统用户使用手册
北京和信网安科技有限公司
2007年9月
版权声明
— 北京和信网安科技有限公司版权所有,保留一切权利。 — 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,
并不得以任何形式传播。
— 对于本手册中出现的其它商标,由各自的所有人拥有。 — 由于产品版本升级或其它原因,本手册内容会不定期进行更新。除非另有约定,本
手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。
本手册之图片仅供参考,如有变动恕不另行通知。
前 言
感谢您使用北京和信网安科技有限公司的天御6000单向安全隔离系统,您能成为我们的用户,是我们莫大的荣幸。为了使您尽快熟练地使用天御6000单向安全隔离系统,我们随机配备了内容详细的用户使用手册。
天御6000单向安全隔离系统必须通过管理主机进行设置管理。这本手册能帮助您更好地管理设置。希望用户在遇到设置问题的时候能在手册里得到帮助。
我们对用户使用手册的编排力求内容全面而又简单易懂,从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。在第一次安装和使用之前,请务必仔细阅读所有资料,这会有助于您更好地使用本产品。
这本手册的读者对象是天御6000单向安全隔离系统的管理员。在安装单向安全隔离系统之前及过程中,为更好地应用与配置,同时避免可能出现的各类问题,请仔细阅读本手册。
我们认为手册中所提供的信息是正确可靠的,请尽量避免人为的失误。
安全使用注意事项
本章列出的安全使用注意事项,请仔细阅读并在使用天御6000单向安全隔离系统过程中严格执行。这将有助于更好地使用和维护您的单向安全隔离系统。
① 单向安全隔离系统应用环境为温度-5℃ ~ 45℃和湿度40% ~ 80%;存储环境为温度-20℃
~ 55℃,湿度20% ~ 95%。 ② 采用交流220V电源。
③ 必须使用三芯带接地保护的电源插头和插座。良好的接地是您的单向安全隔离系统正常
工作的重要保证。对于单向安全隔离系统来说,如果缺少接地保护线,在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害,但在接触时,可能会产生麻、痛等轻微触电的感觉。另外,如果您擅自更换标准电源线,可能会带来严重后果。 特别提示: ① 遇到故障,请不要自行拆卸单向安全隔离系统,建议与我们的技术支持人员(电话:010-)
取得联系,以获得最佳解决方案。 ② SL-1000安全隔离系统的搬运应注意:
⑴ 本安全隔离系统的搬运最好使用出厂原包装。搬运之前请清点好所有部件和随机附
带的资料。
⑵ 最好将各个部件和随机附带的资料按出厂时的包装还原。
⑶ SL-1000安全隔离系统不可带电搬运,任何零部件不可带电插拔,否则可能损坏单
向安全隔离系统。
⑷ 将安全隔离系统打包完成后,用胶带封箱,即可搬运。单向安全隔离系统搬运过程
中,请不要剧烈碰撞和跌摔,不可雨淋。搬运过程请远离强静电,强磁场环境。
③ 正确规范的操作是安全的保证。
目 录
第一章
天御6000单向安全隔离系统简介 ..................................................................................
1. 系统概述 .................................................................................................................................
2. 技术特点 ................................................................................................................................. 3. 技术参数 ................................................................................................................................. 第二章
硬件安装 ...........................................................................................................................
1. 拆箱检查 ................................................................................................................................. 2. 硬件安装 ................................................................................................................................. 3. 设备接入拓扑图 ..................................................................................................................... 第三章
系统配置 ...........................................................................................................................
1. 概述 ..................................................................................................................................... 2. 初始配置 ................................................................................................................................. 2.1 超级终端配置 ................................................................................................................. 2.2 OUT CONSOLE口配置 ................................................................................................. 3. 客户端配置软件的使用 ......................................................................................................... 3.1 客户端配置软件简介 ..................................................................................................... 3.2 登录客户端配置软件 ..................................................................................................... 3.3 系统管理 ......................................................................................................................... 3.4 规则管理 ......................................................................................................................... 3.5 日志管理 ......................................................................................................................... 3.6 用户管理 ......................................................................................................................... 第四章 1. 2. 3. 4.
应用拓扑介绍....................................................................................................................
