天融信安全隔离与信息交换系统用户手册20130311

天融信安全隔离与信息交换系统用户手册天融信安全隔离与信息交换系统用户手册天融信安全隔离与信息交换系统—用户手册天融信TOPSEC(R)北京市海淀区上地东路1号华控大厦100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。版权所有不得翻印(C)2013天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。TOPSEC(R)天融信公司信息反馈目目录关于本手册 1一安装 21.1隔离设备接口说明 21.2软件安装 21.2.1控制台安装硬件环境 21.2.2控制台安装软件环境 21.2.3控制台软件安装 2二开始使用 22.1启动 22.1.1启动 32.1.2关闭 32.1.3运行控制台 32.2登录/注销/修改密码 42.2.1启动 42.2.2退出 52.2.3修改密码 52.3功能区域介绍 5三用户管理 63.1说明 63.2用户分级 93.3权限分立 93.3设置说明 93.3.1添加用户 93.3.2修改用户 93.3.2删除用户 10四对象管理 104.1说明 104.2对象 104.2对象设置说明 114.2.1添加对象 114.2.2修改对象 114.2.3删除对象 124.3分组 124.4分组设置说明 134.4.1添加分组 134.4.2修改分组 134.4.3删除分组 13五应用管理 135.1说明 135.2服务 135.2服务设置说明 155.2.1添加服务 155.2.2修改服务 165.2.3删除服务 175.3应用 175.4应用设置说明 185.4.1添加应用 185.4.2修改应用 185.4.3删除应用 185.4.4导出应用 185.4.5导入应用 19六内容管理 206.1说明 206.2URL组 216.2.1添加URL组 226.2.2修改URL组 236.2.2删除URL组 236.3内容过滤 236.4内容过滤设置说明 246.4.1添加内容过滤 246.4.2修改内容过滤 246.4.2删除内容过滤 24七策略管理 247.1说明 247.2时间模式 257.3时间模式设置说明 257.3.1添加时间模式 267.3.2修改时间模式 267.3.3删除时间模式 267.4系统模板 267.5系统模板设置说明 277.5.1添加系统模板 287.5.2修改系统模板 287.5.3删除系统模板 287.5.4导出系统模板 297.5.5导入系统模板 297.6系统规则 307.7系统规则设置说明 317.7.1添加系统规则 317.7.2修改系统规则 317.7.3删除系统规则 32八设备管理 328.1说明 328.2基本属性 328.3基本属性设置说明 348.3.1设备工作状态设置 348.3.2日志设置 348.3.3时间设置 348.3.3设备密码设置 348.3.4设备工作模式 348.4网络接口 358.5网络接口设置 368.5.1网络接口IP设置 378.5.2代理对应列表设置 378.5.3路由/网关设置 388.6设备状态 398.7安全通道 408.7安全通道设置说明 418.7.1添加安全通道 418.7.2修改安全通道 428.7.3删除安全通道 428.8设备规则 428.9设备规则设置说明 438.9.1读取设备规则 438.9.2删除设备规则 438.9.3应用设备规则 448.10设备操作 44九事件管理 449.1系统事件 449.2系统事件操作说明 459.2.1查询系统事件 459.2.2导出系统事件 469.2.3删除系统事件 469.3成功事件 469.4成功事件操作说明 479.4.1查询成功事件 479.4.2导出成功事件 489.4.3删除成功事件 489.5报警事件 489.6报警事件操作说明 499.6.1查询报警事件 499.6.2导出报警事件 509.6.3删除报警事件 509.7事件报告 509.8事件报告操作说明 51十功能菜单说明 51十一配置实例 52实例一透明代理模式下，HTTP访问 52实例二代理模式下，HTTP访问 61实例三代理模式下，多个HTTP访问 65实例四路由模式下，HTTP访问 68十二常用应用协议内部命令简介 70十三常见问题解答 73关于本手册首先感谢使用天融信安全隔离与信息交换系统！天融信安全隔离与信息交换系统是由北京天融信公司自主研发的、具有自主知识版权的隔离设备。该系统对网络通信进行完整采集、深层解析、应用重建，在网络间采用专用非TCP/IP协议进行数据交换，同时，本系统对网络通信的主体、客体进行综合的认证，确保通信安全可靠，从而实现在保证内外网络相互隔离的基础上进行适度的、可靠的数据交换。此外，天融信安全隔离与信息交换系统能够集成传统安全技术，进一步增强系统的防护能力。通过使用天融信安全隔离与信息交换系统，用户可建立一套完整的、具有高精访问控制能力的、可防范各种安全风险的安全防护措施，确保用户信息系统安全、可靠地运行。本手册以TR-71166为例，详细介绍了天融信安全隔离与信息交换系统的使用方法，用户可参考本手册，对天融信安全隔离与信息交换系统进行各种管理操作。注：本手册仅适用于以下型号设备的管理操作：TR-7355、TR-8333、TR-8377、TR-71144、TR-71166、TR-71288、TR-81144、TR-81288、TR-81366。一安装1.1隔离设备接口说明天融信安全隔离与信息交换系统标注EXT0、EXT1…的为外网接口，连接到外网；标注INT0、INT1…的为内网接口，连接到内网；其中在内网接口中标记为MAN的接口为控制端口，在外网接口中标记为HA的接口为热备接口。1.2软件安装1.2.1控制台安装硬件环境586或更高型号的PC计算机或其兼容机；128M或更高容量的内存；光盘驱动器；100M以上剩余硬盘空间。1.2.2控制台安装软件环境管理控制台安装包支持以下操作系统：WindowsXP、Windows2003Server、Windows7；推荐使用WindowsXP。1.2.3控制台软件安装请运行安装光盘下的安装包文件，依默认配置即可安装控制台软件。二开始使用2.1启动在正确安装天融信安全隔离与信息交换系统并确保各种线缆正确连接之后，您可开始使用天融信安全隔离与信息交换系统。2.1.1启动打开隔离设备背板上的电源开关，隔离设备随即启动，并加载上次关闭时的安全策略。