1、智能隔离装置网络安全隔离产品(正向型)的硬件结构如下图1所示。本产品 硬件采用X8林系结构高性能嵌入式计算机芯片,双机之间通过高速物理光纤隔 离模块进行物理连接。内外网申口可以用来连接配置终端,方便管理人员对网络 安全隔离设备的控制。正向隔离装置的前面板图如下图 2所示。前面板上内网和外网各有 4个10M/100M勺以太网接口以及各一个配置申口,内网配置申口用来配置正向隔离装 置内网端链路规则,并监控内网侧的状态信息,夕卜网配置申口用来配置外网链路 规则,并监控外网侧的状态信息,内网网口用来连接内网,外网网口用来连接外 网,内外网口的网卡指示灯绿灯亮, 表示网口与网络正确连接,黄灯亮表示网络
2、速率是100M暗表示网络速率是10M闪烁表示有数据正在接收或发送。图3 网络安全隔离装置(正向型)后面板图2产品分发与安装网络安全隔离装置(正向型)产品分发包括硬件和软件两大部分。用户在使 用本产品时,应先检查硬件产品是否具有先一科技的标志, 外观是否有损坏现象。如有以上现象,请勿使用并及时与本公司取得联系,处理相关事宜。为了产品稳 定、可靠的运行,请勿私自打开隔离装置机箱。隔离装置随机带有一张配置软件 安装光盘、一根申口配置线,用丁在安装Windows2000/XP/win7/等操作系统的计 算机上进行配置。安装完成后,启动配置管理软件,软件界面如下图 4所示。13 也ns宜止向丑庆曜序丰匚
3、钏 的6*1 附Hi日市算 w留命牌密装妄正仙_型|-宿吠,cor/ 京FL 图4正向隔离装置配置软件主界面必须通过隔离装置,以便保护安全的内部网络,安装拓扑图如下图 5所示3正向隔离装置配置管理3.1安全策略配置1)用随机附带的配置申口线连接到安全隔离装置的内外网配置申口 (console) 2)启动安全隔离装置的配置软件,然后点击申口配置菜单,在点击申口配置选项,选择相应的申口,一般配置软件会自动识别本机申口, 界面如下图3)点击连接选项。如果连接成功,系统将会提示成功连接申口 (图7),点击OP可;如果连接失败,系统也会提示连接申口失败(图8)。程序会反复重连5次, 5次都失败后,程序会
4、自动退出。用户请参考附录 5.1申口故障诊断一节仔细检查申口设置。排除故障后,再次重试连接4)点击主界面规则配置菜单下的配置规则选项,系统会提示输入用户名和口令(图9)进行权限认证。隔离装置默认的系统管理员用户名为 root ,密码为root。用户在第一次使用隔离装置后,请立刻修改系统管理员口令。5)用户登录成功后,隔离装置会自动导出本地已存在的配置规则(此规则为模板 规则,用户安装此规则规范配置也可自行配置),导出成功后进入配置系统规 则主界面(图10)配置用户规则。(注意:界面导出的规则是本地的默认规则文 件rule.buf,在配置程序的rule文件夹下)数据综合过滤功能能够为隔离装置提供
5、基本的安全保障,装置根据系统管理员预先设定的规则检查数据包以决定哪些数据容许通过, 哪些数据不能通过,保护内部安全网络免受外部攻击。数据过滤依据:数据包的传输协议类型,容许TCP UDP数据包的源端地址,目的端地址。 数据包的源MA地址,目的端MA鼬址。综合过滤规则提供网络安全隔离装置允许还是拒绝 IP包的依据,隔离装置 对收到的每一个数据包进行检查,从它们的包头中提取出所需要的信息,如源MAC 址、目的MAC地址、源IP地址、目的IP地址、协议类型等,再与已建立的规则 逐条进行比较,并执行所匹配规则的策略,或执行默认策略。规则配置中,IP地址的形式为X.X.X.X的范围取0-255,MAC地
6、址的形式为 XX-XX-XX-XX-XX-XX其中X为十二位十六进制数,延时是指本条链路数据包的 发送间隔时间,单位是毫秒,默认设置是10m在无特殊情况下请勿更改。常用操作步骤说明添加增加新的规则。当用户要增加了新的规则后,首先点击添加按钮即可将规则添加到配置软件的规则队列中,然后在界面填写相应的配置,填写完后点“修 改”按钮,如果需要保存则点击“保存配置”按钮保存到本地默认文件中。修改对已有的规则进行编辑修改。选择要修改的规则,修改规则中的参数后,点击修改按钮,确认修改;否则不会保存修改过的参数。删除删除一条已有的规则。选择要删除的规则,点击删除按钮,则选定的规则将被删除;如果需要删除全部规
7、则,点击删除全部按钮即可。复制根据一条已有的规则复制出一条新的规则。选择要复制的规则,点击复制按钮,会复制出一条与原规则相似的规则,在复制规则中修改相应的各项内 容。修改完毕后,点击修改按钮确认修改。保存保存操作收集各个参数的输入数据,将规则文件保存到配置终端的内存 中,还能够将规则保存在本地用户指定的规则文件中。当用户对隔离装置的 规则配置完成后,点击保存配置按钮,提示用户已保存的规则总数并将 规则文件保存在配置终端默认文件中。如果需要保存在本地用户指定的规则文件 中,点击保存本地按钮,将规则保存在本地的规则文件中。上传配置将规则文件上传到隔离装置中。在规则配置完成后,点击保存配置按 钮,保
