网神SecSIS安全隔离与信息交换系统产品安装调试指.docx
《网神SecSIS安全隔离与信息交换系统产品安装调试指.docx》由会员分享,可在线阅读,更多相关《网神SecSIS安全隔离与信息交换系统产品安装调试指.docx(25页珍藏版)》请在冰豆网上搜索。
网神SecSIS安全隔离与信息交换系统产品安装调试指
网神安全产品安装调试指导手册
网神SecSIS3600安全隔离与信息交换系统
网神SecSIS3600安全隔离与信息交换系统产品常用功能描述和使用说明
网神SecSIS3600安全隔离与信息交换系统根据不同的应用需求,量身定制功能模块,满足用户的不同应用需求,主要包括:
网络配置:
完成设备网络参数的基本配置以及高可用性(双机负载)的配置
管理员配置:
管理员源地址的访问控制,权限分配,新增管理员及参数设置。
文件交换:
实现将网闸一侧的文件安全可控的摆渡到另外一侧
数据库同步:
实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中
安全浏览:
在内外网隔离环境下保证内网用户安全浏览外网资源。
安全FTP:
实现对FTP服务器的安全防护
FTP访问:
在内外网隔离环境下实现安全的FTP访问。
数据库访问:
在内外网隔离环境下实现安全的数据库访问。
邮件访问:
在内外网隔离环境下实现安全的邮件访问。
视频模块:
在内外网隔离环境下实现安全的视频服务器的访问。
定制模块:
在内外网隔离环境下实现对所有的基于TCP/UDP服务的访问。
工具箱:
系统许可证、配置管理、系统时间、修改口令,版本等信息的管理。
网神SecSIS3600安全隔离与信息交换系统产品常见应用场景说明
网神SecSIS3600安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境,可应用在不同的涉密网络之间;同一涉密网络的不同安全域之间;与互联网物理隔离的网络和秘密级涉密网络之间;未与涉密网络连接的网络和互联网络之间,通过网闸的安全控制,在保证信息安全的前提下更好地促进各个业务系统的互联互通、资源共享。
数据库安全同步解决方案
某政府部门开展电子政务,允许公众通过互联网提交服务申请并查询结果。
如果允许访问者通过Web服务器直接向核心数据库服务器发起数据访问请求,则黑客可能穿透防火墙的保护直接侵入后台数据库系统,严重威胁到业务的正常开展。
如上图所示,采用网神SecSIS3600安全隔离与信息交换系统,在核心数据库服务器和外部不可信网络间实现安全隔离,则来自互联网的用户只能通过Web服务器访问到前置数据库服务器。
根据安全策略定时将前置数据库和核心数据库的内容进行同步,既可满足对外服务的要求又提供了安全保障。
这种方式强化了应用层的安全控制,可有效防止TCP/IP数据包穿越网络到达核心数据库服务器,大大增强了系统的安全性,为电子政务的有效开展提供了可靠的保证。
网神SecSIS3600安全隔离与信息交换系统提供多种数据库同步方式,可定制同步周期及方向,支持Oracle、Sybase、SQLServer、MySQL、DB2等多种主流数据库。
系统支持基于触发器和快照两种方式的增量数据复制,可实现异类数据库间的数据同步。
系统提供C/C++编程接口,可以方便的与其它系统的集成。
安全邮件收发解决方案
某机构强制要求内网禁止与互联网相连,但根据业务需要必须通过电子邮件与外界进行信息交流。
如采用人工方式,即由专人负责在公众信息网接收电子邮件,再通过移动存储介质复制到内部网进行处理,则信息不能得到及时处理,严重影响工作效率;若采用内外网邮件服务器转发的方式,安全又得不到保证。
