二代隔离装置配置作业任务指导书

1、隔离装置配置作业指导书前言为进一步规范隔离装置接入配置，实现标准化配置流程，完善信息系统的作业标准化，确保设备及信息网络隔离装置的安全、可 靠运行，特制订隔离装置配置作业指导书。目录 TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 适用范围1信息安全网络隔离装置介绍 1信息安全网络隔离装置的定义 1 HYPERLINK l bookmark11 o Current Document 信息安全网络隔离装置在网络中的位置 2 HYPERLINK l bookmark13 o Current Document 信息安全网络隔离装置访问控制

2、策略 2 HYPERLINK l bookmark15 o Current Document 作业准备3新设备准备工作3工器具4危险点分析及预控措施 5 HYPERLINK l bookmark17 o Current Document 隔离装置配置工作流程图 6 HYPERLINK l bookmark19 o Current Document 作业程序及作业标准 7 HYPERLINK l bookmark21 o Current Document 附件一：隔离装置安装手册 1.1.环境装备 1.1. HYPERLINK l bookmark25 o Current Document 操作

3、系统安装 1.2. HYPERLINK l bookmark27 o Current Document 操作系统安装前装备 12.查看装置MAC地址，申请凝思操作系统序列号 12安装操作系统其它需求 1.2. HYPERLINK l bookmark29 o Current Document 操作系统安装 1.2. HYPERLINK l bookmark31 o Current Document Sql代理系统安装 1.3.Sql代理安装前准备1.3.Sql代理系统安装14. HYPERLINK l bookmark33 o Current Document IP、路由配置偌 HYPERLI

4、NK l bookmark35 o Current Document IP地址配置14.IPV4 地址1.4.IPV6 地址1.5. HYPERLINK l bookmark37 o Current Document 路由配置1.6. HYPERLINK l bookmark39 o Current Document 修改ssh限制外网连接16.隔离装置配置 1.7.配置前信息准备 17. HYPERLINK l bookmark48 o Current Document 登录隔离装置1.7. HYPERLINK l bookmark50 o Current Document 配置SQL代理服

5、务18.配置应用系统 22. HYPERLINK l bookmark61 o Current Document 提供给外网应用信息配置 .23. HYPERLINK l bookmark63 o Current Document .应用系统配置24. HYPERLINK l bookmark65 o Current Document 修改应用配置24.添力口 jar 包24.修改环境变量24. HYPERLINK l bookmark67 o Current Document 配置 Weblogic 数据源 25.创建JDBC数据源 25.JDBC数据库驱动类型 26.其他属T生配置 26.

6、连接属性27.测试数据库连接 28.连接池设置（默认下不需要配置） 29. HYPERLINK l bookmark69 o Current Document .常见配置问题31.隔离装置配置作业指导书.适用范围本作业指导书适用于第二代信息网络隔离装置配置工作。.信息安全网络隔离装置介绍信息安全网络隔离装置的定义SQL通信均通过信息安全信息安全网络隔离装置是将可信任的信息内网和不可信任的信息外网进行隔离，因此必须保证信息内网和信息外网之间的 网络隔离装置进行，同时还必须保证信息安全网络隔离装置自身的安全性。信息安全网络隔离装置在网络中的位置普通网络系统连接示意图信息安全网络隔离装置访问控制策略

7、访问控制策略是信息安全网络隔离装置的基础，它可以按如下两种逻辑来制订:1、默认禁止：访问控制规则没有明确允许的都禁止访问;2、默认允许：访问控制规则没有明确禁止的都允许访问。对于网络通讯的控制，采用默认禁止的方式，即为配置相应通讯策略的协议，均无法通过装置。.作业准备新设备准备工作序号内容标准1机房环境.每台装置2U的机架位，插座（自带 2根国标电源线）.每台装置信息内外网网线各1本!;.部署隔图装置需要的内外网网线.显小*键盘2网络环境1.每台装置需申请信息内网 ip和信息外网ip各一个；.隔图装置位于防火墙后并确认防火墙支持长连接.开通18600（应用外网服务器到隔离装置外网）,18750

8、 （信息内网机到隔离装置内网），数据库端口如1521 （隔离装置内网到数据库、根据数据库确定端口号）3应用外网服务器.业务系统需使用隔离装置的模块部署完成.业务系统针对隔离装置进行过针对性测试和改造，通过最终兼容性测试.业务系统在隔离装置安装期间可进行服务器配置，具备重启时间窗口4内网可用Oraclellg 环境.内网数据库服务能够正常提供.明确数据库ip,端口，实例名，用户名、密码5内网隔离装置配置环境需提供一台内网电脑，可连接隔离装置。6人贝需求业务系统配置人员1名，甲方IT管理人比-名工器具序号名称规格/编号单位数量1内网隔离装置配置环境要求安装SecureCRT终端仿真软件、JDK6.

