网神secsis3600安全隔离与信息交换系统产品安装调试指导手册

网神安全产品安装调试指导手册SecSIS3600安全隔离与信息交换系统目 录网神SECSIS3600安全隔离与信息交换系统产品常用功能描述和使用说明错误未定义书签。网神SECSIS3600安全隔离与信息交换系统产品常见应用场景说明错误!未定义书签。数据库安全同步解决方案 安全邮件收发解决方案 错误!未定义书签。安全文件交换解决方案 错误!未定义书签。安全FTP访问解决方案 错误!未定义书签。安全扫瞄解决方案 错误!未定义书签。预备工作 错误!未定义书签。了解实际用户网络环境或主机环境 错误!未定义书签。网络环境 错误!未定义书签。主机环境 错误!未定义书签。了解实际用户应用及安全需求 错误!未定义书签。业务模式 错误!未定义书签。安全需求 错误!未定义书签。开箱、加电 错误!未定义书签。设备开箱 错误!未定义书签。设备加电 错误!未定义书签。安全留意事项 错误!未定义书签。治理网神SecSIS3600安全隔离与信息交换系统 错误!未定义书签。WEB界面方式 错误!未定义书签。命令行方式 错误!未定义书签。其它方式 错误!未定义书签。如何申请许可证和激活网神SecSIS3600安全隔离与信息交换系统产品功能模块.错误!未定义书签。申请License 错误!未定义书签。导入License 错误!未定义书签。初级“假设法”手把手教您如何快速安装部署网闸产品 错误!未定义书签。网闸网络配置 错误!未定义书签。中级“假设法”手把手教您如何快速调试网闸产品的根本功能 错误!未定义书签。安全扫瞄 错误!未定义书签。客户需求 错误!未定义书签。网络配置 错误!未定义书签。网闸具体配置 错误!未定义书签。安全FTP 错误!未定义书签。客户需求 错误!未定义书签。网络配置 错误!未定义书签。网闸具体配置 错误!未定义书签。FTP访问 错误!未定义书签。客户需求 错误!未定义书签。网络配置 错误!未定义书签。网闸具体配置 错误!未定义书签。数据库访问 错误!未定义书签。客户需求 错误!未定义书签。网络配置 错误!未定义书签。网闸具体配置 错误!未定义书签。邮件访问 错误!未定义书签。客户需求 错误!未定义书签。网络配置 错误!未定义书签。网闸具体配置 错误!未定义书签。定制模块 错误!未定义书签。客户需求 错误!未定义书签。网络配置 错误!未定义书签。网闸具体配置 错误!未定义书签。常见问题答疑 错误未定义书签。 网神SecSIS3600安全隔离与信息交换系统产品常用功能描述和使用说明网御神州SecSIS3600安全隔离与信息交换系统依据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：网络配置：完成设备网络参数的根本配置以及高可用性〔双机负载〕的配置文件交换：实现将网闸一侧的文件安全可控的摆渡到另外一侧安全扫瞄：在内外网隔离环境下保证内网用户安全扫瞄外网资源。安全FTP：实现对FTP效劳器的安全防护FTP访问：在内外网隔离环境下实现安全的FTP访问。数件访问：在内外网隔离环境下实现安全的邮件访问。视频模块：在内外网隔离环境下实现安全的视频效劳器的访问。定制模块：在内外网隔离环境下实现对全部的基于TCP/UDP效劳的访问。工具箱：系统许可证、配置治理、系统时间、修改口令，版本等信息的治理。 网神SecSIS3600安全隔离与信息交换系统产品常见应用场景说明网神SecSIS3600安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境，可应用在不同的涉密网络之间；同一涉密网络的不同安全域之间；资源共享。数据库安全同步解决方案墙的保护直接侵入后台数据库系统，严峻威逼到业务的正常开展。SecSIS3600Web对外效劳的要求又供给了安全保障。这种方式强化了应用层的安全掌握，可有效防止TCP/IP数据包穿越网络到达核心数据库效劳器，大大增加了系统的安全性，为电子政务的有效开展供给了牢靠的保证。、SQLServer、MySQL、DB2于触发器和快照两种方式的增量数据复制，可实现异类数据库间的数据同步。系统供给C/C++编程接口，可以便利的与其它系统的集成。