SysKeeper-2000网络安全隔离装置(正向)用户手册(v5.1)

NARISysKeeper-2000网络安全隔离装置(正向型)用户手册（V5.1）1声明隔离装置内核和配置软件是不断更新的，随机的用户手册可能无法及时更新。用户在实际使用过程中，如果发现本手册内容与实际使用中有不一致的地方，请参考配置光盘上的用户手册电子文档，一般情况下，电子文档会及时更新。南瑞信息系统分公司不对因为使用软件、用户手册或由于软件、用户手册中的缺陷所造成的任何损失负责。2目录一、产品介绍........................................................................................................3二、产品分发与安装............................................................................................5三、配置隔离装置................................................................................................63.1规则配置.................................................................................................63.2用户管理...............................................................................................103.3日志管理...............................................................................................123.4系统调试...............................................................................................13四、典型应用隔离方案规则设定范例..............................................................17五、附录..............................................................................................................265.1串口故障诊断.......................................................................................265.2网络故障诊断.......................................................................................265.3日志监听与审计系统...........................................................................275.4虚拟主机IP、静态NAT介绍............................................................285.5IPV4组播编址与转换..........................................................................295.6应用软件跨网络安全隔离装置的设计建议.......................................303一、产品介绍SysKeeper-2000网络安全隔离装置(正向型)的硬件系统基于RISC体系结构的嵌入式微处理器(MotorolaPowerPC)，双CPU之间通过高速传输芯片进行物理连接，两个处理系统不同时连通；主板上分别集成两个以太网口用来连接要隔离的两个网络，集成一个串口用来连接配置终端，使用户能够方便的配置和监控隔离装置；支持完备的安全事件告警机制，采用标准Syslog日志协议输出报警信息；硬件看门狗时刻监控系统状态，保证隔离装置稳定、可靠的运行；双机接口支持隔离装置的双机热备份和链路冗余备份，避免重要数据的丢失。图1SysKeeper-2000网络安全隔离装置(正向型)硬件结构框图SysKeeper-2000网络安全隔离装置(正向型)的软件系统基于特别裁剪的嵌入式Linux内核。实现两个安全区之间的非网络方式的安全的数据交换；取消所有网络功能，采取无IP地址的透明监听方式，支持网络地址转换；内设综合报文过滤，防止穿透性TCP连接；单向数据通信控制，单向连接控制。正向隔离装置的前面板图如图2所示。前面板有3个指示灯，分别是电源指示灯、内网灯和外网灯。内网灯亮表示有数据从内网传输到外网；外网灯亮表示有数据从外网传输到内网。如果内外网数据传输的流量太小，可能观察不到内外网灯的闪烁，此时可以根据后面板网卡指示灯的情况观察是否有数据接收和发送。图2SysKeeper-2000网络安全隔离装置(正向型)前面板图4后面板图如图3所示。隔离装置设计有双电源，一个电源作为主电源供电，另一个作为辅电源备份，两个电源可以在线无缝切换；内网配置口用来配置正向隔离装置，并监控内网侧的状态信息，外网配置口用来监控外网侧的状态信息；内网网口用来连接内网，外网网口用来连接外网，内外网口的网卡指示灯绿灯亮表示网口与网络正确连接，黄灯亮表示网络速率是100M，暗表示网络速率是10M，闪烁表示有数据正在接收或发送；双机接口支持隔离装置的双机热备；告警接口支持使用专用协议输出报警信息。