信息安全网络隔离装置培训v

主要内容一、隔离装置总体介绍二、隔离装置相关知识及典型应用三、隔离装置实施的要求四、隔离装置的配置使用五、演示与交流1当前1页，总共98页。隔离装置总体介绍目标实现总体情况隔离装置的功能、特点隔离装置的设计、组成双网隔离的背景、架构2当前2页，总共98页。信息网双网隔离背景3当前3页，总共98页。双网隔离总体结构互联网接入区生产控制大区

信息内网调度生产外网交互内网应用内网办公终端外网上网终端管理信息大区

信息外网电力市场交易(内)招投标(内)电力营销(内)其他业务（内）电力市场交易(外)招投标(外)电力营销(外)其他业务（外）正向隔离装置反向隔离装置公司互联网出口外部网站

调度数据网内部门户

逻辑强隔离设备互联网防火墙单向隔离4当前4页，总共98页。安全防护效果综述外网内网外网内网部署前部署后攻击类型病毒、恶意代码、人为人为攻击层次链路、网络、应用应用攻击来源整个外网特定应用服务器攻击目标整个外网特定数据库服务器攻击效果窃密－>完全控制数据库内容非法访问当前5页，总共98页。目标实现总体情况6装置定位及目标安全隔离装置部署在信息内外网之间实现双网逻辑强隔离阻断外网对内网的攻击在满足外网应用对内网数据库正常合法访问的同时，对数据库服务器进行保护。总体情况可靠性安全性当前6页，总共98页。设计目标实现情况7设计目标

具体要求实现

网络层访问控制基于MAC/IP/TCP/PORT的安全访问控制√数据库访问控制对Oracle数据库进行协议解析√应用层SQL访问控制通过策略，对系统表、应用表恶意操作进行防护，对SQL攻击进行防护√安全审计网络层，传输层，应用层安全审计√设计目标实现情况总体情况可靠性安全性当前7页，总共98页。设计目标实现情况8设计目标

具体要求实现

自身安全性采用国产安全linux操作系统，有效抵御从网络发起对装置的攻击行为，具备完善的安全审计功能√双机热备透明工作模式下双机的快速切换；√硬件体系研祥工控机√电磁兼容性电科院、南自院、武高院EMC三级√设计目标实现情况总体情况可靠性安全性当前8页，总共98页。设计目标实现情况9研发历程总体情况可靠性安全性评审、测试、运行验证、奥运保障时间点事件2007年10月研发项目启动2007年12月原型实现2008年3月国网总部应用系统上线试运行奥运城市开始推广部署2008年4月通过国网组织的专家评审2008年5月V3版本开始定型，进一步增强安全性、可靠性。组织测试组开始进行大量测试2008年9月通过国网信通公司组织的业务应用适应性测试通过总参安全性测试，V3.0版本正式定型当前9页，总共98页。功能安全性分析项目隔离装置防火墙操作系统级安全性无TCP/IP协议栈无root用户，采用四权分立国产安全加固Linux操作系统多级专用安全机制控制有TCP/IP协议栈有root用户内部裁剪Linux网络层访问控制基于MAC/IP/协议/端口的安全访问控制基于MAC/IP/协议/端口的安全访问控制数据库TNS访问控制TNS协议解析SQL语句还原X对比目前防火墙产品总体情况可靠性安全性当前10页，总共98页。功能安全性分析对比目前防火墙产品项目隔离装置防火墙应用层SQL访问控制对系统表的保护；对应用表恶意操作的防护；对SQL注入等攻击的防护；X安全审计网络层，传输层，应用层网络层，传输层功能实现网络及传输层的报文过滤，以及数据库访问的应用层协议解析，对应用层数据内容－SQL语句进行分析、检测与过滤，阻断恶意SQL访问，保护数据库及数据内容的安全。实现网络及传输层的报文过滤，无法实现数据库访问的应用层协议解析；总体情况可靠性安全性当前11页，总共98页。操作系统安全性分析操作系统安全性安全隔离装置OS通用防火墙OS通过总参测评中心测试的安全级别达到B1级的国产安全Linux系统通用Linux已稳定运行在调度中心、军队等场合裁剪掉TCP/IP协议栈，无IP地址具有IP地址无ROOT用户，四权分立，无法提升权限有ROOT用户具备强制运行控制，强制能力控制，访问控制列表等专有特性X总体情况可靠性安全性当前12页，总共98页。硬件可靠性分析13通过对选定的研祥工控机分别到电科院、南自院、武高所作EMC测试，选定安全隔离装置的硬件达到EMC的三级要求;硬件平均无故障时间（MTBF）达到行业最高级3级30000小时；四个千兆网络接口;支持watchdog;采用冗余电源支持热插拔;电源故障蜂鸣报警;BIOS可编程控制，保证网络资源优先；加装风扇，增强散热。总体情况可靠性安全性硬件可靠性当前13页，总共98页。操作系统可靠性分析14在国调中心稳定应用。在军队及政府稳定应用。软关机功能，确保系统能长期稳定运行；支持软件watchdog功能。总体情况可靠性安全性操作系统可靠性当前14页，总共98页。设备整体可靠性分析15总体情况可靠性安全性整体可靠性当前15页，总共98页。装置介绍装置名称：

