二代隔离装置配置作业指导书.docx
- 文档编号:4533762
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:24
- 大小:1.61MB
二代隔离装置配置作业指导书.docx
《二代隔离装置配置作业指导书.docx》由会员分享,可在线阅读,更多相关《二代隔离装置配置作业指导书.docx(24页珍藏版)》请在冰豆网上搜索。
二代隔离装置配置作业指导书
隔离装置配置作业指导书
前言
为进一步规范隔离装置接入配置,实现标准化配置流程,完善信息系统的作业标准化,确保设备及信息网络隔离装置的安全、可靠运行,特制订《隔离装置配置作业指导书》。
隔离装置配置作业指导书
1.适用范围
本作业指导书适用于第二代信息网络隔离装置配置工作。
2.信息安全网络隔离装置介绍
信息安全网络隔离装置的定义
信息安全网络隔离装置是将可信任的信息内网和不可信任的信息外网进行隔离,因此必须保证信息内网和信息外网之间的SQL通信均通过信息安全网络隔离装置进行,同时还必须保证信息安全网络隔离装置自身的安全性。
信息安全网络隔离装置在网络中的位置
信息安全网络隔离装置访问控制策略
访问控制策略是信息安全网络隔离装置的基础,它可以按如下两种逻辑来制订:
1、默认禁止:
访问控制规则没有明确允许的都禁止访问;
2、默认允许:
访问控制规则没有明确禁止的都允许访问。
对于网络通讯的控制,采用默认禁止的方式,即为配置相应通讯策略的协议,均无法通过装置。
3.作业准备
3.1新设备准备工作
序号
内容
标准
1
机房环境
1.每台装置2U的机架位,插座(自带2根国标电源线)
2.每台装置信息内外网网线各1根;
3.部署隔离装置需要的内外网网线
3.显示器键盘
2
网络环境
1.每台装置需申请信息内网ip和信息外网ip各一个;2.隔离装置位于防火墙后并确认防火墙支持长连接
3.开通18600(应用外网服务器到隔离装置外网),18750(信息内网机到隔离装置内网),数据库端口如1521(隔离装置内网到数据库、根据数据库确定端口号)
3
应用外网服务器
1.业务系统需使用隔离装置的模块部署完成
2.业务系统针对隔离装置进行过针对性测试和改造,通过最终兼容性测试
3.业务系统在隔离装置安装期间可进行服务器配置,具备重启时间窗口
4
内网可用Oracle11g环境
1.内网数据库服务能够正常提供
2.明确数据库ip,端口,实例名,用户名、密码
5
内网隔离装置配置环境
需提供一台内网电脑,可连接隔离装置。
6
人员需求
业务系统配置人员1名,甲方IT管理人员一名
3.2工器具
序号
名称
规格/编号
单位
数量
1
内网隔离装置配置环境
要求安装SecureCRT终端仿真软件、及以上版本、隔离装置管理客户端
台
1
2
其它工具材料
网线、螺丝刀等
套
1
3.3危险点分析及预控措施
序号
危险点
防范措施
1
修改ssh配置使隔离装置只能在内网使用ssh服务
修改/etc/ssh/sshd_config文件找到“ListenAddress”行,将其改为“ListenAddress内网IP”。
4.隔离装置配置工作流程图
5.作业程序及作业标准
序号
工作内容
操作方法及标准
安全措施及注意事项
开工
1
工作票许可
工作票负责人会同工作票许可人检查工作票上所列安全措施是否正确完备,经现场核查无误后,与工作票许可人办理工作票许可手续。
2
工作交底
开工前工作负责人带领所有工作人员进入作业现场并在工作现场向所有工作人员详细交待作业任务、安全措施和安全注意事项、设备状态及人员分工,全体工作人员应明确作业范围、进度要求等内容,并在作业人员表格内分别签名。
设备硬件安装及连线
3
硬件安装
设备安装到机柜,固定稳妥。
连接电源线,接地线,网线。
连接线检查,有无脱落现象。
检查时避免误碰线缆导致松脱