安全邮件收发解决方案外网邮件效劳器转发的方式，安全又得不到保证。SecSIS3600Internet件等进展过滤，从而使内网用户可以在内网安全地收发邮件，保证安全的邮件处理。安全文件交换解决方案在网络安全隔离的前提下定时进展文件交换。系统还支持交换方向、文件类型的指定，可对被交换文件进展内容检查、查病毒等处理，只允许或不允许包含相应内容的文件通过网闸传递。防抵赖的作用。FTPFTPFTPFTPFTP安全扫瞄解决方案为了内网用户能够安全的访问互联网资源，网神SecSIS3600安全隔离与信息交换系对互联网资源正常、安全的进展访问。预备工作网闸的部署与用户的业务系统息息相关，在网闸工程实施时应特别留意，切勿造成用效、稳定，与用户业务安全结合。了解实际用户网络环境或主机环境网络环境用户整个网络的拓扑构造要做到心中有图和手中有图，网络拓扑键性设备、设备连接方式等信息。部署位置IP明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。主机环境效劳器进展了解，以确保承受正确的网闸模块与之对应。效劳器系统平台信息IP数据库信息软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。了解实际用户应用及安全需求业务模式保网闸功能与用户应用的无缝结合。应用相关信息业务流程分析通过对业务流程的分析，可以确定哪些功能是必需要实现，从而使得我们可以以更适宜的方式来实现所需要的功能效劳。业务软件模式C/S承受的实现方式。安全需求访问用户限制对于不同的治理员赐予不同的权限。访问客户端限制应用层过滤开箱、加电设备开箱好记录。翻开网闸包装后，确认包装箱内是否包含以下各物品以及状态是否良好：配件盒：电源线×1×1网 软盘/CD-ROM光盘〔包括网闸相关信息文件和手册〕SecSIS3600装运纸箱。设备加电开箱检验确认设备外观无特别后，可对设备进展加电检验。加电后请留意观看网闸前3电源指示灯：显示网闸供电是否正常。交换指示灯：显示网闸交换卡工作状况。1~2作状况下为快速闪耀状态。〔可按电源模块上红色按钮取消报警〕安全留意事项SecSIS3600系统过程中严格执行。这将有助于更好地使用和维护安全隔离与信息交换系统。0℃~70℃，20%~95%。220V必需使用三芯带接地保护的电源插头和插座。良好的接地是您的安全隔离与信息交换在机箱的金属背板上可能会消灭感应电压。虽然不会对人体造成损害，但在接触时，可能会产生麻、痛等稍微触电的感觉。另外，假设您擅自更换标准电源线，可能会带来严峻后果。治理网神SecSIS3600安全隔离与信息交换系统网神SecSIS3600安全隔离与信息交换系统供给两种治理方式，Web治理和串口治理，下面介绍登陆界面的操作和治理的菜单功能。网神SecSIS3600安全隔离与信息交换系统使用了安全套接层〔SSL〕协议，在网神安全隔离与信息交换系统连接期间，全部的交换信息均被SSL加密，默认的访问端口为443。WEB内网默认治理地址为：外网默认治理地址为：默认治理用户名：admin默认密码：admin默认日志用户名：auditor默认密码：auditor用户治理机地址设置与治理地址同一网段10.0.0.*/24口和外网治理口相连。治理机网卡设置(/翻开IE扫瞄器，输入 为例)配置治理员：用户名admin，密码admin日志治理员：用户名auditor，密码auditor进入治理界面配置区：配置系统相关参数的区域显示区：显示系统在内网或外网治理页面命令行方式全、便利与敏捷性。可以供给恢复出厂设置、关闭远程治理等根本治理功能。配置终端参数：登陆用户名为hawk，口令hawk。命令表如下：|helpClear

命令名称

描 述帮助功能，列表全部串口命令清屏Serviceweb<open|close>Servicessh<open|close>ConfigdefaultPasswdNetcap<interface>[ip][port]Ping<host>DetectShowcpuShowmemoryShowdiskShowprocShowinterfaceShowlinkShowgwShowarpShowverQuit|exit