SGI-NDS100信息安全网络隔离装置装置外观和布置位置：16当前16页，总共98页。隔离装置外观、接口面板指示灯LCD显示屏背板（网口、电源）装置外观介绍当前17页，总共98页。隔离装置的特点双机热备安全软硬件结构安全综合防护应用层协议解析SQL过滤功能采用经过安全部门认证的国产安全操作系统和国产工业级千兆硬件，系统整体的安全性和处理性能强。日志审计系统支持对数据报文的源、目的地址、协议及相应的源、目的端口、MAC地址等属性进行组合隔离装置支持双机热备功能，一旦当主用设备出现故障时，备机可以以承担起主机的工作，以避免重要业务数据的中断。对常用的Oralce数据库协议进行解析与数据流还原，只容许特定的TNS协议报文穿透装置，进一步从应用协议保证内网数据库安全对SQL语言的操作指令进行细粒度控制，阻断所有注入、攻击等非法行为，保护关键的库和数据表等隔离装置能依据系统要求记录敏感通信事件和管理事件。支持采用网络方式将日志发送到综合告警平台。信息安全隔离装置18当前18页，总共98页。装置其他特点采用Intel

P4CPU,主频2.8G,能够满足大流量下的高性能的需求;采用CF卡固化的操作系统和文件系统,增加系统的物理可靠性;整个系统硬件结构满足电磁兼容特性三级要求;安全操作系统剔除不可靠的通用TCP/IP协议栈；安全隔离装置本身无需网络地址即可工作；本身能在一定程度上防御常见的网络攻击行为，因此设备本身能对来自外部网络的攻击有一定免疫能力。安全隔离装置核心程序直接对网卡进行操作,系统无协议栈,无须配置任何地址,对用户完全透明,无须对用户网络拓扑做任何改动

19当前19页，总共98页。装置防护设计思想综合数据防护体系链路层IP层

TCP层

TNS/TDS应用层SQL语法

SQL语义

SQL行为

20当前20页，总共98页。程序功能模块21当前21页，总共98页。装置内主要文件介绍类型文件名说明程序文件/sg186/dbkeeper隔离装置主程序/sg186/config配置文件接收端/sg186/rule_checkSQL安全策略检查工具/sg186/msgSender消息发送程序/sg186/statPumper主程序状态查看/sg186/daemonDbkeeper主程序的监控程序/sg186/daemonConfig配置程序的监控程序配置文件/etc/policy.conf通信策略配置文件/etc/default.polSQL安全策略/etc/dbkeeper.ini功能配置文件22当前22页，总共98页。主要内容一、隔离装置总体介绍二、隔离装置相关知识及典型应用三、隔离装置实施的要求四、隔离装置的配置使用五、演示与交流23当前23页，总共98页。装置相关知识和典型应用信息内外网数据交互的原则和方法单向隔离装置的配合使用数据库版本、驱动、协议典型业务系统的改造方案24当前24页，总共98页。常见数据库的网络传输协议25当前25页，总共98页。Oracle数据库相关本装置支持的版本号：9i、10g支持的连接驱动Thin数据库的维护工具软件一般用OCI，这些软件无法通过装置维护内网数据库。常用工具（采用的是Thin驱动）：26当前26页，总共98页。Oracle数据库的两种驱动对比OCI1、通过客户端的Net8驱动连接数据库，采用平台独立二进制代码；2、安全上，Net8协议Oracle公司自己掌握，不公开；3、性能上，Oracle公司对其进行优化，效率较高。OCI和Thin驱动对比THIN1、socket直接连接数据库，便于解析；2、安全上，Thin驱动可解析，对其传输的数据内容可以掌握，可保证其传输数据的安全；3、在营销、招投标等高流量和高压力环境下测试能够完成需求。27当前27页，总共98页。SQL基本语句创建表格：createtabletablename(column1datatype,column2datatype,column3datatype);数据查询：selectcolumn1[,column2,etc]fromtablename