如果您首次使用天融信安全隔离与信息交换系统，请参照本手册运行控制台配置符合您需要的安全策略以保护您的信息系统。2.1.2关闭关闭隔离设备背板上的电源开关，隔离设备随即停止运行。2.1.3运行控制台本系统的所有管理、配置、监控工作均在控制台完成，双击桌面“TopRules-控制台”图标即可运行控制台程序，您也可通过点击“开始/程序/天融信安全隔离与信息交换系统控制台/TopRules-控制台”运行控制台程序。第一次运行时需要选择与隔离系统设备连接线的网卡，如下图所示：选中通信的网卡后，按下“设置”按钮，程序会关闭，再次运行系统就会出现正常的登陆界面；注：当程序与当前计算机的驱动冲突时，按下“设置”按钮会报错，这时只需将程序安装目录下的补丁包文件“WinPcap_4_1_2.exe”安装即可；2.2登录/注销/修改密码2.2.1启动天融信安全隔离与信息交换系统是多用户系统，用户在对隔离设备进行操作之前，必须使用正确的用户凭据（用户名、密码）登录控制台，登录界面及说明如下：用户名称：本系统用于区分用户身份的唯一标识，由具备用户管理权限的用户（如superman、superlog等）创建并维护。superman为系统默认配置管理员帐号，superlog为系统默认日志审计管理员帐号。用户密码：系统用户的访问口令，用户在正确登录之后可修改自身用户的口令。登录设备：天融信安全隔离与信息交换系统控制台可管理多台隔离设备，用户可选择被管理的设备。选择通讯网卡：用户选定管理控制台与隔离设备通讯的网卡。设备名称：用户在选择“登录设备”复选框后，在“设备名称”下拉框中出现网络中可以的隔离设备名称。设备密码：每部隔离设备都设有访问密码，只有输入正确密码才能够对该隔离设备进行操作。注：superman与superlog的初始密码为“talent”，隔离设备初始密码为“talent”。2.2.2退出用户在完成管理工作后，可参照如下方法退出控制台：点击“系统”菜单，在下拉菜单中选择“系统退出”命令，系统弹出对话框确认退出，点击“是”则退出，点击“否”则返回；2.2.3修改密码用户可维护自己的访问密码，方法如下：点击“系统”菜单，在下拉菜单中选择“修改密码”命令，系统弹出如下密码修改界面，输入当前密码及新密码，点击”确定”按钮即可完成用户密码修改。2.3功能区域介绍系统所有的业务功能均通过左侧的功能列表进行选择，然后在右侧的主功能操作区域进行相应的操作。针对系统的数据操作可以通过系统功能菜单来进行。系统的基本信息状态，可以通过控制台下方的状态栏查看。三用户管理3.1说明天融信安全隔离与信息交换系统是多用户系统。具备用户管理权限的用户可完成系统用户的维护工作。用户管理界面如下：如图，具备用户管理权限的用户可在用户管理界面中完成系统用户的添加、删除及修改操作。下表为天融信安全隔离与信息交换系统用户的相关说明：属性说明用户名系统用户的登录名称。密码系统用户的登录密码。用户描述该用户的描述（如所属部门、职责等）。起用时间天融信安全隔离与信息交换系统可自动起用系统用户，具备用户管理权限的用户（如superman等）可创建系统用户并设置该用户何时起用，没有起用的用户无法登录本系统。结束时间天融信安全隔离与信息交换系统可自动停用系统用户，具备用户管理权限的用户（如superman等）可创建系统用户并设置该用户何时停用，已停用的用户无法登录本系统。用户期限用户能够登录的时间区间，用户期限=停用日期-起用日期，单位为（天）。权限用户权限用于描述用户在天融信安全隔离与信息交换系统内能够执行的管理行为及操作，具备用户管理权限的用户（如superman等）能够修改某用户的权限。下表为天融信安全隔离与信息交换系统用户权限相关说明：权限说明系统用户管理系统用户的权限，具备该权限的用户可添加、删除、修改用户。分组管理组对象的权限，拥有此权限的用户可添加、删除管理对象组。对象管理单对象的权限，拥有此权限的用户可添加、删除修改单对象。服务配置管理服务的权限，拥有此权限的用户可添加、删除、修改某网络服务。应用配置管理应用的权限，拥有此权限的用户可添加、删除、管理某应用。系统模板管理规则模板的权限，规则模板使用户便于定制规则。系统规则定制规则的权限，规则决定天融信安全隔离与信息交换系统如何控制网络中的通信。安全通道可以为设备通信设置相应的网络接口和通信的方向控制。基本属性设置隔离设备属性（如设备名称、日志服务器、设备密码）的权限。系统状态可以显示该设备当前的系统资源使用情况。网络接口为网络接口设置IP、路由等信息。设备规则向特定设备加载规则的权限。时间模式管理时间模式的权限，天融信安全隔离与信息交换系统能够在不同的时间自动加载不同的规则。URl组管理URL分组的权限，拥有此权限的用户可维护URL列表。内容过滤设置内容过滤的权限，拥有此权限的用户的设置服务的内容过滤类型。重启设备通过控制台重新启动隔离设备的权限。关闭设备通过控制台关闭隔离设备的权限。系统事件查看系统事件的权限。成功事件查看成功事件的权限。报警事件查看报警事件的权限。事件报告对设备事件信息生成报告的权限3.2用户分级天融信安全隔离与信息交换系统采用分级管理的用户组织方法，即具备用户管理权限的用户可添加子用户（或下级用户），子用户（或下级用户）所拥有的权限不大于父用户（或上级用户）所拥有的权限，且子用户（或下级用户）无法管理父用户（或上级用户）。3.3权限分立天融信安全隔离与信息交换系统采用权限分立的用户组织方法，即本系统并不存在超级用户，系统内置两个用户：superman与superlog，superman能够对进行对象、应用、设备等进行操作，但是无法查看日志，superlog仅能查看日志，而无法进行管理操作，superman与superlog均能进行用户管理操作，但只能管理各自的子用户（下级用户）。3.3设置说明3.3.1添加用户以具备用户管理权限的用户（如superman与superlog）登录，选择“系统用户”，并在控制台右侧区域内录入“用户名”、“密码”、“起用日期”、“冻结日期”、“用户期限”、“描述”信息，并使用“<<<<”、“<<”、“>>”、“>>>>”设置新用户所具备的权限，完成后点击“添加”按钮，弹出消息框确认用户添加成功，点击“确定”按钮返回用户管理界面，完成添加用户工作。3.3.2修改用户在用户管理界面，在“用户列表”中选中所要修改的用户，并在右侧区域内对用户“密码”、“起用日期”、“冻结日期”、“用户期限”、“描述”信息进行修改，也可使用“<<<<”、“<<”、“>>”、“>>>>”修改用户权限，修改完成后，点击“确定”按钮，弹出消息框确认用户保存成功，点击“确定”按钮返回用户管理界面，完成修改用户工作。