StoneWall-2000网络安全隔离设备(正向型)参考手册

版权声明StoneWall-2000网络安全隔离设备Ver2.0版权归北京科东电力控制系统有限责任公司所有，任何侵犯版权的行为将被追究法律责任。未经版权所有者的书面准许，不得将本手册的任何部分以任何形式、采用任何手段（电子的或机械的，包括照相复制或录制）、或为任何目的，进行复制或扩散。Copyright©2001-2002北京科东电力控制系统有限责任公司。版权所有，复制必究。北京科东电力控制系统有限责任公司不对因为使用该软件、用户手册或由于该软件、用户手册中的缺陷所造成的任何损失负责。前言互联网从无到有以飞快的速度发展着，它的开放性在给人们带来巨大便利的同时，也带来了系统入侵、信息泄密等网络安全问题。网络的存在使得信息能达到高度共享和迅速传递，但是也要清楚认识到，网络安全问题作为一个十分重要和极具威胁性的问题是一直存在着的。目前，有很多网络安全工具，比如防火墙、IDS等等，网络安全隔离作为近几年来国内研究开发的网络安全技术也飞速发展起来，在市场上占有一席之地，相信在不久的将来网络安全隔离在信息安全领域将扮演着越来越重要的角色。StoneWall-2000网络安全隔离设备是在包过滤的基础上，通过采用特殊的硬件设备来实现主机与主机之间、主机与网络之间、网络与网络之间的隔离。系统的总体结构按照国家有关信息安全的最近标准设计，具备软、硬结合的数据流向控制、连接方向控制、多级访问的立体控制的功能、具备高强度的防御功能、支持包括无IP地址监听、网络地址转换等多种工作模式。同时，提供了丰富的GUI方式的管理和监控工具，可以方便的对设备进行安全策略配置、用户管理、实时监控、日志查询等操作。StoneWall-2000网络安全隔离设备是实施网络物理安全隔离的最佳方案。阅读指南〖手册目标〗本手册是北京科东电力控制系统有限责任公司的产品StoneWall-2000网络安全隔离设备的参考手册，它详细地介绍了常用的TCP/IP、UDP端口，对系统日志的产生原因和常见问题进行了描述。〖阅读对象〗本手册是专为购买StoneWall-2000网络安全隔离设备的用户编写的。用户在使用本设备时可以参考使用。〖手册构成〗本手册主要由以下几个部分组成：1．第1章“常用端口介绍”，介绍了常用的端口。2．第2章“StoneWall-2000日志”，介绍了StoneWall-2000在何种情况下会产生日志信息。3．第3章“使用注意事项和用户编程接口”，介绍了使用StoneWall-2000网络安全隔离设备时用户应该注意的问题，用户编程接口介绍了用户使用特殊值过滤时用户设置特殊值所应用的一段代码。4．第4章“常见问题和解决方法”，介绍了在使用StoneWall-2000网络安全隔离设备的过程中，有可能遇到的问题和解决方法。〖手册约定〗【注意】、【提示】的意思是请读者注意那些需要注意的事项。I目录部署正向型网络安全隔离设备程序改造指南..........................................................1第1章常用协议和端口介绍....................................................................................2§1.1TCP/UDP协议端口...................................................................................2第2章STONEWALL-2000日志.................................................................................18§2.1日志产生原因介绍....................................................................................18第3章使用注意事项和用户编程接口..................................................................18§3.1需要注意的事项.........................................................................................18§3.2用户编程接口.............................................................................................19第4章问题排解步骤以及常见问题和解决方法..................................................20§4.1问题排解步骤.............................................................................................20§4.2常见问题及解决方法.................................................................................20StoneWall-2000网络安全隔离设备(正向型)参考手册1部署正向型网络安全隔离设备程序改造指南北京科东电力控制系统有限责任公司按照《电力二次系统安全防护方案》的要求开发了StoneWall-2000正向型网络安全隔离设备，该设备主要应用于电力二次系统I区或II区与III区间的物理隔离，同时实现可信数据从高安全区向低安全区的传递。