DMZ 网关

Version 24.3.9111


DMZ 网关


知行之桥可以通过 DMZ 网关接收安全的连接。通过将所有外部连接尝试集中到 DMZ,可以保护公司防火墙并维护网络安全。

注意:该特性目前只在 .NET 版本的知行之桥中适用,且需使用应用程序内含的内置 web 服务器。

网关是如何工作的

知行之桥支持通过建立 SSH 反向隧道接收发送到 DMZ 的数据。它是这样工作的:

  • SSH 服务器位于 DMZ 中,扮演一个位于知行之桥和外部交易伙伴之间的“中间人”
  • 知行之桥与这个 SSH 服务器连接并在任一端口上打开 SSH 反向隧道(比如,端口 7777)
  • 一旦隧道被打开,SSH 服务器将会直接转发从 7777 端口接收到的流量给知行之桥
  • 交易伙伴连接到 SSH 服务器并发送将用于知行之桥的所有数据到 7777 端口
  • 为了传输安全,使用 SSH 标准,将数据从 SSH 服务器转发到知行之桥

因此,交易伙伴可在仅访问 DMZ 中的 SSH 服务器时将任意业务数据发送到知行之桥。

设置网关

启用 DMZ 网关支持需要一些简单的步骤:

  1. 在 DMZ 中安装一个 SSH 服务器,或选择已安装 SSH 服务器的 DMZ。例如,预装有 SSH 服务器的 Amazon 机器实例,或安装在 DMZ 计算机上的免费的 OpenSSH 服务器实施。

  2. 在 SSH 服务器上开启端口转发。打开服务器的 sshd_config 文件,设置 GatewayPortsyes

  3. 右键单击系统任务栏中的知行之桥图标,选择服务器选项…,并且导航到云网关界面

  4. 选择启用云网关

  5. 为位于 DMZ 中的 SSH 服务器配置连接设置。

  6. 转发端口 应将传入数据转发到知行之桥的端口(在 SSH 服务器上)。

  7. 测试连接按钮可以动态接受服务器证书并验证连接是否成功。

  8. 重新启动知行之桥内置 web 服务器,以在指定端口上自动打开 SSH 反向隧道

完成以上步骤后,向交易伙伴提供到 DMZ 中 SSH 服务器的连接详细信息。指示在转发端口指定的端口(而不是默认端口 22)将数据发送到此 SSH 服务器。

额外的转发端口

配置 转发端口 允许为知行之桥中使用的 HTTP 流量转发流量。 还可以转发其他两个端口来为 SFTP 和 OFTP 端口建立隧道。

要转发其他端口,请将以下四行添加到 arc.xml 配置文件:

<OFTPPort>6619</OFTPPort>
<OFTPRemotePort>6619</OFTPRemotePort>
<SFTPPort>22</SFTPPort>
<SFTPRemotePort>2022</SFTPRemotePort>

<type>Port 是流量转发到的端口,<type>RemotePort 是要在 SSH 服务器上打开的端口。

注意:不能转发已用于 SSH 服务的端口。 例如,如果 SSH 服务器正在侦听端口 22,则“SFTPRemotePort”也不能是端口 22。

维护网关

知行之桥在服务器启动(重启)时自动打开网关。如果连接因任何原因断开,知行之桥还会重新与 SSH 服务器建立连接。