网神SecSIS3600安全隔离与信息交换系统管理员手册V60122文档格式.docx

1、对于安全隔离与信息交换系统来说，如果缺少接地保护线，在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害，但在接触时，可能会产生麻、痛等轻微触电的感觉。另外，如果您擅自更换标准电源线，可能会带来严重后果。特别提示： 遇到故障，请不要自行拆卸安全隔离与信息交换系统，建议与我们的技术支持人员（免费咨询电话：400-610-8220）取得联系，以获得最佳解决方案。 安全隔离与信息交换系统的搬运应注意： 本安全隔离与信息交换系统的搬运最好使用出厂原包装。搬运之前请清点好所有部件和随机附带的资料。 最好将各个部件和随机附带的资料按出厂时的包装还原。 安全隔离与信息交换系统不可带电搬运，任何零部件

2、不可带电插拔，否则可能损坏安全隔离与信息交换系统。 将安全隔离与信息交换系统打包完成后，用胶带封箱，即可搬运。安全隔离与信息交换系统搬运过程中，请不要剧烈碰撞和跌摔，不可雨淋。搬运过程请远离强静电，强磁场环境。3正确规范的操作是安全的保证。概 述随着互联网的发展，电子政务与企业信息化工作的展开，Web服务已经成为互联网上最流行的服务。政府与企业为了不断的提升自己的对外服务质量与内部工作效率，正在纷纷建立自己的内部的或与Internet相连接的Web服务系统。在提供Web服务的同时往往带来黑客攻击、非授权访问等安全风险，为了确保客户资料等重要信息资源的安全性，通常将这些信息放在单独的网络上，该网

3、络并不与外部网络直接相连接。文件服务是网络上主机之间交流信息的一种非常普通的方式，但多个网络之间的隔离却文件交换又回到了最原始的方式，通过人为的干预来实现，定期将需要转移的数据拷贝到软盘等存储介质上，然后再将其复制到目标网络中。而随着电子政务、电子商务的开展，不同网络间交换数据的数量和频率呈几何量级上升，网络间文件传输导致给管理人员带来了巨大的工作量，同时也带来了网络间信息流的迟滞，信息不能实现在网络间及时的共享。这种原始的解决方案已经越来越无法满足用户的需求。分析以上网上的多种不同应用，信息的安全性保护需要重要信息保存在独立的安全网络上，同时网络服务需要访问不同网络间的信息资源。针对网络间的

4、信息访问需求，安全信息交换系统应运而生。网神SecSIS 3600安全隔离与信息交换系统是网神信息技术（北京）股份有限公司针对政府、企业等重要部门在多个网络之间相互交流信息的要求，提出的面向各种不同应用的网络间信息交流方案。特别是对不同网络互相之间物理隔离的情况下，实现信息的安全流转而设计的整体解决方案。网神SecSIS 3600安全隔离与信息交换系统是在物理隔离的基础上使用户能够更方便的进行信息交流系统，它的使用并不限于某一特定的行业或部门，其应用对象非常广泛，包括：政府部门、行政机关、事业机构、企业单位、各类公司等。适合对象本手册适用于负责支持、维护网神SecSIS 3600安全隔离与信息

5、交换系统的安全管理员，技术工程师，是对网神SecSIS 3600安全隔离与信息交换系统进行配置管理时的必备手册。 适合产品本书适合网神SecSIS 3600安全隔离与信息交换系统系列产品，以后简称安全隔离网闸。手册内容网神SecSIS 3600安全隔离与信息交换系统是模块化系统，不同的功能模块对应不同的应用模块，还包括管理系统常用的工具等功能。第一章 准备工作 ：主要描述产品的特点及功能；第二章 登陆管理界面 ：如何登陆管理界面的方法、界面的功能介绍；第三章 网络配置 ：主要配置系统的网络、管理地址，路由信息等；第四章 管理员配置 ：管理员源地址的访问控制，权限分配，新增管理员及参数设置；第五

6、章 文件交换：实现将一侧的文件摆渡到另一侧的功能；第六章 数据库同步：实现将一侧数据库中的数据同步到另外一测；第七章 安全浏览：上网浏览的具体配置；第八章 安全FTP：提供对FTP服务器的安全防护第九章 FTP访问：FTP文件传输的基本配置；第十章 数据库访问：提供对oracle、sql、DB2等数据库的访问控制第十一章 邮件访问：访问邮件服务器的具体配置第十二章 SSL通道：通过SSL通道访问基于TCP的常服务，对传输数据进行加密第十三章SOCKS模块：网闸提供SOCKS代理应用第十四章 定制模块：标准TCP/UDP访问的配置第十五章 防护设置：防病毒、抗攻击、入侵检测等基本配置第十六章 工

