StoneWall网络安全隔离设备正向型使用指南5.docx

StoneWall网络安全隔离设备正向型使用指南5.docx

《StoneWall网络安全隔离设备正向型使用指南5.docx》由会员分享，可在线阅读，更多相关《StoneWall网络安全隔离设备正向型使用指南5.docx（28页珍藏版）》请在冰豆网上搜索。

StoneWall网络安全隔离设备正向型使用指南5

版权声明

StoneWall-2000网络安全隔离设备（正向型）Ver1.0版权归中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司所有，任何侵犯版权的行为将被追究法律责任。

未经版权所有者的书面准许，不得将本手册的任何部分以任何形式、采用任何手段（电子的或机械的，包括照相复制或录制）、或为任何目的，进行复制或扩散。

Copyright©2001-2002中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司。

版权所有，复制必究。

中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司不对因为使用该软件、用户手册或由于该软件、用户手册中的缺陷所造成的任何损失负责。

前言

互联网从无到有以飞快的速度发展着，它的开放性在给人们带来巨大便利的同时，也带来了系统入侵、信息泄密等网络安全问题。

网络的存在使得信息能达到高度共享和迅速传递，但是也要清楚认识到，网络安全问题作为一个十分重要的问题是一直存在着的。

目前，有很多网络安全工具，比如防火墙、IDS等等，网络安全隔离作为近几年来国内研究开发的网络安全技术也飞速发展起来，相信在不久的将来网络安全隔离在信息安全领域将扮演着越来越重要的角色。

StoneWall-2000网络安全隔离设备（正向型）是在包过滤的基础上，通过采用特殊的硬件设备来实现主机与主机之间、主机与网络之间、网络与网络之间的隔离。

本系统采取了单向链接、单向数据传输、数据分阶段非网络递交等措施因此有效的实现了网络的物理隔离。

本系统的总体结构按照国家有关信息安全的最近标准设计，具备软、硬结合的数据流向控制、连接方向控制、多级访问的立体控制的功能、具备高强度的防御功能、支持包括无IP地址监听、网络地址转换等多种工作模式。

同时，提供了丰富的GUI方式的管理和监控工具，可以方便的对设备进行安全策略配置、用户管理、实时监控、日志查询等操作。

因此StoneWall-2000网络安全隔离设备（正向型）是实施网络物理安全隔离的最佳装置。

阅读指南

〖手册目标〗

本手册是中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司的产品StoneWall-2000网络安全隔离设备（正向型）的用户指南，它详细地介绍了设备功能和操作。

通过阅读本手册，用户可以掌握StoneWall-2000网络安全隔离设备（正向型）的使用方法。

〖阅读对象〗

本手册是专为购买StoneWall-2000网络安全隔离设备（正向型）的用户编写的。

用户在使用隔离设备之前请仔细阅读本手册，以免误操作，造成不必要的损失。

〖手册构成〗

本手册主要由以下几个部分组成：

1．第一部分：

背景，包括第1章“网络安全隔离设备介绍”和第2章“StoneWall-2000网络安全隔离设备（正向型）简介”，介绍了与网络安全隔离技术有关的背景知识以及StoneWall-2000网络安全隔离设备（正向型）的功能。

2．第二部分：

安装篇，包括第3章“StoneWall-2000网络安全隔离设备（正向型）连接网络说明”，介绍StoneWall-2000在网络中的安装位置和安装方法。

3．第三部分：

管理篇，包括第4章“StoneWall-2000网络安全隔离设备（正向型）管理”，介绍了StoneWall-2000网络安全隔离设备（正向型）CLI管理器和GUI管理器的使用方法。