9、0及以上版本、隔离装置管理客户端台12其它工具材料网线、螺丝刀等套1危险点分析及预控措施序号危险点防范措施1修改ssh配置使隔离装置只能在内网使用ssh服务修改/etc/ssh/sshd_config文件找到 ListenAddress 0.0.0.0”行，将其改为ListenAddress 内网 IP”。4,隔离装置配置工作流程图测试直实数据库结束配矍外网应用设端上架、布线操作系统安装21代理应用服帝器外网应用配置信息序号工作内容操作方法及标准安全措施及注意事项5.作业程序及作业标准开工1工作票许可工作票负责人会同工作票许可人检查工作票上所列安全措施是否正确完备，经现场核查尢误后，与工作票许

10、可人办理工作票许可手续。2工作交底开工前工作负责人带领所有工作人员进入作业现场并在工作现场向所有工作 人员详细交待作业任务、安全措施和安全注意事项、设备状态及人员分工， 全体工作人员应明确作业范围、进度要求等内容，并在作业人员表格内分别 签名。设备硬件安装及连线3硬件安装设备安装到机柜，固定稳妥。连接电源线，接地线，网线。连接线检查，后尢脱落现象。检查时避免误碰线缆导致松脱注意双电源供电情况4设备上电运行检查设备应运行正常，无异常指示灯、无积尘、散热风扇运转正常。准备5状取配置信息获取隔离装置内网ip地址6登录设备配置内网机通过隔离装置管理客户端连接隔离装置进行配置可以使用笔记本通过网线直连隔

11、离装置进行配置Sql代理配置（详细配置参考附件一）7真实数据库真实数据库名称、真实数据库类型、最大连接数、IP、端口号、用户名、密码、数据库sid、数据库名称8虚拟数据库虚拟数据库名称、最大连接数、真实数据库名称、用户名、密码真实数据库名称：下拉框选择已录入的真实数据库名称9sql代理应用系统应用名称、工作模式工作模式：下拉框选择，默认学习模式10Sql代理应用服务器应用服务器名称、应用名称、应用服务器ip、虚拟数据库名称应用名称、虚拟数据库名称通过下拉框选择工作终结11保存配置，退出登录12拆除连接线拆除调试计算机与设备间连接线，包括控制线缆、网络线缆。13检查现场工作负责人最后检查现场，是

12、否有遗留的工具、材料。14工作票终结经值班员验收合格，并在操作记录卡上各方签字后，办理工作票终结手续。附件一：隔离装置安装手册1.环境装备序号SQL代理隔离装置安装划、境要求1机房环境每台装置2U的机架位，插座（自带 2根国标电源线）2每台装置信息内外网网线各1根3显示器键盘4网络环境每台装置需申请信息内网ip和信息外网ip各一个5隔离装置置于防火墙后并确认防火墙支持长连接需开18600（应用服务器到隔离装置外网）,18750 （信息内网机到隔离装置内网），1521 （根据数据库确定端口号，隔离装置内网到数据库）端口6应用服务器环境业务系统需使用隔离装置的模块部署完成，7业务系统针对隔离装置进

13、行过针对性测试和改造，通过最终兼容性测试8业务系统在隔离装置安装期间可进行服务器配置，具备重启时间窗口9内网可用Oracle11g 环境内网数据库服务能够正常提供，明确数据库ip,端口，实例名，用户名、密码10内网隔离装置配置环境需提供一台内网电脑，可连接隔离装置。11人贝需求业务系统配置人员1名，甲方IT管理人比-名12加电测试验收单装置安装完成，且运行正常后，需接口人于加电测试单上盖章或签字。2.操作系统安装操作系统安装前装备查看装置MAC地址，中请凝思操作系统序列号1）软件方法：用光盘引导进入凝思操作系统，系统用户为root ,密码为rocky。输入命令：ifconfig-a （中间有空

14、格），显示四个网卡信息，用 eth2的MAC地址来申请序列号。2）硬件方法：隔离装置有两块网卡，直接查看竖着的网卡，其上印制有硬件地址。安装操作系统其它需求1）显示器、键盘、鼠标（特殊情况下使用）2）外接移动光驱3） Linx （凝思）系统安装盘2.2操作系统安装1）在BIOS中设置光盘为第一启动盘，将凝思操作系统安装光盘放入光驱，引导进入操作系统,输入 localhost name 为 root , password 为 rocky 。2）登录到光盘系统，执行 setup命令，按Enter键启动安装程序。3）对操作系统进行磁盘分区，分为两个分区：分配交换区为：Newprimarysize :