7、具箱：系统许可证、配置管理、系统时间、修改口令，版本等信息的管理。第十七章 关闭系统：关闭本侧主机系统。第十八章 安全退出：退出管理界面，切换到登陆界面。第一章 准备工作1.1产品介绍网神SecSIS 3600安全隔离与信息交换系统是网神信息技术（北京）股份有限公司利用自身的优势，结合国内用户的特点开发出来的具有自主版权的、符合我国安全政策的网络安全产品。特别是对不同网络互相之间物理隔离的情况下，开发出具有强大的信息内容过滤、日志审计功能、网络防病毒等多种安全策略综合应用的稳定可靠的网神SecSIS 3600安全隔离与信息交换系统，实现信息的安全流转而设计的整体解决方案。网神SecSIS 36

8、00安全隔离与信息交换系统属于网络安全产品范畴，全部设置基于WEB界面，充分体现网神SecSIS 3600合创网络科技有限公司产品易用、好用的原则，可以为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地构建自己的安全网络或安全通道。1.2产品特点物理层安全隔离本系统遵循严格物理隔离的原则，采用双主机加上专有隔离硬件的体系架构，确保两个网络之间无物理层的直接连接，实现物理隔离。专有交换卡内外主机系统中安全检测与控制处理单元采用专有硬件交换电路设计的双通道高速数据交换卡。数据交换卡具有独立的硬件交换控制逻辑，无OS及任何“软”控制，自主完

9、成数据的交换。协议阻断在两个主机系统之间采用专有协议，阻断TCP/IP协议的连接。这样基于操作系统的漏洞攻击和网络层协议的攻击基本被杜绝或者只发生在主机系统一侧，从而实现一种隔离交换的安全。1.3产品功能网神SecSIS 3600安全隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：网络配置：完成设备网络参数的基本配置以及高可用性的配置管理员配置：管理员源地址的访问控制，权限分配，新增管理员及参数设置。文件交换：实现将网闸一侧的文件安全可控的摆渡到另外一侧 数据库同步：实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中安全浏览：在内外网隔离环境下保证内网

10、用户安全浏览外网资源。安全FTP：实现对FTP服务器的安全防护FTP 访问：在内外网隔离环境下实现安全的 FTP 访问。数据库访问：在内外网隔离环境下实现安全的数据库访问。邮件访问：在内外网隔离环境下实现安全的邮件访问。SSL通道：通过SSL通道访问基于TCP的常服务，对传输数据进行加密。SOCKS模块：网闸提供SOCKS代理应用。定制模块：在内外网隔离环境下实现对所有的基于TCP/UDP服务的访问。防护设置：用于配置设备是否进行入侵检测、防病毒、抗攻击等。工具性：第二章 登陆管理界面网闸提供两种管理方式，Web管理和串口管理，下面介绍登陆界面的操作和管理的菜单功能。网神安全隔离与信息交换系统

11、使用了安全套接层 （SSL）协议，在网神安全隔离与信息交换系统连接期间，所有的交换信息均被SSL加密，默认的访问端口为443。2.1 Web管理 网闸分内网管理和外网管理内网默认管理地址为：外网默认管理地址为：默认管理用户名：admin 默认密码：admin默认日志用户名：auditor 默认密码：auditor用户管理机地址设置与管理地址同一网段（10.0.0.*/24），用交叉线与网闸的内网管理口和外网管理口相连。管理机网卡设置（10.0.0.6/255.255.255.0）打开IE浏览器，输入 （内网为例） 配置管理员：用户名admin，密码admin日志管理员：用户名auditor，密

12、码auditor进入管理界面菜单区：系统的所有功能菜单，不同的功能对应不同的菜单配置区：配置系统相关参数的区域系统信息：显示系统在CPU、内存、流量、IO等信息2.2 串口管理基于串口连接，提供命令行方式的基本配置管理和灾难恢复功能，提供了管理的安全、方便与灵活性。可以提供恢复出厂设置、关闭远程管理等基本管理功能。配置终端参数：登陆用户名为hawk，口令hawk。命令表如下：命令名称描述？|help帮助功能，列表所有串口命令Clear清屏Service web 开启和关闭web管理界面Service ssh 开启和关闭ssh管理界面Config default恢复出厂配置Passwd修改串口口

13、令Netcap ip port抓包工具Ping Ping测试Detect检测对方主机Show cpu显示cpu 信息Show memory显示内存信息Show disk显示存储器信息Show proc显示当前进程Show interface显示端口信息Show link显示连接信息Show gw显示路由信息Show arp显示arp表Show ver显示系统版本Quit|exit退出第三章 网络配置该模块主要配置系统的相关网络配置、网络地址，管理地址，路由、DNS、主机名配置、双机和负载及IPMAC地址的绑定功能。3.1网络配置用于配置系统的网络接口的属性，包括net、bridge和bond三

