NARISysKeeper-2000网络安全隔离装置(正向单比特版)用户手册1注意:本手册中的内容是南瑞安全隔离装置(正向单比特)用户开发手册。本材料的相关权利归南瑞集团公司信息系统分公司所有。开发手册的任何部分未经本公司许可,不得转印、影印或复印。安全隔离装置(正向单比特)应用实施手册Version1.0-1bit2010-1-25南瑞集团公司信息系统分公司Allrightsreserved本资料将定期更新,如预获取最新相关信息,请访问南瑞集团公司网站:您的意见和建议请发送至:spd@sgepri.sgcc.com南瑞集团公司信息系统分公司南京南瑞路8号,210003电话(TEL):025-83096601(市场部)025-83096719025-83096712(技术支持)传真(FAX):025-830967012目录一、产品介绍...............................................................................................................3二、产品分发与安装...................................................................................................4三、正向隔离装置配置管理.......................................................................................63.1安全策略配置..................................................................................................63.2用户管理.........................................................................................................113.3日志管理..........................................................................................................133.4系统调试..........................................................................................................14四、典型应用环境配置案例.....................................................................................184.1二层交换机模式配置.....................................................................................184.2路由器模式配置.............................................................................................194.3三层交换机模式配置1..................................................................................224.4三层交换机模式配置2..................................................................................234.5双机双网模式配置.........................................................................................25五、附录.....................................................................................................................275.1串口故障诊断..................................................................................................275.2网络故障诊断..................................................................................................285.3日志审计系统..................................................................................................285.4虚拟主机IP、静态NAT介绍.......................................................................295.5IPV4组播编址与转换....................................................................................315.6应用软件跨网络安全隔离装置的设计建议..................................................323一、产品介绍电力专用网络安全隔离装置(正向型单比特版)用于安全区I/II到安全区III的单向数据传递。