8、存规则文件。然后点击上传装置按钮,将规则导入到隔离装置的 安全存储区中。上传配置成功后,系统会提示“上传配置成功”。下载配置导出存储在隔离装置内的规则配置文件。点击下载配置按钮,出现导出系统规则进度条。导出规则成功后,系统会提示成功“下载配置成功”,点 击“保存配置”,此时规则文件保存在配置终端的默认配置文件中。注意:系统默认拒绝所有网络报文通过,只有在规则配置中允许的报文才可 以通过。隔离装置不容许出现重复规则,当两条规则的重复时,会出现报警信息, 提醒用户对规则进行修改。根据不同的隔离方案,规则有不同的配置,请参考四、 典型应用隔离方案规则设定范例。3.2用户管理为了更好地管理隔离装置,在
9、隔离装置中可以设置两类用户:超级用户和普 通用户。超级用户和普通用户的权限不同:超级用户可以增加、删除、修改隔离 装置的配置规则,可以增加或删除隔离装置的普通用户, 可以查询隔离装置的日志等;普通用户只可以查看隔离装置的配置规则和日志等。 (注意:隔离装置现 在只能设置一个超级用户root)1)修改口令:点击用户管理菜单下的修改口令选项,系统会验证用户的合法身份(图11),身份认证成功后,自动弹出修改口令窗口 (图12),同时系统会自动锁定当前已经登录的用户名,用户只需输入新口令修改口令即可。用户只需要登录隔离装置一次,如果与隔离装置的连 接没有断开,登陆的用户权限一直有效)2)用户察看:点击
10、用户管理菜单下的察看用户选项察看用户。察 看用户需要使用超级用户root身份登录(图13),登录成功后,会出现导出用户 列表进度条。导出成功后会自动弹出用户列表窗口 (图14),超级用户在这里 可以添加或删除普通用户。添加或删除用户后,点击上传按钮系统会自动更 新用户列表。系统禁止删除超级用户root)3.3日志管理日志管理功能用丁查看隔离装置的运行日志, 以供用户分析隔离装置的运行状况。登录成功后,会出现系统日志分析界面如下图15所示,输入你要导出日志的链路号,点击“确定”按钮,成功后会自动下载日志到日志列表窗口(图16),点击保存分析结果按钮可以将日志保存到本地文件图15图163.4系统调
11、试隔离装置提供了一个非常实用的系统诊断工具, 用来诊断隔离装置与网络的连接是否正常。点击系统调试菜单下的系统诊断工具选项诊断网络连接 情况(图17)。1) Ping 诊断命令:“诊断命令”提供了 “ ping ”命令。通过此命令可以用来诊断隔离装置是否与 内外网络物理连接正常。以下是一个网络连接诊断示例:图18网络连接诊断示例图内网主机真实地址为192.168.10.100,虚地址为192.168.20.240 ;外网主机真实地址为192.168.20.100,虚地址为192.168.10.240。假设隔离装置与内外网络已经连接好,并且已经配置好规则。具体诊断步骤如下所述:1、首先测试隔离装置
12、与内网的连接是否正常。将配置申口线连接到隔离装置的内网配置口,连接申口成功后,选择系统诊断界面中的ping命令,源地址输入外网主机的虚地址,目的地址输入内网主机的真实地址。本例中源地址输入192.168.10.240,目的地址输入 192.168.10.100。2、点击开始调试按钮,系统会提示正在导出系统调试信息。如果诊断信息为 ping success: 192.168.10.100 to 192.168.10.100, 则表示隔离装置与内网网络连接正常(图19)。否则诊断信息应为ping error 。3、测试隔离装置与外网的连接是否正常,与测试内网连接类似。将配置申口线连接到隔离装置的外
13、网配置口,源地址应该输入 内网主机的虚地址(192.168.20.240),目的地址输入 外网主机的真实地址(192.168.20.100)。2)远程Ping诊断命令:为了方便用户进行网络链路诊断,隔离装置支持远程 ping诊断。在内网通信计算机(如上图所示的计算机192.168.10.100 )上打开windows#令行窗口,运行ping命令,目标地址为外网的虚拟IP地址(192.168.10.240)如果能ping通外网的虚拟地址,则表示隔离装置与内网网络连接正常,否 则请检查隔离装置与内网的网络连接。2、测试隔离装置与外网的连接是否正常,与测试内网连接类似。在外网的通 信计算机(如上图所
14、示的计算机192.168.20.100 )上打开windows#令行窗口, 运行ping命令,目标地址为内网的虚拟IP地址(192.168.10.240 ),如果能ping 通内网的虚拟地址,则表示隔离装置与外网网络连接正常, 否则请检查隔离装置与外网的网络连接。4典型应用环境配置案例网络安全隔离装置针对电力系统四安全区的网络拓扑结构,采用多种形式满足二次系统安全防护体系的要求。4.1二层交换机模式配置网络环境描述:内网主机为客户端,IP地址为192.168.10.100,虚拟IP为192.168.20.240 ,MAC地址为AA-EE-BB-EC-CD-DE外网主机为服务端,IP地址为192.168.20.100 , 虚拟 IP 为 192.168.10.240 , MA地址为 AA-EE-BB-EC-CE-DF 假设 Server 程序数 据接收端口为9000。图20二层交换机网络拓扑图图21注意:如果隔离装,虚拟置两边主机是同一网段IP地址与真实的IP地址可以设置相
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1