网神SecSIS3600安全隔离和信息交换系统管理员手册V60122.docx

1、网神SecSIS3600安全隔离和信息交换系统管理员手册V60122 网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负

2、任何赔偿责任。本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。这本手册能帮助您更好地管理设置。希

3、望用户在遇到设置问题的时候能在手册里得到帮助。我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。 谢谢您的合作！ 网神信息技术(北京)股份有限公司安全使用注意事项本章列出的安全使用注

4、意事项，请仔细阅读并在使用网神SecSIS 3600安全隔离与信息交换系统过程中严格执行。这将有助于更好地使用和维护您的安全隔离与信息交换系统。1安全隔离与信息交换系统应用环境为温度10 35和湿度40% 80%；存储环境为温度0 70，湿度20% 95%。2采用交流220V电源。3必须使用三芯带接地保护的电源插头和插座。良好的接地是您的安全隔离与信息交换系统正常工作的重要保证。对于安全隔离与信息交换系统来说，如果缺少接地保护线，在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害，但在接触时，可能会产生麻、痛等轻微触电的感觉。另外，如果您擅自更换标准电源线，可能会带来严重后果。特别提

5、示： 遇到故障，请不要自行拆卸安全隔离与信息交换系统，建议与我们的技术支持人员（免费咨询电话：400-610-8220）取得联系，以获得最佳解决方案。 安全隔离与信息交换系统的搬运应注意： 本安全隔离与信息交换系统的搬运最好使用出厂原包装。搬运之前请清点好所有部件和随机附带的资料。 最好将各个部件和随机附带的资料按出厂时的包装还原。 安全隔离与信息交换系统不可带电搬运，任何零部件不可带电插拔，否则可能损坏安全隔离与信息交换系统。 将安全隔离与信息交换系统打包完成后，用胶带封箱，即可搬运。安全隔离与信息交换系统搬运过程中，请不要剧烈碰撞和跌摔，不可雨淋。搬运过程请远离强静电，强磁场环境。3正确规

6、范的操作是安全的保证。概 述随着互联网的发展，电子政务与企业信息化工作的展开，Web服务已经成为互联网上最流行的服务。政府与企业为了不断的提升自己的对外服务质量与内部工作效率，正在纷纷建立自己的内部的或与Internet相连接的Web服务系统。在提供Web服务的同时往往带来黑客攻击、非授权访问等安全风险，为了确保客户资料等重要信息资源的安全性，通常将这些信息放在单独的网络上，该网络并不与外部网络直接相连接。文件服务是网络上主机之间交流信息的一种非常普通的方式，但多个网络之间的隔离却文件交换又回到了最原始的方式，通过人为的干预来实现，定期将需要转移的数据拷贝到软盘等存储介质上，然后再将其复制到目

7、标网络中。而随着电子政务、电子商务的开展，不同网络间交换数据的数量和频率呈几何量级上升，网络间文件传输导致给管理人员带来了巨大的工作量，同时也带来了网络间信息流的迟滞，信息不能实现在网络间及时的共享。这种原始的解决方案已经越来越无法满足用户的需求。分析以上网上的多种不同应用，信息的安全性保护需要重要信息保存在独立的安全网络上，同时网络服务需要访问不同网络间的信息资源。针对网络间的信息访问需求，安全信息交换系统应运而生。网神SecSIS 3600安全隔离与信息交换系统是网神信息技术(北京)股份有限公司针对政府、企业等重要部门在多个网络之间相互交流信息的要求，提出的面向各种不同应用的网络间信息交流

8、方案。特别是对不同网络互相之间物理隔离的情况下，实现信息的安全流转而设计的整体解决方案。网神SecSIS 3600安全隔离与信息交换系统是在物理隔离的基础上使用户能够更方便的进行信息交流系统，它的使用并不限于某一特定的行业或部门，其应用对象非常广泛，包括：政府部门、行政机关、事业机构、企业单位、各类公司等。适合对象本手册适用于负责支持、维护网神SecSIS 3600安全隔离与信息交换系统的安全管理员，技术工程师，是对网神SecSIS 3600安全隔离与信息交换系统进行配置管理时的必备手册。 适合产品本书适合网神SecSIS 3600安全隔离与信息交换系统系列产品，以后简称安全隔离网闸。手册内容

