光单向安全隔离数据自动导入系统网神隔离网闸管理员管理守则V8141.docx
- 文档编号:4906904
- 上传时间:2022-12-11
- 格式:DOCX
- 页数:52
- 大小:42.10KB
光单向安全隔离数据自动导入系统网神隔离网闸管理员管理守则V8141.docx
《光单向安全隔离数据自动导入系统网神隔离网闸管理员管理守则V8141.docx》由会员分享,可在线阅读,更多相关《光单向安全隔离数据自动导入系统网神隔离网闸管理员管理守则V8141.docx(52页珍藏版)》请在冰豆网上搜索。
光单向安全隔离数据自动导入系统网神隔离网闸管理员管理守则V8141
网神SecSIS3600
光单向安全隔离数据自动导入系统管理员手册
声明
本手册所含内容如有任何变动,恕不另行通知。
在法律法规允许的最大范围内,网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其他任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
在法律法规的最大允许范围内,网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失),不负任何赔偿责任。
本手册的信息受到版权保护,本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可,任何单位与个人不得以任何方式影印或复印。
网神信息技术(北京)股份有限公司
北京市海淀区上地开发区开拓路7号先锋大厦
前言
感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS3600光单向安全隔离数据自动导入系统,您能成为我们的用户,是我们莫大的荣幸。
为了使您尽快熟练地使用网神SecSIS3600光单向安全隔离数据自动导入系统,我们随机配备了内容详细的管理员手册。
网神SecSIS3600光单向安全隔离数据自动导入系统必须通过管理主机对光单向安全隔离数据自动导入系统进行设置管理。
这本手册能帮助您更好地管理设置。
希望用户在遇到设置问题的时候能在手册里得到帮助。
我们对管理员手册的编排力求内容全面而又简单易懂,从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。
在第一次安装和使用之前,请务必仔细阅读所有资料,这会有助于您更好地使用本产品。
这本手册的读者对象是网神SecSIS3600光单向安全隔离数据自动导入系统的管理员。
在安装光单向安全隔离数据自动导入系统之前及过程中,为更好地应用与配置,同时避免可能出现的各类问题,请仔细阅读本手册。
我们认为手册中所提供的信息是正确可靠的,请尽量避免人为的失误。
谢谢您的合作!
网神信息技术(北京)股份有限公司
安全使用注意事项
本章列出的安全使用注意事项,请仔细阅读并在使用网神SecSIS3600光单向安全隔离数据自动导入系统过程中严格执行。
这将有助于更好地使用和维护您的光单向安全隔离数据自动导入系统。
1光单向安全隔离数据自动导入系统应用环境为温度10℃~35℃和湿度40%~80%;存储环境为温度0℃~70℃,湿度20%~95%。
2采用交流220V电源。
3必须使用三芯带接地保护的电源插头和插座。
良好的接地是您的光单向安全隔离数据自动导入系统正常工作的重要保证。
对于光单向安全隔离数据自动导入系统来说,如果缺少接地保护线,在机箱的金属背板上可能会出现感应电压。
虽然不会对人体造成伤害,但在接触时,可能会产生麻、痛等轻微触电的感觉。
另外,如果您擅自更换标准电源线,可能会带来严重后果。
特别提示:
遇到故障,请不要自行拆卸光单向安全隔离数据自动导入系统,建议与我们的技术支持人员(免费咨询电话:
400-610-8220)取得联系,以获得最佳解决方案。
②光单向安全隔离数据自动导入系统的搬运应注意:
⑴本光单向安全隔离数据自动导入系统的搬运最好使用出厂原包装。
搬运之前请清点好所有部件和随机附带的资料。