为解决这一问题,在内外网间部署网神SecSIS3600安全隔离与信息交换系统。
安全隔离与信息交换系统可以保证可信内网与Internet安全隔离,内外网邮件服务器间不存在链路层连接,没有数据包的交换,因此无法通过邮件系统对内部办公网发起攻击。
系统可以为每个用户制定各自的邮件交换策略,对邮件内容、附件类型及垃圾邮件、带病毒邮件等进行过滤,从而使内网用户可以在内网安全地收发邮件,保证安全的邮件处理。
安全文件交换解决方案
网神SecSIS3600安全隔离与信息交换系统,由安全管理员制定相应的信息交换策略,在网络安全隔离的前提下定时进行文件交换。
系统还支持交换方向、文件类型的指定,可对被交换文件进行内容检查、查病毒等处理,只允许或不允许包含相应内容的文件通过网闸传递。
网神SecSIS3600安全隔离与信息交换系统可对数字签名进行校验,以起到身份认证、防抵赖的作用。
安全FTP访问解决方案
网神SecSIS3600安全隔离与信息交换系统,由安全管理员制定相应的FTP访问策略,在网络安全隔离的前提下进行FTP访问。
系统还支持访问方式、文件类型的指定,可对FTP命令、用户名进行策略配置,达到FTP用户访问控制和过滤。
安全浏览解决方案
为了内网用户能够安全的访问互联网资源,网神SecSIS3600安全隔离与信息交换系统,在保障内网安全的前提下提供安全浏览功能。
安全浏览功能可进行多种策略设置,以达到URL访问控制、网页文件类型限制、上网时段控制等安全功能。
内网用户可通过网闸对互联网资源正常、安全的进行访问。
准备工作
网闸的部署与用户的业务系统息息相关,在网闸项目实施时应特别注意,切勿造成用户业务无法正常使用的状况出现。
所以,在网闸上线实施前,应对当前用户的网络环境、业务模式、安全需求等情况进行详细的了解,充分做好产品上线准备,确保网闸上线后高效、稳定,与用户业务安全结合。
了解实际用户网络环境或主机环境
网络环境
充分的网络环境了解,有助于我们明确网闸的部署位置,IP地址的规划等,对与当前用户整个网络的拓扑结构要做到心中有图和手中有图,
Ø网络拓扑
网络拓扑图可以请用户网络工程师协助提供。
拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。
Ø部署位置
根据用户提供拓扑,分清安全域界限,明确网闸部署位置。
ØIP规划
明确网闸所需的IP地址、掩码、网关地址,以及各关键设备的地址信息。
主机环境
明确用户现场网络拓扑后,还需要对用户的主机系统,也就是各类与网闸应用相关的服务器进行了解,以确保采用正确的网闸模块与之对应。
Ø服务器系统平台信息
了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。
了解各服务器网络配置信息,如服务器IP地址、服务器连接位置等。
Ø数据库信息
对具有数据库应用需求的用户,了解其使用的数据库类型、版本等数据库相关信息。
Ø软件信息
了解用户主机系统所使用的与网闸业务相关的软件信息。
了解实际用户应用及安全需求
业务模式
了解业务模式,可以针对当前用户的各类业务应用选择最匹配的网闸功能模块,以确保网闸功能与用户应用的无缝结合。
Ø应用相关信息
了解业务所采用的协议类型,业务端口开放情况等业务相关信息。
Ø业务流程分析
通过对业务流程的分析,可以确定哪些功能是必须要实现,从而使得我们可以以更合适的方式来实现所需要的功能服务。
Ø业务软件模式
针对业务应用所使用的软件模式,B/S架构还是C/S架构,可以更好的选择功能模块采用的实现方式。
安全需求
了解用户安全需求,细化网闸安全功能,确保用户信息及数据的安全。
Ø访问用户限制