9、网神SecSIS 3600安全隔离与信息交换系统是模块化系统，不同的功能模块对应不同的应用模块，还包括管理系统常用的工具等功能。第一章 准备工作 ：主要描述产品的特点及功能；第二章 登陆管理界面 ：如何登陆管理界面的方法、界面的功能介绍；第三章 网络配置 ：主要配置系统的网络、管理地址，路由信息等；第四章 管理员配置 ：管理员源地址的访问控制，权限分配，新增管理员及参数设置；第五章 文件交换：实现将一侧的文件摆渡到另一侧的功能；第六章 数据库同步：实现将一侧数据库中的数据同步到另外一测；第七章 安全浏览：上网浏览的具体配置；第八章 安全FTP：提供对FTP服务器的安全防护第九章 FTP访问：F

10、TP文件传输的基本配置；第十章 数据库访问：提供对oracle、sql、DB2等数据库的访问控制第十一章 邮件访问：访问邮件服务器的具体配置第十二章 SSL通道：通过SSL通道访问基于TCP的常服务，对传输数据进行加密第十三章SOCKS模块：网闸提供SOCKS代理应用第十四章 定制模块：标准TCP/UDP访问的配置第十五章 防护设置：防病毒、抗攻击、入侵检测等基本配置第十六章 工具箱：系统许可证、配置管理、系统时间、修改口令，版本等信息的管理。第十七章 关闭系统：关闭本侧主机系统。第十八章 安全退出：退出管理界面，切换到登陆界面。第一章 准备工作1.1产品介绍网神SecSIS 3600安全隔离

11、与信息交换系统是网神信息技术(北京)股份有限公司利用自身的优势，结合国内用户的特点开发出来的具有自主版权的、符合我国安全政策的网络安全产品。网神SecSIS 3600安全隔离与信息交换系统是网神信息技术(北京)股份有限公司针对政府、企业等重要部门在多个网络之间相互交流信息的要求，提出的面向各种不同应用的网络间信息交流方案。特别是对不同网络互相之间物理隔离的情况下，开发出具有强大的信息内容过滤、日志审计功能、网络防病毒等多种安全策略综合应用的稳定可靠的网神SecSIS 3600安全隔离与信息交换系统，实现信息的安全流转而设计的整体解决方案。网神SecSIS 3600安全隔离与信息交换系统属于网络

12、安全产品范畴，全部设置基于WEB界面，充分体现网神SecSIS 3600合创网络科技有限公司产品易用、好用的原则，可以为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地构建自己的安全网络或安全通道。1.2产品特点物理层安全隔离本系统遵循严格物理隔离的原则，采用双主机加上专有隔离硬件的体系架构，确保两个网络之间无物理层的直接连接，实现物理隔离。专有交换卡内外主机系统中安全检测与控制处理单元采用专有硬件交换电路设计的双通道高速数据交换卡。数据交换卡具有独立的硬件交换控制逻辑，无OS及任何“软”控制，自主完成数据的交换。协议阻断在两个主机系

13、统之间采用专有协议，阻断TCP/IP协议的连接。这样基于操作系统的漏洞攻击和网络层协议的攻击基本被杜绝或者只发生在主机系统一侧，从而实现一种隔离交换的安全。1.3产品功能网神SecSIS 3600安全隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括： 网络配置：完成设备网络参数的基本配置以及高可用性的配置管理员配置：管理员源地址的访问控制，权限分配，新增管理员及参数设置。文件交换：实现将网闸一侧的文件安全可控的摆渡到另外一侧 数据库同步：实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中安全浏览：在内外网隔离环境下保证内网用户安全浏览外网资源。 安全FT