[wherecondition];添加、更新、删除记录：insertintotablename(first_column,...last_column)values(first_value,...last_value);updatetablenamesetcolumnname=newvalue[,nextcolumn=newvalue2...]wherecolumnnameOPERATORvalue[and|orcolumnOPERATORvalue];deletefromtablenamewherecolumnnameOPERATORvalue[and|orcolumnOPERATORvalue];删除表格：droptabletablename;28当前28页，总共98页。内外网数据交互原则和方法由外向内（反向）传输数据信息安全网络隔离装置手工拷贝专用存储介质采用反向隔离装置国网公司要求所有电力公司的信息网内外网要隔离，若要数据交互必须采用隔离装置（正反向、信息安全隔离装置）当前29页，总共98页。内外网数据交互原则和方法由内向外（正向）传输数据信息安全网络隔离装置手工拷贝专用存储介质采用正向隔离装置国网公司要求所有电力公司的信息网内外网要隔离，若要数据交互必须采用隔离装置（正反向、信息安全隔离装置）当前30页，总共98页。单向隔离装置的配合使用配合使用原因31当前31页，总共98页。单向隔离装置的配合使用配合使用说明32当前32页，总共98页。某网省招投标改造方案简图33当前33页，总共98页。网省与总部改造后总体框图34当前34页，总共98页。某网省电力交易改造方案简图35当前35页，总共98页。电力交易系统的业务改造将数据申报和信息发布服务迁移到Web服务器中；外网中的Web服务器不直接与后台数据库连接，数据通过内网的应用服务器与数据库交互；在内网中保留改造前的Web服务器，为内网提供数据申报和信息发布服务；外网应用与Web服务的部署策略，根据各单位市场成员接入数目以及电力市场具体业务开展情况进行。36当前36页，总共98页。信息网改造后的网络拓扑37当前37页，总共98页。主要内容一、隔离装置总体介绍二、隔离装置相关知识及典型应用三、隔离装置实施的要求四、隔离装置的配置使用五、演示与交流38当前38页，总共98页。隔离装置实施的要求隔离装置对业务系统的要求实施的网络和配合要求双网隔离实施流程隔离装置实施计划隔离装置实施网络环境配置简例39当前39页，总共98页。实施时间安排40当前40页，总共98页。实施分工41当前41页，总共98页。隔离装置对业务系统的要求42当前42页，总共98页。隔离装置对业务系统的要求注意事项：隔离装置初始默认情况下对含有以下特征的SQL语句采取阻断处理：1＝1，2＝2等；1<>1,2<>2等；1<2等；‘A’<>‘A’等；含有对数据库系统表操作的SQL语句将被视为越权访问，默认情况下被装置阻断。对所有表的DROP、CREATE、TRUNCATE等操作的SQL语句将被视为非法访问，默认情况下被装置阻断43当前43页，总共98页。隔离装置对业务系统的要求已通过上线测试的SG186系统招投标系统（普华）电力市场交易系统（南瑞、科东）营销系统（朗新、东软、普华）44当前44页，总共98页。隔离装置对网络环境的要求45当前45页，总共98页。隔离装置对网络环境的要求注意事项：信息内外网互联交换机，接隔离装置接口需在同一网段之内。在信息内外网交换机中定义静态路由且保证从应用服务器发起的请求和从数据库返回的数据路由一致。46当前46页，总共98页。隔离装置的实施流程47当前47页，总共98页。隔离装置的实施流程前期准备48当前48页，总共98页。隔离装置的实施流程前期准备49当前49页，总共98页。隔离装置的实施流程方案编写50当前50页，总共98页。隔离装置的实施流程方案编写51当前51页，总共98页。隔离装置的实施流程装置上线52当前52页，总共98页。隔离装置的实施流程装置上线53当前53页，总共98页。隔离装置的实施流程收尾工作54当前54页，总共98页。资料业务系统现状、业务系统服务器情况（型号、操作系统、IP、MAC），业务系统访问关系图，业务系统采用Oracle情况（版本、驱动、访问方式）各个业务系统的内外网访问需求，是否有除数据库访问外的其它方式等；网络拓扑图、互联交换机配置情况等。隔离装置的实施配合要求55当前55页，总共98页。人员组织人员一名、网络管理员一名、各业务系统实施单位配合人员一名。设备系统改造所需设备环境隔离装置接入所需环境隔离装置的实施配合要求56当前56页，总共98页。隔离装置实施网络配置简例57当前57页，总共98页。图示IP均为实验室测试环境58当前58页，总共98页。隔离装置交换机配置上联交换机（信息外网交换机相关配置）下联交换机（信息内网交换机相关配置）59当前59页，总共98页。<!E=DBGLclass#=10object#=20version=1.0!><DB:DEVICE>@NAMEIPNIC#root169.254.200.200ETH2</DB:DEVICE><SERVICE:ORACLE_SERVICE>@IDSIDUSERPASSWORDIPMAC#dbroutewebrootrootroot192.168.207.25400:00:00:00:00:00#dbserverwebdb1rootroot192.168.207.100:00:00:00:00:00</SERVICE:ORACLE_SERVICE><APPLICATION:APP_SERVER>@IDHOSTNAMEIPPROTOCOLPORTMAC#webrouteepm01192.168.200.1off152100:00:00:00:00:00#webappepm02192.168.207.242off152100:00:00:00:00:00</APPLICATION:APP_SERVER><POLICY:COMMON>@IDRULESERVICEAPPLICATION#R_policytest01dbroutewebroute#policytest01dbserverwebapp</POLICY:COMMON><DB:RULE>@RULE_NAMEMODEPROLTOCOLSRC_IPSRC_PORTDIRDES_IPDES_PORTCONTENT_MSG_SID</DB:RULE>隔离装置配置60当前60页，总共98页。主要内容一、隔离装置总体介绍二、隔离装置相关知识及典型应用三、隔离装置实施的要求四、隔离装置的配置使用五、演示与交流61当前61页，总共98页。隔离装置基本配置