两个网络在不同网段的应用 ................................................................................................. 两个网络在同一网段的应用 ................................................................................................. 两个网络在混合模式下 ......................................................................................................... 双机热备份典型应用 ......................................................................... 错误!未指定书签。
第一章 天御6000单向安全隔离系统简介
1. 系统概述
天御6000单向安全隔离系统依照《全国电力二次系统安全防护总体方案》、国家经贸委【2002】第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和《电力二次系统安全防护规定》(电监会5号令)由我公司自主开发研制的,满足中国电力行业需求的网络安全产品。适用于电力安全Ⅰ/Ⅱ区与安全Ⅲ/Ⅳ区之间的安全连接,可以文件单向传输、数据库单向同步、实时数据流单向广播等不同环境的应用。
天御6000单向安全隔离系统获得产品资质证书如下:
国家公安部销售许可证 国家电力调度中心检测证书 国家涉密信息系统产品检测证书 国家信息安全认证证书 防电磁辐射检测报告 计算机软件着作权登记证书
2. 技术特点
1) 产品采用2+1结构设计,双主机系统+硬件隔离控制器。 2) 采用非INTEL指令集的网络处理器;
3) 硬件隔离控制器采用专用数据处理芯片,无操作系统,延时小于1毫秒; 4) 中间硬件隔离控制器通过电子开关实现安全隔离和单向控制,使生产控制大区与管
理信息大区之间的隔离强度接近物理隔离;
5) 安全、固化的操作系统,采用嵌入式LINUX系统内核,内、外网关取消所有网络
功能;
6) 内外网关TCP/IP协议栈被裁剪掉,内外网关之间采用私有通讯协议; 7) 应用层数据完全单向传输,TCP应答包禁止携带应用层数据; 8) 高可用性:支持双机容错,支持冗余电源,支持双链路。
3. 技术参数
网络接口: 4个RJ45(内网、外网、热备、管理) 网络接口速率:10MBASE/100MBASE 串行通信接口:2个RS-232(RJ45接口) 贮存温度:-20℃~+55℃ 工作温度:-5℃~+45℃
供电电源:220V±15%,50Hz,连续工作 功 耗:≤50W
体 积:标准19英寸,可上机柜; 带 宽:85M bps
平均无故障时间(MTBF):≥50000小时(100%负荷) 延 时:小于1毫秒
第二章 硬件安装
本章包括天御6000单向安全隔离系统及随机附带的部件资料检查和硬件安装,这有助于您更好地维护天御6000单向安全隔离系统的硬件。关于硬件使用的其它注意事项请参考本手册目录之前的“安全使用注意事项”部分。
1. 拆箱检查
在打开包装之后,请您先检查随机附带的电源线、用户使用手册等物品是否齐全,所有部件请对照装箱单进行检查,如有缺损请及时和销售人员联系。
注:取出设备后,不要将外包装丢弃,在需要搬运时,请务必使用原包装,它是为您的单向安全隔离系统专门设计的包装,具备良好的防震功能。每当您需要维修服务时也最好用原包装将单
向安全隔离系统设备返回到北京和信网安科技有限公司的维修服务部门。
物 品 名 称 数量 天御6000单向安全隔离系统 天御6000单向安全隔离系统的电源线 天御6000单向安全隔离系统的串口线 天御6000单向安全隔离系统用户使用手册 1 1 1 1 2. 硬件安装
天御6000单向安全隔离系统机箱符合工业机柜的标准,它的高度为1U,可以顺利的安装到标准机柜中去。设备共由4个RJ45(内网、外网、热备、管理),2个RS-232(RJ45接口)构成。 ① 准备工作
准备两条交叉网线和两台用于连接天御6000单向安全隔离系统的带网卡的计算机(PC机)。
② 连接天御6000单向安全隔离系统和内、外网计算机(天御6000单向安全隔离系
统IN、OUT口相当于PC机的网卡,与交换机连接用直连线;与PC或防火墙连接用交叉线)。
1)用交叉网线将内网计算机的RJ45端口连接天御6000单向安全隔离系统IN口。 2)用交叉网线将外网计算机的RJ45端口连接天御6000单向安全隔离系统OUT口。 3)用随机的串口配置线一端连接天御6000单向安全隔离系统Out Console口,