3.3.2删除用户在用户管理界面，在“用户列表”中选中所要删除的用户，点击“删除”按钮，弹出消息框确认删除，点击“否”取消删除，点击“是”则删除该用户。四对象管理4.1说明天融信安全隔离与信息交换系统采用对象的方法进行通信控制。具备对象管理权限的用户可通过控制台进行对象维护（添加、删除、修改对象）的操作，以供定制访问策略之用。4.2对象一个对象可以是任何一个网络节点（如主机、服务器、网络设备等）。对象管理界面如下：如图，具备“对象”管理权限的用户可在对象管理界面中完成对象的添加、删除及修改操作。下表为网络对象信息说明：属性说明对象名称该网络节点在本系统中的标识，可由具备单对象管理权限的用户（如superman）随意命名（如张明）。注意：命名及备注不可以采用系统内部关键字IP\MAC\MASK等对象IP地址该网络节点的IP地址，可以是一台主机（如2）、一个IP范围（如-10）。注：为特殊IP对象，代表所有IP地址。对象MAC地址该网络节点的MAC地址。注：00:00:00:00:00:00为特殊MAC地址，代表所有MAC地址。子网掩码该网络节点的子网掩码。对象描述关于该网络节点的描述（如位置、厂家、编号、用途、类型等）。注：该项不是必须填写项。4.2对象设置说明4.2.1添加对象以具备对象管理权限的用户（如superman）登录，选择“对象”，并在控制台右侧区域内录入“对象名称”、“对象IP地址”、“对象MAC地址”、“子网掩码”、“对象描述”信息，完成后点击“添加”按钮，弹出消息框确认对象添加成功，点击“确定”按钮返回对象管理界面，完成添加对象工作。4.2.2修改对象在对象管理界面，在“对象列表”中选中所要修改的对象，并在右侧区域内对“对象IP地址”、“对象MAC地址”、“子网掩码”、“对象描述”信息进行修改操作，完成后点击“确定”按钮，弹出消息框确认对象保存成功，点击“确定”按钮返回对象管理界面，完成修改对象工作。4.2.3删除对象在对象管理界面，在“对象列表”中选中所要删除的对象，点击“删除”按钮，弹出消息框确认删除该对象，点击“否”取消删除，点击“是”则删除该对象。4.3分组分组是多个对象的集合。下图为分组对象管理界面：如图，具备分组管理权限的用户可在分组管理界面中完成分组的添加、删除及修改操作。下表为分组对象信息说明：属性说明对象组名称单个或多个单对象的集合在本系统中的标识，可由具备组对象管理权限的用户（如superman）随意命名（如外网、内网等）。对象组描述关于该组的描述（如服务器、网络设备、所属部门等）。注：该项不是必须填写项。包含对象该对象组包含的对象，将单对象前的复选框选中即为分组包含此对象，反之不包含该对象。4.4分组设置说明4.4.1添加分组以具备分组管理权限的用户（如superman）登录，选择“分组”，并在控制台右侧区域内录入“分组名称”、“分组描述”，选择“包含对象”等信息，完成后点击“添加”按钮，系统弹出消息矿框提示分组添加成功，点击“确定”按钮返回分组管理界面，完成添加分组工作。4.4.2修改分组在分组管理界面，在“分组列表”中选中所要修改的组对象，并在右侧区域内对“分组描述”，“包含对象”信息进行修改操作，完成后点击“确定”按钮，系统弹出消息框提示保存成功，点击“确定”按钮返回分组管理界面，完成修改。4.4.3删除分组在分组管理界面，在“分组列表”中选中所要删除的分组，点击“删除”按钮，系统弹出消息框确认删除该分组，点击“否”取消删除，点击“是”则删除该分组。五应用管理5.1说明天融信安全隔离与信息交换系统采用层次化的应用组织方法，准确表述客户网络中发生的各种网络通信，以供定制访问策略之用。5.2服务服务为某种特定形式的网络通信，如DNS、HTTP、FTP、SMTP、POP3、Oracle、SqlServer、DCS-OPC、MEDIA、MYSQL等，下图为服务管理界面：如图，具备相应权限的用户可在服务配置管理界面中完成服务的添加、删除及修改操作。下表为服务信息说明：属性说明服务名称某种网络通信在本系统中的标识，可由具备服务配置管理权限的用户（如superman）任意命名（如FTP、HTTP、TELNET等）。采用协议该网络通信使用的协议，选择IP协议时，可选择TCP、UDP、ICMP协议中的一种。源端口该输入框在仅在选择TCP或UDP协议后有效，表示该网络服务的源端口，源端口可是一个通信端口（如1378），也可是一个端口范围（如1024-65535）。服务端口该输入框在仅在选择TCP或UDP协议后有效，表示该网络服务的目标端口，目标端口可是一个通信端口（如80），也可是一个端口范围（如20-40）。映射端口映射端口指向用户提供的服务端口的映射，比如把服务器的80端口映射为8080端口，用户访问8080端口即可；处理模块系统内置的通用的服务处理模块，选中某处理模块代表该服务符合内置服务处理单元特性。不选择处理模块表示该服务属于自定义服务类型。命令列表用于定制该网络通信的数据内容控制。用户可添加一个或多个通信内容段的命令，并分别定制对该命令的处理方法。注：在命令列表上点击右键出现命令列表管理菜单，命令列表不是必填项。命令列表包含如下内容：起始位置用于确定该命令在网络包中开始的位置，从通信协议包头结束开始计位，位置不确定填写-1。命令用于定义该段内容的名称。以0x或0X开头代表16进制数据相隔符号用于标识该段命令的结束。以0x或0X开头代表16进制数据参数用于定义该命令的参数。以0x或0X开头代表16进制数据动作用于定制设备对含有该命令的网络通信的处理方法，可选”允许”或“拒绝”。此应用中未定制的命令允许执行定制是否允许该服务中未定制的命令的执行，复选该选项则允许该应用中未定制的命令执行。5.2服务设置说明5.2.1添加服务以具备“服务配置”管理权限的用户（如superman）登录，选择“服务配置”，并在控制台右侧区域内录入“服务名称”、“采用协议”、“源端口”、“目标端口”、“处理模块”及应用命令信息，点击“添加”按钮，弹出消息框确认服务添加成功，点击“确定”按钮返回服务配置管理界面，完成添加服务工作。注：用户可选择隔离设备内置的处理模块进行网络服务的处理，选择处理模块后，服务端口会被默认为该应用的常用知名端口，用户可以进行修改。处理模块内嵌完整的应用命令；用户亦可不选择任何处理模块，自行添加应用命令，具体方法如下：在命令列表内点击鼠标右键，在弹出的快捷菜单选择“添加命令”，在应用命令的对话框中输入“起始位置”、“命令”、“相隔符号”、“参数”、“动作”信息，点击“确定”按钮即可完成应用命令添加工作。