黑匣子密路系统用户使用手册.docx
《黑匣子密路系统用户使用手册.docx》由会员分享,可在线阅读,更多相关《黑匣子密路系统用户使用手册.docx(70页珍藏版)》请在冰豆网上搜索。
黑匣子密路系统用户使用手册
黑匣子密路系统
用户使用手册
第一章引言
一.1编写目的
对软件使用方法进行说明
一.2背景
在互联网产业飞速发展的今天,不断更新网络技术已经让传统的社会生产方式产生翻天覆地的变化。
但是Internet在给人们的生产生活带来便利的同时,也带来了极大的隐患。
要保护政府机构、企业、事业单位日渐庞大的信息数据,目前通常采用的办法是防火墙、杀毒软件、入侵检测等这些传统的设备。
诚然,这些已经被广泛采用的设备可以防御相当一部分常规攻击行为,但同时我们不得不接受一个残酷的现实,不少机构、企业在部署了几乎全部传统产品后,机密的信息数据依然出现了被破坏、丢失等情况。
那么是什么原因导致这些情况的发生呢?
我们知道所有的攻击来源和攻击目标最终都会归结到承载企事业单位信息数据的终端和服务器上。
但是储存数据和承载着业务系统的操作系统的问题却是层出不穷的,一旦最后一道防线被攻破,即使我们有监控证据和管理措施,重要数据丢失造成的影响是我们无法估量的。
一.2.1行业背景
随着互联网的飞速发展,互联网面临的各种问题层出不穷,从而带动了网络行业的巨大发展,基于网络保护的产品有交换机、路由器、防火墙、IDS、IPS、流量清洗系统等,基于主机保护的产品有个人防火墙、防病毒木马系统、主机检测及防护系统等,还有一些用于评估及管理的产品,用于数据传输阶段的认证及加密的产品及方案等;除了产品外,很多网络厂商还提供针对各种行业的解决方案、服务等;产品、解决方案、服务为互联网的发展提供了技术支撑和保障;没有互联网,就不会有网络,没有网络,互联网行业就无法发展、壮大。
网络厂商提供的产品、服务、解决方案总体上解决了网络问题,但对网络及业务应用等方面的细节保护却不可能做的太细,一方面是厂商没有精力去对各种业务应用及部署进行研究,另一方面是客户也不希望厂商了解牵涉到业务应用方面的内容。
这就为熟悉行业特点同时又有一定网络技术能力的服务商提供了一定得发展的空间和机会。
罗克佳华通过多年对一些行业的研究和技术方面的积累,对数据传输通道的进行了深入研究,提出了对数据传输通道的保护解决方案,解决了目前个人防火墙、防病毒、主机保护不能跨平台、不同系统事件不能集中监控显示、不同系统业务主机不能统一管理等问题。
一.2.2存在的问题
(1)业务主机防护系统还没被广泛接受
目前,在网络,基于网络的产品能够普遍被接受,基于个人主机的防火墙、防病毒也普遍被接受,但对于在业务主机上部署主机防护系统会普遍会受到客户或业务单位的抵制,原因在于业务主机万一出现问题后,到底是因为业务系统的问题还是因为主机防护系统的问题很难划分清楚。
(2)用户对防护所采用的技术缺乏了解
目前,个人主机上应用的主机保护系统(防火墙、防病毒等)技术已经非常成熟,这些软件只是属于应用软件,而不是操作系统级软件,防火墙、防病毒等软件本身即使出现问题,也不会对业务应用本身造成直接影响。
类软件都需要国家相关部门的认证(工信部、国家保密局等)才可应用发布,其测试也比一般应用软件更为严格,其可靠、稳定程度远比一般的业务应用健壮的多。
(3)制度及机制不健全
业务主机系统出现问题后,往往会出现不同软件或硬件供应商间互向指责对方,出现扯皮、责任不清等问题。
这就需要有专门的制度、机制、机构或授权单位来处理这些问题,从而更好的保障客户利益,而这方面的建设目前还比较滞后。
一.3定义
无
一.4参考资料
《项目需求规格说明书》
《项目概要设计说明书》
《项目详细设计说明书》
第二章软件概述
二.1目标
黑匣子密路系统通过对通信双方(服务端、客户端)进行IP地址、端口、及一些传输内容的控制,来达到优化数据传输环境,增强数据传输能力,保证数据传输通道的性、健壮性、高效性的目的;并能够实时显示业务主机受到的威胁事件,为优化网络结构(路由器、交换机、防火墙等)提供依据及参考。
二.2功能
二.2.1Windows网络包过滤引擎模块