正向型网络安全隔离设备对于由内网（高安全区侧）向外网（低安全区侧）传递的数据报文的大小没有限制，反方向则限制为一次1比特，网络上传输的数据至少是1个字节（8个比特位，8个0或8个1），这1个字节分配给应用用于实现数据传递过程中的应答。为了保证从I区或II区向III区传递的数据的可靠性，同时满足电力二次系统安全防护的要求，用户一般需要改造现有的应用程序，改造后的数据传递应用程序应采用TCP协议，编写数据发送端程序，作为客户端运行于内网侧主机；编写数据接收端程序，作为服务器运行于外网侧主机，内网侧客户端发起由内向外的连接，连接外网侧服务器。连接建立后，内网侧主动向外网侧发送数据，外网侧可选择应答或不应答。同时由于每次外网向内网传递的数据大小不能超过1个字节，要求用户的数据传递应用程序内外双方应采用“总是由内向外扔”的方式、“一来一回”的方式，建议采用“总是向外扔”的方式，下面对这两种方式作具体的介绍：总是由内向外扔的方式：内网侧主机作为客户端主动连接外网侧主机服务器，建立起连接。内网侧主机主动发送数据给外网侧主机，依靠TCP层的应答保证数据可靠传递到外网侧。一来一回方式：内网侧主机作为客户端主动连接外网侧主机服务器，建立起连接。内网侧主机主动发送数据给外网侧主机，每发送一定量数据后，外网侧主机发送一个应答数据（小于等于1个字节）。在必要的情况下，可以将上述两种方式结合使用，但无论怎样，都应当遵循如下原则：此外，现在常见一种的数据传递模式：内网侧数据库客户端通过数据库API或是ODBC的方式连接外网侧数据库服务器的模式，不能运行在正向型网络安全隔离设备上，因为这种方式下，外网侧向内网侧传递的数据一般都会超过1个字节的限制。上述说明，如有不详之处，请致电010-82812924，010-82812377北京科东电力控制系统有限责任公司StoneWall-2000开发组StoneWall-2000网络安全隔离设备(正向型)参考手册2第1章常用协议和端口介绍在网络安全隔离设备系统管理员指定系统安全策略的过程中，经常需要设置端口。StoneWall-2000网络安全隔离设备支持TCP/IP、UDP协议，对TCP、UDP常用协议进行详细的处理。§1.1TCP/UDP协议端口在这一节中，列出了很多众所周知的服务及其对应端口号。目前IANA(InternetAssignedNumbersAuthority：全球Internet地址资源分配机构)的策略是把单一的一个众所周知的端口号既分配给TCP又分配给UDP，因此，在下边列出的服务中，大多数服务有两个记录项，即使该服务不支持UDP操作。列表中没有包括所有的端口号，只列出了比较一般的条目。格式如下：servicenameportnumber/protocol[aliases...][#comment]tcpmux1/tcp#TCPportservicemultiplexerecho7/tcpecho7/udpdiscard9/tcpsinknulldiscard9/udpsinknullsystat11/tcpusersdaytime13/tcpdaytime13/udpnetstat15/tcpqotd17/tcpquoteStoneWall-2000网络安全隔离设备(正向型)参考手册3msp18/tcp#messagesendprotocolmsp18/udp#messagesendprotocolchargen19/tcpttytstsourcechargen19/udpttytstsourceftp-data20/tcp#ftpdataportftp21/tcp#ftpcommandportfsp21/udpfspdssh22/tcp#SSHRemoteLoginProtocolssh22/udp#SSHRemoteLoginProtocoltelnet23/tcp#24-privatesmtp25/tcpmail#26-unassignedtime37/tcptimservertime37/udptimserverrlp39/udpresource#resourcelocationnameserver42/tcpname#IEN116whois43/tcpnicnamere-mail-ck50/tcp#RemoteMailCheckingProtocolStoneWall-2000网络安全隔离设备(正向型)参考手册4re-mail-ck50/udp#RemoteMailCheckingProtocoldomain53/tcpnameserver#name-domainserverdomain53/udpnameservermtp57/tcp#deprecatedbootps67/tcp#BOOTPserverbootps67/udpbootpc68/tcp#BOOTPclientbootpc68/udptftp69/udpgopher70/tcp#InternetGophergopher70/udprje77/tcpnetrjsfinger79/tcp网络安全隔离设备(正向型)参考手册5supdup95/tcp#100-reservedhostnames101/tcphostname#usuallyfromsri-niciso-tsap102/tcptsap#partofISODE.csnet-ns105/tcpcso-ns#alsousedbyCSOnameservercsnet-ns105/udpcso-ns##unfortunatelythepoppassd(Eudora)usesaportwhichhasalready#3com-tsmux106/tcppoppassd#3com-tsmux10