网神安全产品安装调试指导手册.docx
《网神安全产品安装调试指导手册.docx》由会员分享,可在线阅读,更多相关《网神安全产品安装调试指导手册.docx(64页珍藏版)》请在三一办公上搜索。
1、 网神安全产品安装调试指导手册网神安全产品安装调试指导手册网神SecSIS 3600安全隔离与信息交换系统目 录1网神SECSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明42网神SECSIS 3600安全隔离与信息交换系统产品常见应用场景说明52.1数据库安全同步解决方案52.2安全邮件收发解决方案62.3安全文件交换解决方案72.4安全FTP访问解决方案82.5安全浏览解决方案83准备工作93.1了解实际用户网络环境或主机环境93.1.1网络环境93.1.2主机环境93.2了解实际用户应用及安全需求103.2.1业务模式103.2.2安全需求103.3开箱、加电113.3.
2、1设备开箱113.3.2设备加电113.3.3安全注意事项123.4管理网神SecSIS 3600安全隔离与信息交换系统123.4.1WEB界面方式123.4.2命令行方式143.4.3其它方式163.5如何申请许可证和激活网神SecSIS 3600安全隔离与信息交换系统产品功能模块173.5.1申请License173.5.2导入License174初级“假设法”手把手教您如何快速安装部署网闸产品184.1网闸网络配置185中级“假设法”手把手教您如何快速调试网闸产品的基本功能205.1安全浏览205.1.1客户需求205.1.2网络配置205.1.3网闸具体配置225.2安全FTP275.
3、2.1客户需求275.2.2网络配置285.2.3网闸具体配置305.3FTP访问375.3.1客户需求385.3.2网络配置385.3.3网闸具体配置405.4数据库访问435.4.1客户需求435.4.2网络配置435.4.3网闸具体配置455.5邮件访问505.5.1客户需求515.5.2网络配置515.5.3网闸具体配置525.6定制模块555.6.1客户需求555.6.2网络配置565.6.3网闸具体配置586常见问题答疑631 网神SecSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明网御神州SecSIS 3600安全隔离与信息交换系统根据不同的应用需求,量身定制功
4、能模块,满足用户的不同应用需求,主要包括: 网络配置:完成设备网络参数的基本配置以及高可用性(双机负载)的配置管理员配置:管理员源地址的访问控制,权限分配,新增管理员及参数设置。文件交换:实现将网闸一侧的文件安全可控的摆渡到另外一侧 数据库同步:实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中安全浏览:在内外网隔离环境下保证内网用户安全浏览外网资源。 安全FTP:实现对FTP服务器的安全防护FTP 访问:在内外网隔离环境下实现安全的 FTP 访问。 数据库访问:在内外网隔离环境下实现安全的数据库访问。邮件访问:在内外网隔离环境下实现安全的邮件访问。视频模块:在内外网隔离环境下实现安全的视频服
5、务器的访问。定制模块:在内外网隔离环境下实现对所有的基于TCP/UDP服务的访问。工具箱:系统许可证、配置管理、系统时间、修改口令,版本等信息的管理。2 网神SecSIS 3600安全隔离与信息交换系统产品常见应用场景说明网神SecSIS 3600安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境,可应用在不同的涉密网络之间;同一涉密网络的不同安全域之间;与互联网物理隔离的网络和秘密级涉密网络之间;未与涉密网络连接的网络和互联网络之间,通过网闸的安全控制,在保证信息安全的前提下更好地促进各个业务系统的互联互通、资源共享。2.1 数据库安全同步解决方案某政府部门开展电子