开启和关闭web开启和关闭ssh恢复出厂配置修改串口口令抓包工具Ping检测对方主机cpu信息显示内存信息显示存储器信息显示当前进程显示端口信息显示连接信息显示路由信息arp显示系统版本退出其它方式3600治理方式。如何申请许可证和激活网神SecSIS3600统产品功能模块申请License可使用。激活前请记录产品硬件序列号并填写《license★留意：此处请务必分清内外网硬件序列号，避开混淆。至网御神州客户效劳部并通知。联系人：翟玉晶 ： 邮件地址导入License发许可证请参照猎取硬件序列号，并发送给厂商进展申请。1.LicenseIE8，请将安全级别设置降低，否则会消灭找不到上传文件现象。初级“假设法”手把手教您如何快速安装部署网闸产品网闸网络配置们以以下图的网络环境为根底进展网闸的网络根本设置。如上图所示，网闸分别与、网段相连接，内、外网口IPIP误后，即可在网闸上进展操作配置。以内网为例。登录网闸WEB治理界面，点击网络配置：网卡配置，选择网络设备属性，此处选择net，确定。击确定保存。外网IP设置与内网设置方法全都。添加路由设置。本例中需要分别为网闸内、外网添加路由。配置如以下图所示：外网路由设置与内网设置方法全都WEB试工具测试网闸在网络中的连通性。中级“假设法”手把手教您如何快速调试网闸产品的根本功能安全扫瞄说明：改，假设与已有网络冲突可以在治理界面上进展更改。治理主机与网闸的内外网治理端口相连接，分别以10.0.0，用户名和密码为：admin。客户需求内网主机能够通过网闸访问互联网，承受代理效劳器模式，即需要在客户端DNS内网主机能够通过网闸访问互联网，承受透亮模式，即需在客户端主机添加DNS网络配置内网网络端口配置修改地址为：内网治理端口地址外网网络端口配置外网网关配置外网治理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一配置DNS内网模块配置安全扫瞄→客户端→根本设置，进展安全扫瞄效劳设置。选择代理方式，选择侦听地址：，端口8080，其他选项默认。外网模块配置

点击启动效劳按钮DNS，DNS〔DNS〕安全扫瞄→根本设置→启动设置，选择启动效劳按钮。内网客户端主机配置IE/局域网连接，添加代理效劳器地址〔8080〕需求二配置DNS内网模块配置安全扫瞄→客户端→根本配置，选择透亮方式，本地地址，效劳端口80。内网允许DNS恳求通过定制模块→UDP访问→UDP客户端→添加任务，地址端口53任务号1 务号可以任意，但肯定要与外网模块的一样〕外网模块配置DNSDNS→UDPUDP但肯定要与内网模块的一样〕内网客户端主机配置1.PC“TCP/IP”属性设置如下：默 认 网 关 ： ， DNS 服 务 器 ：〔把代理去掉〕FTP说明：改，假设与已有网络冲突可以在治理界面上进展更改。治理主机与网闸的内外网治理端口相连接，分别以10.0.0，用户名和密码为：admin。FTPFTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号，就可以通过代理方式，透亮方式，混合模式访问内网或外FTPLeapFTP、FlashFXPFTP和数据操作。在百兆网络的测试环境中，FTPMbpsFTPIP客户需求FTP器，并且内网用户对FTPftp1FTPFTP2FTPFTPFTP器的正常访问及操作网络配置内网网络端口配置修改地址为：内网治理端口地址外网网络端口配置修改地址为：外网网关配置此处网关为：外网治理端口地址网闸具体配置代理模式配置通过允许效劳器掌握用户访问的目的地址通过重定向隐蔽真实效劳器地址在网闸外网启用FTP效劳内网用户可通过DOSFTPFTP访问及操作。内网模块配置安全ftp21，其它参数项默认不修改即可。FTPFTP访问。通过配置允许的效劳器可以进展目的地址掌握。ftp—客户端—允许的效劳器，添加允许用户访问的效劳器地址即可。法访问了。源地址访问掌握通过配置客户端的访问掌握规章，可以对使用安全ftp，例如只允许这个网段的用户使用该模块。