⑵最好将各个部件和随机附带的资料按出厂时的包装还原。
⑶光单向安全隔离数据自动导入系统不可带电搬运,任何零部件不可带电插拔,否则可能损坏光单向安全隔离数据自动导入系统。
⑷将光单向安全隔离数据自动导入系统打包完成后,用胶带封箱,即可搬运。
光单向安全隔离数据自动导入系统搬运过程中,请不要剧烈碰撞和跌摔,不可雨淋。
搬运过程请远离强静电,强磁场环境。
3正确规范的操作是安全的保证。
第一章准备工作
1.1产品介绍
光单向安全隔离数据自动导入系统是利用光的单向传输特性,在两个相互物理隔离的网络间安全、高速、可靠地进行单方向传输数据的网络安全设备。
系统采用专有隔离硬件和协议,并采用国际上最新的信息轮渡机制,集成了安全操作系统、内容过滤、病毒查杀、访问控制和安全审计等多种安全技术,对传输数据的类型、内容等进行检查和过滤,提供可信任的专用信息单向传输服务,光单向安全隔离数据自动导入系统可广泛应用于政府、军队、金融、能源等机密要害部门。
1.2产品特点
物理层安全隔离
本系统遵循严格物理隔离的原则,采用双主机加上光单向隔离硬件的体系架构,确保两个网络之间无物理层的直接连接,实现物理隔离。
专有交换卡
内外主机系统中安全检测与控制处理单元采用专有光单向硬件交换电路设计的单通道高速数据光交换卡。
数据交换卡具有独立的硬件交换控制逻辑,无OS及任何“软”控制,自主完成数据的单向交换。
协议阻断
在两个主机系统之间采用专有协议,阻断TCP/IP协议的连接。
这样基于操作系统的漏洞攻击和网络层协议的攻击基本被杜绝或者只发生在主机系统一侧,从而实现一种隔离交换的安全。
1.3产品功能
网神SecSIS3600光单向安全隔离数据自动导入系统根据不同的应用需求,量身定制功能模块,满足用户的不同应用需求,主要包括:
网络配置:
完成设备网络参数的基本配置以及高可用性的配置。
管理员配置:
管理员源地址的访问控制,权限分配,新增管理员及参数设置。
文件交换:
实现将网闸一侧的文件安全可控的摆渡到另外一侧。
数据库同步:
实现将网闸一侧的数据库信息安全可控的摆渡到另外一侧。
单向TCP:
在内外网隔离环境下实现对TCP数据的单向传输。
单向UDP:
在内外网隔离环境下实现对UDP数据的单向传输。
单向JMS:
在内外网隔离环境下实现对JMS数据消息的单向传输。
防护设置:
用于配置设备是否进行抗攻击设置、ICMP应答。
工具箱:
系统许可证、配置管理、系统时间、修改口令,版本等信息的管理。
关闭系统:
安全重启和安全关机。
安全退出:
退回设备登陆界面。
第二章登陆管理界面
光单向安全隔离数据自动导入系统(以下简称“单向网闸”)提供两种管理方式,Web管理和串口管理,下面介绍登陆界面的操作和管理的菜单功能。
单向网闸使用了安全套接字层(SSL)协议,在单向网闸连接期间,所有的交换信息均被SSL加密,默认的访问端口为443。
2.1Web管理
单向网闸分A网管理和B网管理:
A网默认管理地址为:
B网默认管理地址为:
默认管理用户名:
admin;默认密码:
admin
默认日志用户名:
auditor;默认密码:
auditor
用户管理机地址设置与管理地址同一网段(10.0.0.*/24),用交叉线与单向网闸的A网管理口和B网管理口相连。
管理机网卡设置(10.0.0;如下图:
打开IE浏览器,输入(以A网为例)
配置管理员:
用户名admin;密码admin
日志管理员:
用户名auditor;密码auditor
如下图:
点击“登录”进入管理界面,如下图:
菜单区:
系统的所有功能菜单,不同的功能对应不同的菜单
配置区:
配置系统相关参数的区域
显示区:
显示系统在A网或B网管理页面
2.2串口管理
基于串口连接,提供命令行方式的基本配置管理和灾难恢复功能,提供了管理的安全、方便与灵活性。
可以提供恢复出厂设置、关闭远程管理等基本管理功能。
配置终端参数:
点击“确定”出现如一图:
输入用户名:
hawk;密码:
hawk,即可登陆串口管理网闸;提示符下输入“?
”或“help”回车,如下图:
串口命令表如下:
命令名称
描述
?
