天御6000用户使用手册V1001

天御6000单向平安隔离系统用户使用手册北京和信网安科技2007年9月版权声明—北京和信网安科技版权所有，保存一切权利。— 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的局部或全部，并不得以任何形式传播。— 对于本手册中出现的其它商标，由各自的所有人拥有。— 由于产品版本升级或其它原因，本手册内容会不定期进行更新。除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。本手册之图片仅供参考，如有变动恕不另行通知。前言感谢您使用北京和信网安科技的天御6000单向平安隔离系统，您能成为我们的用户，是我们莫大的荣幸。为了使您尽快熟练地使用天御6000单向平安隔离系统，我们随机配备了内容详细的用户使用手册。天御6000单向平安隔离系统必须通过管理主机进行设置管理。这本手册能帮助您更好地管理设置。希望用户在遇到设置问题的时候能在手册里得到帮助。我们对用户使用手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、根本操作、软硬件使用方法以及平安考前须知等各方面的知识。在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。这本手册的读者对象是天御6000单向平安隔离系统的管理员。在安装单向平安隔离系统之前及过程中，为更好地应用与配置，同时防止可能出现的各类问题，请仔细阅读本手册。我们认为手册中所提供的信息是正确可靠的，请尽量防止人为的失误。平安使用考前须知本章列出的平安使用考前须知，请仔细阅读并在使用天御6000单向平安隔离系统过程中严格执行。这将有助于更好地使用和维护您的单向平安隔离系统。单向平安隔离系统应用环境为温度-5℃~45℃和湿度40%~80%；存储环境为温度-20℃采用交流220V电源。必须使用三芯带接地保护的电源插头和插座。良好的接地是您的单向平安隔离系统正常工作的重要保证。对于单向平安隔离系统来说，如果缺少接地保护线，在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害，但在接触时，可能会产生麻、痛等轻微触电的感觉。另外，如果您擅自更换标准电源线，可能会带来严重后果。特别提示：①遇到故障，请不要自行拆卸单向平安隔离系统，建议与我们的技术支持人员〔取得联系，以获得最正确解决方案。②SL-1000平安隔离系统的搬运应注意：⑴本平安隔离系统的搬运最好使用出厂原包装。搬运之前请清点好所有部件和随机附带的资料。⑵最好将各个部件和随机附带的资料按出厂时的包装复原。⑶SL-1000平安隔离系统不可带电搬运，任何零部件不可带电插拔，否那么可能损坏单向平安隔离系统。⑷将平安隔离系统打包完成后，用胶带封箱，即可搬运。单向平安隔离系统搬运过程中，请不要剧烈碰撞和跌摔，不可雨淋。搬运过程请远离强静电，强磁场环境。③正确标准的操作是平安的保证。目录TOC\o"1-3"\h\z第一章天御6000单向平安隔离系统简介61.系统概述62.技术特点63.技术参数7第二章硬件安装71.拆箱检查72.硬件安装83.设备接入拓扑图9第三章系统配置91.概述92.初始配置92.1超级终端配置92.2OUTCONSOLE口配置103.客户端配置软件的使用133.1客户端配置软件简介133.2登录客户端配置软件153.3系统管理153.4规那么管理233.5日志管理313.6用户管理35第四章应用拓扑介绍411.两个网络在不同网段的应用412.两个网络在同一网段的应用423.两个网络在混合模式下434.双机热备份典型应用44天御6000单向平安隔离系统简介系统概述天御6000单向平安隔离系统依照《全国电力二次系统平安防护总体方案》、国家经贸委【2002】第30号令《电网和电厂计算机监控系统及调度数据网络平安防护的规定》和《电力二次系统平安防护规定》〔电监会5号令〕由我公司自主开发研制的，满足中国电力行业需求的网络平安产品。适用于电力平安Ⅰ/Ⅱ区与平安Ⅲ/Ⅳ区之间的平安连接，可以文件单向传输、数据库单向同步、实时数据流单向播送等不同环境的应用。天御6000单向平安隔离系统获得产品资质证书如下：国家公安部销售许可证国家电力调度中心检测证书国家涉密信息系统产品检测证书国家信息平安认证证书防电磁辐射检测报告计算机软件著作权登记证书技术特点产品采用2+1结构设计，双主机系统+硬件隔离控制器。采用非INTEL指令集的网络处理器；硬件隔离控制器采用专用数据处理芯片，无操作系统，延时小于1毫秒；中间硬件隔离控制器通过电子开关实现平安隔离和单向控制，使生产控制大区与管理信息大区之间的隔离强度接近物理隔离；平安、固化的操作系统，采用嵌入式LINUX系统内核，内、外网关取消所有网络功能；内外网关TCP/IP协议栈被裁剪掉，内外网关之间采用私有通讯协议；应用层数据完全单向传输，TCP应答包禁止携带应用层数据；高可用性：支持双机容错，支持冗余电源，支持双链路。