配置如下：是制止访问的；添加允许访问的客户端地址段，格式如下；客户端端口为任意；动作为允许；重定向配置如下：FTP—客户端—重定向；添加虚拟效劳器地址和真实效劳器地址；地址；外网模块配置FTPFTP内网客户端主机访问FTP效劳器设置命令行方式一内网用户主机〔通过命令行方式访问FTPftp命令行方式二内网用户主机〔通过命令行方式访问FTP数据库1.ftp:21213.使用FTP1.添加代理效劳器运行快速连接效劳器：代理效劳器：安全ftp代理模式〔上一步添加的代理效劳器名称〕FlashFXP透亮模式配置1FTPFTP2FTP3DOSFTPFTP置代理效劳器。4、内网客户端机器的网关指向网闸，或者路由可达。透亮模式下，外网效劳器地址不能与网闸内网地址在同一网段。客户端机器的网关指向网闸〔，直接访问外网效劳器。如以下图所示混合模式配置1FTPFTP2FTPFTPFTP器的正常访问及操作。4ftp5FTP说明：改，假设与已有网络冲突可以在治理界面上进展更改。治理主机与网闸的内外网治理端口相连接，分别以10.0.0，用户名和密码为：admin。FTPFTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号，就可以通过代理方式，透亮方式，混合模式访问内网或外FTPLeapFTP、FlashFXPFTP和数据操作。在百兆网络的测试环境中，FTPMbpsFTPIP客户需求FTPFTP上传、下载等操作正常运行。有限数量的FTP效劳器，通过独立任务实现一对一ftp访问。FTPftp网络配置内网网络端口配置修改地址为：内网治理端口地址外网网络端口配置外网网关配置外网治理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一内网模块配置FTP配置监听地址，选择网络口地址为监听地址，该地址为用户访问的地址；数据通道，选则与监听地址一样的地址；配置运行标记，可以指定该任务是否运行；源地址访问掌握ftp允许这个网段的用户使用该模块，配置如下：点击“FTP选择要进展掌握的任务；选择默认制止，除以下配置策略外的其他任何地址都是制止访问的；客户端端口为任意；动作为允许；外网模块配置FTP配置效劳器地址，填写效劳器地址，该地址为真实效劳器的地址；效劳器端口，效劳器端口，该端口为真是效劳端口；地址绑定，配置数据通过网闸后的源地址，默认使用网闸网络口地址；需求二：透亮模式配置1FTP2FTP3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP效劳器的设置代理效劳器。4、内网客户端机器的网关指向网闸，或者路由可达。透亮模式下，外网效劳器地址不能与网闸内网地址在同一网段。any默认界面如下：修改目的地址为需要用户透亮访问的地址段，无明确地址段可以填any；点击确定提交；FTP数据库访问说明：改，假设与已有网络冲突可以在治理界面上进展更改。治理主机与网闸的内外网治理端口相连接，分别以10.0.0，用户名和密码为：admin。客户需求据库访问效劳登录到外网的数据库效劳器需求一：内网主机能够通过网闸访问外网的Oracle数据库效劳器需求二：内网主机能够通过网闸访问外网的SQLServer数据库效劳器需求三：内网主机能够通过网闸访问外网的多台SQLServer数据库效劳器网络配置内网网络端口配置修改地址为：内网治理端口地址外网网络端口配置外网网关配置外网治理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一配置1Oracle2Oracle内网模块配置Oracle数据库类型：oracle本地地址： 数据通道IP： 口：1521任务号：11IP据库。