注意双电源供电情况
4
设备上电运行检查
设备应运行正常,无异常指示灯、无积尘、散热风扇运转正常。
准备
5
获取配置信息
获取隔离装置内网ip地址
6
登录设备
配置内网机通过隔离装置管理客户端连接隔离装置进行配置
可以使用笔记本通过网线直连隔离装置进行配置
Sql代理配置(详细配置参考附件一)
7
真实数据库
真实数据库名称、真实数据库类型、最大连接数、IP、端口号、用户名、密码、数据库sid、数据库名称
8
虚拟数据库
虚拟数据库名称、最大连接数、真实数据库名称、用户名、密码
真实数据库名称:
下拉框选择已录入的真实数据库名称
9
sql代理应用系统
应用名称、工作模式
工作模式:
下拉框选择,默认学习模式
10
Sql代理应用服务器
应用服务器名称、应用名称、应用服务器ip、虚拟数据库名称
应用名称、虚拟数据库名称通过下拉框选择
工作终结
11
保存配置,退出登录
12
拆除连接线
拆除调试计算机与设备间连接线,包括控制线缆、网络线缆。
13
检查现场
工作负责人最后检查现场,是否有遗留的工具、材料。
14
工作票终结
经值班员验收合格,并在操作记录卡上各方签字后,办理工作票终结手续。
附件一:
隔离装置安装手册
1.环境装备
序号
SQL代理隔离装置安装环境要求
1
机房环境
每台装置2U的机架位,插座(自带2根国标电源线)
2
每台装置信息内外网网线各1根
3
显示器键盘
4
网络环境
每台装置需申请信息内网ip和信息外网ip各一个
5
隔离装置置于防火墙后并确认防火墙支持长连接
需开18600(应用服务器到隔离装置外网),18750(信息内网机到隔离装置内网),1521(根据数据库确定端口号,隔离装置内网到数据库)端口
6
应用服务器环境
业务系统需使用隔离装置的模块部署完成,
7
业务系统针对隔离装置进行过针对性测试和改造,通过最终兼容性测试
8
业务系统在隔离装置安装期间可进行服务器配置,具备重启时间窗口
9
内网可用Oracle11g环境
内网数据库服务能够正常提供,
明确数据库ip,端口,实例名,用户名、密码
10
内网隔离装置配置环境
需提供一台内网电脑,可连接隔离装置。
11
人员需求
业务系统配置人员1名,甲方IT管理人员一名
12
加电测试验收单
装置安装完成,且运行正常后,需接口人于加电测试单上盖章或签字。
2.操作系统安装
操作系统安装前装备
查看装置MAC地址,申请凝思操作系统序列号
1)软件方法:
用光盘引导进入凝思操作系统,系统用户为root,密码为rocky。
输入命令:
ifconfig–a(中间有空格),显示四个网卡信息,用eth2的MAC地址来申请序列号。
2)硬件方法:
隔离装置有两块网卡,直接查看竖着的网卡,其上印制有硬件地址。
2.1.2安装操作系统其它需求
1)显示器、键盘、鼠标(特殊情况下使用)
2)外接移动光驱
3)Linx(凝思)系统安装盘
操作系统安装
1)在BIOS中设置光盘为第一启动盘,将凝思操作系统安装光盘放入光驱,引导进入操作系统,输入localhostname为root,password为rocky。
2)登录到光盘系统,执行setup命令,按[Enter]键启动安装程序。
3)对操作系统进行磁盘分区,分为两个分区:
a)分配交换区为:
New——>primary——>size:
20480——>Beginning——>Type:
82
b)交换分区分配完成后,使用向下键选择到freespace上,再利用左右键选择[new],对/进行分区:
New——>primary——>size:
剩余空间——>Type:
83——>Bootable:
boot
c)完成所有分区设置后,移动左右键到【Write】,并按【Enter】键。
d)提示:
Areyousureyouwantwritethepartitiontabletodisk?