引擎通过拦截传输层报文,根据策略配置来判断报文是否合法,对不合法的报文进行阻断,同时生成事件交给通信模块;对合法报文不做任何处理,这样引擎通过对数据传输层的控制,既能限制外界非法IP及端口对本机的访问,也能限制本机对外网IP及端口或局域网内其它IP及端口的访问,还可以通过定制来限制一些非法内容的传播,以达到保护本机系统,净化本机数据传输环境、提高效率、增强稳定性、性的目的。
引擎采用成熟的SPI技术来实现保护主机通信环境,阻断非法访问。
SPI(StatefulPacketInspection)全状态数据包检测,是指通过对每个连接信息(包括套接字对(socketpairs):
源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包。
它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的性。
引擎在默认情况下拒绝所有来自外网的请求,并且对通过引擎的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过引擎进入内网。
这种方案不仅可使网络用户访问Internet资源,同时又能防止Internet上的黑客访问内部网络资源。
引擎模块保护原理图:
二.2.2Linux网络包过滤引擎模块
引擎采用成熟的netfilter技术来实现保护主机业务通信环境,阻断非法访问;netfilter架构就是在整个网络通信流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT等,甚至可以是用户自定义的功能)。
通过检测点处理函数对通信的源地址、源端口、目的地址、目的端口、协议类型进行检测从而判断是否过滤数据报。
Netfilter是linux下一种非常成熟的网络包过滤技术架构,linux自身防火墙就是基于这种技术架构实现的,因此引擎采用该架构可以降低开发风险,确保主机系统的稳定、可靠,从而更好实现净化本机业务数据传输环境、提高效率、增强稳定性、性等目标。
二.2.3通信模块
Tcp通信是应用最广泛的面向连接的通信机制,要简单实现通信双方的数据传输比较容易。
但要想实现在互联网上高效、稳定、并且支持多并发、断开自动重连的通信组件并非易事,需要开发者对tcp协议、套接字状态、发送窗口、三次握手等内容有详细了解。
通信过程描述
服务器端:
(1)执行SOCKET,创建一个新的套接字通信端点并为其分配表空间。
(2)执行BIND为套接字分配一个本地地址和名字。
(3)执行LISTEN表示服务器进程愿意接受连接请求,并指定连接等待队列的最大长度。
(4)执行ACCEPT,阻塞或轮询服务器进程,等待客户的连接请求。
一旦客户的连接请求到达,传输实体即为其创建一个新的具有相同属性的套接字,并产生一个进程或线程在新套接字上处理该连接。
然后服务器进程回到原来的套接字上继续监听连接请求。
客户端:
(1)执行SOCKET,创建一个新的套接字通信端点。
(2)执行CONNECT,阻塞连接请求者并主动开始建立连接的进程。
当服务器的应答到来后,客户进程被唤醒,连接即告建立。
通信连接建立后,双方都可使用SEND和RECEIVE在已有的连接上发送和接收数据;连接的释放是对称的,当双方都执行了CLOSE后,连接即被释放。
Tcp套接字通信示意图:
三次握手
TCP通信连接建立过程如下:
客户请求连接TCP段:
SYN=1,ACK=0,seq=x
服务器响应连接TCP段:
SYN=1,ACK=1,seq=y,ack=x+1
客户响应连接TCP段:
ACK=1,seq=x+1,ack=y+1
初始连接序号的选择采用基于时钟的方案,每隔4微妙初始连接序号加1
通信状态描述
互联网的网络环境是极其复杂的,运行于局域网上的性能稳定的通信软件到了互联网上会出现很多问题,也许软件根本就没法正常使用,这一方面是因为互联网复杂造成的,另一方面是因为软件存在较多缺陷,健壮性不够造成的。
编写能过长期运行于互联网上的软件就必须考虑互联网上的各种通信状态,发生状态变化时应采取怎样的处理机制,只有对这些做深入了解才有可能写出稳定、健壮、能长期运行于互联网的通信软件。
TCP通信状态变化见下图:
二.2.4加密认证模块
身份认证功能
通信双方(甲和乙)通过公钥加密和私钥解密可实现彼此的身份认证。