另一端连接管理计算机的串口,用交叉网线将管理计算机的RJ45端口连接天御6000单向安全隔离系统MNG口。
4)用随机附送的电源线将天御6000单向安全隔离系统同220V电源连接起来。 ③ 安装过程完毕
3. 设备接入拓扑图
第三章 系统配置
1. 概述
配置天御6000单向安全隔离系统共由两部分组成,一是通过OUT CONSOLE口进行初始化配置(设置管理IP),二是通过MNG口进行网络管理(设置安全策略)。使用隔离系统前,必须正确配置隔离系统,通过阅读本章,可以快速配置及管理天御6000单向安全隔离系统。
注意事项:禁止天御6000单向安全隔离系统管理IP与内网或外网地址在同一个网段。
2. 初始配置
天御6000安全隔离系统的配置首先通过串口命令行进行初始化配置(串口命令行可以配置内容为:管理接口地址、用户认证方式等)。串口配置时需串口线插入OUT CONSOLE口,进行配置,完成初始配置后,可通过客户端管理软件,进行策略配置。具体串口配置过程如下:
注:用户进行串口配置时只需连接到OUT CONSOLE口,即可完成全部初始化配置;IN CONSOLE口为系统调试口,用户无需配置。
2.1 超级终端配置
打开管理机,开始—程序—附件—通讯—超级终端,打开后首先还原为默认值,每秒位数设为115200,如下图所示:
2.2 OUT CONSOLE口配置
第一步,登陆隔离系统OUT CONSOLE
在提示符下输入系统管理员的用户名和密码,默认管理员/密码为:admin/111111。成功登陆后,屏幕显示为
注:
1. 管理接口是隔离设备的管理地址,当用户需要用客户端管理软件管理和配置隔离设备
时,需要在自己的电脑上安装客户端管理软件并将电脑的IP地址与管理接口配置到相同的网段。
2. 认证方式是用户通过客户端管理软件登录到隔离设备上时需要的认证步骤 3. 管理主机列表指定那些用户可以对隔离设备进行管理和配置。 第二步,配置隔离系统
如需要配置只需要在选择后面输入相应命令,
如需要配置管理接口首先在选择后面输入M随即显示管理接口的IP地址 如果需要配置新的管理地址在选择输入S后输入新的IP地址及掩码 注:如果不是跨越三层交换或路由器等设备,默认网关可以不设。
如需配置新的认证方式,请先输入K然后输入S最后输入0或1选择认证方式 如需恢复默认主机列表,请先输入L然后输入S 如需看设备版本信息,请输入V
如需要修改密码,请输入P(建议不要修改密码)然后输入一遍原来的密码在输入两遍新设的密码。
如需要重启系统,请输入R。如需要退出登录界面,请输入Q
3. 客户端配置软件的使用
3.1 客户端配置软件简介
管理软件可以同时管理、配置及监控一台或多台隔离设备,对于多台隔离设备可以进行分组管理,每台设备名称前面用不同颜色的灯显示设备状态,线正确连接);
绿灯:设备正常运行(网
黄灯:
红灯:设备异常运行(内、外网口网线接触不实或没有接);
设备正常待机(两台设备采用双机热备连接时,待机设备状态显示灯)。红灯状态时会有声音报警。
隐藏/显示后退 前进 左边框 打开/关闭声音报警
当点击某个设备名时,即为选中某个隔离设备然后在右框中输入用户名、密码后进入该隔离设备管理配置界面。
3.2 登录客户端配置软件
首先在用户管理机通过网线连接到设备管理口MNG,管理机上安装配置管理软件,安装完成后,打开配置管理软件选择要配置的隔离设备,在登录页面输入默认用户名“admin”、密码“111111”。
3.3 系统管理 系统状态信息
登录后进入设备的配置管理界面,首先看到系统状态页面具体显示该设备的系统状态信息。系统状态主要分两大部分:
系统信息主要介绍单向隔离系统的系统信息包括:设备序列号(每个设备唯一的)、单向隔离系统版本号、授权状态(如果是试用设备该状态显示为试用版)、设备名称(可更改)、工作组名称(可更改)、运行时间。
系统资源通过查看CPU、内存、外存使用率,可以看到设备硬件的实际使用情况。
设备及工作组的名称设置
为了对隔离设备的设备名称和工作组进行设置。需要进入名称设置页面中输入新的设备名称和工作组名称之后点击保存设置按钮生效。生效后可以进入系统状态页面观看更改后的效果。
用户登录认证设置
如果需要对认证方式进行更改需要进入认证设置页面,在认证方式框中选择需要的认证方式当认证方式选择用户名/密码时在登录界面用户只需输入用户名/密码。
当认证方式选择用户名/密码+U盾时,在登录界面用户需要输入用户名/密码/PIN码。用户还可以在密码设置页面上的PIN码设置页面中更改PIN码。
添加和删除管理主机