针对不同的访问用户进行业务应用限制,功能使用限制;
对于不同的管理员赋予不同的权限。
Ø访问客户端限制
针对IP段、MAC地址的访问限制;
Ø应用层过滤
Ø针对业务应用进行的策略限制,黑白名单策略、命令限制、文件类型限制等。
开箱、加电
设备开箱
设备开箱请按装箱清单进行清点,并对设备外观进行检查,若有异常请认真详细地做好记录。
打开网闸包装后,确认包装箱内是否包含以下各物品以及状态是否良好:
●网神SecSIS3600网闸
●配件盒:
电源线×1
串口线×1
网线×2
软盘/CD-ROM光盘(包括网闸相关信息文件和手册)
如果发现任何物品丢失或出现损坏,则立即联系网神公司。
如果需要运输或将网神SecSIS3600安全隔离与信息交换系统保存起来以待后用,那么切勿丢掉包装材料或装运纸箱。
设备加电
开箱检验确认设备外观无异常后,可对设备进行加电检验。
加电后请注意观察网闸前面板指示灯,可初步判断网闸是否正常。
内、网外面板各有3个指示灯。
按顺序分别为:
电源指示灯:
显示网闸供电是否正常。
状态指示灯:
显示网闸存储读写工作情况。
交换指示灯:
显示网闸交换卡工作情况。
网闸加电后,正常状态下,电源指示灯常量;状态指示灯只在存储读写情况下闪烁,无工作状态灭灯;交换指示灯在无工作情况下为间隔闪亮,间隔时间约1~2秒,交换卡工作情况下为快速闪烁状态。
注意:
网闸配备冗余电源,尽量保证双电源供电。
如果使用单一供电,无供电电源会产生报警。
(可按电源模块上红色按钮取消报警)
安全注意事项
本节列出的安全使用注意事项,请在使用网神SecSIS3600安全隔离与信息交换系统过程中严格执行。
这将有助于更好地使用和维护安全隔离与信息交换系统。
1.安全隔离与信息交换系统应用环境为温度10℃~35℃和湿度40%~80%;存储环境为温度0℃~70℃,湿度20%~95%。
2.采用交流220V电源。
3.必须使用三芯带接地保护的电源插头和插座。
良好的接地是您的安全隔离与信息交换系统正常工作的重要保证。
对于安全隔离与信息交换系统来说,如果缺少接地保护线,在机箱的金属背板上可能会出现感应电压。
虽然不会对人体造成伤害,但在接触时,可能会产生麻、痛等轻微触电的感觉。
另外,如果您擅自更换标准电源线,可能会带来严重后果。
管理网神SecSIS3600安全隔离与信息交换系统
网神SecSIS3600安全隔离与信息交换系统提供两种管理方式,Web管理和串口管理,下面介绍登陆界面的操作和管理的菜单功能。
网神SecSIS3600安全隔离与信息交换系统使用了安全套接层(SSL)协议,在网神安全隔离与信息交换系统连接期间,所有的交换信息均被SSL加密,默认的访问端口为443。
WEB界面方式
网闸分内网管理和外网管理
内网默认管理地址为:
外网默认管理地址为:
默认管理用户名:
admin默认密码:
admin
默认日志用户名:
auditor默认密码:
auditor
用户管理机地址设置与管理地址同一网段(10.0.0.*/24),用交叉线与网闸的内网管理口和外网管理口相连。
管理机网卡设置(10.0.0
打开IE浏览器,输入(内网为例)
配置管理员:
用户名admin,密码admin
日志管理员:
用户名auditor,密码auditor
进入管理界面
菜单区:
系统的所有功能菜单,不同的功能对应不同的菜单
配置区:
配置系统相关参数的区域
显示区:
显示系统在内网或外网管理页面
命令行方式
基于串口连接,提供命令行方式的基本配置管理和灾难恢复功能,提供了管理的安全、方便与灵活性。
可以提供恢复出厂设置、关闭远程管理等基本管理功能。
配置终端参数:
登陆用户名为hawk,口令hawk。
命令表如下:
命令名称
描述
?
