DMZ 网关
Version 24.3.9111
DMZ 网关
知行之桥可以通过 DMZ 网关接收安全的连接。通过将所有外部连接尝试集中到 DMZ,可以保护公司防火墙并维护网络安全。
注意:该特性目前只在 .NET 版本的知行之桥中适用,且需使用应用程序内含的内置 web 服务器。
网关是如何工作的
知行之桥支持通过建立 SSH 反向隧道接收发送到 DMZ 的数据。它是这样工作的:
- SSH 服务器位于 DMZ 中,扮演一个位于知行之桥和外部交易伙伴之间的“中间人”
- 知行之桥与这个 SSH 服务器连接并在任一端口上打开 SSH 反向隧道(比如,端口 7777)
- 一旦隧道被打开,SSH 服务器将会直接转发从 7777 端口接收到的流量给知行之桥
- 交易伙伴连接到 SSH 服务器并发送将用于知行之桥的所有数据到 7777 端口
- 为了传输安全,使用 SSH 标准,将数据从 SSH 服务器转发到知行之桥
因此,交易伙伴可在仅访问 DMZ 中的 SSH 服务器时将任意业务数据发送到知行之桥。
设置网关
启用 DMZ 网关支持需要一些简单的步骤:
-
在 DMZ 中安装一个 SSH 服务器,或选择已安装 SSH 服务器的 DMZ。例如,预装有 SSH 服务器的 Amazon 机器实例,或安装在 DMZ 计算机上的免费的 OpenSSH 服务器实施。
-
在 SSH 服务器上开启端口转发。打开服务器的 sshd_config 文件,设置 GatewayPorts 为 yes。
-
右键单击系统任务栏中的知行之桥图标,选择服务器选项…,并且导航到云网关界面
-
选择启用云网关。
-
为位于 DMZ 中的 SSH 服务器配置连接设置。
-
将 转发端口 应将传入数据转发到知行之桥的端口(在 SSH 服务器上)。
-
测试连接按钮可以动态接受服务器证书并验证连接是否成功。
-
重新启动知行之桥内置 web 服务器,以在指定端口上自动打开 SSH 反向隧道
完成以上步骤后,向交易伙伴提供到 DMZ 中 SSH 服务器的连接详细信息。指示在转发端口指定的端口(而不是默认端口 22)将数据发送到此 SSH 服务器。
额外的转发端口
配置 转发端口 允许为知行之桥中使用的 HTTP 流量转发流量。 还可以转发其他两个端口来为 SFTP 和 OFTP 端口建立隧道。
要转发其他端口,请将以下四行添加到 arc.xml
配置文件:
<OFTPPort>6619</OFTPPort>
<OFTPRemotePort>6619</OFTPRemotePort>
<SFTPPort>22</SFTPPort>
<SFTPRemotePort>2022</SFTPRemotePort>
<type>Port
是流量转发到的端口,<type>RemotePort
是要在 SSH 服务器上打开的端口。
注意:不能转发已用于 SSH 服务的端口。 例如,如果 SSH 服务器正在侦听端口 22,则“SFTPRemotePort”也不能是端口 22。
维护网关
知行之桥在服务器启动(重启)时自动打开网关。如果连接因任何原因断开,知行之桥还会重新与 SSH 服务器建立连接。