SysKeeper-2000网络安全隔离产品(正向型单比特版)的硬件结构如图1所示。本产品硬件采用RISC体系结构高性能嵌入式计算机芯片,双机之间通过高速物理传输芯片进行物理连接,底板上各有两个10M/100M以太网接口(IA1/IA2和IB1/IB2)用来连接要隔离的两个网络。内网双机接口(IA3)采用网络方式实现隔离装置的双机热备份,内外网的告警接口(IA4、IB3)采用标准串口进行告警信息输出,同时能上报到后台监控主机。内网串口可以用来连接配置终端,方便管理人员对网络安全隔离设备的控制,硬件看门狗时刻监视系统状态,保证隔离装置的稳定、可靠运行。应用层单bit应答图1网络安全隔离装置硬件结构图正向隔离装置的前面板图如图2所示。前面板有3个指示灯,分别是电源指示灯、内网灯和外网灯。内网灯亮表示有数据从内网传输到外网;外网灯亮表示有数据从外网传输到内网。如果内外网数据传输的流量太小,可能观察不到内外网灯的闪烁,此时可以根据后面板网卡指示灯的情况观察是否有数据接收和发送。4图2SysKeeper-2000网络安全隔离装置(正向型)前面板图后面板图如图3所示。隔离装置设计有双电源,一个电源作为主电源供电,另一个作为辅电源备份,两个电源可以在线无缝切换;内网配置口用来配置正向隔离装置,并监控内网侧的状态信息,外网配置口用来监控外网侧的状态信息;内网网口用来连接内网,外网网口用来连接外网,内外网口的网卡指示灯绿灯亮表示网口与网络正确连接,黄灯亮表示网络速率是100M,暗表示网络速率是10M,闪烁表示有数据正在接收或发送;双机接口支持隔离装置的双机热备;告警接口支持使用标准Syslog协议输出报警信息。图3SysKeeper-2000网络安全隔离装置(正向型)后面板图二、产品分发与安装SysKeeper-2000网络安全隔离装置(正向型单比特版)产品分发包括硬件和软件两大部分。用户在使用本产品时,应先检查硬件产品是否具有NARI标志,外观是否有损坏现象。如有以上现象,请勿使用并及时与本公司取得联系,处理相关事宜。为了产品稳定、可靠的运行,请勿私自打开隔离装置机箱。隔离装置随机带有一张配置软件安装光盘、一根串口配置线,用于在安装Windows2000/XP/NT/9x操作系统的计算机上进行配置。安装完成后,启动配置5管理软件,软件界面如图4所示。图4正向隔离装置配置软件主界面SysKeeper-2000网络安全隔离装置的安装和部署非常简单,隔离装置部署在网络的唯一出口处,通过内网接口和外网接口,分别与内网和外网相连。内网和外网的数据交换必须通过隔离装置,以便保护安全的内部网络。图5隔离装置安装网络拓扑图6三、正向隔离装置配置管理3.1安全策略配置1)用随机附带的配置串口线连接到安全隔离装置的内网配置串口(console)。2)启动安全隔离装置的配置软件,。然后点击‘串口配置’菜单,在‘端口’选项下选择相应串口的COM端口(图6)。图6安全隔离装置配置软件启动界面3)点击‘连接’选项。如果连接成功,系统将会提示成功连接串口(图7);如果连接失败,系统也会提示连接串口失败(图8)。程序会反复重连5次,5次都失败后,程序会自动退出。用户请参考《附录5.1串口故障诊断》一节仔细检查串口设置。排除故障后,再次重试连接。图77图84)点击‘规则配置’菜单下的‘配置规则’选项(图9),系统会提示输入用户名和口令(图10)进行权限认证。隔离装置默认的系统管理员用户名/口令是root/root。用户在使用隔离装置后,请立刻修改系统管理员口令。图9图105)用户登录成功后,隔离装置会自动导出已存在的配置规则(图11),导出成功后进入‘配置系统规则主界面’(图12)配置用户规则。(注意:从安全角度考虑,本地不保留规则配置文件,每次启动时都从隔离装置导出)8图11图12数据综合过滤功能能够为隔离装置提供基本的安全保障,装置根据系统管理员预先设定的规则检查数据包以决定哪些数据容许通过,哪些数据不能通过,保护内部安全网络免受外部攻击。数据过滤依据:数据包的传输协议类型,容许TCP和UDP。数据包的源端地址,目的端地址。数据包的源端口号,目的端口号。IP地址和MAC地址是否绑定。综合过滤规则提供网络安全隔离装置允许还是拒绝IP包的依据,隔离装置对收到的每一个数据包进行检查,从它们的包头中提取出所需要的信息,如源MAC地9址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型等,再与已建立的规则逐条进行比较,并执行所匹配规则的策略,或执行默认策略。规则配置中,IP地址的形式为X.X.X.X,X的范围取0-255。端口设置为0时,表示任意端口(没有特殊要求,内网端口应该设置为0)。MAC地址的形式为XXXXXXXXXXXX,其中X为十二位十六进制数(字母要求大写)。如果不使用MAC地址绑定功能,MAC地址可以使用默认的000000000000(MAC地址内容不能为空)。网卡可以选择eth0、eth1,分别对应隔离装置上的eth0、eth1两个以太网口。常用操作步骤说明添加增加新的规则。当用户增加了新的规则后,点击‘添加’按钮即可将规则添加到配置软件的规则队列中。修改对已有的规则进行编辑修改。选择要修改的规则,修改规则中的参数后,点击‘修改’按钮,确认修改;否则不会保存修改过的参数。删除删除一条已有的规则。选择要删除的规则,点击‘删除’按钮,则选定的规则将被删除;如果需要删除全部规则,点击‘删除全部’按钮即可。特别需要注意的是,在规则删除完成后,须点击‘保存’按钮,然后点击‘导入装置’按钮,这样才能正真将隔离装置中的相应规则删除。复制根据一条已有的规则复制出一条新的规则。选择要复制的规则,点击‘复制’按钮,会复制出一条与原规则相似的规则,所不同的是规则名称。在复制规则中修改相应的各项内容。修改完毕后,点击‘修改’按钮确认修改。保存保存操作收集各个参数的输入