甲方用乙公钥加密一标识,发送给乙;乙方用乙私钥解密密文,得到标识,然后乙用甲公钥加密该标识,发送给甲;甲用甲私钥解密密文,解密后的标识与甲用乙公钥加密前的标识对照,从而实现甲对乙的认证。
同理,用上述方法也可实现乙对甲的身份认证。
如下图:
认证功能由认证子模块提供,主要完成通信双方彼此间身份的确认和数据加密密钥的交换,以便进行数据的传输;认证采用1024位RSA非对称加密算法,该算法加密强度高;数据加密采用128位AES对称加密算法,加密强度和效率均能较好满足数据加密需求;认证流程如下:
数据加密功能
数据传输是在身份认证的基础上建立起来的,认证过程为数据通信过程提供AES对称密钥,通信双方的命令、事件、策略、日志、原始报文等信息发送前用该密钥进行加密,接收后用该密钥解密。
流程如下:
二.2.5数据库接口模块
通信模块客户端接受来之数据传输通道保护引擎上报来的事件,并把事件转发给数据可接口模块和实时显示模块,数据库接口模块把接收到的数据记录到数据库中,供分析查询模块适用;数据库接口模块提供数据库配置接口,供其他模块调用;在系统中,数据库接口模块除了事件入库外,还为策略配置模块提供接口,以便策略配置信息的入库和提取。
数据接口模块与其它模块关系如下图:
二.2.6策略配置模块
策略配置模块对数据传输通道保护引擎进行策略配置,以便使数据传输通道保护引擎对需要阻止的数据包进行阻断操作,根据策略配置需要阻止的源IP、源端口、目的IP、目的端口、协议等内容,也可配置事件的报警级别(可把事件分成高、中、低);配置好的策略信息存放于数据库中,策略配置模块可以把策略信息生成策略配置文件通过通信模块客户端发送给数据传输通道保护引擎,传输通道保护引擎根据策略配置信息对业务主机系统进行保护。
策略配置模块其它模块关系如下图:
二.2.7实时显示模块
通信模块客户端接受来之数据传输通道保护引擎上报来的事件,并把事件转发给数据可接口模块和实时显示模块,实时显示模块把接收到的数据根据显示配置选项进行显示。
通过事件实时显示,用户可以非常方便的掌控业务系统主机中出现的事件,并根据情况对网络的相关环节进行配置、加固(如防火墙、路由器等)。
实时显示模块与其它模块关系图:
二.2.8分析查询模块
分析查询模块可以根据引擎IP、端口、数据流向、协议类型、监控行为、时间段等对事件日子进行查询,既可以单条件查询也可根据需要进行组合查询;查询结果可以以表格、曲线、柄状图、柱状图等方式显示,可以帮助用户分析整个系统的状况、趋势、问题分布等信息,为用户进行信息规划、网络规划提供决策支持。
二.3性能
客户端软硬件配置
推荐配置
商用PC机
2.0以上CPU1颗/1G内容/100M网卡/17”/40GB以上硬盘/USB2.0
操作系统
WindowsXP\Windows2003\Windows2000
浏览器
IE6.0或7.0(不能完全支持或不可预测:
IE8.0或以上版本)
第三章运行环境
三.1硬件设备
客户端软硬件配置
推荐配置
商用PC机
2.0以上CPU1颗/1G内容/100M网卡/17”/40GB以上硬盘/USB2.0
操作系统
WindowsXP\Windows2003\Windows2000
浏览器
IE6.0或7.0(不能完全支持或不可预测:
IE8.0或以上版本)
三.2支持软件
同上
第四章使用说明
在本章,首先用图表的形式说明软件的功能同系统的输入源机构、输出接收机构之间的关系。
四.1安装与初始化
四.1.1部署结构图
各组件之间配置具体可参见下面各小节
四.1.2应用服务(应用程序)
应用服务(应用程序)
软件服务名称
配置信息
用途
gjj_monitor
四.1.2.1application.properties中配置
1 gjjtozjb_url中的地址为:
http:
//服务服务器:
7001/GJJ_Service/services/GjjService
例如:
服务服务器地址为172.19.113.12则配置为:
gjjtozjb_url=
http:
//172.19.113.12:
7001/GJJ_Service/services/GjjService
2 top.path的地址为:
/gjj_monitor/portal.do?