隔离装置日志管理

隔离装置物理连接隔离装置的配置使用隔离装置操作系统当前62页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器运行环境硬件要求：Pentium200、64M内存、硬盘4GB以上的自由空间、网口。软件要求：SGI-NDS100信息安全网络隔离装置管理系统各部件可以运行在简体中文Windowsxp（ServicePack2或以上版本，并安装InternetExplorer6.0或以上版本）、Windows2003之上。当前63页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器安装双击管理工具安装程序，安装界面如图示当前64页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器连线

使用网线一端连接台式计算机的网口（或笔记本电脑的网口），另一端连接本信息安全网络隔离装置eth2的网口。当前65页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器登录

sg186为默认的超级用户，口令为111111设备设置ip为与管理工具通讯的设备ip地址。（设备出厂默认）当前66页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器主界面

左边为信息项，点击后右边为对应的项内容输入对应的值时，用鼠标点击对应得网格，在网格里输入内容在网格上鼠标右键会出现新建、复制、删除两项功能，当前67页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器点击请求，或恢复按钮

这两项功能分别为从设备或本地电脑里读出配置信息，在网格里显现。要修改的话，只要点击该项内容，在焦点上输入数据就可。点击设置或备份按钮这两项功能分别为从管理工具里把配置信息写入设备或备份到本地的电脑里。点击rule恢复或rule备份

这两项功能分别是把rule数据写入设备或备份设备rule数据到本地电脑。当前68页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器设备信息设备名：此隔离设备的名称标识。设备管理ip：分配给设备管理网口的ip设备管理网口：与管理工具通讯时设备连接的网口，默认是eth2（背面板标识eth2的网口）。当前69页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器数据库信息Id：数据库的名称标识，用于策略关联。Ip：该数据库服务器网卡的ip地址，必须填真实数据库的ip。Mac：根据实际部署网络情况，配置数据库服务器网卡的mac地址，或三层交换机的mac地址，默认00：00：00：00：00：00：为此mac地址和ip地址不绑定，需绑定就填真实mac地址。Port：通讯时的网络端口另：Sid、User、Pass为扩展接口，目前没用。当前70页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器应用介绍Id：运行应用服务器的名称标识，用于策略关联。Hostname：服务器的机器名，，此为扩展接口，目前没用。Protocol：SQL安全标签检查功能，on为开启此功能，其他默认关闭。Ip：该应用服务器网卡的ip地址，必须填真实应用服务器的ip。Mac：根据实际部署网络情况，配置应用服务器网卡的mac地址或三层交换机的mac地址，默认00：00：00：00：00：00：为此mac地址和ip地址不绑定，需绑定就填真实mac地址。当前71页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器规则管理只填写规则过滤信息在ip地址输入时，双击时，出现ip地址控件，输入ip地址，单击时可以输入文本，长度20。当前72页，总共98页。隔离装置基本配置规则配置详解