|help
帮助功能,列表所有串口命令
Clear
清屏
Serviceweb
开启和关闭web管理界面
Servicessh
开启和关闭ssh管理界面
Configdefault
恢复出厂配置
Passwd
修改串口口令
Netcap[ip][port]
抓包工具
Ping
Ping测试
Detect
检测对方主机
Showcpu
显示cpu信息
Showmemory
显示内存信息
Showdisk
显示存储器信息
Showproc
显示当前进程
Showinterface
显示端口信息
Showlink
显示连接信息
Showgw
显示路由信息
Showarp
显示arp表
Showver
显示系统版本
Quit|exit
退出
其它方式
除了上述两种管理方式外,网神SecSIS3600安全隔离与信息交换系统暂不提供其他管理方式。
如何申请许可证和激活网神SecSIS3600安全隔离与信息交换系统产品功能模块
申请License
网神SecSIS3600安全隔离与信息交换系统在初次使用时,产品功能模块需要激活方可使用。
激活前请记录产品硬件序列号并填写《license申请表》。
★注意:
此处请务必分清内外网硬件序列号,避免混淆。
License申请:
请将上述信息邮件至网神客户服务部并电话通知。
联系人:
翟玉晶电话:
邮件地址:
导入License
点击上传许可证,浏览许可证文件,点击上传。
许可证文件必须有厂商正式签发。
签发许可证请参照4.3获取硬件序列号,并发送给厂商进行申请。
注意:
1.内外网License为同一文件。
2.导入License时,如果使用的浏览器为IE8,请将安全级别设置降低,否则会出现找不到上传文件现象。
初级“假设法”手把手教您如何快速安装部署网闸产品
网闸网络配置
在了解完用户网络结构并确认网闸部署位置后,就可以对网闸进行基本的网络设置,我们以下图的网络环境为基础进行网闸的网络基本设置。
如上图所示,网闸分别与、网段相连接,内、外网口IP分别为和。
确认上述IP信息无误后,即可在网闸上进行操作配置。
以内网为例。
登录网闸WEB管理界面,点击网络配置:
网卡配置,选择网络设备属性,此处选择net,确定。
网络地址,选择网口,ip地址栏填写网闸内网口实际地址。
此处填写,子网掩码:
。
点击确定保存。
外网IP设置与内网设置方法一致。
实际应用中,仅仅配置完IP并不能保证网闸的网路连通,还需要根据网络的实际状况添加路由设置。
本例中需要分别为网闸内、外网添加路由。
配置如下图所示:
外网路由设置与内网设置方法一致
至此,本应用中的网闸网络配置已经完成,可以通过网闸WEB管理界面中工具箱下的调试工具测试网闸在网络中的连通性。
中级“假设法”手把手教您如何快速调试网闸产品的基本功能
安全浏览
说明:
1网闸的内外网管理端口地址分别默认为:
内网:
10.0.0.1,外网:
,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。
2管理主机与网闸的内外网管理端口相连接,分别以10.0.0.1和访问,用户名和密码为:
admin。
客户需求
需求一:
内网主机能够通过网闸访问互联网,采用代理服务器模式,即需要在客户端主机上添加代理服务,不需要添加网关地址和DNS地址。
需求二:
内网主机能够通过网闸访问互联网,采用透明模式,即需在客户端主机添加网关地址和DNS地址
网络配置
Ø内网网络端口配置
修改地址为:
Ø内网管理端口地址
如与网络接口不冲突,可以为默认。
Ø外网网络端口配置
修改地址为:
,如此为公网地址请直接指定。
Ø外网网关配置
此处网关为:
,如此为公网地址请直接指定。
Ø外网管理端口地址
如与网络接口不冲突,可以为默认。
网闸具体配置
需求一配置
内网主机能够通过网闸访问互联网,采用代理服务器模式,即需要在客户端主机上添加代理服务,不需要添加网关地址和DNS地址。
Ø内网模块配置
1.安全浏览→客户端→基本设置,进行安全浏览服务设置。
选择代理方式,选择侦听地址:
,端口8080,其他选项默认。
2.安全浏览→基本设置→启动设置
点击启动服务按钮
Ø外网模块配置
1.安全浏览→服务端→配置DNS,添加DNS地址(当地的DNS服务器地址)
2.安全浏览→基本设置→启动设置,选择启动服务按钮。
Ø内网客户端主机配置
在用户的主机IE属性中选择连接/局域网连接,添加代理服务器地址(端口8080)
需求二配置
内网主机能够通过网闸访问互联网,采用透明模式,即需在客户端主机添加网关地址和DNS地址
Ø内网模块配置
1.安全浏览→客户端→基本配置,选择透明方式,本地地址,服务端口80。
2.