15、 20480 BeginningType : 82交换分区分配完成后，使用向下键选择到free space上，再利用左右键选择new,对/进行分区：New primary size : 剩余空间一一Type : 83 一 Bootable:boot完成所有分区设置后，移动左右键到【 Write】，并按【Enter 键。提示： Are you sure you want write the partition table to disk?输入命令：yes(此步骤会出现write protect is off ,忽略)分区结果写入磁盘后，分区工作完成。移动左右键到【 Quit】并按【Enter 键

16、退出分区界面。4) 进入设置挂载点界面，执行： Edit/回车Accept 。5)设置分区文件系统类型：选择 ext3 输入序列号，之后一路执行【enter 下 去，直到选择系统的安装模式。选择系统安装模式，production 或是Development ,由具体要求决定。区别在于开发模式中包含开发工具和服务。在正式环境中安装“ production ”模式。7)安装完成后，执行reboot 。重启操作系统。Sql代理系统安装Sql代理安装前准备u盘Sql代理系统安装文件(new_deploy_6_30 )Sql代理系统安装将Sql代理系统安装文件(new_deploy_6_30 )拷贝到U

17、盘内，并插到隔离装置上。2)执彳f fdisk命令，查看优盘挂载的目录，并挂载优盘到mnt目录：#fdisk T#mount /dev/sdbx /mnt/通过U盘将sql代理安装文件(new_deploy_6_30 )拷贝到隔离装置系统拷贝部署文件new_deploy_6_30到/root目录下：#cp-rf new_deploy_6_30/ /root进入new_deploy _6_30/文件夹中执行”./setup 命令即可安装部署Sql代理服务，安装过程中会提示 do you want to bonding network cardY/N?”如果是首次部署 Sql代理系统需输入 Y来绑

18、定网卡。重新安装Sql代理系 统不需要再次绑定网卡输入n即可。c)安装完成后重启操作系统，重启后通过“ps -ef | grep sql ”来查看安装情况，如果有下图红色标记进程表示安装成功。1 ocalhostiVneu deploy lluelgi 6 30 * ps -ef I grep sqsgee 三*61 0 19:46 700 ：0G/sq 1/hin/sq 1 prrcmy_sur o 0 r.IjirnKyJ匚nnf/Iucil 4n4 3695 0 21.由 llylyre|j uq】IP、路由配置IP地址配置IPV4 地址每台SQL代理部署到网络环境中，需要内外网各提供一

19、个IP地址。操作步骤:打开/etc/bonding.conf 文件。修改内外网IP地址，bond0对应SQL代理隔离装置的内网 IP地址，bondl对应SQL 代理隔离装置的外网IP地址，并保存bonding 文件。执行命令：#vim /etc/bonding.conf对bonding.conf 文件中的IP地址进行设置，根据具体部署单位提供的子网掩码对netmask进行设置。4.12 IPV6 地址在任意目录下，使用root权限运彳T脚本ipv6-bond-set.sh ( 注：这个脚本只适用四网卡进行双绑定的情况)./ipv6-bond-set.sh/etc/sysconfig/netwo

20、rk-devices/下的 ifcfg-bond0 和 ifcfg-bond1分别进行配置IP即可vi /etc/sysconfig/network-devices/ifcfg-bond0vi /etc/sysconfig/network-devices/ifcfg-bond1重启系统即可(或执行/etc/ini.d/network restart)注：如果要单配IPV4的话只需要在配置IP时，在IPV6ADDR = 172: 16 : 0: 124行前加#号注释掉即可 例：#IPV6ADDR =172: 16 : 0: 124同理单配IPV6的情况则注释掉IPADDR = 172.16.0.

21、124 行即可 例:#IPADDR=172.16.0.124修改ssh使其支持IPV6:修改/etc/ssh/sshd_con巾g 文件 找到#ListenAddress 二将前边的#号去掉然后终端中/etc/init.d/sshd restart 应该就可以了4.2 路由配置SQL代理隔离装置的内网IP地址与数据库的IP地址、或SQL代理的外网IP地址与业务系统服务器的IP地址可能不在一个网段。这种情况下，需要添加路由规则。添加路由规则如下：add -net x.x.x.x（目的网段）mask x.x.x.x（子网掩码）gw x.x.x.x（网关）。具体操作：修改/sql_proxy/bin