5.2.2修改服务在服务配置管理界面，在“服务列表”中选中所要修改的服务，并在右侧区域内对“采用协议”、“源端口”、“目标端口”、“处理模块”、“命令列表”进行修改，完成后点击“确定”按钮，系统弹出消息框提示保存成功，点击“确定”按钮返回服务配置管理界面，完成修改工作。注：用户可右键命令列表中的某条命令进行命令的添加、修改、删除工作。5.2.3删除服务在服务配置管理界面，在“服务列表”中选中所要删除的服务，点击“删除”按钮，弹出消息框确认删除该服务，点击“否”取消删除，点击“是”则删除该服务。5.3应用天融信安全隔离与信息交换系统能够将多种网络服务组成一种业务应用，统一对该应用定制访问规则。应用具备导出、导入功能，为多个设备之间的相同应用迁移提供便利。下图为应用管理界面：如图，具备相应权限的用户可在应用配置管理界面中完成应用的添加、删除、修改、导出及导入操作。下表为应用信息说明：属性说明应用名称某种业务应用在本系统中的标识，可由具备应用配置管理权限的用户（如superman）随意命名（如上网应用、数据库应用等）。应用描述有关该种应用的描述。包含服务该种应用所包含的服务。通常，某种应用由一种或几种服务构成（如:上网应用包含http服务、dns服务、smtp服务、pop3服务、ftp服务等）。5.4应用设置说明5.4.1添加应用以具备应用配置管理权限的用户（如superman）登录，选择“应用配置”，并在控制台右侧区域内录入“应用名称”、“应用描述”，选择“包含服务”等信息，完成后点击“添加”按钮，系统弹出消息框提示应用添加成功，点击“确定”按钮返回应用管理界面，完成添加应用工作。5.4.2修改应用在“应用列表”中选中所要修改的应用，并在其右侧区域内对“应用描述”，“包含应用”信息进行修改，完成后点击“确定”按钮，系统弹出消息框提示保存成功，点击“确定”按钮返回应用管理界面，完成修改工作。5.4.3删除应用在“应用列表”中选中所要删除的应用，点击“删除”按钮，系统弹出消息框确认删除该应用，点击“否”取消删除，点击“是”则删除该应用。5.4.4导出应用在“应用列表”中选中所要导出的应用，点击“导出”按钮，系统弹出另存为文件消息框，输入导出应用文件名称点击“Save”按钮完成导出应用操作。5.4.5导入应用点击“导入”按钮，弹出打开文件消息框，选择应用文件名称点击“Open”按钮完成导入应用操作。六内容管理6.1说明天融信安全隔离与信息交换系统作为一种高精度的网络控制设备，能够对进出网络的通信进行深层的内容控制，用户可通过内容管理界面针对某一应用或服务实现URL控制、文件类型控制、关键字过滤等。下图为内容管理界面：内容过滤说明：属性说明内容名称某种内容过滤方式的标识，可由具备应用管理权限的用户（如superman）随意命名，如上网应用、数据库应用等。所属应用/所属服务应用该项内容过滤的应用或服务。过滤URL定义是否进行URL过滤，可供选择的URL来自URL组列表。过滤关键字用户可定义过滤某个关键字或关键词（如：法轮功、绝密等），关键字的样本可从文件选取。过滤文件类型定义该内容过滤方式是否进行文件过滤，可过滤的文件类型有EXE、DLL、RAR、ZIP等。内容描述有关该种内容过滤的描述。6.2URL组URL组用于定制URL列表，该列表出现在内容管理界面中的“过滤URL”选项，用户可在URL组管理界面实现URL组的添加、修改、删除、导入及导出操作：URL组说明：属性说明URL组名称单个或多个URL的集合在本系统中的标识，可由具备应用管理权限的用户（如superman）随意命名URL组描述对该组的描述URL在URL列表中右击鼠标添加本组包含的URL列表说明在URL列表中右击鼠标添加本组包含的URL列表的说明6.2.1添加URL组在URL组界面中录入URL组名、URL组描述、URL列表，点击“添加”按钮，系统弹出消息框提示应用添加成功，点击“确定”按钮返回URL组管理界面，完成URL组添加工作。添加URL：在URL列表框中单击鼠标右键，在弹出的右键菜单中的“添加”命令，出现URL内容窗口，如下图：填写完成后，点击“确定”按钮则添加URL，点击“取消”按钮则取消添加。修改URL：双击URL列表中需要修改的项目或以鼠标右键单击该项目并选择“修改”命令，出现URL内容窗口（同上图）并作修改，点击“确定”按钮则保存修改，点击“取消”按钮则取消修改。删除URL：以鼠标右键单击需要删除的URL并选择“删除”或“删除所有”命令。注：“删除所有”将会删除当前URL组中URL列表的所有项目。6.2.2修改URL组在URL组列表框中选中要修改的URL组，修改所需要修改的内容，点击“确定”按钮，系统弹出消息框提示保存成功，点击“确定”按钮返回URL组管理界面，完成修改工作。6.2.2删除URL组在URL组列表框中选取要删除的URL组，点击“删除”按钮，系统弹出消息框确认删除该URL组，点击“否”按钮取消删除，点击“是”按钮则删除该URL组。6.3内容过滤内容过滤是与服务关联的一种安全策略，其可实现多种类型的内容审查。6.4内容过滤设置说明内容过滤包括所属服务、URL过滤、文件类型过滤、关键字过滤几个方面。所属服务指该内容过滤的策略将会在所属服务列表中已选中的服务中生效，在其他服务中将不会生效。界面中“所属应用”是用来辅助选择输入服务的项目，其并不具有策略意义。过滤URL指该内容过滤策略所属服务中需要过滤的URL组。过滤文件类型指该内容过滤策略所属服务中需要过滤的文件类型。过滤关键字该内容过滤策略所属服务中需要过滤的关键字，关键字以文件形式存储，以换行符为分隔。6.4.1添加内容过滤填写内容过滤的具体内容，包括选择所属服务、选择过滤URL、选择过滤文件类型、选择过滤关键字文件、内容过滤策略描述等信息，点击“添加”按钮，系统弹出消息框提示添加成功，点击“确定”按钮返回内容过滤管理界面。6.4.2修改内容过滤在内容过滤策略列表中选取要修改的内容过滤策略，并修改其内容，点击“确定”按钮，系统弹出消息框提示保存成功，点击“确定”按钮返回内容过滤管理界面，完成修改工作。6.4.2删除内容过滤在内容过滤策略列表中选择要删除的内容过滤策略，点击“删除”按钮，系统弹出消息框确认删除，点击“否”按钮取消删除，点击“是”按钮则删除该内容过滤。七策略管理7.1说明天融信安全隔离与信息交换系统是一种高精度访问控制设备，能够通过策略管理界面定制符合客户实际需求的安全策略。