4．第四部分：

实例篇，包括第5章“设定范例和问题排解”，以实际的例子来详细介绍配置安全策略的过程。

〖手册约定〗

【注意】、【提示】的意思是请读者注意那些需要注意的事项。

目录

背景篇

第1章网络安全隔离设备介绍1

§1.1网络安全隔离设备的定义1

§1.2网络安全隔离设备在网络中的位置1

§1.3网络安全隔离设备访问控制策略2

第2章StoneWall-2000网络安全隔离设备（正向型）简介2

§2.1工作原理2

§2.2功能和特性3

管理篇

第3章StoneWall-2000网络安全隔离设备（正向型）管理5

§3.1网络安全隔离设备软件名称及存储位置5

§3.2相关文件说明及存储位置5

§3.3网络安全隔离设备管理工具5

§3.3.1、访问控制规则结构5

§3.3.2、选项解释5

§3.3.3、CLI管理器使用说明6

§3.3.4、GUI管理器使用说明11

§3.4网络地址转换原理及具体实例18

§3.5停止和重新激活网络安全隔离设备19

实例篇

第4章设定范例20

§4.1通过HUB连接的网络结构拓扑图20

§4.2接路由器的网络结构拓扑图21

§4.3内外网侧均为路由器，且一侧使用NAT环境的配置24

§4.4隔离设备用作简单的路由器25

§4.5隔离设备并联27

背景篇

第1章网络安全隔离设备介绍

§1.1网络安全隔离设备的定义

网络安全隔离设备是一种通过专用的硬件使两个网络在不连通的情况下进行网络间的安全数据传输和资源共享的网络设备。

因此，它有广阔的应用前景。

在国外已被美国、以色列等国家的军政、航天、金融等要害部门广泛应用。

作为国际上最新的网络安全技术，网络安全隔离设备独特的硬件设计使它能够提供比防火墙更高的安全性能，可大大提高政府、金融、军队等高端用户的整体网络安全强度。

网络安全隔离设备将可信任的内网和不可信任的外网进行隔离，因此必须保证内部网和外部网之间的通信均通过网络安全隔离设备进行，同时还必须保证网络安全隔离设备自身的安全性；网络安全隔离设备是实施内部网安全策略的一部分，保证了内部网的正常运行而不受外部的干扰。

§1.2网络安全隔离设备在网络中的位置

图1-1普通网络系统连接示意图

图1-2网络安全隔离设备连接示意图

§1.3网络安全隔离设备访问控制策略

访问控制策略是网络安全隔离设备的基础，它可以按如下两种逻辑来制订：

1、默认禁止：

访问控制规则没有明确允许的都禁止访问；

2、默认允许：

访问控制规则没有明确禁止的都允许访问。

可以看出，前一种逻辑限制性大，后一种逻辑则比较宽松。

基于安全性考虑，StoneWall-2000网络安全隔离设备（正向型）采用的是“默认禁止”访问控制策略。

第2章StoneWall-2000网络安全隔离设备（正向型）简介

§2.1工作原理

StoneWall-2000网络安全隔离设备（正向型）采用软、硬结合的安全措施，在硬件上使用双机结构通过安全岛装置进行通信来实现物理上的隔离，及单向数据流向控制；在软件上，采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。

在保证网络透明性的同时，实现了对非法信息的隔离。

通断开关

实时网络

（内网）

接口机A

StoneWall-2000网络安全隔离设备（正向型）通过开关切换及数据缓冲设施来进行数据交换。

开关的切换使得在任何时刻两个网络没有直接连通，在某个时刻网络安全隔离设备只能连接到一个网络，而数据流经网络安全隔离设备时TCP/IP协议被终止，因此可以有效地防护利用网络进行的外部攻击。

StoneWall-2000网络安全隔离设备（正向型）作为代理从内网的网络访问包中抽取出数据然后通过数据缓冲设施转入外网，完成数据中转。

在中转过程中，网络安全隔离设备会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施过滤控制；由于网络安全隔离设备采用了独特的开关切换机制，因此，在进行过滤检查时网络实际上处于断开状态；通过严格检查只有符合安全策略的特定数据才能进入内网，因此即使黑客强行攻击了网络安全隔离设备，由于攻击发生时内外网始终处于物理断开状态，黑客也无法进入内网。

StoneWall-2000网络安全隔离设备（正向型）在实现物理隔断的同时允许可信的内部网络和不可信的外部网络之间的数据和信息进行安全交换。

由于网络安全隔离设备仅抽取特定的合法数据进入内网，因此，内网不会受到网络层的攻击，这就在物理隔离的同时实现了数据的安全交换。

§2.2功能和特性

StoneWall-2000网络安全隔离设备（正向型）具备以下功能和特性：

具有物理隔离能力的硬件结构

由两个嵌入式计算机及辅助装置形成安全岛系统，并由安全半岛调度引擎实现安全轮渡，保证了内部网络和外部网络的物理隔离；

硬件数据流向控制

经过安全隔离设备的数据流向控制是通过特定的硬件实现，极大地保证了内部系统的安全；

连接方向的控制

可对TCP连接进行方向控制，TCP连接只能由内网主机建立连接，以保证内网主机不向外网提供网络服务；

多级过滤的立体访问控制

多级过滤形成了立体的全面的访问控制机制。

它可以在链路层根据MAC地址进行分组过滤，在IP层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP、UDP端口进行过滤；在应用层通过应用代理提供对应用协议的命令、访问路径、内容等的过滤；同时还提供用户级的鉴别和过滤控制。