6、政务,允许公众通过互联网提交服务申请并查询结果。如果允许访问者通过Web服务器直接向核心数据库服务器发起数据访问请求,则黑客可能穿透防火墙的保护直接侵入后台数据库系统,严重威胁到业务的正常开展。如上图所示,采用网神SecSIS 3600安全隔离与信息交换系统,在核心数据库服务器和外部不可信网络间实现安全隔离,则来自互联网的用户只能通过Web服务器访问到前置数据库服务器。根据安全策略定时将前置数据库和核心数据库的内容进行同步,既可满足对外服务的要求又提供了安全保障。这种方式强化了应用层的安全控制,可有效防止TCP/IP数据包穿越网络到达核心数据库服务器,大大增强了系统的安全性,为电子政务的有效开
7、展提供了可靠的保证。网神SecSIS 3600安全隔离与信息交换系统提供多种数据库同步方式,可定制同步周期及方向,支持Oracle、Sybase、SQL Server、MySQL、DB2等多种主流数据库。系统支持基于触发器和快照两种方式的增量数据复制,可实现异类数据库间的数据同步。系统提供C/C+编程接口,可以方便的与其它系统的集成。2.2 安全邮件收发解决方案某机构强制要求内网禁止与互联网相连,但根据业务需要必须通过电子邮件与外界进行信息交流。如采用人工方式,即由专人负责在公众信息网接收电子邮件,再通过移动存储介质复制到内部网进行处理,则信息不能得到及时处理,严重影响工作效率;若采用内外网邮
8、件服务器转发的方式,安全又得不到保证。为解决这一问题,在内外网间部署网神SecSIS 3600安全隔离与信息交换系统。安全隔离与信息交换系统可以保证可信内网与Internet安全隔离,内外网邮件服务器间不存在链路层连接,没有数据包的交换,因此无法通过邮件系统对内部办公网发起攻击。系统可以为每个用户制定各自的邮件交换策略,对邮件内容、附件类型及垃圾邮件、带病毒邮件等进行过滤,从而使内网用户可以在内网安全地收发邮件,保证安全的邮件处理。2.3 安全文件交换解决方案网神SecSIS 3600安全隔离与信息交换系统,由安全管理员制定相应的信息交换策略,在网络安全隔离的前提下定时进行文件交换。系统还支持
9、交换方向、文件类型的指定,可对被交换文件进行内容检查、查病毒等处理,只允许或不允许包含相应内容的文件通过网闸传递。网神SecSIS 3600 安全隔离与信息交换系统可对数字签名进行校验,以起到身份认证、防抵赖的作用。2.4 安全FTP访问解决方案网神SecSIS 3600安全隔离与信息交换系统,由安全管理员制定相应的FTP访问策略,在网络安全隔离的前提下进行FTP访问。系统还支持访问方式、文件类型的指定,可对FTP命令、用户名进行策略配置,达到FTP用户访问控制和过滤。2.5 安全浏览解决方案为了内网用户能够安全的访问互联网资源,网神SecSIS 3600安全隔离与信息交换系统,在保障内网安全
10、的前提下提供安全浏览功能。安全浏览功能可进行多种策略设置,以达到URL访问控制、网页文件类型限制、上网时段控制等安全功能。内网用户可通过网闸对互联网资源正常、安全的进行访问。3 准备工作网闸的部署与用户的业务系统息息相关,在网闸项目实施时应特别注意,切勿造成用户业务无法正常使用的状况出现。所以,在网闸上线实施前,应对当前用户的网络环境、业务模式、安全需求等情况进行详细的了解,充分做好产品上线准备,确保网闸上线后高效、稳定,与用户业务安全结合。3.1 了解实际用户网络环境或主机环境3.1.1 网络环境充分的网络环境了解,有助于我们明确网闸的部署位置,IP地址的规划等,对与当前用户整个网络的拓扑结
11、构要做到心中有图和手中有图, 网络拓扑网络拓扑图可以请用户网络工程师协助提供。拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。 部署位置根据用户提供拓扑,分清安全域界限,明确网闸部署位置。 IP规划明确网闸所需的IP地址、掩码、网关地址,以及各关键设备的地址信息。3.1.2 主机环境明确用户现场网络拓扑后,还需要对用户的主机系统,也就是各类与网闸应用相关的服务器进行了解,以确保采用正确的网闸模块与之对应。 服务器系统平台信息了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。了解各服务器网络配置信息,如服务器IP地址、服务器连接位置等。 数据库信息对具有数据库应用需