3.安全浏览→客户端→启动配置,重启服务
4.内网允许DNS请求通过
定制模块→UDP访问→UDP客户端→添加任务,地址端口53任务号1(此任务号可以任意,但一定要与外网模块的相同)
Ø外网模块配置
1.网络配置→配置DNS:
2.安全浏览”→基本设置→启动设置→确定,启动服务
3.外网允许DNS请求通过
定制模块→UDP访问→UDP服务端,地址:
,端口:
53,任务号:
1(此任务号可以任意,但一定要与内网模块的相同)
Ø内网客户端主机配置
1.在本地PC机的“TCP/IP”属性设置如下:
2.默认网关:
,DNS服务器:
3.浏览器的设置(把代理去掉)
安全FTP
说明:
1网闸的内外网管理端口地址分别默认为:
内网:
10.0.0.1,外网:
,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。
2管理主机与网闸的内外网管理端口相连接,分别以10.0.0.1和访问,用户名和密码为:
admin。
网闸FTP工作原理:
FTP是常用的文件传输手段,我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号,就可以通过代理方式,透明方式,混合模式访问内网或外网的FTP服务器。
可以使用LeapFTP、FlashFXP等FTP软件和命令行方式,顺利进行访问和数据操作。
在百兆网络的测试环境中,FTP的平均传输速率可达91.2Mbps。
对于FTP服务端所在网络只是FTP代理服务器的情况,提供了很好的解决方案,仅需添加代理FTP服务器的IP地址和端口即可。
客户需求
内网做为客户端,外网做为服务器端,实现内网用户可通过网闸访问到外网的FTP服务器,并且内网用户对FTP服务器的上传、下载等操作正常运行。
对访问的服务器进行目的地址控制。
对访问ftp的用户进行源地址控制。
隐藏真实服务器地址。
1、在网闸内网配置FTP代理监听并启用FTP客户端服务
2、在网闸外网启用FTP服务
3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作
网络配置
Ø内网网络端口配置
修改地址为:
Ø内网管理端口地址
如与网络接口不冲突,可以为默认。
Ø外网网络端口配置
修改地址为:
Ø外网网关配置
此处网关为:
Ø外网管理端口地址
如与网络接口不冲突,可以为默认。
网闸具体配置
代理模式配置
◆在网闸内网配置FTP代理监听并启用FTP客户端服务。
◆通过允许服务器控制用户访问的目的地址
◆通过访问控制对访问ftp的用户源地址进行控制
◆通过重定向隐藏真实服务器地址
◆在网闸外网启用FTP服务
内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作。
Ø内网模块配置
安全ftp→客户端→基本配置,运行方式:
代理模式,本地地址:
,本地端口:
21,其它参数项默认不修改即可。
安全FTP→客户端→启动设置,点击启动服务按钮,启用FTP客户端模块。
客户要求只允许通过网闸访问指定的FTP服务器,即和两台,其他ftp服务器不允许访问。
通过配置允许的服务器可以进行目的地址控制。
点击安全ftp—客户端—允许的服务器,添加允许用户访问的服务器地址即可。
注意:
默认不填,为全部都允许;如果添加了允许的服务器,未添加的就都不允许;在添加允许的服务器时,首先应该将网闸FTP访问的监听地址允许访问,否则就全部都无法访问了。
源地址访问控制
通过配置客户端的访问控制规则,可以对使用安全ftp访问的用户的源地址进行控制,例如只允许这个网段的用户使用该模块。
配置如下:
点击安全FTP—客户端—访问控制;选择默认禁止,除以下配置策略外的其他任何地址都是禁止访问的;添加允许访问的客户端地址段,格式如下;客户端端口为任意;
动作为允许;
重定向
通过配置重定向,可以隐藏用户的实际服务器地址。
比如用户要求访问ftp服务器的终端不知道实际服务器的地址,只告诉他们一个虚拟的访问地址,虚拟成为,虚拟成为;
配置如下:
点击安全FTP—客户端—重定向;添加虚拟服务器地址和真实服务器地址;
用户通过网闸访问时访问方式不变,但是只需访问虚拟地址就可以重定向到真实的服务器地址;
Ø外网模块配置
安全FTP→基本设置→启动设置,点击启动服务按钮,启用FTP服务端模块
Ø内网客户端主机访问FTP服务器设置
1.命令行方式一
内网用户主机(通过命令行方式访问FTP
1.