e)输入命令:
yes
(此步骤会出现“writeprotectisoff”,忽略)
f)分区结果写入磁盘后,分区工作完成。
移动左右键到【Quit】并按【Enter】键退出分区界面。
4)进入设置挂载点界面,执行:
Edit——>/——>回车——>Accept。
5)设置分区文件系统类型:
选择ext3——>输入序列号,之后一路执行【enter】下去,直到选择系统的安装模式。
6)选择系统安装模式,production或是Development,由具体要求决定。
区别在于开发模式中包含开发工具和服务。
在正式环境中安装“production”模式。
7)安装完成后,执行reboot。
重启操作系统。
3.Sql代理系统安装
3.1Sql代理安装前准备
1)U盘
2)Sql代理系统安装文件(new_deploy_6_30)
3.2Sql代理系统安装
1)将Sql代理系统安装文件(new_deploy_6_30)拷贝到U盘内,并插到隔离装置上。
2)执行fdisk命令,查看优盘挂载的目录,并挂载优盘到mnt目录:
[]#fdisk–l
[]#mount/dev/sdbx/mnt/
3)通过U盘将sql代理安装文件(new_deploy_6_30)拷贝到隔离装置系统
a)拷贝部署文件new_deploy_6_30到/root目录下:
[]#cp–rfnew_deploy_6_30//root
b)进入new_deploy_6_30/文件夹中执行”./setup”命令即可安装部署Sql代理服务,安装过程中会提示“doyouwanttobondingnetworkcard[Y/N]”如果是首次部署Sql代理系统需输入Y来绑定网卡。
重新安装Sql代理系统不需要再次绑定网卡输入n即可。
c)安装完成后重启操作系统,重启后通过”ps–ef|grepsql”来查看安装情况,如果有下图红色标记进程表示安装成功。
4.IP、路由配置
4.1IP地址配置
IPV4地址
每台SQL代理部署到网络环境中,需要内外网各提供一个IP地址。
操作步骤:
1)打开/etc/文件。
2)修改内外网IP地址,bond0对应SQL代理隔离装置的内网IP地址,bond1对应SQL代理隔离装置的外网IP地址,并保存bonding文件。
执行命令:
[]#vim/etc/
对文件中的IP地址进行设置,根据具体部署单位提供的子网掩码对netmask进行设置。
IPV6地址
1)在任意目录下,使用root权限运行脚本(注:
这个脚本只适用四网卡进行双绑定的情况)
./
2)对/etc/sysconfig/network-devices/下的ifcfg-bond0和ifcfg-bond1分别进行配置IP即可
vi/etc/sysconfig/network-devices/ifcfg-bond0
vi/etc/sysconfig/network-devices/ifcfg-bond1
3)重启系统即可(或执行/etc/networkrestart)
注:
如果要单配IPV4的话
只需要在配置IP时,在IPV6ADDR=172:
16:
0:
:
124行前加#号注释掉即可
例:
#IPV6ADDR=172:
16:
0:
:
124
同理单配IPV6的情况则注释掉IPADDR=行即可
例:
#IPADDR=
4)修改ssh使其支持IPV6:
修改/etc/ssh/sshd_config文件找到#ListenAddress:
:
将前边的#号去掉然后终端中/etc/sshdrestart应该就可以了
4.2路由配置
SQL代理隔离装置的内网IP地址与数据库的IP地址、或SQL代理的外网IP地址与业务系统服务器的IP地址可能不在一个网段。
这种情况下,需要添加路由规则。
添加路由规则如下:
add–net目的网段)mask子网掩码)gw网关)。
具体操作:
修改/sql_proxy/bin目录下的脚本。
1)添加路由信息,每个网段对应一条信息。
例如:
内网网段为,提供的子网掩码为,网关为,则添加的信息为:
routeadd–netnetmaskgw
2)添加完之后,执行脚本,使设置的路由信息生效。
[]#./
4.3修改ssh限制外网连接
修改ssh配置使隔离装置只能在内网使用ssh服务。
修改/etc/ssh/sshd_config文件找到“ListenAddress”行,将其改为“ListenAddress内网IP”。
例如隔离装置的内网IP为“”,则修改结果为“ListenAddress”
5.隔离装置配置
配置前信息准备
业务系统
向业务系统人员收集以下有关数据库信息:
数据库ip地址、数据库类型、数据库端口、数据库用户名、数据库密码、数据库名称
网络环境
隔离装置内网到数据库之间如果有防火墙必须要在防火墙上开通数据库端口,并且支持长连接。
否则隔离装置到数据库测试不通。