22、 目录下的sp_route.sh 脚本。1）添加路由信息，每个网段对应一条信息。例如：内网网段为 192.168.0.100 ,提供的子网掩码为255.255.255.0 ,网关为192.168.0.254 ,则添加的信息为：route add-net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.2542）添加完之后，执行脚本，使设置的路由信息生效。#./sp_route.sh4.3 修改ssh限制外网连接修改ssh配置使隔离装置只能在内网使用ssh服务。修改 /etc/ssh/sshd_con巾g文件找到ListenAddress 0.0.0

23、.0 ”行，将其改为“ListenAddress 内网 IP”。例如隔离装置的内网IP 为 “ 192.168.0.221”，则修改结果为 “ ListenAddress192.168.0.221.隔离装置配置配置前信息准备业务系统向业务系统人员收集以下有关数据库信息：数据库ip地址、数据库类型、数据库端口、数据库用户名、数据库密码、数据库名称网络环境隔离装置内网到数据库之间如果有防火墙必须要在防火墙上开通数据库端口，并且支持长连接。否则隔离装置到数据库测试不通。登录隔离装置打开“sgcc管理客户端”，并配置“SQL代理服务器” （windows系统，并安装JDK1.6ip地址），端口填写以上

24、版本，用户名 /密码：admin/admin 。）先添加服务器节点再配置负载均衡服务器地址（即隔离装置内网“18750 ”，先保存再确定，通过下拉框选择配置的“ SQL代理服务器“节点再点击”确定“，弹出的对话框”确定“即可登录（无需配置”非结构化服务器“）如下图所示：（表示通过内网连接上了隔离装置服务器，可以通过管理客户端配置sql代理基本信息。）i oi七一 :lht M Mfclllq Tin. 3ixf4 ub muL v-3-pI I工配置SQL代理服务配置真实数据库a）配置“ SQL代理服务”菜单下的“真实数据库”。配置如下信息，配置完成后点击“确认“再提交（点击红色按钮提交以下所

25、有添加信息后务必提交）先选择测试真实数据库记录信息b）测试刚添加真实数据库信息是否连接数据库测试成功。（测试数据库连接按钮）“若出现xxxx:数据库测试成功”则表示该数据库连接信息通过隔离装置可以正常访问数据库。部分常用配置项说明如下:真实数据库名称：真实数据库的名称，只允许字母与数字的组合并以18600 ” 开头。真实数据库类型：数据库的类型，分为三种:SQLSERVER,ORACLE 和 DB2。最大连接数：数据库的最大连接数，通常500IP:数据库的IP地址，如 Oracle,DB2 等。端口：数据库的连接端口，如 Oracle默认的1521等。用户名：数据库的用户名。密码：数据库的密码

26、。数据库SID : SID信息（ORACLE数据库才有此信息，其他数据库不填）。数据库名称：数据库的名称即service_name注：真实数据库名称推荐命名规则如下如果应用只用数据库一个用户（user）实例为orcl ,真实数据库推荐用”18600_orcl ” ；如果应用要用数据库多个用户（user1,user2.）实例为orcl,真实数据库推荐用“18600_user1 、 18600_user2 ” 便于区分。Ip1:orcl1;ip2:orcl2配置虚拟数据库1tx MNKK1!S4： i 口 口部分常用配置项说明如下:虚拟数据库名称：虚拟数据库的名称，只允许字母与数字的组合。（提供给

27、外网应用）真实数据库名称：虚拟数据库所对应的真实数据库的名称。最大连接数：虚拟数据库的最大连接数。用户名：连接虚拟数据库所需的用户名。（提供给外网应用）密码：连接虚拟数据库所需要的密码。（提供给外网应用）注：虚拟数据库名称推荐命名规则如下根据上面输入的真实数据库名称并在前加入v_ “就可以了，如 v_18600_orcl ”或“v_18600_user1 ” 等。配置应用系统配置SQL代理应用系统部分常用配置项说明如下:应用名称：应用系统的名称，只允许字母与数字的组合。（提供给外网应用）工作模式：分为学习和过滤模式。默认“学习”模式。注意：为了防止用户的误操作导致对工作模式不必要的修改，用户如

28、想更改工作模式，需点击更改激活工作模式的选择栏。应用服务器列表：一个应用所对应的多个应用服务器。（系统自动显示，不需选择和填写）注：应用名称推荐命名规则如下以 app_ 开头后面跟上系统名称拼音缩写，如电力交易推荐使用“ app_dljy ”，统一车辆 推荐使用“app_tycl配置SQL代理应用服务器部分常用配置项说明如下：应用服务器名称：应用服务器的名称（一条真实数据库信息对应一个虚拟数据库信息对应一个应用服务器名称。）应用名称：选择应用服务器所对应的应用系统的名称，多个应用服务器可以选择同一个应用。应用服务器IP：应用服务器（如weblogic）的IP地址，默认填写“ 127.0.0.1