12、求的用户,了解其使用的数据库类型、版本等数据库相关信息。 软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。3.2 了解实际用户应用及安全需求3.2.1 业务模式了解业务模式,可以针对当前用户的各类业务应用选择最匹配的网闸功能模块,以确保网闸功能与用户应用的无缝结合。 应用相关信息了解业务所采用的协议类型,业务端口开放情况等业务相关信息。 业务流程分析通过对业务流程的分析,可以确定哪些功能是必须要实现,从而使得我们可以以更合适的方式来实现所需要的功能服务。 业务软件模式针对业务应用所使用的软件模式,B/S架构还是C/S架构,可以更好的选择功能模块采用的实现方式。3.2.2 安全需求了解
13、用户安全需求,细化网闸安全功能,确保用户信息及数据的安全。 访问用户限制针对不同的访问用户进行业务应用限制,功能使用限制;对于不同的管理员赋予不同的权限。 访问客户端限制针对IP段、MAC地址的访问限制; 应用层过滤针对业务应用进行的策略限制,黑白名单策略、命令限制、文件类型限制等。3.3 开箱、加电3.3.1 设备开箱设备开箱请按装箱清单进行清点,并对设备外观进行检查,若有异常请认真详细地做好记录。打开网闸包装后,确认包装箱内是否包含以下各物品以及状态是否良好:l 网神SecSIS 3600网闸l 配件盒:电源线1 串口线1 网 线2 软盘/CD-ROM 光盘(包括网闸相关信息文件和手册)如
14、果发现任何物品丢失或出现损坏,则立即联系网御神州公司。如果需要运输或将网神SecSIS 3600安全隔离与信息交换系统保存起来以待后用,那么切勿丢掉包装材料或装运纸箱。3.3.2 设备加电开箱检验确认设备外观无异常后,可对设备进行加电检验。加电后请注意观察网闸前面板指示灯,可初步判断网闸是否正常。内、网外面板各有3个指示灯。按顺序分别为:电源指示灯:显示网闸供电是否正常。状态指示灯:显示网闸存储读写工作情况。交换指示灯:显示网闸交换卡工作情况。网闸加电后,正常状态下,电源指示灯常量;状态指示灯只在存储读写情况下闪烁,无工作状态灭灯;交换指示灯在无工作情况下为间隔闪亮,间隔时间约12秒,交换卡工
15、作情况下为快速闪烁状态。注意:网闸配备冗余电源,尽量保证双电源供电。如果使用单一供电,无供电电源会产生报警。(可按电源模块上红色按钮取消报警)3.3.3 安全注意事项本节列出的安全使用注意事项,请在使用网御神州SecSIS 3600安全隔离与信息交换系统过程中严格执行。这将有助于更好地使用和维护安全隔离与信息交换系统。1. 安全隔离与信息交换系统应用环境为温度10 35和湿度40% 80%;存储环境为温度0 70,湿度20% 95%。2. 采用交流220V电源。3. 必须使用三芯带接地保护的电源插头和插座。良好的接地是您的安全隔离与信息交换系统正常工作的重要保证。对于安全隔离与信息交换系统来说
16、,如果缺少接地保护线,在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害,但在接触时,可能会产生麻、痛等轻微触电的感觉。另外,如果您擅自更换标准电源线,可能会带来严重后果。3.4 管理网神SecSIS 3600安全隔离与信息交换系统网神SecSIS 3600安全隔离与信息交换系统提供两种管理方式,Web管理和串口管理,下面介绍登陆界面的操作和管理的菜单功能。网神SecSIS 3600安全隔离与信息交换系统使用了安全套接层(SSL)协议,在网神安全隔离与信息交换系统连接期间,所有的交换信息均被SSL加密,默认的访问端口为443。3.4.1 WEB界面方式网闸分内网管理和外网管理内网默认
