网神SecSIS3600安全隔离和信息交换系统管理员手册V601文档格式.docx

网神SecSIS3600安全隔离和信息交换系统管理员手册V601文档格式.docx

《网神SecSIS3600安全隔离和信息交换系统管理员手册V601文档格式.docx》由会员分享，可在线阅读，更多相关《网神SecSIS3600安全隔离和信息交换系统管理员手册V601文档格式.docx（160页珍藏版）》请在冰点文库上搜索。

⑴本安全隔离与信息交换系统的搬运最好使用出厂原包装。

搬运之前请清点好所有部件和随机附带的资料。

⑵最好将各个部件和随机附带的资料按出厂时的包装还原。

⑶安全隔离与信息交换系统不可带电搬运，任何零部件不可带电插拔，否则可能损坏安全隔离与信息交换系统。

⑷将安全隔离与信息交换系统打包完成后，用胶带封箱，即可搬运。

安全隔离与信息交换系统搬运过程中，请不要剧烈碰撞和跌摔，不可雨淋。

搬运过程请远离强静电，强磁场环境。

3正确规范的操作是安全的保证。

概述

随着互联网的发展，电子政务与企业信息化工作的展开，Web服务已经成为互联网上最流行的服务。

政府与企业为了不断的提升自己的对外服务质量与内部工作效率，正在纷纷建立自己的内部的或与Internet相连接的Web服务系统。

在提供Web服务的同时往往带来黑客攻击、非授权访问等安全风险，为了确保客户资料等重要信息资源的安全性，通常将这些信息放在单独的网络上，该网络并不与外部网络直接相连接。

文件服务是网络上主机之间交流信息的一种非常普通的方式，但多个网络之间的隔离却文件交换又回到了最原始的方式，通过人为的干预来实现，定期将需要转移的数据拷贝到软盘等存储介质上，然后再将其复制到目标网络中。

而随着电子政务、电子商务的开展，不同网络间交换数据的数量和频率呈几何量级上升，网络间文件传输导致给管理人员带来了巨大的工作量，同时也带来了网络间信息流的迟滞，信息不能实现在网络间及时的共享。

这种原始的解决方案已经越来越无法满足用户的需求。

分析以上网上的多种不同应用，信息的安全性保护需要重要信息保存在独立的安全网络上，同时网络服务需要访问不同网络间的信息资源。

针对网络间的信息访问需求，安全信息交换系统应运而生。

网神SecSIS3600安全隔离与信息交换系统是网神信息技术（北京）股份有限公司针对政府、企业等重要部门在多个网络之间相互交流信息的要求，提出的面向各种不同应用的网络间信息交流方案。

特别是对不同网络互相之间物理隔离的情况下，实现信息的安全流转而设计的整体解决方案。

网神SecSIS3600安全隔离与信息交换系统是在物理隔离的基础上使用户能够更方便的进行信息交流系统，它的使用并不限于某一特定的行业或部门，其应用对象非常广泛，包括：

政府部门、行政机关、事业机构、企业单位、各类公司等。

●适合对象

本手册适用于负责支持、维护网神SecSIS3600安全隔离与信息交换系统的安全管理员，技术工程师，是对网神SecSIS3600安全隔离与信息交换系统进行配置管理时的必备手册。

●适合产品

本书适合网神SecSIS3600安全隔离与信息交换系统系列产品，以后简称"

安全隔离网闸"