技术参数网络接口：4个RJ45〔内网、外网、热备、管理〕网络接口速率：10MBASE/100MBASE串行通信接口：2个RS-232〔RJ45接口〕贮存温度：-20℃～+55工作温度：-5℃～+45供电电源：220V±15%，50Hz，连续工作功耗：≤50W体积：标准19英寸，可上机柜；带宽：85Mbps平均无故障时间(MTBF)：≥50000小时(100%负荷)延时：小于1毫秒硬件安装本章包括天御6000单向平安隔离系统及随机附带的部件资料检查和硬件安装，这有助于您更好地维护天御6000单向平安隔离系统的硬件。关于硬件使用的其它考前须知请参考本手册目录之前的“平安使用考前须知〞局部。拆箱检查在翻开包装之后，请您先检查随机附带的电源线、用户使用手册等物品是否齐全，所有部件请对照装箱单进行检查，如有缺损请及时和销售人员联系。注：取出设备后，不要将外包装丢弃，在需要搬运时，请务必使用原包装，它是为您的单向平安隔离系统专门设计的包装，具备良好的防震功能。每当您需要维修效劳时也最好用原包装将单向平安隔离系统设备返回到北京和信网安科技的维修效劳部门。物品名称数量天御6000单向平安隔离系统1天御6000单向平安隔离系统的电源线1天御6000单向平安隔离系统的串口线1天御6000单向平安隔离系统用户使用手册1硬件安装天御6000单向平安隔离系统机箱符合工业机柜的标准，它的高度为1U，可以顺利的安装到标准机柜中去。设备共由4个RJ45〔内网、外网、热备、管理〕，2个RS-232〔RJ45接口〕构成。准备工作准备两条交叉网线和两台用于连接天御6000单向平安隔离系统的带网卡的计算机〔PC机〕。连接天御6000单向平安隔离系统和内、外网计算机〔天御6000单向平安隔离系统IN、OUT口相当于PC机的网卡，与交换机连接用直连线；与PC或防火墙连接用交叉线〕。1〕用交叉网线将内网计算机的RJ45端口连接天御6000单向平安隔离系统IN口。2〕用交叉网线将外网计算机的RJ45端口连接天御6000单向平安隔离系统OUT口。3〕用随机的串口配置线一端连接天御6000单向平安隔离系统OutConsole口，另一端连接管理计算机的串口，用交叉网线将管理计算机的RJ45端口连接天御6000单向平安隔离系统MNG口。4〕用随机附送的电源线将天御6000单向平安隔离系统同220V电源连接起来。安装过程完毕设备接入拓扑图系统配置概述配置天御6000单向平安隔离系统共由两局部组成，一是通过OUTCONSOLE口进行初始化配置〔设置管理IP〕，二是通过MNG口进行网络管理〔设置平安策略〕。使用隔离系统前，必须正确配置隔离系统，通过阅读本章，可以快速配置及管理天御6000单向平安隔离系统。考前须知：禁止天御6000单向平安隔离系统管理IP与内网或外网地址在同一个网段。初始配置天御6000平安隔离系统的配置首先通过串口命令行进行初始化配置〔串口命令行可以配置内容为：管理接口地址、用户认证方式等〕。串口配置时需串口线插入OUTCONSOLE口，进行配置，完成初始配置后，可通过客户端管理软件，进行策略配置。具体串口配置过程如下：注：用户进行串口配置时只需连接到OUTCONSOLE口，即可完成全部初始化配置；INCONSOLE口为系统调试口，用户无需配置。超级终端配置翻开管理机，开始—程序—附件—通讯—超级终端，翻开后首先复原为默认值，每秒位数设为115200，如下列图所示：OUTCONSOLE口配置第一步，登陆隔离系统OUTCONSOLE在提示符下输入系统管理员的用户名和密码，默认管理员/密码为：admin/111111。成功登陆后，屏幕显示为注：管理接口是隔离设备的管理地址，当用户需要用客户端管理软件管理和配置隔离设备时，需要在自己的电脑上安装客户端管理软件并将电脑的IP地址与管理接口配置到相同的网段。认证方式是用户通过客户端管理软件登录到隔离设备上时需要的认证步骤管理主机列表指定那些用户可以对隔离设备进行管理和配置。第二步，配置隔离系统如需要配置只需要在选择后面输入相应命令，如需要配置管理接口首先在选择后面输入M随即显示管理接口的IP地址如果需要配置新的管理地址在选择输入S后输入新的IP地址及掩码注：如果不是跨越三层交换或路由器等设备，默认网关可以不设。如需配置新的认证方式，请先输入K然后输入S最后输入0或1选择认证方式如需恢复默认主机列表，请先输入L然后输入S如需看设备版本信息，请输入V如需要修改密码，请输入P〔建议不要修改密码〕然后输入一遍原来的密码在输入两遍新设的密码。如需要重启系统，请输入R。