17、管理地址为:https:/10.0.0.1 外网默认管理地址为:https:/10.0.0.2 默认管理用户名:admin 默认密码:admin默认日志用户名:auditor 默认密码:auditor用户管理机地址设置与管理地址同一网段(10.0.0.*/24),用交叉线与网闸的内网管理口和外网管理口相连。管理机网卡设置(10.0.0.6/255.255.255.0)打开IE浏览器,输入https:/10.0.0.1 (内网为例) 配置管理员:用户名admin,密码admin日志管理员:用户名auditor,密码auditor进入管理界面菜单区:系统的所有功能菜单,不同的功能对应不同的菜单配置
18、区:配置系统相关参数的区域显示区:显示系统在内网或外网管理页面3.4.2 命令行方式基于串口连接,提供命令行方式的基本配置管理和灾难恢复功能,提供了管理的安全、方便与灵活性。可以提供恢复出厂设置、关闭远程管理等基本管理功能。配置终端参数:登陆用户名为hawk,口令hawk。命令表如下:命令名称描 述?|help帮助功能,列表所有串口命令Clear清屏Service web 开启和关闭web管理界面Service ssh 开启和关闭ssh管理界面Config default恢复出厂配置Passwd修改串口口令Netcap ip port抓包工具Ping Ping测试Detect检测对方主机Sho
19、w cpu显示cpu 信息Show memory显示内存信息Show disk显示存储器信息Show proc显示当前进程Show interface显示端口信息Show link显示连接信息Show gw显示路由信息Show arp显示arp表Show ver显示系统版本Quit|exit退出3.4.3 其它方式除了上述两种管理方式外,网神SecSIS 3600安全隔离与信息交换系统暂不提供其他管理方式。3.5 如何申请许可证和激活网神SecSIS 3600安全隔离与信息交换系统产品功能模块3.5.1 申请License网神SecSIS 3600安全隔离与信息交换系统在初次使用时,产品功能模
20、块需要激活方可使用。激活前请记录产品硬件序列号并填写license申请表。注意:此处请务必分清内外网硬件序列号,避免混淆。License申请:请将上述信息邮件至网御神州客户服务部并电话通知。联系人:翟玉晶 电话:13401168930 邮件地址:license3.5.2 导入License点击上传许可证,浏览许可证文件,点击上传。许可证文件必须有厂商正式签发。签发许可证请参照4.3获取硬件序列号,并发送给厂商进行申请。注意:1.内外网License为同一文件。 2.导入License时,如果使用的浏览器为IE 8,请将安全级别设置降低,否则会出现找不到上传文件现象。4 初级“假设法”手把手教您
21、如何快速安装部署网闸产品4.1 网闸网络配置在了解完用户网络结构并确认网闸部署位置后,就可以对网闸进行基本的网络设置,我们以下图的网络环境为基础进行网闸的网络基本设置。如上图所示,网闸分别与192.168.2.0/24、192.168.3.0/24网段相连接,内、外网口IP分别为192.168.2.10/24和192.168.3.10/24。确认上述IP信息无误后,即可在网闸上进行操作配置。以内网为例。登录网闸WEB管理界面,点击网络配置:网卡配置,选择网络设备属性,此处选择net,确定。网络地址,选择网口,ip地址栏填写网闸内网口实际地址。此处填写192.168.3.10,子网掩码:255.
22、255.255.0。点击确定保存。外网IP设置与内网设置方法一致。实际应用中,仅仅配置完IP并不能保证网闸的网路连通,还需要根据网络的实际状况添加路由设置。本例中需要分别为网闸内、外网添加路由。配置如下图所示:外网路由设置与内网设置方法一致至此,本应用中的网闸网络配置已经完成,可以通过网闸WEB管理界面中工具箱下的调试工具测试网闸在网络中的连通性。5 中级“假设法”手把手教您如何快速调试网闸产品的基本功能5.1 安全浏览说明:1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。2 管理主机与网闸的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全产品 安装 调试 指导 手册
链接地址:https://www.31ppt.com/p-1814843.html