。

●手册内容

网神SecSIS3600安全隔离与信息交换系统是模块化系统，不同的功能模块对应不同的应用模块，还包括管理系统常用的工具等功能。

第一章准备工作：

主要描述产品的特点及功能；

第二章登陆管理界面：

如何登陆管理界面的方法、界面的功能介绍；

第三章网络配置：

主要配置系统的网络、管理地址，路由信息等；

第四章管理员配置：

管理员源地址的访问控制，权限分配，新增管理员及参数设置；

第五章文件交换：

实现将一侧的文件摆渡到另一侧的功能；

第六章数据库同步：

实现将一侧数据库中的数据同步到另外一测；

第七章安全浏览：

上网浏览的具体配置；

第八章安全FTP：

提供对FTP服务器的安全防护

第九章FTP访问：

FTP文件传输的基本配置；

第十章数据库访问：

提供对oracle、sql、DB2等数据库的访问控制

第十一章邮件访问：

访问邮件服务器的具体配置

第十二章SSL通道：

通过SSL通道访问基于TCP的常服务，对传输数据进行加密

第十三章　SOCKS模块：

网闸提供SOCKS代理应用

第十四章定制模块：

标准TCP/UDP访问的配置

第十五章防护设置：

防病毒、抗攻击、入侵检测等基本配置

第十六章工具箱：

系统许可证、配置管理、系统时间、修改口令，版本等信息的管理。

第十七章关闭系统：

关闭本侧主机系统。

第十八章安全退出：

退出管理界面，切换到登陆界面。

第一章准备工作

1.1产品介绍

网神SecSIS3600安全隔离与信息交换系统是网神信息技术（北京）股份有限公司利用自身的优势，结合国内用户的特点开发出来的具有自主版权的、符合我国安全政策的网络安全产品。

特别是对不同网络互相之间物理隔离的情况下，开发出具有强大的信息内容过滤、日志审计功能、网络防病毒等多种安全策略综合应用的稳定可靠的网神SecSIS3600安全隔离与信息交换系统，实现信息的安全流转而设计的整体解决方案。

网神SecSIS3600安全隔离与信息交换系统属于网络安全产品范畴，全部设置基于WEB界面，充分体现网神SecSIS3600合创网络科技有限公司产品易用、好用的原则，可以为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地构建自己的安全网络或安全通道。

1.2产品特点

物理层安全隔离

本系统遵循严格物理隔离的原则，采用双主机加上专有隔离硬件的体系架构，确保两个网络之间无物理层的直接连接，实现物理隔离。

专有交换卡

内外主机系统中安全检测与控制处理单元采用专有硬件交换电路设计的双通道高速数据交换卡。

数据交换卡具有独立的硬件交换控制逻辑，无OS及任何“软”控制，自主完成数据的交换。

协议阻断

在两个主机系统之间采用专有协议，阻断TCP/IP协议的连接。

这样基于操作系统的漏洞攻击和网络层协议的攻击基本被杜绝或者只发生在主机系统一侧，从而实现一种隔离交换的安全。

1.3产品功能

网神SecSIS3600安全隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：

网络配置：

完成设备网络参数的基本配置以及高可用性的配置

管理员配置：

管理员源地址的访问控制，权限分配，新增管理员及参数设置。

文件交换：

实现将网闸一侧的文件安全可控的摆渡到另外一侧

数据库同步：

实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中

安全浏览：

在内外网隔离环境下保证内网用户安全浏览外网资源。

安全FTP：

实现对FTP服务器的安全防护

FTP访问：

在内外网隔离环境下实现安全的FTP访问。

数据库访问：

在内外网隔离环境下实现安全的数据库访问。

邮件访问：

在内外网隔离环境下实现安全的邮件访问。

SSL通道：

通过SSL通道访问基于TCP的常服务，对传输数据进行加密。

SOCKS模块：

网闸提供SOCKS代理应用。

定制模块：

在内外网隔离环境下实现对所有的基于TCP/UDP服务的访问。

防护设置：

用于配置设备是否进行入侵检测、防病毒、抗攻击等。

工具性：

第二章登陆管理界面

网闸提供两种管理方式，Web管理和串口管理，下面介绍登陆界面的操作和管理的菜单功能。

网神安全隔离与信息交换系统使用了安全套接层（SSL）协议，在网神安全隔离与信息交换系统连接期间，所有的交换信息均被SSL加密，默认的访问端口为443。

2.1Web管理

网闸分内网管理和外网管理

内网默认管理地址为：

https:

//10.0.0.1

外网默认管理地址为：

//10.0.0.2

默认管理用户名：

admin默认密码：

admin

默认日志用户名：

auditor默认密码：

auditor

用户管理机地址设置与管理地址同一网段（10.0.0.*/24），用交叉线与网闸的内网管理口和外网管理口相连。

管理机网卡设置（10.0.0.6/255.255.255.0）

打开IE浏览器，输入https:

//10.0.0.1（内网为例）

配置管理员：

用户名admin，密码admin

日志管理员：

用户名auditor，密码auditor

进入管理界面

菜单区：

系统的所有功能菜单，不同的功能对应不同的菜单

配置区：

配置系统相关参数的区域

系统信息：

显示系统在CPU、内存、流量、IO等信息

2.2串口管理

基于串口连接，提供命令行方式的基本配置管理和灾难恢复功能，提供了管理的安全、方便与灵活性。

可以提供恢复出厂设置、关闭远程管理等基本管理功能。

配置终端参数：

登陆用户名为hawk，口令hawk。

命令表如下：

命令名称

描述

？

|help

帮助功能，列表所有串口命令

Clear

清屏

Serviceweb<

open|close>

开启和关闭web管理界面

Servicessh<

开启和关闭ssh管理界面

Configdefault

恢复出厂配置

Passwd

修改串口口令

Netcap<

interface>

[ip][port]