登录隔离装置
打开“sgcc管理客户端”,并配置“SQL代理服务器”(windows系统,并安装以上版本,用户名/密码:
admin/admin。
)
先添加服务器节点再配置负载均衡服务器地址(即隔离装置内网ip地址),端口填写“18750”,先保存再确定,通过下拉框选择配置的“SQL代理服务器“节点再点击”确定“,弹出的对话框”确定“即可登录(无需配置”非结构化服务器“)如下图所示:
(表示通过内网连接上了隔离装置服务器,可以通过管理客户端配置sql代理基本信息。
)
配置SQL代理服务
配置真实数据库
a)配置“SQL代理服务”菜单下的“真实数据库”。
配置如下信息,配置完成后点击“确认“再提交(点击红色按钮提交
,以下所有添加信息后务必提交)
b)测试刚添加真实数据库信息是否连接数据库测试成功。
先选择测试真实数据库记录信息再点击“
(测试数据库连接按钮)“若出现“xxxx:
数据库测试成功”则表示该数据库连接信息通过隔离装置可以正常访问数据库。
部分常用配置项说明如下:
真实数据库名称:
真实数据库的名称,只允许字母与数字的组合并以“18600_”开头。
真实数据库类型:
数据库的类型,分为三种:
SQLSERVER,ORACLE和DB2。
最大连接数:
数据库的最大连接数,通常500
IP:
数据库的IP地址,如Oracle,DB2等。
端口:
数据库的连接端口,如Oracle默认的1521等。
用户名:
数据库的用户名。
密码:
数据库的密码。
数据库SID:
SID信息(ORACLE数据库才有此信息,其他数据库不填)。
数据库名称:
数据库的名称即service_name
注:
真实数据库名称推荐命名规则如下
如果应用只用数据库一个用户(user)实例为orcl,真实数据库推荐用”18600_orcl”;
如果应用要用数据库多个用户(user1,user2….)实例为orcl,真实数据库推荐用“18600_user1”、”18600_user2”………便于区分。
Ip1:
orcl1;ip2:
orcl2
配置虚拟数据库
部分常用配置项说明如下:
虚拟数据库名称:
虚拟数据库的名称,只允许字母与数字的组合。
(提供给外网应用)
真实数据库名称:
虚拟数据库所对应的真实数据库的名称。
最大连接数:
虚拟数据库的最大连接数。
用户名:
连接虚拟数据库所需的用户名。
(提供给外网应用)
密码:
连接虚拟数据库所需要的密码。
(提供给外网应用)
注:
虚拟数据库名称推荐命名规则如下
根据上面输入的真实数据库名称并在前加入”v_“就可以了,如”v_18600_orcl”或“v_18600_user1”等。
配置应用系统
配置SQL代理应用系统
部分常用配置项说明如下:
应用名称:
应用系统的名称,只允许字母与数字的组合。
(提供给外网应用)
工作模式:
分为学习和过滤模式。
默认“学习”模式。
注意:
为了防止用户的误操作导致对工作模式不必要的修改,用户如想更改工作模式,需点击更改激活工作模式的选择栏。
应用服务器列表:
一个应用所对应的多个应用服务器。
(系统自动显示,不需选择和填写)
注:
应用名称推荐命名规则如下
以”app_“开头后面跟上系统名称拼音缩写,如电力交易推荐使用“app_dljy”,统一车辆推荐使用“app_tycl”
配置SQL代理应用服务器
部分常用配置项说明如下:
应用服务器名称:
应用服务器的名称(一条真实数据库信息对应一个虚拟数据库信息对应一个应用服务器名称。
)
应用名称:
选择应用服务器所对应的应用系统的名称,多个应用服务器可以选择同一个应用。
应用服务器IP:
应用服务器(如weblogic)的IP地址,默认填写“”
虚拟数据库名称:
选择应用系统所对应的虚拟数据库名称。
注:
应用服务器名称推荐命名规则如下
以“appSvr_“后面跟上系统名称拼音缩写,如电力交易推荐使用“appSvr_dljy”,统一车辆推荐使用“appSvr_tycl”
提供给外网应用信息配置
需要提供给外网应用配置的文件有:
隔离装置外网ip,隔离装置端口(18600),虚拟数据库名称(v_18600_xxx),虚拟数据库用户名,虚拟数据库密码,应用名称(app_xxx)
由以上信息拼成url为:
jdbc:
隔离装置2:
18600/虚拟数据库名称appname=应用名称
如果有2台或多台ip都要填写在url中,中间用逗号隔开即可。
6.应用系统配置
修改应用配置
添加jar包
将驱动
jar包存放到weblogic安装的要目录。
如该目录下
“\Oracle\Middleware\user_projects\domains\base_domain\lib”
注:
要根据自己系统具体weblogic安装路径存放jar包
修改环境变量