安全策略包含时间模式、系统模板及系统规则等元素。系统默认存在一个名为“24”的24小时时间模式；7.2时间模式天融信安全隔离与信息交换系统支持依据时间模式自动加载或停用某条规则。下图为时间模式定制界面：时间模式说明：属性说明模式名称某种时间模式在本系统中的标识，可由具备应用管理权限的用户（如superman）随意命名，如Weekend、Work_time等。开始时间该时间模式的起始点。结束时间该时间模式的终结点。模式描述有关该种时间模式的描述。7.3时间模式设置说明时间模式包含“模式名称”、“开始时间”、“结束时间”、“模式描述”等要素。系统安全策略是运行在某时间模式所确定的时间段内。7.3.1添加时间模式填写“模式名称”、“起始时间”、“结束时间”、“模式描述”信息，点击“添加”按钮，系统弹出消息框提示添加成功，点击“确定”按钮返回时间模式管理界面，完成添加工作。注：时间格式为HH:MM:SS。7.3.2修改时间模式在时间模式列表中选择要修改的时间模式，并修改其内容，点击“确定”按钮，系统弹出消息框提示保存成功，点击“确定”按钮返回时间模式管理界面，完成修改工作。7.3.3删除时间模式在时间模式列表中选择要删除的时间模式，点击“删除”按钮，系统弹出消息框确认删除，点击“否”按钮取消删除，点击“是”按钮则删除该时间模式。7.4系统模板天融信安全隔离与信息交换系统允许用户定制模板，模版是为隔离设备定制安全策略所必须的一个要素。系统模板包含对象组、应用、时间模式及动作四种要素，通过该四种要素的不同组合，可明确定制“谁”（对象组）“在什么时候”（时间模式）“能否”（动作）“做什么”（应用），下图为系统模板管理界面：系统模板说明：属性说明模板名称某种模板在本系统中的标识，可由具备模板管理权限的用户（如superman）随意命名。模板描述有关该种模板的描述，通常为该模板所实现的控制能力的描述，如“允许财务部上网”等。模板内容该模板的内容，通常为格式化了的网络控制方法，模板内容可有多个网络行为控制方法，每个控制方法必须包含源对象组、目标对象组、应用、时间模式和动作。用户可在系统模板管理界面中实现对系统模板的添加、修改、删除、导入、导出操作。7.5系统模板设置说明系统模板内容包括“模板名称”与“模板规则”、“模板描述”三部分，其中模板规则是该模板中所包含的安全策略信息，由源对象组、目标对象组、应用、时间模式、动作等要素，如下图：7.5.1添加系统模板填写“模板名称”、“模板描述”、“模板规则”信息，点击“添加”按钮，系统弹出消息框提示添加成功，点击“确定”按钮返回系统模版界面，完成添加工作。添加模板规则：在模板规则列表框中点击鼠标右键，在弹出的右键菜单中选择“添加”命令，系统弹出模版规则界面（如上图），分别在“源对象组”、“目标对象组”、“应用”、“时间模式”、“动作”下拉菜单中选取相应的要素，点击“确定”按钮则添加模版规则，点击“取消”按钮则取消添加。修改模板规则：在模板规则列表框中以鼠标左键双击要修改的模板规则或以鼠标右键单击该项目并选择“修改”命令，系统弹出系统模板规则的内容界面，修改其内容，点击“确定”按钮则修改模版规则，点击“取消”按钮则取消修改。删除模板规则：以鼠标右键单击模板规则列表框中要删除的模板规则并选择“删除”或“删除所有”命令，完成删除工作。注：删除所有表示将该模板中的所有模板规则删除。7.5.2修改系统模板在模板列表中选择要修改的模板，修改该模板的内容（描述、模板规则），点击“确定”按钮，系统弹出消息框提示保存成功，点击“确定”按钮返回系统模板管理界面，修改系统模版完成。7.5.3删除系统模板在模板列表中选择要删除的模板，点击“删除”按钮，系统弹出消息框确认删除，点击“否”按钮取消删除，点击“是”按钮则删除该系统模版。7.5.4导出系统模板在中在“模板列表”中选中所要导出的模板，点击“导出”按钮，系统弹出另存为文件对话框，输入导出模板文件名称点击“Save”按钮完成导出模板操作。7.5.5导入系统模板在系统名模板界面中，点击“导入”按钮，系统弹出打开文件对话框，找到要导入的模板文件名称点击“Open”按钮完成导入模板操作。7.6系统规则用户可利用预先定制安全通道（详见8.4节）、模版信息定制系统规则，系统规则是隔离设备能够直接读取与调用的安全策略，下图为系统规则定制界面：系统规则说明如下：属性说明规则名称该规则的名称，可由具备规则管理权限的用户（如superman等）随意命名。安全通道该规则使用的网络通道。包含模板该规则采用的模板。7.7系统规则设置说明7.7.1添加系统规则填写“规则名称”、“安全通道”、“规则描述”“包含模板”信息，点击“添加”按钮，系统弹出消息框提示添加成功，点击“确定”按钮返回系统规则管理界面，完成添加工作。7.7.2修改系统规则在规则列表中选择要修改的规则，修改该规则的内容（安全通道、规则描述和包含模板），点击“确定”按钮，系统弹出消息框提示保存成功，点击“确定”按钮返回系统规则管理界面，修改系统规则完成。7.7.3删除系统规则在规则列表中选择要删除的规则，点击“删除”按钮，系统弹出消息框确认删除，点击“否”按钮取消删除，点击“是”按钮则删除该系统规则。八设备管理8.1说明用户可用控制台读取、修改隔离设备的各种设置信息及相关的设备操作，设备管理依据内容的不同分为网络接口、安全通道、基本属性、设备规则、设备状态和设备操作等部分。8.2基本属性设备基本属性包含设备名称、设备时间以及日志设置等信息。下图为基本属性设置界面：详细说明如下：属性说明设备名称隔离设备的名称，可由具备设备管理权限的用户（如superman等）修改，该名称可用于用户登录。工作模式系统支持三种工作模式，分别为透明模式，代理模式，路由模式；透明模式：系统无IP方式运行，不影响现有网络拓扑结构；代理模式：为设备内外网分别设置一个IP，内外网两端IP地址互不可见，完全由隔离设备产品来代理；路由模式：将隔离设备作为路由网关来使用，内外网分别可以设置多个IP;设备时间隔离设备的硬件时钟。具备设备管理权限的用户（如superman等）可通过“读取时间”从隔离设备读取设备硬件时钟，可通过“校时”修改隔离设备的硬件时钟。设备密码隔离设备的硬件密码，当用户需要登录控制台并对该设备进行操作时，需要输入设备密码。已登录该设备且具有设备管理权限的用户可通过“修改设备密码”维护设备密码。日志设置设置隔离设备通过网络储存日志。可选择是利用系统提供的数据报形式接收日志还是以标准SYSLOG形式接收日志，日志服务器的IP和端口需要填写正确。主/从设备设置隔离设备在双机热备工作模式下的工作状态。