抓包工具

Ping<

host>

Ping测试

Detect

检测对方主机

Showcpu

显示cpu信息

Showmemory

显示内存信息

Showdisk

显示存储器信息

Showproc

显示当前进程

Showinterface

显示端口信息

Showlink

显示连接信息

Showgw

显示路由信息

Showarp

显示arp表

Showver

显示系统版本

Quit|exit

退出

第三章网络配置

该模块主要配置系统的相关网络配置、网络地址，管理地址，路由、DNS、主机名配置、双机和负载及IPMAC地址的绑定功能。

3.1网络配置

用于配置系统的网络接口的属性，包括net、bridge和bond三种模式。

Net模式，网络接口作为独立网卡使用，可以直接连接相关网络。

Bridge模式，可以将多个网络接口绑定成为一个桥来使用。

Bond模式，可以将多个网络接口绑定成为一个接口来使用，提供冗余负载功能。

参数说明

参数名称

备注

网络设备

选择配置的网络接口（net1，net2，net3,net4）

网络接口显示net1……与面板丝印一致

属性

可选net模式、bridge模式或bond模式

Bridge模式支持最多两个桥

Bond模式最多支持两个bond口

确定

提交配置

3.2网络地址

用于配置系统的网络地址

选择配置的网络接口

可选接口包括所有net模式的接口以及brige1和bridge2、bond0和bond1

IP地址

网络接口的IP地址

可在一个网络接口上配置多个IP地址，每个接口最多支持配置255个地址

子网掩码

网络接口的子网掩码

MTU

可以修改网络口接口的MTU值

删除

删除现有的IP地址配置

增加

增加新的网络地址

配置说明：

Ø

增加网络地址，点击【增加】，选择网络设备net2，IP地址：

2.2.2.2，子网掩码：

255.255.255.0，点击【确定】，增加地址成功。

修改网络地址，修改2.2.2.2的IP地址为4.4.4.4，点击【确定】，修改地址成功。

删除网络地址，标记要删除的IP地址4.4.4.4，点击【确定】，删除地址成功。

3.3管理地址

用于配置系统的管理地址

默认为manage，不可更改

管理接口的IP地址

管理地址不能与网络口地址为同一网段

管理接口的子网掩码

可以修改管理口的MTU值

修改管理地址，修改管理地址为10.0.0.66，在原地址10.0.0.1上修改地址为10.0.0.66，子网掩码：

255.255.255.0，点击【确定】，修改地址成功。

注意：

管理地址不能与网络口地址为同一网段。

3.4路由配置

用于配置系统不同接口到不同网络的路由信息

目标网段

网络要到达目标网段

网络要到达目标网段的子网掩码

网关地址

网络要到达目标网段的下一跳址

新增网关地址与接口设备地址是同一网段。

接口设备

网络路由使用的接口设备

删除对应路由配置

增加默认路由，点击【增加】，目标网段0.0.0.0，子网掩码0.0.0.0，网关地址192.168.10.2，接口设备net1，点击【确定】，增加路由成功。

增加目的网络2.2.2.0的路由，点击【增加】，目标网段2.2.2.0，子网掩码255.255.255.0，网关地址2.2.2.2，接口设备net2，点击【确定】，增加路由成功。