如需要退出登录界面，请输入Q客户端配置软件的使用客户端配置软件简介管理软件可以同时管理、配置及监控一台或多台隔离设备，对于多台隔离设备可以进行分组管理，每台设备名称前面用不同颜色的灯显示设备状态，绿灯：设备正常运行〔网线正确连接〕；红灯：设备异常运行〔内、外网口网线接触不实或没有接〕；黄灯：设备正常待机〔两台设备采用双机热备连接时，待机设备状态显示灯〕。红灯状态时会有声音报警。后退前进后退前进隐藏/显示左边框翻开/关闭声音报警当点击某个设备名时，即为选中某个隔离设备然后在右框中输入用户名、密码后进入该隔离设备管理配置界面。登录客户端配置软件首先在用户管理机通过网线连接到设备管理口MNG，管理机上安装配置管理软件，安装完成后，翻开配置管理软件选择要配置的隔离设备，在登录页面输入默认用户名“admin〞、密码“111111〞。系统管理系统状态信息登录后进入设备的配置管理界面，首先看到系统状态页面具体显示该设备的系统状态信息。系统状态主要分两大局部：系统信息主要介绍单向隔离系统的系统信息包括：设备序列号(每个设备唯一的)、单向隔离系统版本号、授权状态〔如果是试用设备该状态显示为试用版〕、设备名称〔可更改〕、工作组名称〔可更改〕、运行时间。系统资源通过查看CPU、内存、外存使用率，可以看到设备硬件的实际使用情况。设备及工作组的名称设置为了对隔离设备的设备名称和工作组进行设置。需要进入名称设置页面中输入新的设备名称和工作组名称之后点击保存设置按钮生效。生效后可以进入系统状态页面观看更改后的效果。用户登录认证设置如果需要对认证方式进行更改需要进入认证设置页面，在认证方式框中选择需要的认证方式当认证方式选择用户名/密码时在登录界面用户只需输入用户名/密码。当认证方式选择用户名/密码+U盾时，在登录界面用户需要输入用户名/密码/PIN码。用户还可以在密码设置页面上的PIN码设置页面中更改PIN码。添加和删除管理主机管理主机可以在认证设置页面中设置，当需要添加新的管理主机时点击添加主机按钮，在主机设置页面中选择管理主机的范围可以是单个的、网段的、范围或所有的主机。选择好管理主机的范围后点击保存配置新添的主机就添加完成。注：选择管理主机范围时请注意看后面的例如当需要删除某些已添加了的管理主机时在该管理主机列表条目后面点击删除，在删除主机页面点击确定。规那么管理规那么设置规那么设置是整个配置管理界面中最重要功能，用来设置隔离设备两端的访问控制列表。注:对于源IP、虚拟源IP、目的IP、虚拟目的IP进行以下详细说明，天御6000单向隔离系统采用的是双向地址映射的工作机制，源IP、目的IP为隔离设备两端实际存在的设备的IP地址；虚拟源IP、虚拟目的IP分别为源IP、目的IP的虚拟地址。源IP地址发送数据到虚拟目的IP地址，经过隔离设备后，源IP转换为虚拟源IP，虚拟目的IP装换为真实的目的IP。当需要添加新的规那么时点击添加规那么按钮进入规那么添加页面。规那么添加页面中的传输方向、传输协议、源IP/端口、虚拟源IP/端口、目的IP/端口、虚拟目的IP/端口、是否需要记录日志、规那么状态等根据实际情况需要填写。设置完毕后点击保存设置按钮，进入规那么设置页面点击应用使新规那么生效。添加/编辑完规那么后，必须应用添加/编辑完规那么后，必须应用规那么设置页面中的规那么列表中状态栏中打勾的规那么条目是生效的规那么，如果需要观看规那么的具体信息时可以点击查看进入规那么属性页面如果需要更改规那么就在该规那么条目后面点击编辑进入规那么添加页面更改规那么。如果需要删除规那么就在该规那么条目后面点击删除，进入规那么删除页面点击确定按钮删除相对的规那么。在规那么设置页面点击应用使删除生效。流经隔离设备的数据包会依据规那么设置列表中的规那么优先级，由高到低依次检查每条策略。当有一条规那么匹配时，就不会在检查其它规那么了。当所有规那么均不匹配时，执行默认规那么。其中序号越小，优先级越高。当需要调整规那么优先级时可以点击排序升降按钮，然后点击应用生效。回应字节设置当用户需要调整回应字节时，进入回应字节设置页面选择回应字节数后点击保存设置按钮生效。日志管理选择要查看的日志用户可以在日志设置页面上根据需要选择需要自己所需要的日志，还可以设置该日志的大小〔大于1K小于5000K〕查看及下载日志内容选择好需要记录的日志后，可以在日志查询页面中查看相应日志信息。在日志查询页面中可以选择要查看的日志并且可以选择要查看那段时间的日志信息如果日志比拟重要还可以选择日志导出，将选定的日志信息导到用户的电脑上。用户管理添加或删除用户管理配置软件默认的用户名/密码：admin/111111〔不能删除〕，为了方便管理，用户可以在用户设置页面上为每一个需要使用的人员设置一个用户名/密码通过管理员日志可以看到谁在什么时间对系统作了哪些修改。也可以为了提高平安性添加一个平安等级高的用户名/密码。默认的用户名/密码最好作为超级用户，只在必要的情况下使用。添加新用户需要进入到用户添加页面中，填写新用户的用户名/用户真实姓名〔可以任意填写，只是