登录最大允许尝试次数设置允许登录最大尝试次数，当尝试达到设置值之后，系统会锁定该用户并退出。登录超时时间设置管理界面超时值，在设置的时间范围内控制台无管理动作时，管理控制台系统会自动退出。开启入侵检测功能复选框为打勾状态，即启用该功能，反之则不启用；开启抗DDOS功能复选框为打勾状态，即启用该功能，反之则不启用；开启SNMP支持功能复选框为打勾状态，即启用该功能，反之则不启用；8.3基本属性设置说明8.3.1设备工作状态设置在基本属性界面中，可设置当前设备的工作状态。在“设备名称”后的下拉框中选择“主设备”，点击“设置”按钮即可将当前设备设置为热备机组中的主设备；在“设备名称”后的下拉菜单中选择“从设备”，并在“主设备”下拉菜单中选择一台正在运行的设备，点击“设置”按钮即可将当前设备设置为指定设备的从设备，从而组成热备机组。8.3.2日志设置用户可通过更改日志设置来决定当前设备是否记录各种日志信息。复选“记录日志”复选框，并在“服务器名称”中输入接收日志的日志服务器名称，点击“保存设置”按钮，而后再点击“应用设置”按钮，即可设置当前设备将日志信息保存至相应日志服务器；清除“记录日志”复选框，点击“保存设置”按钮，而后再点击“应用设置”按钮即设置隔离设备不保存日志。8.3.3时间设置点击“读取时间”按钮可获得隔离设备的当前日期与时间，用户可在时间输入框内录入新的日期与时间，并点击“设置时间”按钮修改隔离设备的日期与时间。注：情景模式的时间以隔离设备时间为参照。8.3.3设备密码设置点击“修改设备密码”按钮，系统弹出修改设备密码窗口，用户在输入“当前设备密码”、“新密码”及“新密码确认”后，可点击“确定”按钮即可修改当前设备密码。8.3.4设备工作模式由下拉框中选择设备的工作模式。其中，三种工作模式的基本特点如下所述。透明模式：设备工作为透明模式时，在外部网络看来，设备就是一条透明的网络，不存在网络拓扑中，但是设备一样有安全作用，是因为隔离设备的工作机制是白名单工作机制，即只允许明确指出允许通信的内容才可以通信，除此之外的一律丢弃。比如允许内网客户端访问内网服务器54的WEB应用，这时加上透明模式的隔离设备后，不影响原有的拓扑和设置，客户端还采用原先的方式进行访问即可，只不过它这时只能访问允许的WEB应用和动作，其他的应用一律无法访问。代理模式：当设备工作为代理模式时，客户端比较容易理解隔离设备的工作原理，即代理。这时的客户端需要将与服务器通信的内容全部改由隔离设备的IP来进行通信，在客户端看来，服务器的IP已经不可见，客户端只需要把隔离设备的内、外端机的IP作为其目标服务器即可。比如，允许内网客户端访问外网服务器，这时需要给隔离设备分配两个可以与该网段通信的IP，如在内端机分配，外端机分配。这时内网客户端需要访问外网服务器的WEB应用时，只需要访问，即可。因为在代理模式时，隔离设备会非常形象的代理客户端与服务器进行会话。路由模式：当设备工作为路由模式时，客户只需要将隔离设备理解为一个路由器或网关即可，客户机的网关设置为隔离设备的IP，或到目标段的静态路由设置为隔离设备的IP，或其网关上做了路由设置可以到达隔离设备端时，客户端访问目标服务器的IP进行相应的访问即可，这时它一样只能访问隔离设备允许的通信内容，除此之外的一律无法访问。比如，内网客户端需要访问外网服务器的WEB应用，这时需要给隔离设备分配两个可以与该网段通信的IP，如在内网端分配为，外网端分配为。客户端需要将网关设置为，在浏览器中输入，客户端就可以访问到目标服务器的真实IP（需要在外网端做出接口的隐藏源地址，该配置在网络接口一章进行说明）。8.4网络接口网络接口界面可以设置隔离设备的各个网络接口的IP信息以及路由信息，并且在多IP的情况下，可以针对多个IP做对应的设置。8.5网络接口设置网络接口设置界面中，分内端机和外端机两个标签，分别针对内端机的网络接口和外端机的网络接口进行设置。8.5.1网络接口IP设置接口列表中，左侧为序号，中间为接口名称，该名称对应着设备外观的网络接口名称。双击接口列表，出现网络接口设置界面，如下图：需要添加IP时，选择相应的接口，输入IP及子网掩码，按下“添加”按钮，需要修改IP时，在IP列表中，选择相应的IP，修改内容后，再按下“保存”按钮，即可修改成功。在所有的IP设置完成后，按下“确定”按钮，需要设备生效时，按下网络接口界面下方的“应用设置”按钮，即可生效。8.5.2代理对应列表设置当设备工作为代理模式或路由模式时，设备的内端机或外端机设置了多个IP，并且针对不同的IP需要访问不同的服务器的相同服务时，需要进行代理对应设置，比如：访问INT0接口的的WEB服务时，隔离设备代理其访问的WEB服务。访问INT0接口的的WEB服务时，隔离设备代理其访问的WEB服务。这种情况下需要对隔离设备内网/外端机的多个IP（和）进行对应设置，否则设备将默认按照第一个IP进行对应。在网络接口界面中，按下“代理对应>>>”出现如下界面：需要添加IP对应时，选择相应的接口IP、服务和对应的服务器的名称和服务，按下“添加”按钮，需要修改IP对应时，在IP对应列表中，选择相应的IP对应项目，修改内容后，再按下“保存”按钮，即可修改成功。在所有的IP对应设置完成后，按下“确定”按钮，需要设备生效时，按下网络接口界面下方的“应用设置”按钮，即可生效。8.5.3路由/网关设置在网络接口界面下方的路由列表中，管理员可以针对内外端机所处的网络为之设置相应的路由。路由指令在列表中会有提示，例如：内端机到目标段为子网掩码为的路由，下一跳为可以设置为：routeadd–netnetmaskgw内端机到目标地址为58的路由，下一跳为可以设置为：routeadd–host58gw内端机到所有未知目标地址的路由，下一跳为可以设置为：routeadddefaultgw如下图所示：注意：当隔离设备工作为路由模式时，在路由列表上方会有一个复选框【将源地址自动隐藏】，该复选框打勾即表示，由该处理单元发出的会话，其源地址要自动封装成其出口地址。管理员也可以手动在路由列表中输入【HIDESRCIP】的条目，表示自动隐藏源IP地址。该功能的主要作用是为了方便客户在将隔离设备作为路由设置时，对端不需要知晓客户端的源地址。其类似防火墙的SNAT功能。外端机的设置与内端机是对等的，管理员可依据实际情况进行设置。8.6设备状态管理员可以在功能选择区选择查看设备状态，包括系统的CPU使用率、内存使用率、以及系统当前吞吐量【单位为比特】。右键鼠标，可以在快捷菜单中选择设置设备状态的更新频率。