到以下目录中“\Oracle\Middleware\user_projects\domains\base_domain\bin”找到“()”,在setCLASSPATH后添加驱动jar包路径,windows系统修改如下:
Linux系统修改如下:
(注意”${DOMAIN_HOME}”路径,如没有配置该路径可将驱动jar包绝对路径添加到后面)
配置Weblogic数据源
创建JDBC数据源
a)JNDIName:
应用程序访问weblogic的数据源名称
b)数据库类型(DatabaseType):
oracle类型。
数据库驱动类型
c)数据库驱动程序(DatabaseDriver):
选择倒数第四个“Oracle’sDriver(Thin)forServiceconnections;later”
其他属性配置
默认下一步
连接属性
d)数据库名称(DatabaseName):
管理客户端配置的虚拟数据库名称
e)主机名(HostName):
隔离装置外网ip地址
f)端口(Port):
18600
g)数据库用户名(DatabaseUserName):
管理客户端配置虚拟数据库的用户名
h)口令(Password):
管理客户端配置虚拟数据库的密码
测试数据库连接
a)驱动程序名称:
:
“jdbc:
隔离装置ip2:
18600/虚拟数据库名称appname=应用系统名称”如下:
b)jdbc:
:
18600/v_18600_tjuvmpappname=uvmp
连接池设置(默认下不需要配置)
a)初始容量(Initialcapacity):
30
b)最大容量(Maximumcapacity):
47
c)Capacityincrement:
连接池增长的幅度
d)Inactiveconnectiontimeout:
不活动连接的超时时间(若连接在设置的时间内没有活动,则系统将其放入连接池)
通过以上Weblogic步骤的配置,可以通过Weblogic数据源测试配置是否成功,如果提示数据源配置成功则表示外网应用到隔离装置,隔离装置到数据库之间是互通的。
配置完毕。
7.常见配置问题
a)应用服务器异常
错误信息:
IPaddressorapplicationnameisinvalid,pleasecheckit。
解决方法:
需要将url中的应用名称替换为实际配置的应用程序名称。
b)网络异常
错误信息:
网络通信异常。
解决方法:
使用正确的ip地址或端口号。
c)虚拟数据库名称不正确
错误信息:
Databasenameisinvalid,pleasecheckit.
解决方法:
在URL连接字符串中,使用正确的虚拟数据库名称。
d)真实数据库名称不正确
错误信息:
Couldnotconnecttotherealdatabase,pleasecheckit.
解决方法:
可能是网络不通、数据库服务未开或库名不正确。
启动数据库服务器并且确保数据库可以接受新的连接,
e)用户名和密码不正确
错误信息:
invalidusernameorpassword.
解决方法:
使用正确的用户名或密码。
f)URL格式不正确
错误信息:
Nosuitabledriver.
解决方法:
按照正确的URL格式填写。
g)Jdbc驱动信息异常
错误信息:
。
解决方法:
按照驱动的规范类名来指定驱动类。
h)jdbc驱动信息异常
错误信息:
contenterror
解决方法:
查看jdbc驱动加解密的设置。
同时,查看sql代理配置文件。
jdbc_recv_data_decrypt和jdbc_send_data_encrypt。
jdbc_recv_data_decrypt表示是否对收到的jdbc数据解密,0表示不解密,1表示进行解密。
jdbc_send_data_encrypt表示是否对发送给jdbc驱动的数据进行加密,0表示不加密,1表示加密。
查看sql代理的加解密配置和jdbc驱动的加解密设置是否一致。
8.系统常用命令
备份:
1./proxy_db18600SQLProxyCfg备份2./sql_proxy/bin/备份
重启网卡:
/etc/networkrestart
重启绑定:
/etc/bondingrestart
添加路由:
routeadd–netnetmaskgw
重启sql代理服务:
/etc/sqlproxyrestart
查看sql代理进程:
ps–ef|grepsql
查看sql代理日志:
tail–f100/sql_proxy/log/nds0
查看连接数:
netstat-nat|grep18600|wc-l
sqlplus连接数据库:
sqlplususer/pwd@ip:
port/sid
重启服务器:
reboot
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 二代 隔离 装置 配置 作业 指导书