保证了系统的安全性，提高了了防护能力，增强控制的灵活性；

更强的防御功能

采用非INTEL系列的RISC处理器，减少被病毒攻击的概率，采用专门裁剪的LINUX内核，取消所有系统网络功能。

这不但提高了安全性，而且保证了高性能；

支持实时报警

支持多种工作模式，包括无IP地址透明监听、网络地址转换、混合工作模式、双向网络地址转换（NAT）

可以支持无IP地址透明监听、网络地址转换、混合工作模式。

隔离设备没有IP地址，非法用户无法对隔离设备本身进行网络攻击。

同时双向NAT，隐藏内部网络主机IP地址。

不但便于实施，又提高了安全性能；

真正实现了透明接入

StoneWall-2000网络安全隔离设备（正向型）真正做到了透明接入；即：

在接入网络安全隔离设备后，不影响现有的网络应用的数据传输，正常使用网络的合法用户来对本设备是不可感知的。

安全方便的维护管理

StoneWall-2000网络安全隔离设备（正向型）配置非常简便，对它的操作及设置基本上只需使用规则配置管理工具就可以实现。

StoneWall-2000网络安全隔离设备（正向型）提供了两种不同的规则配置管理工具：

GUI管理工具、CLI管理工具。

规则管理工具（GUI）是本产品的专用配套程序。

该管理器具有界面友好、直观、功能齐全、通俗易懂等特点，可以运行于MicrosoftWindows9X/Me/2000/XP环境下。

管理工具如下图所示：

CLI命令行方式是指使用设备提供的Console接口进行本地管理。

该管理工具具有最高的安全级别，但是对管理员的要求比较高。

管理工具的界面如下：

具备以上功能的StoneWall-2000网络安全隔离设备（正向型）是计算机网络与网络之间、主机与网络之间、主机与主机之间实施物理安全隔离的最佳解决方案。

管理篇

第3章StoneWall-2000网络安全隔离设备（正向型）管理

我们可以方便地通过使用Windows提供的超级终端以命令行的方式管理网络安全隔离设备，也可以通过GUI管理器来管理网络安全隔离设备。

以上两种管理方法将在下面做详细介绍。

StoneWall-2000网络安全隔离设备（正向型）设置了串口输出，可以用来连接管理主机的管理终端。

串口特性为：

波特率为19200，8位数据位，无奇偶校验，1位停止位，无流量控制。

StoneWall-2000共有两个串口，连接标记为PRIVATE的串口即可管理本隔离设备的内网端；连接标记为PUBLIC的串口即可管理本隔离设备的外网端。

§3.1网络安全隔离设备软件名称及存储位置

在外网端的/usr/local/bin目录下，有一个可执行文件：

extransid是外网侧守护进程。

在内网端的/usr/local/bin目录下，有两个可执行文件：

intransid是内网侧守护进程。

rulemgr是CLI管理器。

§3.2相关文件说明及存储位置

本设备访问控制规则将作为文件存储在内网端的/etc目录下，文件名为：

rules。

日志文件存储在/var/log目录下，文件名为：

insulate.log。

§3.3网络安全隔离设备管理工具

网络安全隔离设备提供了两种管理工具，一种是字符界面、命令行管理方式，另一种是图形界面的管理方式。

§3.3.1、访问控制规则结构

-d[ALL|INPUT|OUTPUT]–t[SYN|DATA|ALL]–p[TCP|UDP]–eIPMACPORT–iIPMACPORT–feIP–fiIP–l–svalue