14、P：实现对FTP服务器的安全防护FTP 访问：在内外网隔离环境下实现安全的 FTP 访问。 数据库访问：在内外网隔离环境下实现安全的数据库访问。邮件访问：在内外网隔离环境下实现安全的邮件访问。SSL通道：通过SSL通道访问基于TCP的常服务，对传输数据进行加密。SOCKS模块：网闸提供SOCKS代理应用。定制模块：在内外网隔离环境下实现对所有的基于TCP/UDP服务的访问。防护设置：用于配置设备是否进行入侵检测、防病毒、抗攻击等。工具性：系统许可证、配置管理、系统时间、修改口令，版本等信息的管理。第二章 登陆管理界面网闸提供两种管理方式，Web管理和串口管理，下面介绍登陆界面的操作和管理的菜单

15、功能。网神安全隔离与信息交换系统使用了安全套接层 （SSL）协议，在网神安全隔离与信息交换系统连接期间，所有的交换信息均被SSL加密，默认的访问端口为443。2.1 Web管理 网闸分内网管理和外网管理内网默认管理地址为：https:/10.0.0.1 外网默认管理地址为：https:/10.0.0.2 默认管理用户名：admin 默认密码：admin默认日志用户名：auditor 默认密码：auditor用户管理机地址设置与管理地址同一网段（10.0.0.*/24），用交叉线与网闸的内网管理口和外网管理口相连。管理机网卡设置(10.0.0.6/255.255.255.0)打开IE浏览器，输入

16、https:/10.0.0.1 (内网为例) 配置管理员：用户名admin，密码admin日志管理员：用户名auditor，密码auditor进入管理界面 菜单区：系统的所有功能菜单，不同的功能对应不同的菜单配置区：配置系统相关参数的区域系统信息：显示系统在CPU、内存、流量、IO等信息2.2 串口管理基于串口连接，提供命令行方式的基本配置管理和灾难恢复功能，提供了管理的安全、方便与灵活性。可以提供恢复出厂设置、关闭远程管理等基本管理功能。配置终端参数：登陆用户名为hawk，口令hawk。 命令表如下：命令名称描述？|help帮助功能，列表所有串口命令Clear清屏Service web 开启

17、和关闭web管理界面Service ssh 开启和关闭ssh管理界面Config default恢复出厂配置Passwd修改串口口令Netcap ip port抓包工具Ping Ping测试Detect检测对方主机Show cpu显示cpu 信息Show memory显示内存信息Show disk显示存储器信息Show proc显示当前进程Show interface显示端口信息Show link显示连接信息Show gw显示路由信息Show arp显示arp表Show ver显示系统版本Quit|exit退出第三章 网络配置该模块主要配置系统的相关网络配置、网络地址，管理地址，路由、DNS、

18、主机名配置、双机和负载及IPMAC地址的绑定功能。3.1网络配置用于配置系统的网络接口的属性，包括net、bridge和bond三种模式。Net模式，网络接口作为独立网卡使用，可以直接连接相关网络。Bridge模式，可以将多个网络接口绑定成为一个桥来使用。Bond模式，可以将多个网络接口绑定成为一个接口来使用，提供冗余负载功能。参数说明参数名称描述备注网络设备选择配置的网络接口（net1，net2，net3,net4）网络接口显示net1与面板丝印一致属性可选net模式、bridge模式或bond模式Bridge模式支持最多两个桥Bond模式最多支持两个bond口确定提交配置3.2 网络地址用

19、于配置系统的网络地址参数说明参数名称描述备注网络设备选择配置的网络接口可选接口包括所有net模式的接口以及brige1和bridge2、bond0和bond1IP地址网络接口的IP地址可在一个网络接口上配置多个IP地址，每个接口最多支持配置255个地址子网掩码网络接口的子网掩码MTU可以修改网络口接口的MTU值删除删除现有的IP地址配置增加增加新的网络地址确定提交配置配置说明：增加网络地址，点击【增加】，选择网络设备net2，IP地址：2.2.2.2，子网掩码：255.255.255.0，点击【确定】，增加地址成功。修改网络地址，修改2.2.2.2的IP地址为4.4.4.4，点击【确定】，修改