外网模块配置Oracle数据库访问→数据库效劳端→添加任务效劳器地址： 任务号：11注：此任务号可以任意，但肯定要与内网模块的一样内网客户端主机配置通过数据库客户端软件成功访问外网数据库需求二配置1SQLServer2SQLServer3、在网闸内外网配置表中添加的用户内网模块配置SQLServer数据库客户端任务数数据库类型：SQLServer本地地址： 数据通道IP： 口：1433任务号：12注：此任务号可以任意，但肯定要与外网模块的一样外网模块配置SQLServer数据库效劳端任务数效劳器地址： 本地端口： 1433任务号： 12注：此任务号可以任意，但肯定要与内网模块的一样内网客户端主机配置SQLServersa(网闸内网上建用户〕〔〕可访问到外网数据库〔〕SQLServer内网主机〔〕成功登录到外网数据库〔〕上可进展对数据库相关操作注：在界面上显示的SQLServer数据库IP为网闸内网端口地址〔数据库代理〕需求三配置1SQLServer2SQLServer3、内网配置访问掌握内网模块配置SQLServer数据库客户端任务数数据库类型：SQLServer本地地址： ：1433任务号：13注：此任务号可以任意，但肯定要与外网模块的一样配置访问掌握策略点击访问掌握，列表当前配置的数据库访问任务点击访问配置，更改原来目的地址为any外网模块配置SQLServer数据库效劳端任务数any本地端口： 1433任务号： 13注：此任务号可以任意，但肯定要与内网模块的一样内网客户端主机配置SQLServer登录名：sa〕〔，网关指向网闸〕可访问到外网数据库〔〕SQLServer内网主机〔〕成功登录到外网数据库〔〕上可进展对数据库相关操作。邮件访问说明：改，假设与已有网络冲突可以在治理界面上进展更改。310.0.0，用户名和密码为：admin。客户需求内网主机使用客户端软件通过网闸访问互联网邮件效劳器。内网做为客户端，外网做为效劳器端，内网用户使用foxmailSMTPPOP3IP。在内外网闸添加相关任务后，内网用户可使用外网邮件效劳器进展邮件的收发。网络配置内网网络端口配置修改地址为：内网治理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置外网网关配置外网治理端口地址如与网络接口不冲突，可以为默认。DNS注：此处指定公网DNS效劳器；网闸具体配置需求配置1SMTPPOP32、在网闸外网添加与内网客户端对应的效劳端任务〔任务号需全都〕3、在内网主机上运行邮件客户端软件如Foxmail，并进展相关配置，实现对外网邮件效劳的访问内网模块配置SMTP本地地址： 任务号：30注：此任务号可以任意，但肯定要与外网模块的一样POP3POP3本地地址： 任务号：31注：此任务号可以任意，但肯定要与外网模块的一样外网模块配置smtp效劳器地址： ：25任务号：30注：此任务号可以任意，但肯定要与内网模块的一样pop3效劳器地址： ：110任务号：31内网客户端主机配置内网主机使用Foxmail邮件客户端软件〔POP3〕：wangsj的根本配置注：邮件效劳器地址要添加网闸内网端口地址内网主机使用外网邮件效劳器接发邮件测试目的：内网主机用户wangsj通过外网邮件效劳器〔〕，发送邮件给内网主机用户wangsj1测试结果：用户wangsj邮件发送成功，用户wangsj1邮件接收成功定制模块说明：改，假设与已有网络冲突可以在治理界面上进展更改。治理主机与网闸的内外网治理端口相连接，分别以10.0.0，用户名和密码为：admin。〔半角〕隔开。客户需求TCP需求一：WEB效劳器扫瞄IE8000WEB需求二：端口透亮〔网闸通过一条任务开放一段端口〕40000:50000状况。需求三：地址透亮〔客户端程序直接访问效劳器的地址及端口〕0webweb效劳器〔〕8000web需求四：地址透亮+端口透亮〔客户端程序直接访问效劳器的地址及一段端口〕外网客户端应用程序直接访问内网的〔〕40000:50000效劳端较多的状况。网络配置修改地址为：内网治理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：外网治理端口地址网闸具体配置需求一：webIE8000WEB内网模块配置TCPTCP效劳器地址：效劳器端口：8000 任务号：1注：此任务号范围为1-1000，但肯定要与外网客户端任务的一样。外网模块配置→TCPTCP本地监听地址：监听端口：8000 任务号：1注：此任务号范围为1-1999，但肯定要与内网效劳端任务号的一样。40000:50000内网模块配置TCPTCP效劳器地址：效劳器端口：40000:50000 任务号：2注：效劳器端口不支持输入一段端口，