2.用户名输入:
2.命令行方式二
内网用户主机(通过命令行方式访问FTP数据库
1.
2.用户名输入:
3.使用FTP客户端软件方式
内网用户主机(客户端软件访问FTP服务器
1.添加代理服务器
2.运行快速连接
服务器:
代理服务器:
安全ftp代理模式(上一步添加的代理服务器名称)
点击“连接”,连接成功。
3.在使用FlashFXP软件时,可以不设置代理服务器。
配置方式如下图。
透明模式配置
1、在网闸内网配置FTP透明模式并启用FTP客户端服务
2、在网闸外网启用FTP服务
3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作,直接访问真实服务器地址即可。
不需要先访问代理服务器,或者设置代理服务器。
4、内网客户端机器的网关指向网闸,或者路由可达。
透明模式下,外网服务器地址不能与网闸内网地址在同一网段。
基本配置中的运行方式选择“透明方式”。
其余配置方式与代理模式一致。
客户端机器的网关指向网闸(),直接访问外网服务器。
如下图所示
混合模式配置
1、在网闸内网配置FTP混合模式并启用FTP客户端服务
2、在网闸外网启用FTP服务
3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作。
4、用户可采用代理模式访问外网ftp服务器,或者使用透明模式访问。
5、基本配置中运行方式中选择“混合模式”,使用方式见4.1,4.2
FTP访问
说明:
1网闸的内外网管理端口地址分别默认为:
内网:
10.0.0.1,外网:
,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。
2管理主机与网闸的内外网管理端口相连接,分别以10.0.0.1和访问,用户名和密码为:
admin。
网闸FTP工作原理:
FTP是常用的文件传输手段,我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号,就可以通过代理方式,透明方式,混合模式访问内网或外网的FTP服务器。
可以使用LeapFTP、FlashFXP等FTP软件和命令行方式,顺利进行访问和数据操作。
在百兆网络的测试环境中,FTP的平均传输速率可达91.2Mbps。
对于FTP服务端所在网络只是FTP代理服务器的情况,提供了很好的解决方案,仅需添加代理FTP服务器的IP地址和端口即可。
客户需求
内网做为客户端,外网做为服务器端,实现内网用户可通过网闸访问到外网的FTP服务器,并且内网用户对FTP服务器的
上传、下载等操作正常运行。
有限数量的FTP服务器,通过独立任务实现一对一ftp访问。
大量的FTP服务器,通过一个任务实现对多个FTP服务器的透明访问。
对访问ftp的用户进行源地址控制。
网络配置
Ø内网网络端口配置
修改地址为:
Ø内网管理端口地址
如与网络接口不冲突,可以为默认。
Ø外网网络端口配置
修改地址为:
,如此为公网地址请直接指定。
Ø外网网关配置
此处网关为:
,如此为公网地址请直接指定。
Ø外网管理端口地址
如与网络接口不冲突,可以为默认