删除2.2.2.0路由，标记要删除的到网段2.2.2.0路由，点击【确定】，删除路由成功。

新增到达目的网段路由的网关地址与接口设备必须是同一网段，如不是同一网段会添加失败。

3.5路由表

路由表配置项用于配置源IP路由选择中的路由表，需要指定路由表ID号和下一路网关。

WEB界面显示如下：

路由表ID号

路由表的标识

ID号的范围1-250，

下一跳地址

下一跳网关的IP地址

删除路由表项

增加路由表配置项

确定配置

配置路由表，路由表ID号配置为1，下一跳地址配置为192.168.1.254；

点击“确定”，配置成功；

增加路由表配置，点击“增加”，路由表ID号配置为250，下一跳地址配置为192.168.2.254；

删除路由表配置，勾先ID号为1的路由表配置项后面的删除选框，点击“确定”，删除成功；

3.6源地址路由

源地址路由配置项用于配置基于客户端源IP地址的路由，需要指定真实客户端地址，本地地址和路由表ID号。

客户端地址

真实客户端的IP地址

本地IP

网闸本地网口配置的地址

“路由表”中配置的路由表ID号，下拉列表可选择

删除指定“源地址路由”配置

增加相应源地址路由配置

确定配置参数

配置源地址路由，客户端地址10.30.44.44，本地地址192.168.1.44，路由表ID号1，点击“确定”，配置成功；

增加源地址路由，客户端地址10.30.44.100，本地地址192.168.1.44，路由表ID号250，点击“确定”，配置成功；

删除源地址路由，勾先10.30.44.44规则后面的删除选框，点击“确定”，删除成功；

3.7DNS配置

用于配置系统的DNS

DNS地址，最多可添加3个DNS

删除对应DNS配置

增加新的DNS

新增DNS，点击【增加】，IP地址202.106.0.20，点击【确定】，增加成功。

修改DNS，修改DNS为202.106.0.90，在原DNS202.106.0.20上修改地址为202.106.0.90，点击【确定】，修改成功。

删除DNS，标记要删除的DNS202.106.0.90，点击【确定】，删除成功。

3.8主机名配置

用于配置网闸系统的主机名，重启设备才能生效。

注：

内网默认主机名为Inside，外网默认主机名为Outside。

3.9IPMAC绑定

用户手工绑定相关机器的IP地址和MAC地址，防止IP地址和MAC地址非法篡改。

默认允许

所有使用系统应用的机器都允许使用本系统，没有限制

配置默认允许，所有地将都将能够访问

默认禁止

只有符合下面IP/MAC配置才可以使用本系统

请选择绑定管理主机的IP/MAC，否则网闸就无法管理。

计算机的IP地址

IP/MAC绑定以后，只有两个完全对应，该用户方可访问，修改IP地址和MAC地址都会影响使用

MAC地址

计算机IP地址对应的MAC地址，格式：

00:

00

删除配置

增加配置

新增绑定，点击【增加】，默认禁止，IP地址10.0.0.6，MAC地址00:

0A:

E4:

3F:

A1:

38，点击【确定】，增加成功。

修改绑定，修改10.0.0.8MAC为00:

38，在原10.0.0.6上修改IP地址为10.0.0.8，点击【确定】，修改成功。

删除绑定，标记要删除的10.0.0.8，点击【确定】，删除成功。

3.10IPMAC探测

系统自动探测相关机器的IP地址和MAC地址，选择绑定的机器IP和MAC，防止IP地址和MAC地址非法篡改。

选择默认允许，所有地址都将能够访问

IP/MAC绑定以后，只有两个都符合是，该用户方可访问，修改IP地址和MAC地址都会影响使用

绑定

绑定IP和对应的MAC地址

绑定，标记要绑定的IP和对应MAC，点击【确定】，绑定成功

3.11双机和负载

提供双机热备和负载均衡等高可用性服务。

配置包括：

基本配置、虚拟地址、双机检测、负载服务、负载信息和启动配置。

3.11.1基本配置

用于配置双机和负载服务的基本配置信息。

本机标识

表示本机在HA服务中的名称

参与HA服务的所有主机，包括内网和外网，标识都不可以重复

状态设置

配置当前主机的工作状态

该状态为设备初始工作状态，在一个HA服务组中，不要出现多个主设备

当前状态

显示设备当前工作状态

设备优先级

同一个HA服务组中，不同设备工作的优先级

直接关系到主备切换的顺序，取值范围：

1-255，数值越大优先级越高，不同级别之间以50为一个级别跨度，默认值为101

是否邮件通知

配置是否需要在状态变化是进行邮件通知

邮件服务器地址

发送邮件通知所使用的邮件服务器地址

只支持IP方式，不支持域名

接收邮件地址

发送邮件通知的目的地址

邮件源址

通知邮件中显示的发送源地址

本机标识，本机主闸或备闸的标示，例如主闸内网：

min，主闸外网：

mout

状态设置，设置本机的状态标识

设备优先级，添加150，主闸的必须比备闸的优先级大50的倍数

新增绑定，点击【确定】，增加成功。

3.11.2虚拟地址

配置对外提供服务的虚拟IP地址。

点击虚拟地址菜单，首先要选择该虚拟地址属于哪个网络设备，点击选定的网络设备的下一步，配置虚拟IP地址。