14、种模式。Net模式，网络接口作为独立网卡使用，可以直接连接相关网络。Bridge模式，可以将多个网络接口绑定成为一个桥来使用。Bond模式，可以将多个网络接口绑定成为一个接口来使用，提供冗余负载功能。参数说明参数名称备注网络设备选择配置的网络接口（net1，net2，net3,net4）网络接口显示net1与面板丝印一致属性可选net模式、bridge模式或bond模式Bridge模式支持最多两个桥Bond模式最多支持两个bond口确定提交配置3.2 网络地址用于配置系统的网络地址选择配置的网络接口可选接口包括所有net模式的接口以及brige1和bridge2、bond0和bond1IP地址

15、网络接口的IP地址可在一个网络接口上配置多个IP地址，每个接口最多支持配置255个地址子网掩码网络接口的子网掩码MTU可以修改网络口接口的MTU值删除删除现有的IP地址配置增加增加新的网络地址配置说明：增加网络地址，点击【增加】，选择网络设备net2，IP地址：2.2.2.2，子网掩码：255.255.255.0，点击【确定】，增加地址成功。修改网络地址，修改2.2.2.2的IP地址为4.4.4.4，点击【确定】，修改地址成功。删除网络地址，标记要删除的IP地址4.4.4.4，点击【确定】，删除地址成功。3.3管理地址用于配置系统的管理地址默认为manage，不可更改管理接口的IP地址管理地址

16、不能与网络口地址为同一网段管理接口的子网掩码可以修改管理口的MTU值修改管理地址，修改管理地址为10.0.0.66，在原地址10.0.0.1上修改地址为10.0.0.66，子网掩码：255.255.255.0，点击【确定】，修改地址成功。注意：管理地址不能与网络口地址为同一网段。3.4路由配置用于配置系统不同接口到不同网络的路由信息目标网段网络要到达目标网段网络要到达目标网段的子网掩码网关地址网络要到达目标网段的下一跳址新增网关地址与接口设备地址是同一网段。接口设备网络路由使用的接口设备删除对应路由配置增加默认路由，点击【增加】，目标网段0.0.0.0，子网掩码0.0.0.0，网关地址192.

17、168.10.2，接口设备net1，点击【确定】，增加路由成功。增加目的网络2.2.2.0的路由，点击【增加】，目标网段2.2.2.0，子网掩码255.255.255.0，网关地址2.2.2.2，接口设备net2，点击【确定】，增加路由成功。删除2.2.2.0路由，标记要删除的到网段2.2.2.0路由，点击【确定】，删除路由成功。新增到达目的网段路由的网关地址与接口设备必须是同一网段，如不是同一网段会添加失败。3.5路由表 路由表配置项用于配置源IP路由选择中的路由表，需要指定路由表ID号和下一路网关。WEB界面显示如下：路由表ID号路由表的标识ID号的范围1-250，下一跳地址下一跳网关的I

18、P地址删除路由表项增加路由表配置项确定配置配置路由表，路由表ID号配置为1，下一跳地址配置为192.168.1.254；点击“确定”，配置成功；增加路由表配置，点击“增加”，路由表ID号配置为250，下一跳地址配置为192.168.2.254；删除路由表配置，勾先ID号为1的路由表配置项后面的删除选框，点击“确定”，删除成功；3.6源地址路由 源地址路由配置项用于配置基于客户端源IP地址的路由，需要指定真实客户端地址，本地地址和路由表ID号。客户端地址真实客户端的IP地址本地IP网闸本地网口配置的地址“路由表”中配置的路由表ID号，下拉列表可选择删除指定“源地址路由”配置增加相应源地址路由配置

19、确定配置参数配置源地址路由，客户端地址10.30.44.44，本地地址192.168.1.44，路由表ID号1，点击“确定”，配置成功；增加源地址路由，客户端地址10.30.44.100，本地地址192.168.1.44，路由表ID号250，点击“确定”，配置成功；删除源地址路由，勾先10.30.44.44规则后面的删除选框，点击“确定”，删除成功；3.7 DNS配置用于配置系统的DNSDNS地址，最多可添加3个DNS删除对应DNS配置增加新的DNS新增DNS，点击【增加】，IP地址202.106.0.20，点击【确定】，增加成功。修改DNS，修改DNS为202.106.0.90，在原DNS 202.106.0.20上修改地址为202.106.0.90，点击【确定】，修改成功。删除DNS，标记要删除的DNS 202.106.0.90，点击【确定】，删除成功。3.8 主机名配置 用于配置网闸系统的主机名，重启设备才能生效。注：内网默认主机名为Inside，外网默认主机名为Outside。3.9 IPMAC绑定 用户手工绑定相关机器的IP地址和MAC地址，防止IP地址和MAC地址非法篡改。