20、地址成功。删除网络地址，标记要删除的IP地址4.4.4.4，点击【确定】，删除地址成功。3.3管理地址用于配置系统的管理地址参数说明参数名称描述备注网络设备默认为manage，不可更改IP地址管理接口的IP地址管理地址不能与网络口地址为同一网段子网掩码管理接口的子网掩码MTU可以修改管理口的MTU值确定提交配置配置说明：修改管理地址，修改管理地址为10.0.0.66，在原地址10.0.0.1上修改地址为10.0.0.66，子网掩码：255.255.255.0，点击【确定】，修改地址成功。注意：管理地址不能与网络口地址为同一网段。3.4路由配置用于配置系统不同接口到不同网络的路由信息参数说明参数

21、名称描述目标网段网络要到达目标网段子网掩码网络要到达目标网段的子网掩码网关地址网络要到达目标网段的下一跳址新增网关地址与接口设备地址是同一网段。接口设备网络路由使用的接口设备新增网关地址与接口设备地址是同一网段。删除删除对应路由配置增加增加新的网络地址确定提交配置配置说明：增加默认路由，点击【增加】，目标网段0.0.0.0，子网掩码0.0.0.0，网关地址192.168.10.2，接口设备net1，点击【确定】，增加路由成功。增加目的网络2.2.2.0的路由，点击【增加】，目标网段2.2.2.0，子网掩码255.255.255.0，网关地址2.2.2.2，接口设备net2，点击【确定】，增加路

22、由成功。删除2.2.2.0路由，标记要删除的到网段2.2.2.0路由，点击【确定】，删除路由成功。注意：新增到达目的网段路由的网关地址与接口设备必须是同一网段，如不是同一网段会添加失败。3.5路由表 路由表配置项用于配置源IP路由选择中的路由表，需要指定路由表ID号和下一路网关。WEB界面显示如下：参数说明参数名称描述路由表ID号路由表的标识ID号的范围1-250，下一跳地址下一跳网关的IP地址删除删除路由表项增加增加路由表配置项确定确定配置配置说明：配置路由表，路由表ID号配置为1，下一跳地址配置为192.168.1.254；点击“确定”，配置成功；增加路由表配置，点击“增加”，路由表ID号

23、配置为250，下一跳地址配置为192.168.2.254；点击“确定”，配置成功；删除路由表配置，勾先ID号为1的路由表配置项后面的删除选框，点击“确定”，删除成功；3.6源地址路由 源地址路由配置项用于配置基于客户端源IP地址的路由，需要指定真实客户端地址，本地地址和路由表ID号。WEB界面显示如下：参数说明参数名称描述客户端地址真实客户端的IP地址本地IP网闸本地网口配置的地址路由表ID号“路由表”中配置的路由表ID号，下拉列表可选择删除删除指定“源地址路由”配置增加增加相应源地址路由配置确定确定配置参数配置说明：配置源地址路由，客户端地址10.30.44.44，本地地址192.168.1

24、.44，路由表ID号1，点击“确定”，配置成功；增加源地址路由，客户端地址10.30.44.100，本地地址192.168.1.44，路由表ID号250，点击“确定”，配置成功；删除源地址路由，勾先10.30.44.44规则后面的删除选框，点击“确定”，删除成功；3.7 DNS配置用于配置系统的DNS参数说明参数名称描述备注IP地址DNS地址，最多可添加3个DNS删除删除对应DNS配置增加增加新的DNS确定提交配置配置说明：新增DNS，点击【增加】，IP地址202.106.0.20，点击【确定】，增加成功。修改DNS，修改DNS为202.106.0.90，在原DNS 202.106.0.20上