§3.3.2、选项解释

-d（direction）：

方向。

ALL表示允许TCP连接和数据双向通过，INPUT表示只允许数据或TCP连接从外网到内网，OUTPUT表示只允许数据或TCP连接从内网到外网。

-t（type）：

控制类型。

SYN表示对TCP连接进行方向控制，DATA表示对数据流向进行方向控制，ALL表示对TCP连接和数据流向都进行控制。

-p（protocol）：

协议选项。

-e（extra）：

位于外网的计算机结点的IP、MAC、端口。

-i（intra）：

位于内网的计算机结点的IP、MAC、端口。

-fe（fakeextraip）：

使用NAT功能，为外网的计算机结点分配的IP地址。

-fi（fakeintraip）：

使用NAT功能，为内网的计算机结点分配的IP地址。

-s（specialvalue）：

允许通过网络安全隔离设备的报文的特殊值。

-l（log）:

对于本链路被拒绝的数据报文进行日志记录。

§3.3.3、CLI管理器使用说明

使用串口线一端连接台式计算机的COM1或COM2口（或笔记本电脑的COM1口），另一端连接本网络安全隔离设备内网端（PRIVATE）串口，然后在台式计算机或笔记本电脑上新建一个超级终端。

以下的4张图说明如何利用本装置的内网端（PRIVATE）串口与PC机（安装WINDOWS操作系统）的COM1端口相连建立超级终端的过程。

超级终端连接成功以后，输入命令：

[root@fel8xx:

/root]#rulemgr[回车]，会出现如下菜单提示：

CONFIGURE

1.Addanewrule

2.Deleteonerule

3.Viewallrules

4.Deleteallrules

5.Save

6.SaveandQuit

7.NotSaveandQuit

8．Backuprulefile

9．Restorerulefile

Enterthenumberofyourchoiceandpressreturn:

上面的菜单显示了CLI管理器提供的功能的选择：

1．Addanewrule：

添加一条新规则。

2．Deleteonerule：

删除一条规则。

3．Viewallrules：

查看所有规则。

4．Deleteallrules：

删除所有规则。

5．Save：

储存设定数据。

6．SaveandQuit：

储存数据退出。

7．NotSaveandQuit：

不储存退出。

8．Backuprulefile：

备份规则文件。

9．Restorerulefile：

恢复规则文件

储存数据的功能在于：

用户对访问控制规则的所有操作都是在内存中完成的，只有选择储存设定数据的功能，设置的规则才会真正地写到配置文件中去，否则，用户的一切操作最后都是无效的。

Ⅰ、添加一条访问控制规则

选择1。

请按照提示完成下列步骤：

首先提示输入要定义的规则的名称：

Inputrule’sname:

---ProtocolSelection---（协议选择）

[1]:

TCP（TCP/IP协议）

[2]:

UDP（UDP协议）

[0]:

QuitToConfigureMenu

Select:

_

1）协议选择,询问本链路使用的协议

*如果选择[1],即选择TCP/IP协议,那么会出现下列选项:

---DirectionSelection---（方向选择）

[1]:

Fromextra-nettointra-net（从外网到内网）

[2]:

Fromintra-nettoextra-net（从内网到外网）

[3]:

Fromextra-nettointra-net&&Fromintra-nettoextra-net（双方向）

[0]:

QuitToConfigureMenu

Select:

_

如果选择[1]或者[2]，则询问方向控制的类型：

Linkdirectioncontrol?

[y/n]:

（询问是否进行TCP连接方向控制）

Dataflowdirectioncontrol?

[y/n]:

（询问是否进行数据流向方向控制）

如果选择[3]，则询问监听端口是位于哪个网络：

Whichnetdoesthelisten-portlocate?

[1]:

extra-net（外网）

[2]:

intra-net（内网）

Select:

_

*如果刚才选择协议类型的时候选择[2]，即选择UDP，会出现下列选项：

对于UDP报文，没有连接方向的控制，只有数据流方向的控制。

---DataFlowDirectionSelection---（数据流方向的选择）

[1]:

Fromextra-nettointra-net（从外网到内网）

[2]:

Fromintra-nettoextra-net（从内网到外网）

[3]:

Fromextra-nettointra-net&&Fromintra-nettoextra-net（双方向）

[0]:

QuitToConfigureMenu

Select:

_

接下来，询问监听端口位于内网还是外网：

Whichnetdoesthelisten-portlocate?

[1]:

extra-net（外网）

[2]:

intra-net（内网）

Select:

_

2）输入外网的计算机主机的信息：

---EXTRANETCONFIG---（外部网络计算机配置）

Inputextra-netIP:

_______________（输入IP地址）

Inputextra-netMAC:

_____________（输入MAC地址）

Inputextra-netport:

______________（输入端口号）

DoyouneedbindingofMACandIP?