当前73页，总共98页。隔离装置基本配置RULE_NAME：规则名称目前不支持中文MODE：规则模式alert-检测到符合规则内容所对应的数据包时，对该包执行丢弃操作pass-检测到符合规则内容所对应的数据包时，对该包执行放过操作PROLTOCOL：协议应用服务器到后台数据库通信所采用的协议，目前采用TCP当前74页，总共98页。隔离装置基本配置SRC_IP：源IP地址SRC_PORT：源端口DIR：要检测的数据流方向（“->”）DES_PORT：目的端口（“any”）CONTENT_MSG_SID:过滤规则内容content:过滤的内容sid：该条规则的id号,从4001后递增，每条规则的id号不同rev:规则处理模块的版本号，当前为值1当前75页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器策略介绍Id：策略的名称标识。Rule：该名称用来指示本条规则是否支持oci方式的驱动。本字段内容为“OCI”的情况下将支持OCI驱动，否则为不支持。Server:对应数据库信息中的id名称，大小写要一致。Application：对应应用信息中的id名称，大小写要一致。当前76页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器策略介绍双机默认不配置的情况下，将默认为主机。

双机可以通过如下方式进行配置：在策略关联中，将用于互联地址间通讯的关联的id名称更改为router，在其通过其rule属性进行配置。如果rule配置为backup，则为备机。如果配置为single，则为单机模式。如果以上两者皆不是，则为默认的主机模式。当前77页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器用户与口令管理添加用户：点击添加用户按钮，弹出图2窗体输入必要的信息后，点击确定按钮，新的用户就会出现在用户窗体里了。删除用户：在用户姓名里点击要删除的名称，在点击删除用户按钮，此用户就被删除掉了。注意：只有sg186用户有管理的权限。当前78页，总共98页。隔离装置基本配置

网络安全隔离设备管理工具—GUI管理器用户与口令管理只允许更改当前登录的用户的口令，更改前需正确输入原口令，在输入两次新设定的口令。点击确定后推出就可以。当前79页，总共98页。隔离装置基本配置

隔离装置日志管理

隔离装置物理连接主要内容隔离装置操作系统当前80页，总共98页。隔离装置日志管理通过管理工具日志管理

日志浏览界面当前81页，总共98页。隔离装置日志管理通过管理工具日志管理

支持的相关操作读取日志：可对日志db.log、errorskernel、、errors.1

及kernel.1进行读取操作日志范围查询：可对选中日志进行相关条数范围限定后查询备份相关日志：可对选中日志以txt格式导出到本地电脑中当前82页，总共98页。隔离装置日志管理通过CRT等软件日志管理以dbkeeper用户身份登陆设备以命令行形式对/var/log下日志文件进行读取操作以sysadmin用户身份对日志进行导出操作当前83页，总共98页。隔离装置基本配置

隔离装置日志管理

隔离装置物理连接主要内容隔离装置操作系统当前84页，总共98页。隔离装置物理连接信息安全隔离装置典型拓扑结构当前85页，总共98页。隔离装置外观、接口面板指示灯LCD显示屏背板（网口、电源）装置外观介绍当前86页，总共98页。隔离装置物理连接面板指示灯说明名称说明POWER

电源指示灯HDD磁盘指示灯

Eth0

Link灯亮表明内部网络是连通的闪烁表明有数据接收或发送

,speed灯表示网卡的连接速度Eth1Link灯亮表明外部网络是连通的闪烁表明有数据接收或发送，speed灯表示网卡的连接速度。Eth2Link灯亮表明配置网络是连通的闪烁表明有数据接收或发送，speed灯表示网卡的连接速度。Eth3Link灯亮表明高可用网络是连通的闪烁表明有数据接收或发送，speed灯表示网卡的连接速度。当前87页，总共98页。隔离装置物理连接背板说明名称说明I/O电源开关Console

串口，用来连接管理终端ETH0连接内部网络的以太网口

ETH1连接外部网络的以太网口ETH2连接配置网络的以太网口

ETH3连接高可用网络的以太网口

当前88页，总共98页。隔离装置物理连接接入过程首先确定要安全隔离的内外两个网络（或计算机主机）将SGI-NDS100信息安全网络隔离装置的eth1以太网口连接至外部网络的Hub/Switch；如果外部网络只是一台计算机主机，那么就将SGI-NDS100信息安全网络隔离装