|help
帮助功能,列如串口下可以执行的所有命令
clear
清屏,清空屏幕显示信息
serviceweb
开启或关闭web管理服务
servicessh
开启或关闭ssh管理服务
configdefault
恢复出厂配置
passwd
修改串口口令
netcap
抓包工具
ping
Ping测试
webpass
此命令用来恢复Web管理员的密码
webcert
开启或关闭GUI证书校验功能
setip
配置管理口的IP地址
detect
检测闸另一端主机是否正常
showcpu
显示cpu信息
showmemory
显示内存信息
showdisk
显示存储器(cf卡、硬盘)使用信息
showproc
显示当前进程
showinterface
显示端口信息
showlink
显示连接信息
showgw
显示路由信息
showarp
显示arp表
showver
显示系统版本
quit|exit
退出串口管理
第三章网络配置
该模块主要配置系统的相关网络配置;网卡配置、网络地址、管理地址、热备地址、路由配置、DNS、IPMAC绑定等功能。
3.1网卡配置
用于配置系统的网络接口的属性,有net模式
net模式,网络接口作为独立网口使用,可以直接连接相关网络;
参数说明
参数名称
描述
备注
网络设备
选择配置的网络接口(net1,net2,net3,net4)
网络接口显示net1……与面板丝印一致
属性
可选net属性
网络接口作为独立网口使用,可以直接连接相关网络
确定
提交配置
3.2网络地址
用于配置系统网络接口的IP地址
参数说明
参数名称
描述
备注
网络设备
选择要配置IP地址的网络接口
可选接口包括有net模式的接口以及
IP地址
网络接口的IP地址
可在一个网络接口上配置多个同多段或不同网段的IP地址,不同接口可以配置同一网段的IP地址,每个接口最多支持配置255个地址
子网掩码
网络接口的子网掩码
删除
删除现有的IP地址配置
勾选相应网络接口后的删除选框,点击确定即可删除选定接口的IP地址
增加
增加新的网络地址
确定
提交配置
配置说明:
Ø增加网络地址,点击【增加】,选择网络设备net1,IP地址:
Ø修改网络地址,修改的IP地址为,点击【确定】,修改地址成功。
Ø删除网络地址,标记要删除的IP地址,点击【确定】,删除地址成功。
3.3管理地址
用于配置系统的管理地址
参数说明
参数名称
描述
备注
网络设备
默认为manage,不可更改
IP地址
管理接口的IP地址
管理地址不能与网络口地址为同一网段
子网掩码
管理接口的子网掩码
确定
提交配置
配置说明:
Ø修改管理地址,修改管理地址为10.0.0
注意:
管理地址不能与网络口地址为同一网段。
3.4路由配置
用于配置系统不同接口到不同网络的路由信息
参数说明
参数名称
描述
目标网段
网络要到达目标网段
有三种配置方式;
第一种为默认路由方式;第二种为网络地址;第三种为具体的主机地址
子网掩码
网络要到达目标网段的子网掩码
目标地址为主机地址时,子网掩码为4个255
网关地址
网络要到达目标网段的下一跳址
网关地址与接口设备地址必须同一网段。
接口设备
网络路由使用的接口设备
网关地址与接口设备地址必须同一网段。
删除
删除对应路由配置
增加
增加新的网络地址
确定
提交配置
配置说明:
Ø增加默认路由,点击【增加】,目标网段0.0.0,接口设备manage,点击【确定】,增加默认路由成功。
Ø增加目的网络的路由,点击【增加】,目标网段,接口设备net1,点击【确定】,增加路由成功。
Ø路由,标记要删除的到网段路由,点击【确定】,删除路由成功。
注意:
新增到达目的网段路由的网关地址与接口设备必须是同一网段,如不是路由无效。
3.5DNS配置
用于配置系统的DNS地址
参数说明
参数名称
描述
备注
IP地址
DNS地址,最多可添加3个DNS地址
删除
删除对应DNS配置
增加
增加新的DNS
确定
提交配置
配置说明:
Ø,点击【确定】,增加成功。
3.6IPMAC绑定
用户手工绑定相关机器的IP地址和MAC地址,防止IP地址和MAC地址非法篡改
参数说明
参数名称
描述
备注
默认允许
所有使用系统应用的机器都允许使用本系统,没有限制
配置默认允许,所有地将都将能够访问网闸,包括管理口和网络口
默认禁止
只有符合下面IP/MAC配置才可以使用本系统
IP地址
计算机的IP地址
IP/MAC绑定以后,只有两个完全对应,该用户方可访问,修改IP地址和MAC地址都会影响使用
MAC地址
计算机IP地址对应的MAC地址,格式:
00:
00:
00:
00:
00:
00
删除
删除配置
增加
增加配置
确定
提交配置
配置说明:
Ø新增绑定,点击【增加】,默认允许,IP地址10.0.0.245,MAC地址F0:
DE:
F1:
9B:
4B:
B8,点击【确定】,增加成功。
Ø删除绑定,标记要删除的10.0.0.245,点击【确定】,删除成功。
3.7IPMAC探测
系统自动探测相关机器的IP地址和MAC地址,选择绑定的机器IP和MAC,防止IP地址和MAC地址非法篡改。
参数说明
参数名称
描述
备注
默认允许
所有使用系统应用的机器都允许使用本系统,没有限制
选择默认允许,所有地址都将能够访问
默认禁止
只有符合下面IP/MAC配置才可以使用本系统
IP地址
计算机的IP地址
IP/MAC绑定以后,只有两个都符合是,该用户方可访问,修改IP地址和MAC地址都会影响使用
MAC地址
计算机IP地址对应的MAC地址,格式:
00:
00:
00:
00:
00:
00
绑定
绑定IP和对应的MAC地址
增加
增加配置
确定
提交配置
配置说明:
Ø绑定,标记要绑定的IP和对应MAC,点击【确定】,绑定成功
Ø修改绑定,修改10.0.0.245MAC为00:
0A:
E4:
3F:
A1:
38,在原245
第四章管理员配置
可以配置管理员源地址的访问控制,新增管理员组,新增管理员等参数设置
4.1访问控制
用于控制管理系统的管理机的源IP地址是否允许或禁止管理系统,使系统的管理是否是安全可控的。
参数说明
参数名称
描述
备注
默认允许
默认情况下允许所有有效的管理IP进行管理,规则可以配置禁止管理的IP
规则即可以配置允许管理的IP,也可以配置禁止管理的IP
默认禁止
默认禁止情况下禁止所有有效的管理IP进行管理,规则配置允许管理的
规则即可配置允许管理的,也可以配置禁止管理的
客户端地址
管理主机的IP地址
客户端端口
管理主机连接管理系统使用的端口
允许/禁止
控制管理主机是否可以管理系统
删除
删除配置
增加
增加配置
确定
提交配置
配置说明:
Ø新增访问控制,点击【增加】,默认禁止,客户端地址10.0.0allow
Ø修改访问控制,修改客户端地址为10.0.0.7,客户端端口any,deny,
Ø删除配置,标记要删除的10.0.0.7,点击【确定】,删除成功。
4.2管理员组配置
用于增加新的管理员组
参数说明
参数名称
描述
备注
用户组编码
标示用户组的编码,必须是3或4位有效数字
取值范围:
100到5000,不可以与默认组编码重复
用户组名称
用户组名称
可以使用字母和数字组合,长度小于20个字符
增加
增加配置
确定
提交配置
配置说明:
Ø新增配置,点击【增加】,用户组编码800,用户组名称“技术部”,点击【确定】,增加成功。
Ø删除配置,标记要删除的用户组编码800,点击【确定】,删除成功。
4.3组权限配置
设置不同管理员组拥有不同的管理系统的权限
点击“checker”出现如下图所示:
可以从中选取“checker”用户登陆后可以看到哪些配置项。
注意:
必须先选择主菜单,再选择相对应的子菜单才生效。
4.4管理员配置
根据不同用户使用系统的权限,配置不同用户的用户属于不同的用户组,可以新增加用户。
参数说明
参数名称
描述
备注
角色名称
选择不同的用户组
可选择的用户组包括默认用户组admin和auditor组以及自行增加的用户组
管理员账号
设置管理员
可以使用字母和数字组合,长度小于20个字符
管理员口令
设置管理员的口令
可以使用字母和数字组合,长度小于20个字符
删除
删除配置
增加
增加配置
确定
提交配置
配置说明:
Ø新增配置,点击【增加】,角色为“admin”,管理员账号test,管理员口令test,点击【确定】,增加成功。
管理账号只支持小写字母组合。
4.5登录管理
用于配置管理员登陆失败的次数、达到配置的登陆失败次数时的锁定时间界面无操作的超时时间等配置参数
参数说明
参数名称
描述
备注
使用管理员证书认证
可配置是否使用证书对通过WEB界面管理系统的终端进行认证
默认情况下不认证,如要使用证书认证,必须先再【安装证书】配置项中安装管理员证书,再来此处配置,重启设备后生效
允许登陆失败的次数
用管理员帐号对设备进行管理时,最多允许输入几次错误的密码
达到设定值时,管理员帐号即锁定
超时时间
管理界面的超时时间
登陆管理界面后,无操作的情况下,多长时间超时,超时后必须重新登陆管理界面
锁定时间
连续输入设定次数的错误密码后,管理员号锁定的时间
确定
提交配置
4.6安装证书
用于安装根证书和管理员证书,安装完成后,即可配置使用证书对管理终端进行认证
【安装根证书】
【步骤1】:
点击【第一步:
安装根证书】弹出下图:
【步骤2】:
点击【打开】弹出如下图:
提示安装证书;
【步骤3】:
点击【安装证书】弹出下图:
【步骤4】点击【下一步】弹出下图:
注:
证书存储目录有两咱选择,可以默认根据证书类型自动存储,也可自己指定证书存储目录。