图3SysKeeper-2000网络安全隔离装置(正向型)后面板图5二、产品分发与安装SysKeeper-2000网络安全隔离装置(正向型)完整的产品分发包包括硬件和软件两大部分。用户在使用本产品时，应先检查产品是否具有NARI标志，外观是否有损坏现象。如有以上现象，请勿使用并及时与本公司取得联系，处理相关事宜。为了产品稳定、可靠的运行，请勿私自打开隔离装置机箱。隔离装置随机带有配置软件安装光盘和串口配置线，用于在安装Windows2000/XP/NT/9x操作系统的计算机上配置隔离装置。图4正向隔离装置配置软件主界面SysKeeper-2000网络安全隔离装置的安装和部署非常简单，隔离装置部署在网络的唯一出口处，通过内网接口和外网接口，分别与内网和外网相连。内网和外网的数据交换必须通过隔离装置，以便保护安全的内部网络。图5隔离装置安装网络拓扑图6三、配置隔离装置3.1规则配置1、由于隔离装置的配置是通过配置终端的串口与隔离装置进行通讯的，所以首先必须配置终端串口。使用随机附带的串口配置线将配置终端的串口与隔离装置的内网配置口连接起来。然后点击‘串口配置’菜单，在‘端口’选项下选择串口的COM端口(图6)。图62、点击‘连接’选项。如果连接成功，系统将会提示成功连接串口(图7)；如果连接失败，系统也会提示连接串口失败(图8)。程序会反复重连5次，5次都失败后，程序会自动退出。用户应该参考《附录5.1串口故障诊断》一节仔细检查串口设置。排除故障后，再次重试连接。图7图873、点击‘规则配置’菜单下的‘配置规则’选项(图9)，系统会提示输入用户名和口令(图10)进行权限认证。隔离装置默认的系统管理员用户名/口令是root/root。用户在使用隔离装置后，请立刻修改系统管理员口令。图9图104、用户登录成功后，隔离装置会自动导出已存在的配置规则(图11)，导出成功后进入‘配置系统规则主界面’(图12)配置用户规则。(注意：从安全角度考虑，本地不保留规则配置文件，每次启动时都从隔离装置导出)图118图12数据综合过滤功能能够为隔离装置提供基本的安全保障，根据系统管理员预先设定的规则检查数据包以决定哪些数据容许通过，哪些数据不能通过，这样可以保护内部安全网络不受外部攻击，为内部安全网络提供基本的安全保障。数据过滤依据：„数据包的传输协议类型，容许TCP和UDP。„数据包的源端地址，目的端地址。„数据包的源端口号，目的端口号。„IP地址和MAC地址是否绑定。综合过滤规则提供网络安全隔离装置允许还是拒绝IP包的依据,隔离装置对收到的每一个数据包进行检查，从它们的包头中提取出所需要的信息，如源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型等，再与已建立的规则逐条进行比较，并执行所匹配规则的策略，或执行默认策略。规则配置中，IP地址的形式为X.X.X.X，X的范围取0-255。端口设置为0时，表示任意端口(没有特殊要求，内网端口应该设置为0)。MAC地址的形式为XXXXXXXXXXXX，其中X为十二位十六进制数(字母要求大写)。如果不使用MAC地址绑定功能，MAC地址可以使用默认的000000000000(MAC地址内容不能为空)。网卡可以选择eth0、eth1,分别对应隔离装置上的eth0、eth1两个以太网口。9常用操作步骤说明„添加增加新的规则。当用户增加了新的规则后，点击‘添加’按钮即可将规则添加到配置软件的规则队列中。„修改对已有的规则进行编辑修改。选择要修改的规则，修改规则中的参数后，点击‘修改’按钮，确认修改；否则不会保存修改过的参数。„删除删除一条已有的规则。选择要删除的规则，点击‘删除’按钮，则选定的规则将被删除；如果需要删除全部规则，点击‘删除全部’按钮即可。„复制根据一条已有的规则复制出一条新的规则。选择要复制的规则，点击‘复制’按钮，会复制出一条与原规则相似的规则，所不同的是规则名称。在复制规则中修改相应的各项内容。修改完毕后，点击‘修改’按钮确认修改。„保存保存操作收集各个参数的输入数据，将规则文件保存到配置终端的内存中，还能够将规则保存在本地用户指定的规则文件中。当用户对隔离装置的规则配置完成后，点击‘保存配置’按钮，提示用户已保存的规则总数并将规则文件保存在配置终端内存中。如果需要保存在本地用户指定的规则文件中，点击‘保存本地’按钮，将规则保存在本地的规则文件中。„导入将规则文件导入到隔离装置。在规则配置完成后，点击‘保存配置’按钮，保存规则文件。然后点击‘导入装置’按钮，将规则导入到隔离装置的安全存储区中。„导出导出存储在隔离装置内的规则配置文件。点击‘装置导出’按钮，出现导出系统规则进度条。导出规则成功后，系统会提示成功导出规则并保存，此时规则文件保存在配置终端的内存中。„载入载入存储在配置终端上的规则配置文件。点击‘本地加载’按钮，弹出规则配置文件选择对话框选择正确的配置规则文件。105、所有的规则配置完成后，首先点击‘保存配置’按钮将配置文件保存到配置终端的内存中，然后点击‘导入装置’按钮将规则导入到隔离装置内以完成规则配置。导入成功后，系统会提示“已成功导入，请重新启动”,重新启动隔离装置使配置规则生效。(注意:只需在内网配置口进行规则配置即可)注意：系统默认拒绝所有网络报文通过，只有在规则配置中允许的报文才可以通过。隔离装置不容许出现重复规则，当两条规则的重复时，会出现报警信息，提醒用户对规则进行修改。根据不同的隔离方案，规则有不同的配置，请参考《四、典型应用隔离方案规则设定范例》。3.2用户管理为了更好地管理隔离装置，在隔离装置中可以设置两类用户：超级用户和普通用户。超级用户和普通用户的权限不同：超级用户可以增加、删除、修改隔离装置的配置规则，可以增加或删除隔离装置的普通用户，可以查询隔离装置的日志等；普通用户只可以查看隔离装置的配置规则和日志等。(注意：隔离装置现在只能设置一个超级用户root)1、点击‘用户管理’菜单下的‘修改口令’选项修改用户口令(图13)，用户必须