29、 虚拟数据库名称：选择应用系统所对应的虚拟数据库名称。注：应用服务器名称推荐命名规则如下以“appSvr_ 后面跟上系统名称拼音缩写，如电力交易推荐使用“ appSvr_dljy ”，统一车辆推荐使用“appSvr_tycl ”提供给外网应用信息配置需要提供给外网应用配置的文件有：隔离装置外网ip,隔离装置端口（ 18600 ）,虚拟数据(app_xxx)库名称（v_18600_xxx ）,虚拟数据库用户名，虚拟数据库密码，应用名称由以上信息拼成url为:jdbc:nds: 隔离装置ip1:18600,隔离装置2:18600/虚拟数据库名称?appname= 应用名称如果有2台或多台ip都要填

30、写在url中，中间用逗号隔开即可。.应用系统配置修改应用配置添加jar包X |SqlProxyCfg_Jdbc .jar 将驱动jar包存放到weblogic 安装的要目录。如该目录下“OracleMiddlewareuser_projectsdomainsbase_domainlib注：要根据自己系统具体weblogic安装路径存放jar包修改环境变量至U以下目录中 “OracleMiddlewareuser_projectsdomainsbase_domainbin” 找至U“startWebLogic.cmd ( startWebLogic.sh )”,在 set CLASSPATH 后

31、添加驱动 jar 包路径,windows 系统修改如下:钟 iKVA CF二工dJTXVI现。FT卬苗行391013Z ?ec= %3.T_tD:acle3cHe-ireViiser j:-rdjecc = Sd1 r.kfcri-ialn111: - 3工1巴 g二二 JLjJ |kmcxjjfpj.ru-LJGL34 IT 1FMEXICT 1CS_KDDE I * rti* M， |) dn* (h.39 mt 讨二立 MSCZJIY MCM=Dovnl iEBLan.-Linux系统修改如下：（注意 $DOMAIN_HOME ”路径，如没有配置该路径可将驱动jar包绝对路径添加到后面)

32、” JV10PTI(3-4 (3AVE_JNrA_OFTTON3 L 57gg 3AVE JIONS* s*Loa CiS SfiTH=w SA_CL3S PATHp, 102 C.ASSFATFr-nS (SATE CLASSPATH : E (D0MI?3 HOME / lib/SqlEroHyCfg JcIog2：-12CJ1 ntr-OMi Wv Hw 0ibi=：c)数据库驱动程序(Database Driver):选择倒数第四个 Oracle s Driver(Thin) forService connections; Versions9.0.1and later6.2.3其他属性

33、配置7. F?.4MH 34 JCA2 事wimif)默认下一步6.2.4连接属性X lr-曲王 1H王，nv占5R数据库名称(Database Name):管理客户端配置的虚拟数据库名称主机名(Host Name):隔离装置外网ip地址端口 (Port) : 18600数据库用户名(Database User Name):管理客户端配置虚拟数据库的用户名口令(Password):管理客户端配置虚拟数据库的密码6.2.5测试数据库连接a)驱动程序名称：sgcc.nds.jdbc.driver.NdsDriverURL ： jdbc:nds:隔离装置外网ip1:18600,隔离装置ip2:186

34、00/ 虚拟数据库名称？appname= 应用系统名称“如下：c) jdbc:nds:/170.20.8.223:18600,170.20.8.224:18600/v_18600_tjuvmp?appname=uvmpI鸵即MEH金直时 ”h Iibliifi-甘金2物心.#|$4| vpva H f c*. M.E5U 七 0 4J$imlW 如鼻乳 fMT 更胃雷g =.a)初始容量(Initial capacity) : 30b)最大容量(Maximum capacity) : 2147483647Capacity increment :连接池增长的幅度Inactive connecti

35、on timeout :不活动连接的超时时间(若连接在设置的时间内没有活动，则系统将其放入连接池)通过以上 Weblogic 步骤的配置，可以通过 Weblogic 数据源测试配置是否成功，如果提示数据源配置成功则表示外网应用到隔离装置，隔离装置到数据库之间是互通的。配置完毕。7.常见配置问题a）应用服务器异常错误信息：IP address or application name is invalid, please check it。解决方法：需要将url中的应用名称替换为实际配置的应用程序名称。b）网络异常错误信息：java.sql.SQLException:网络通信异常。解决方法：使用正确的ip地址或端口号。c）虚拟数据库名称不正