【步骤5】点击【下一步】弹出下图:
【步骤6】点击【完成】弹出下图:
提示“导入成功”,至此根证书导入成功,点击“确定”
【安装管理员证书】
【步骤1】点击【第二步:
安装管理员证书】弹出下图:
【步骤2】:
点击【打开】弹出下图:
【步骤3】:
点击【下一步】弹出如下图:
【步骤4】:
点击【下一步】弹出如下图所示:
密码:
123456
【步骤5】:
点击【下一步】弹出如下图所示:
注:
证书存储目录有两咱选择,可以默认根据证书类型自动存储,也可自己指定证书存储目录。
【步骤6】:
点击【下一步】弹出如下图所示:
【步骤7】:
点击【完成】弹出如下图所示:
提示“管理员证书”安装成功,点击“确定”。
4.7更换证书
用于更新管理员证书
【更新证书】
【步骤1】点击【浏览】选择要更新的本地证书,如下图:
【步骤2】:
点击【打开】如下图:
【步骤3】:
点击【更新】,如下图:
界面提示证书更新成功。
4.8重启管理服务
用于重启WEB管理服务
点击“重新启动web管理程序”界面提示如下图:
重启“WEB服务”成功。
第五章文件交换
通过单向网闸提供客户端的方式,实现将文件从文件发送服务器下传输到A网,A网将文件摆渡到B网,B网再将文件发送到文件接收服务器下。
文件交换模块提供独立任务运行、提供访问控制,病毒检测等功能;提供病毒扫描功能、提供文件名和扩展名关键字过滤以及文件内容关键字过滤等过滤条件;提供源端复制、源端移动、源端删除三种传输方式。
【A网】:
【B网】:
5.1FTP交换
用于提供FTP模式的文件单向导入。
【A网】
5.1.1FTP服务器
主要配置A网闸对外提供ftp服务器所用监听端口。
参数说明
参数名称
描述
备注
监听端口
对外提供链接端口
默认为21
优先级
FTP文件任务和其他文件交换任务之间的优先级别
与B网任务一致
加冗
FTP文件单向导入发送的次数
与B网任务一致
存储空间上限
文件传输时在A网缓存的空间大小
文件记录上限
文件传输时在A网记录的文件个数限制
文件记录上限的范围是1-99999999
确定
确定配置参数
5.1.2用户配置
配置登录用户信息,主要包括用户名、用户密码、用户目录名。
以便外面通过客户端形式连接到网闸FTP服务器上。
参数说明
参数名称
描述
备注
用户名
配置外网登陆A网闸时所用的用户名
可以使用字母和数字组合,长度小于32个字符
密码
配置外网登陆A网闸时所用的用户密码
可以使用字母和数字组合,长度小于32个字符
用户目录名
任意定义,内部通过添加前缀添加到指定目录下
可以使用字母和数字组合,长度小于32个字符
删除
删除用户
增加
增加新的用户
确定
确定配置参数
5.1.3启动配置
用于配置FTP服务的启动、重启、停止等。
参数说明
参数名称
描述
备注
设置开机自启动
配置在系统启动时即启动
保存配置
保存系统启动时加载的选项
重启服务
在界面中重新启动该服务
启动服务
在界面中启动该服务
停止服务
在界面中停止该服务
【B网】
5.1.4基本配置
用于配置FTP文件的优先级、冗余等。
参数说明
参数名称
描述
备注
优先级
FTP文件任务和其他文件交换任务之间的优先级别
与A网任务一致
加冗
FTP文件单向导入发送的次数
与A网任务一致
确定
确定配置
5.1.5FTP客户端
用户配置FTP客户端。
参数说明
参数名称
描述
备注
任务号
无实际意义,主要限制配置多个相同策略
范围:
1-999
服务器地址
B网闸端真实FTP服务器地址
服务器端口
B网闸端真实FTP服务器的端口
默认开放21
用户名
B网闸登陆FTP服务器时用的用户名
要对FTP有读写权限
密码
B网闸登陆FTP服务器的密码
服务端目录
配置用户可以访问的FTP目录
本地目录
主要与服务端目录对应,本地目录与A网用户目录名对应
挂载状态
主要与服务端目录对应,本地目录与A网用户目录名对应
分两种情况:
已挂载和未挂载
删除
删除相应任务
增加
增加任务
确定
确定配置
5.1.6服务状态
判断B网FTP服务器的登陆状态。
5.2文件交换配置
【A网】
5.2.1添加任务
用于添加新的文件交换任务,配置文件交换的任务空间上限和文件记录上限等信息。
参数说明
参数名称
描述
备注
任务号
任务编号,以区分不同的文件交换任务,A、B网同一对任务任务号必须相同
任务号的取值范围为1-9999(含)
本地地址
本地的网络端口地址
端口
通信时的端口
端口号的范围为1024-65535
是否运行
任务是否运行
任务空间上限
文件传输时在A网缓存的空间大小
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 单向 安全 隔离 数据 自动 导入 系统 管理员 管理 守则 V8141