8.7安全通道设备的安全通道管理是用来设置哪两个网络区域进行数据交换的，隔离设备的内端机和外端机的任意两个网络接口都可组成一个安全通道，如下图：详细说明如下：属性说明通道名称安全通道在本系统的唯一标识源区域通道的源端口，一般情况下为内网用户所在的网络区域，接口为该通道的内网通信接口；目标区域通道的目标端口，一般情况下为外网用户所在的网络区域，接口为该通道的外网通信接口；规则组描述对该通道的描述，如市场部访问公网通道8.7安全通道设置说明8.7.1添加安全通道在安全通道管理界面中，分别输入“通道名称”、“源区域”、“目标区域”、“安全通道描述”信息，点击“添加”按钮，系统弹出消息框提示添加成功，点击“确定”按钮返回安全通道管理界面，完成添加工作。8.7.2修改安全通道在安全通道列表中选中所要修改的安全通道，修改其内容，点击“确定”按钮，系统弹出消息框提示保存成功，点击“确定”按钮返回安全通道管理界面，完成安全通道修改。8.7.3删除安全通道在安全通道列表中选择要删除的安全通道，点击“删除”按钮，系统弹出消息框确认删除，点击“否”按钮取消删除，点击“是”按钮则删除该安全通道。8.8设备规则用户可在设备规则管理界面读取隔离设备当前正在运行的规则及向隔离设备加载已经定制好的系统规则，管理界面如下：该界面包含两个规则列表，上方的列表为当前运行规则列表，列出当前设备正在运行的所有规则信息，下方的列表为当前系统规则列表，列出所有在控制台定制完成的规则信息。在设备规则界面中，用户通过可双击该规则了解某规则的详细信息，系统则以树形方式显示该规则的详细信息，如模板、源/目的组、应用/服务、时间模式、动作等，如下图：在当前运行规则的详细信息显示框中，用户可点击“添加到本地系统规则”按钮将该规则添加到控制台中。8.9设备规则设置说明8.9.1读取设备规则在当前运行规则列表中，点击鼠标右键，并在弹出的右键菜单中选择“读取当前运行规则”命令。8.9.2删除设备规则在当前运行规则列表中，右键点击所要删除的设备规则，在右键菜单中选择“删除指定规则”命令，完成设备规则删除操作。注：如果用户删除某条设备规则，仅使隔离设备不执行该条规则，该规则并不从控制台删除，用户如果需要将规则从控制台删除，见7.7.3节内容。8.9.3应用设备规则在当前系统规则中，右键点击所要应用系统规则，在右键菜单中选择“应用指定系统规则”命令，可使隔离设备即刻运行该规则。如果需要应用所有系统规则，只需右键点击当前系统规则列表中的任意位置，在弹出的右键菜单中选择“应用所有系统规则”命令，可使隔离设备即刻运行所有系统规则。8.10设备操作用户可在控制台重新启动或者关闭隔离设备。具备设备操作权限的用户（如superman等）可通过点击相应的按钮，并在确认之后完成相应的设备操作。九事件管理天融信安全隔离与信息交换系统具有完备的日志查询及审计能力，具备事件查询权限的用户（如superlog等）可在日志管理界面完成各种条件的事件查询操作。9.1系统事件系统事件记录用户针对天融信安全隔离与信息交换系统的管理行为，如添加用户、修改系统时间、修改规则、用户登录/退出等。系统事件管理界面如下：详细说明如下：属性说明起始时间所要查询的系统事件的开始时间终止时间所要查询的系统事件的终止时间用户按照用户查询系统事件设备名称按照隔离设备名称查询系统事件导出将查到的符合条件的事件导出删除删除当前的事件9.2系统事件操作说明9.2.1查询系统事件以具备系统事件查询权限的用户（如：superlog）登录，输入查询条件信息，如时间范围、用户名、设备名，点击“查询”按钮即可查询相应的系统事件信息。注：如果在查询条件内不输入“用户名”信息，则查询所有用户在指定时间范围内对指定隔离设备的操作事件；如果在查询条件内不输入“设备名称”信息，则查询指定用户在指定时间范围内对所有隔离设备的操作事件。9.2.2导出系统事件以特定条件进行系统事件查询后，点击“导出”按钮，在弹出的消息框内选择保存系统事件的路径与文件，点击“Save”按钮，弹出如下消息框：点击“是”按钮则删除已查询到的系统事件，点击“否”按钮则不删除。9.2.3删除系统事件以特定条件进行系统事件查询后，点击“删除”按钮，在弹出的消息框内点击“是”按钮则确认删除。9.3成功事件成功事件记录符合天融信安全隔离与信息交换系统规则的各种网络行为，即被隔离设备成功处理的各种网络访问，如符合规则的邮件传输、文件下载等。成功事件管理界面如下：详细说明如下：属性说明起始时间所要查询的成功事件的开始时间终止时间所要查询的成功事件的终止时间IP地址按照IP地址查询成功事件设备名称按照隔离设备名称查询成功事件导出将查到的符合条件的事件导出删除删除当前的事件9.4成功事件操作说明9.4.1查询成功事件以具备成功事件查询权限的用户（如：superlog）登录，输入查询条件信息，如时间范围、IP地址、设备名，点击“查询”按钮即可查询相应的成功事件信息。9.4.2导出成功事件以特定条件进行成功事件查询后，点击“导出”按钮，在弹出的对话框内选择保存成功事件的路径与文件，点击“Save”按钮，弹出如下对话框：点击“是”按钮则删除已查询到的系统事件，点击“否”按钮则不删除。9.4.3删除成功事件以特定条件进行成功事件查询后，点击“删除”按钮，在弹出的对话框内点击“是”按钮则确认删除。9.5报警事件报警事件记录不符合天融信安全隔离与信息交换系统规则的各种网络行为，即被隔离设备拒绝的各种网络访问，如不符合规则的邮件传输、文件下载等。报警事件管理界面如下：详细说明如下：属性说明起始时间所要查询的报警事件的开始时间终止时间所要查询的报警事件的终止时间IP地址按照IP地址查询报警事件设备名称按照隔离设备名称查询报警事件导出将查到的符合条件的事件导出删除删除当前的事件9.6报警事件操作说明9.6.1查询报警事件以具备报警事件查询权限的用户（如：superlog）登录，输入查询条件信息，如时间范围、IP地址、设备名，点击“查询”按钮即可查询相应的报警事件信息。9.6.2导出报警事件以特定条件进行报警事件查询后，点击“查询”按钮，在弹出的对话框内选择保存报警事件的路径与文件，点击“Save”按钮，弹出如下对话框：点击“是”按钮则删除已查询到的报警事件，点击“否”按钮则不删除。9.6.3删除报警事件以特定条件进行报警事件查询后，点击“删除”按钮，在弹出的对话框内点击“是”按钮则确认删除。9.7事件报告事件报告依据日志服务器所存储的各种事件信息生成Html格式的报表。