[y/n]:

（询问是否将IP地址和MAC地址绑定）

3）输入内网的计算机主机的信息：

---INTRANETCONFIG---（内部网络计算机配置）

Inputintra-netIP:

________________（输入IP地址）

Inputintra-netMAC:

_____________（输入MAC地址）

Inputintra-netport:

______________（输入端口号）

DoyouneedbindingofMACandIP?

[y/n]:

（询问是否将IP地址和MAC地址绑定）

4）如果内外网的计算机的IP地址不是一个网段，NAT功能选择：

Doyouneednetaddresstranslate（NAT）?

[y/n]:

（询问是否需要做网络地址转换？

）

如果选择y：

Inputfakeextra-netIP:

______________（输入为外网侧的计算机分配的虚拟的IP地址）

Inputfakeintra-netIP:

__________________（输入为内网侧的计算机分配的虚拟的IP地址）

5）询问是否记录被拒绝的数据报文的信息

Loggingdeniedpacket'sinformation?

[y/n]:

6）询问是否需要对报文的特殊值进行过滤？

DoyouneedSpecialValuefilter?

[y/n]:

如果选择y：

Inputvalue:

________（输入允许通过网络安全隔离设备的报文的特殊值）

Ⅱ、删除一条访问控制规则

选择2。

按照提示完成下列步骤：

列出所有的规则，每一条规则前有一个序号，从1开始。

系统提示：

WhichruledoyouwanttoDelete?

_

输入序号后，规则被删除。

Ⅲ、显示所有访问控制规则

选择3。

列出所有的规则。

Ⅳ、删除所有访问控制规则

选择4。

系统提示：

Doyouwanttodeleteallrules?

[y/n]:

_（询问是否要删除全部的规则）

输入“y”，则全部规则被删除。

Ⅴ、储存设定数据

选择5。

系统将存储于内存中的规则写入磁盘文件。

Ⅵ、储存设定数据并退出配置工具

选择6。

系统将存储于内存中的规则写入磁盘文件并退出规则管理工具。

Ⅶ、不储存此次设定数据并退出配置工具

选择7。

系统不会把规则写入磁盘文件，这意味着用户在选择储存数据功能之前的对规则的操作将全部失效并退出规则管理工具。

§3.3.4、GUI管理器使用说明

1）、登录界面

在启动StoneWall-2000网络安全隔离设备（正向型）管理器时，将首先出现登录界面，管理员的名字为root，密码默认值为111111，请在登录之后尽快修改密码，以防他人盗用。

2）、主界面

3）、用户管理

在菜单选项中，点击“用户”，将出现如下菜单：

在管理员权限下，可以使用“用户管理”来添加和删除用户。

可以使用“修改密码”来修改当前用户的密码。

4）、工具

在菜单选项中，点击“工具”选项，将出现如下选项：

“端口配置”是用来配置运行GUI管理器的本地机器的串口的特性：

“端口”是指本地机器的哪一个串口与本隔离设备连接，“波特率”设置为19200即可。

“隔离设备调试工具”可以用来测试隔离设备与网络的连接是否正常。

“命令”提供了ifconfig和ping命令。

这两个命令都是UNIX/LINUX下常用的调试网络的命令。

首先，因为隔离设备本身没有IP地址，如果想使用ping命令来ping网络里的某一台主机，那么要先使用ifconfig命令为隔离设备的网卡配置上一个IP地址，具体使用方法就是：

选中ifconfig命令，在“参数”里输入要配置的IP地址，然后点击“发送”按钮。

示例如下：

配置IP地址后：

如果仅仅使用了ifconfig命令，而“参数”为空，那么点击“发送”按钮之后，将显示当前隔离设备网卡的一些信息。

示例如下：

在配置隔离设备网卡IP地址成功以后，选中“ping”命令，在“参数”里输入要ping的某主机的IP地址，然后点击“发送”按钮。

示例如下：

5）、设备管理

点击菜单选项里的“规则配置”，将出现如下选项：

在前面本手册已经介绍了如何设置规则，在GUI管理器中，在“规则管理”界面里也要求输入通过本隔离设备进行通信的两台主机的IP地址、MAC地址、端口号、以及规则名称、通信协议、是否对TCP连接方向控制、是否对数据流向控制、IP地