现有的操作状态。

705918b7cda5f28cfabd71d8c5ab56ad.png

步骤:  1. 注册集控服务器会话数据导出插件  将MWSesPlg.dll复制到集控服务器所在计算机的硬盘文件夹中,以下假定复制到C:\Session。

注册插件。执行以下命令注册插件:RegSvr32 C:\Session\MWSesPlg.dll,系统提示“成功”。

重新启动集控服务器服务“Mawadata secWall Passport Serevr”。

1d3f422993c01dd513e74fa286c1998c.png

2. 使用外部触发器  外部触发器可以在会话记录发生变化时得到通知,可以在注册表中注册外部触发器的命令

注册表位置为:HKLM\Software\Mawadata\secWall\MWSesCB\Trigger,在该位置下添加如下字符串。

1) 客户机登录时在IP筛选器中添加一条记录    Name:Add

Type:REG_SZ

Value:netsh -r server2003 -u administrator -p secwall routing ip add filter "本地连接" input %IP% 255.255.255.255 0.0.0.0 0.0.0.0 any

2) 客户机注销时在IP筛选器中删除该记录    Name:Delete

Type:REG_SZ

Value:netsh -r server2003 -u administrator -p secwall routing ip delete filter "本地连接" input %IP% 255.255.255.255 0.0.0.0 0.0.0.0 any

在value值内直接输入netsh的运行命令,%IP%为命令行可用参数,输出当前登录会话的客户机IP。

如果在服务器上没有系统用户登录,netsh命令不能执行。而一般服务器都是锁在机房内,只要开机就可,并不一定会有用户登录。所以还需在注册表内添加两个字符串值记录系统用户的用户名和密码,这个用户必须是系统上已经存在的用户。

3) 执行netsh命令所用的系统用户名    Name:ImpersonateUser

Type:REG_SZ

Value:username

4) 执行netsh命令所用的系统用户密码    Name:ImpersonatePassword

Type:REG_SZ

Value:passsword

9a30a1118ba719cd84de16e247c5ceee.png

3. 注册表设置好后,重新启动集控服务器服务“Mawadata secWall Passport Serevr”。

服务重启后,设置就生效了。客户机登录secWall时,会话插件会自动执行命令,将当前客户机的IP添加到IP筛选器中,secWall注销时,会将该IP地址从筛选器中删除。这样,就能控制客户机访问文件服务器了。

4ba2f9c55c34556ed2f907a86c3ac517.png

关联文档

分享到:

weixin_39609354
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API网关设计和实现
08-03
主要介绍什么是网关网关的功能,特性,以及具体的设计和实现。
网关控制
经纬恒润的官方博客
10-21 580
网关控制器是整车电子电气架构中的核心部件,其作为整车网络的数据交互枢纽,可将 CAN、LIN、MOST、FlexRay、Ethernet 等网络数据在不同网络中进行路由。此外,由于独立网关控制器的存在,整车电子电气架构的设计可以更加优化,整车厂可以通过它来提高整车拓扑结构的可扩展性、整车的安全性、以及整车网络数据的保密性。因此,网关控制器已经日益成为整车电子电气架构中不可或缺的重要部件。 产品介绍 • 基本功能 ♦ 报文 / 信号路由功能 ♦ 速率转换与协议翻译 ♦ 整车网络相关诊断 ♦ 网关自诊
服务化改造之文件网关
weixin_33967071的博客
11-30 513
背景 从上图可以看到我们前期文件上传的技术架构,各应用都需要mount到文件服务器进行文件的相关管理、文件管理不便,所以这样进行文件上传就会带来以下几个问题: 增加运维人员工作量 由于文件上传是由个应用方来实现,所以有的应用方可能并没有对文件进行删除,移动的权限,所以需要运维人员来进行操作,增加了运维人员的工作量。 文件无法实现统一管控 上传的文件大小,类型,访问权限都是由各应用来管控,所以无法...
游戏服务器部署.doc
06-26
服务器搭建方案: 如上图所示,此结构是该游戏服务器组的基本结构,每组由4台网关服务器3台游戏服 务器,1台数据服务器,1台冗余服务器组成。每组服务器连接到同一台交换机,每两组 可以合用一台交换机,每组9台独...
funcraft :(具有)无服务器乐趣(API网关和函数计算)
02-05
是一个有用的支持Serverless应用部署的工具,可以帮助您快速进行地管理函数计算,API网关,日志服务等资源。它通过一个资源配置文件(template.yml),协助您进行开发,构建,部署操作。 如果你想使用旧版本的语法,...
公司文件服务器的搭建与管理.docx
06-07
公司文件服务器的搭建与管理全文共3页,当前为第1页。公司文件服务器的搭建与管理全文共3页,当前为第1页。公司文件服务器的搭建与管理 公司文件服务器的搭建与管理全文共3页,当前为第1页。 公司文件服务器的搭建与...
统一访问网关UAG部署和安全最佳实践.pdf
10-13
统一访问网关(Unified Access Gateway,简称UAG)是一种强大且功能丰富的身份验证和访问控制解决方案,由VMware公司开发。UAG部署和安全最佳实践是确保UAG实现安全、稳定和高效运行的关键。 一、UAG部署前的准备...
网关服务器怎么配置文件,网关服务器怎么配置文件
weixin_30162121的博客
08-06 752
网关服务器怎么配置文件 内容精选换一换安装完操作系统后,需在当前iBMC远程管理界面中配置网卡IP地址才能远程连接服务器,配置方法如下。vi /etc/sysconfig/network-scripts/ifcfg-enp2s0f0service network restartifconfig若显示为disabled,则执行以下命令将NetworkManager服务设置为自启安装完操作系统后,需在...
5 种 API 网关技术选型,yyds
芋艿V
08-28 824
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
双网文件服务器,服务器网关
weixin_31749595的博客
08-10 396
服务器网关 内容精选换一换查询双活域。双活域由本端存储设备、远端存储设备组成,通过双活域,应用服务器可以实现跨站点的数据访问。无URI格式GET /v1/{project_id}/active-domainsGET /v1/{project_id}/active-domains参数说明参数名称是否必选参数类型说明project_id是String项目ID。获取方法公网NAT网关创建成功后,您可...
文件上传至网关服务器
Classover1的博客
02-06 352
/** * 上传文件 *FileBean 包含 InputStream 与 fileName * @return */ @Override public String upload(FileBean fileBean) { CloseableHttpClient httpclient = HttpClients.createDefault(); CloseableHttpResponse response = nul...
网关网关模式××× 典型配置
weixin_34074740的博客
04-08 187
题记: 大多数的防火墙或者说是UTM部署的模式有路由模式,网桥模式,混杂模式,配置最核心的也就是写规则,一个好的规则会使得内部网络的安全性得到较大的改善,当然如果是UTM可能还会附加上一些其他的安全组件,例如见的最多的就是AV防病毒组件,IPS组件,anti-spam反垃圾邮件组件等,有的还有一些上网行为管理(比较薄弱),×××等组件,本次主要是以启明星辰的USG系列设备的...
高性能文件网关存储难?关键还得看全闪
m0_69056972的博客
05-09 290
全闪存储,改变无限可能
linux修改网关文件
weixin_41621686的博客
07-20 360
切换root用户su进入路径/etc/sysconfig/network-scriptsvimens-33修改ip地址IPADDR=192.168.206.103NETMASK=255.255.255.0GATEWAY=192.168.206.2DNS1=8.8.8.8查看主机名称vimetc/hostname修改主机。
【责任链设计模式】如何给网关设计一款专属的权限控制
z_ssyy的博客
12-12 300
客户端发出一个请求,链上的对象都有机会来处理这一请求,而客户端不需要知道谁是具体的处理对象。这样就实现了请求者和接受者之间的。在网关作为微服务程序的入口,拦截客户端所有的请求实现权限控制 ,比如先判断Api接口限流、黑名单、用户会话信息拦截。,并且在客户端可以实现动态的。
zuul两大作用_SpringCloud微服务(05):Zuul组件,实现路由网关控制
weixin_32534943的博客
01-17 441
一、Zuul组件简介1、基础概念Zuul 网关主要提供动态路由,监控,弹性,安全管控等功能。在分布式的微服务系统中,系统被拆为了多个微服务模块,通过zuul网关对用户的请求进行路由,转发到具体的后微服务模块中。2、Zuul的作用1)按照不同策略,将请求转发到不同的服务上去;2)聚合API接口,统一对外暴露,提高系统的安全性;3)实现请求统一的过滤,以及服务的熔断降级;3、案例结构启动顺序如下:# ...
java高性能网关服务器与逻辑服通信
最新发布
10-03
Java高性能网关服务器与逻辑服通信是一种常见的架构设计,用于构建高性能的分布式系统。这种架构通常在服务器集群中使用,网关服务器负责接收客户端请求并将其转发给逻辑服处理。下面将详细说明Java高性能网关服务器与逻辑服通信的过程。 首先,客户端发送请求到网关服务器网关服务器通常会预先配置一个监听端口用于接收请求。一旦收到请求,网关服务器会提取请求信息,例如请求的URL、参数等,并将其转化为服务器内部可处理的格式。 接下来,网关服务器会使用一种通信协议(例如HTTP、TCP等)与逻辑服进行通信。网关服务器会将请求信息封装成特定的消息格式,并通过网络发送给逻辑服。这里需要考虑到网络通信的稳定性和性能,可以使用一些优化技术,如连接池、负载均衡等,以确保高效的数据传输。 逻辑服接收到网关服务器发送的消息后,会解析消息并执行相应的业务逻辑。逻辑服处理完请求后,将响应数据返回给网关服务器网关服务器再将响应数据返回给客户端。 在整个通信过程中,网关服务器扮演了一个中间层的角色,负责接收和转发请求。这种架构的优点是可以实现服务器集群的扩展和负载均衡。网关服务器作为整个系统的入口,可以根据实际情况将请求分配到不同的逻辑服上,避免某个逻辑服过载而导致系统性能下降。同时,通过合理的部署和配置,可以实现高效的请求处理和响应。 总之,Java高性能网关服务器与逻辑服通信是一种可靠、高效的架构设计,适用于构建大规模分布式系统。通过合理的配置和优化,可以实现高性能和可扩展性,并有效地提升系统的整体性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值