25、修改地址为202.106.0.90，点击【确定】，修改成功。删除DNS，标记要删除的DNS 202.106.0.90，点击【确定】，删除成功。3.8 主机名配置 用于配置网闸系统的主机名，重启设备才能生效。注：内网默认主机名为Inside，外网默认主机名为Outside。3.9 IPMAC绑定 用户手工绑定相关机器的IP地址和MAC地址，防止IP地址和MAC地址非法篡改。参数说明参数名称描述备注默认允许所有使用系统应用的机器都允许使用本系统，没有限制配置默认允许，所有地将都将能够访问默认禁止只有符合下面IP/MAC配置才可以使用本系统请选择绑定管理主机的IP/MAC，否则网闸就无法管理。IP地

26、址计算机的IP地址IP/MAC绑定以后，只有两个完全对应，该用户方可访问，修改IP地址和MAC地址都会影响使用MAC地址计算机IP地址对应的MAC地址，格式：00:00:00:00:00:00删除删除配置增加增加配置确定提交配置配置说明：新增绑定，点击【增加】，默认禁止，IP地址10.0.0.6，MAC地址00:0A:E4:3F:A1:38，点击【确定】，增加成功。修改绑定，修改10.0.0.8 MAC为00:0A:E4:3F:A1:38，在原10.0.0.6上修改IP地址为10.0.0.8，点击【确定】，修改成功。删除绑定，标记要删除的10.0.0.8，点击【确定】，删除成功。3.10 IP

27、MAC探测 系统自动探测相关机器的IP地址和MAC地址，选择绑定的机器IP和MAC，防止IP地址和MAC地址非法篡改。参数说明参数名称描述备注默认允许所有使用系统应用的机器都允许使用本系统，没有限制选择默认允许，所有地址都将能够访问默认禁止只有符合下面IP/MAC配置才可以使用本系统IP地址计算机的IP地址IP/MAC绑定以后，只有两个都符合是，该用户方可访问，修改IP地址和MAC地址都会影响使用MAC地址计算机IP地址对应的MAC地址，格式：00:00:00:00:00:00绑定绑定IP和对应的MAC地址增加增加配置确定提交配置配置说明：绑定，标记要绑定的IP和对应MAC，点击【确定】，绑定

28、成功新增绑定，点击【增加】，默认禁止，IP地址10.0.0.6，MAC地址00:0A:E4:3F:A1:38，点击【确定】，增加成功。修改绑定，修改10.0.0.8 MAC为00:0A:E4:3F:A1:38，在原10.0.0.6上修改IP地址为10.0.0.8，点击【确定】，修改成功。3.11 双机和负载 提供双机热备和负载均衡等高可用性服务。配置包括：基本配置、虚拟地址、双机检测、负载服务、负载信息和启动配置。3.11.1 基本配置 用于配置双机和负载服务的基本配置信息。 参数说明参数名称描述备注本机标识表示本机在HA服务中的名称参与HA服务的所有主机，包括内网和外网，标识都不可以重复状态

29、设置配置当前主机的工作状态该状态为设备初始工作状态，在一个HA服务组中，不要出现多个主设备当前状态显示设备当前工作状态设备优先级同一个HA服务组中，不同设备工作的优先级直接关系到主备切换的顺序，取值范围：1-255，数值越大优先级越高，不同级别之间以50为一个级别跨度，默认值为101是否邮件通知配置是否需要在状态变化是进行邮件通知邮件服务器地址发送邮件通知所使用的邮件服务器地址只支持IP方式，不支持域名接收邮件地址发送邮件通知的目的地址邮件源址通知邮件中显示的发送源地址确定提交配置配置说明：本机标识，本机主闸或备闸的标示，例如主闸内网：min，主闸外网：mout 状态设置，设置本机的状态标识设备优先级，添加150，主闸的必须比备闸的优先级大50的倍数新增绑定，点击【确定】，增加成功。3.11.2 虚拟地址 配置对外提供服务的虚拟IP地址。点击虚拟地址菜单，首先要选择该虚拟地址属于哪个网络设备，点击选定的网络设备的下一步，配置虚拟IP地址。参数说明参数名称描述备注网络设备名显示上一步选择的网络设备名称该名