path=
例如:
top.path=/gjj_monitor/portal.do?
path=
3 设置系统名称:
代表:
利用住房支持保障住房建设试点-
system.name=\u5229\u7528\u4F4F\u623F\u516C\u79EF\u91D1\u652F\u6301\u4FDD\u969C\u4F4F\u623F\u5EFA\u8BBE\u8BD5\u70B9-\u4E1A\u52A1\u8FD0\u884C\u5E73\u53F0
4 CA用户配置:
modelgeshi=O=MOHURDECA,C=CN
5 档案路径配置
upload_path=/appdata/uploadfile/
四.1.2.2hibernate.cfg.xml配置数据连接
jdbc:
oracle:
thin:
@172.19.120.21:
1521:
zjbsid
housing_test
housing_test
true
oracle.jdbc.driver.OracleDriver
org.hibernate.dialect.Oracle9Dialect
org.hibernate.hql.ast.ASTQueryTranslatorFactory
gjj
false
四.1.2.3applicationContext.xml配置数据连接
class="org.springframework.jdbc.datasource.DriverManagerDataSource">
value="oracle.jdbc.OracleDriver">
value="jdbc:
oracle:
thin:
@172.19.120.21:
1521:
zjbsid">
四.1.3应用服务(服务)
应用服务(服务)
软件服务名称
配置信息
用途
GJJ_Service
四.1.3.1ServiceConfig.properties中配置
1 SystemService.url中的地址为:
http:
//交易平台服务:
7001/Sys_Service/services/
例如:
交易平台的地址为172.19.112.11则配置为:
SystemService.url=http:
//172.19.112.11:
7001/Sys_Service/services/
2 gjj_monitor.url中的地址为:
http:
//信息服务应用程序服务器:
7001/gjj_monitor
例如:
信息服务应用程序服务器地址为172.19.113.12则配置为:
gjj_monitor.url=http:
//172.19.113.12.7001/gjj_monitor/
四.1.3.2log4j.properties中配置
日志路径:
选择日志的存储路径,例如:
/home/rock则配置如下:
配置日志路径:
log4j.appender.R.File=/home/rock/gjjService.log
四.1.4应用服务(应用程序)
应用服务(应用程序)
软件服务名称
配置信息
用途
zjb_monitor
四.1.4.1application.properties中配置
1 gjjtobank_url中的地址为:
http:
//服务服务器:
7001/Monitor_Service/services/MonitorService
例如:
服务服务器地址为172.19.110.12则配置为
gjjtobank_url=
http:
//172.19.110.12:
7001/Monitor_Service/services/MonitorService
2 top.path的地址为:
例如:
top.path=/zjb_monitor/portal.do?
path=
3 设置系统名称
代表:
利用住房支持保障住房建设试点-系统
system.name=\u5229\u7528\u4F4F\u623F\u516C\u79EF\u91D1\u652F\u6301\u4FDD\u969C\u4F4F\u623F\u5EFA\u8BBE\u8BD5\u70B9-\u8FD0\u884C\u76D1\u7BA1\u7CFB\u7EDF
4 CA用户配置:
modelgeshi=O=MOHURDECA,C=CN
5 档案路径配置
upload_path=/appdata/uploadfile/
四.1.4.2hibernate.cfg.xml配置数据连接
jdbc:
oracle:
thin:
@172.19.120.21:
1521:
zjbsid
housing_test
housing_test
true
oracle.jdbc.driver.OracleDriver
org.hibernate.dialect.Oracle9Dialect
org.hibernate.hql.ast.ASTQueryTranslatorFactory
gjj
false
四.1.4.3applicationContext.xml配置数据连接
value="oracle.jdbc.OracleDriver">
value="jdbc:
oracle:
thin:
@172.19.120.21:
1521:
zjbsid">
四.1.5应用服务(服务)
应用服务(服务)
软件服务名称
配置信息
用途
Monitor_Service
四.1.5.1applicationContext.xml中配置
value="jdbc:
oracle:
thin:
@172.19.120.21:
1521:
zjbsid">
四.1.5.2log4j.properties中配置
日志路径:
选择日志的存储路径,例如:
/home/rock则配置如下:
配置日志路径:
log4j.appen
升级会员 