下图为事件报告界面详细说明如下：属性说明起始时间所要创建报告中事件的开始时间终止时间所要创建报告中事件的终止时间设备是否按照隔离设备名称创建报告输出路径报告文件的保存位置9.8事件报告操作说明在事件报告界面中，输入“起始时间”、“终止时间”、“设备”、“输出路径”信息，点击“创建报告”按钮，系统自动创建相应的事件报告。十功能菜单说明控制台界面的顶端为设备操作的系统功能菜单界面，主要的菜单及功能如下表所示：菜单项目功能说明系统修改密码该修改密码功能是修改当前登录用户的管理密码功能，与设备基本属性的修改密码不同；只有系统做了保存，密码修改才会生效。系统退出管理控制台系统退出；控制台退出时，会自动保存管理员所做的所有操作；数据操作保存数据为了防止系统意外错误或断电，管理员可以利用此菜单将所做的管理配置进行保存。注：这里的保存只是保存在了本地控制台的策略库中，并未发送到设备端进行生效。初始化系统使用该菜单时，系统会弹出对话框询问是否要初始化系统【如下图所示】，在管理员确认之后，系统会将系统控制台以及隔离设备中的配置进行初始化操作，并且系统会重新启动。帮助帮助主题该功能将会提供给用户相应的操作帮助以及提示，类似于安装使用手册。关于…关于本系统的版本、版权以及本公司的部分信息。十一配置实例实例一透明代理模式下，HTTP访问客户端是8，服务端为01，当源地址与目标地址处于同一网络时，为了保证客户端在不改变访问方式和系统配置的情况下，采用透明工作模式为最好的解决方案。定制访问策略，步骤如下：以superman登录，在对象管理界面中添加对象“测试工程师”及“WEB服务器”分别输入相应的IP等信息；如下图所示：添加对象组“测试组”与“服务器”，并设置“测试组”对象组包含对象“测试工程师”，“服务器”对象组包含对象“WEB服务器”；在服务配置界面中，添加服务HTTP，绑定相应的HTTP处理模块，信息如下：web服务名称web处理模块HTTP采用协议IP->TCP源端口1024-65535服务端口80映射端口80其中，HTTP服务配置如下命令：起始位置命令相隔符号参数动作命令1GET允许命令2PUT允许命令3POST允许命令4HEAD允许….其它所有拒绝在应用配置界面中，添加应用“浏览网页”，该应用包含“web”服务；在内容过滤中，添加内容过滤“我的内容过滤”选取应用“网页浏览”，复选“过滤文件类型”为“DLL、EXE”；在时间模式中，添加时间模式“Work_time”开始时间为“09:00:00”，结束时间为“17:30:00”；在系统模板中，添加系统模板“测试WEB服务访问”，其中，源对象组为“测试组”，目标对象为“服务器”，应用为“网页浏览”，时间为“Work_time”，动作为“允许”；在设备管理界面中，选取源区域为“内网”和“INT0”，目标区域为“外网”和“EXT0”，建立通道“内到外”，在规则管理界面中，添加规则“内网工程师测试外网WEB服务器”，选择通道为“内到外”,包含模板为“测试WEB服务访问”；在设备规则界面中，删除正在运行的规则并将规则“内网工程师测试外网WEB服务器”应用到隔离设备。设置设备工作模式，在设备基本属性页面，选择工作模式为透明模式，并且按下“应用设置”按钮。至此，隔离设备规则设置完成，此时隔离设备仅允许“测试工程师”在9：00-17：30访问“WEB服务器”的TCP80端口的HTTP服务，且在HTTP协议内容上仅允许GET、PUT、POST、HEAD动作发生，同时过滤DLL、EXE文件。客户端访问方式为Http://01实例二代理模式下，HTTP访问客户端是8，服务端为01，当源地址与目标地址处于不同段网络时，之前客户端与服务端从未进行过通信或数据交换时，将设备设置为代理模式，以更好表现形式来完成网络的隔离性。定制访问策略，步骤如下：其他步骤与上一案例一致，除了以下几个步骤。修改WEB服务器地址为01。修改WEB服务代理端口为8080。设置设备工作模式，在设备基本属性页面，选择工作模式为代理模式，并且按下“应用设置”按钮。为设备分配IP地址在网络接口界面中，分别为内端机的INT0接口和外端机的EXT0接口设置可以与测试对象能够通信的IP，这里我们举例为9和9；由于此时的服务器只有一个，且隔离设备的内、外端机只有一个IP，因此不需要做代理对应设置。按下网络接口界面中的“应用设置按钮”，IP设置生效。在设备规则中，删除所有系统规则，再应用当前所有系统规则或指定规则。至此，隔离设备规则设置完成，此时隔离设备仅允许“测试工程师”在9：00-17：30访问“WEB服务器”的TCP80端口的HTTP服务，且在HTTP协议内容上仅允许GET动作发生，同时过滤DLL、EXE文件。访问方式为Http://9:8080该访问方式很清楚的表明了，客户端访问隔离设备的内网端的【9】的映射端口【8080】，隔离设备会代替客户端访问到目标服务器【01】的【80】端口的WEB服务。实例三代理模式下，多个HTTP访问客户端是8，服务端有两个，分别为00和01，两个服务器均提供WEB服务，并且端口均为80。当源地址与目标地址处于不同段网络时，之前客户端与服务端从未进行过通信或数据交换，将设备设置为代理模式，以更好表现形式来完成网络的隔离性。定制访问策略，步骤如下：其他步骤与上一案例一致，除了以下几个步骤。增加对象“WEB服务器100”，地址为00。将新增的服务器归到服务器组。将服务中的WEB服务的映射端口修改为80。删除当前所有系统规则，再应用所有系统规则。为设备分配IP地址由于要求客户端访问两个服务器时都要用80端口进行访问，并且不允许访问直接的真实IP，因此需要在网络接口界面中，分别为内端机的INT0接口设置两个IP用来对应两个服务器的真实IP。这里我们举例为9对应00和0对应01；按下网络接口界面的“应用设置”按钮，配置生效。至此，隔离设备规则设置完成，此时隔离设备仅允许“测试工程师”在9：00-17：30访问“WEB服务器”和“WEB服务器100”的TCP80端口的HTTP服务，且在HTTP协议内容上仅允许GET动作发生，同时过滤DLL、EXE文件。访问00的方式为Http://99会自动对应到服务器00。访问01的方式为Http://00会自动对应到服务器01。实例四路由模式下，HTTP访问客户端IP是8，服务端IP是00和01，当源地址与目标地址不在同一网络时，为了保证客户端访问服务端真实IP和端口的情况下，采用路由工作模式为最好的解决方案。定制访问策略，步骤如下：其他步骤与上一案例一致，除了以下几个步骤。修改工作模式为路由模式，并应用设置。在网络接口中设置内端机的INT0