管理主机可以在认证设置页面中设置,当需要添加新的管理主机时点击添加主机按钮,在主机设置页面中选择管理主机的范围可以是单个的、网段的、范围或所有的主机。
选择好管理主机的范围后点击保存配置新添的主机就添加完成。
注:选择管理主机范围时请注意看后面的例如
当需要删除某些已添加了的管理主机时在该管理主机列表条目后面点击删除,在删除主机页面点击确定。
3.4 规则管理 规则设置
规则设置是整个配置管理界面中最重要功能,用来设置隔离设备两端的访问控制列表。 注:对于源IP、虚拟源IP、目的IP、虚拟目的IP进行以下详细说明,天御6000单向隔离系统采用的是双向地址映射的工作机制,源IP、目的IP为隔离设备两端实际存在的设备的IP地址;虚拟源IP、虚拟目的IP分别为源IP、目的IP的虚拟地址。源IP地址发送数据到虚拟目的IP地址,经过隔离设备后,源IP转换为虚拟源IP,虚拟目的IP装换为真实的目的IP。
当需要添加新的规则时点击添加规则按钮进入规则添加页面。
规则添加页面中的传输方向、传输协议、源IP/端口、虚拟源IP/端口、目的IP/端口、虚拟目的IP/端口、是否需要记录日志、规则状态等根据实际情况需要填写。
设置完毕后点击保存设置按钮,进入规则设置页面点击应用使新规则生效。
添加/编辑完规则后,必须应用
规则设置页面中的规则列表中状态栏中打勾的规则条目是生效的规则,如果需要观看规
则的具体信息时可以点击查看进入规则属性页面
如果需要更改规则就在该规则条目后面点击编辑进入规则添加页面更改规则。 如果需要删除规则就在该规则条目后面点击删除,进入规则删除页面点击确定按钮删除相对的规则。在规则设置页面点击应用使删除生效。
流经隔离设备的数据包会依据规则设置列表中的规则优先级,由高到低依次检查每条策略。当有一条规则匹配时,就不会在检查其它规则了。当所有规则均不匹配时,执行默认规则。其中序号越小,优先级越高。当需要调整规则优先级时可以点击排序升降按钮,然后点击应用生效。
回应字节设置
当用户需要调整回应字节时,进入回应字节设置页面选择回应字节数后点击保存设置按钮生效。
3.5 日志管理
选择要查看的日志
用户可以在日志设置页面上根据需要选择需要自己所需要的日志,还可以设置该日志的大小(大于1K小于5000K)
查看及下载日志内容
选择好需要记录的日志后,可以在日志查询页面中查看相应日志信息。在日志查询页面
中可以选择要查看的日志并且可以选择要查看那段时间的日志信息
如果日志比较重要还可以选择日志导出,将选定的日志信息导到用户的电脑上。
3.6 用户管理 添加或删除用户
管理配置软件默认的用户名/密码:admin/111111(不能删除),为了方便管理,用户可以在用户设置页面上为每一个需要使用的人员设置一个用户名/密码通过管理员日志可以看到谁在什么时间对系统作了哪些修改。也可以为了提高安全性添加一个安全等级高的用户名/密码。默认的用户名/密码最好作为超级用户,只在必要的情况下使用。
添加新用户需要进入到用户添加页面中,填写新用户的用户名/用户真实姓名(可以任意填写,只是作为一个标示)/密码等信息。填写完毕后点击保存设置按钮生效。
当需要改变某用户的密码时在用户列表中点击该用户的编辑按钮,进入用户编辑页面更改用户的真实姓名和密码。改完后点击保存设置按钮生效。
当用户需要删除某个用户名时在用户列表中的用户条目上点击删除进入用户删除页面,点击确定按钮删除生效。
只有用admin用户登录时才可以添加用户,如果使用添加的用户登录只能修改该用户的密码。
修改用户密码、PIN码
在密码设置页面上可以更改登录用户的密码 在密码设置页面上可以更改U盾的Pin码
第四章 应用拓扑介绍
1. 两个网络在不同网段的应用
主机A通过隔离设备访问主机C的数据流程: 主机A上抓包显示: 主机C上抓包显示:
2. 两个网络在同一网段的应用
主机A通过隔离设备访问主机C的数据流程:
主机A上抓包显示: 主机C上抓包显示:
3. 两个网络在混合模式下
主机A通过隔离设备访问主机C的数据流程: 主机A上抓包显示: 主机C上抓包显示:
主机B通过隔离设备访问主机C的数据流程: 主机B上抓包显示: 主机C上抓包显示:
4. 双机热备份典型应用
配置说明
1、串口管理IP配置
通过串口配置对两台隔离设备进行配置,管理IP分别为和2,管理机IP地址为。 2、集中管理软件配置
通过交换机将管理机、两台隔离设备MNG(管理口)连接,管理机安装客户端管理软件后,进入集中管理界面,集中管理软件状态灯有三种状态显示,
黄灯:设备正常待机,
红灯:设备异常运行。
绿灯:设备正常运行,
正常情况下,一台正常运行,一台待机运行。
注意:两台设备的规则需要手工来完成,规则配置必须一致,这样一台出现故障,另外一台才会接管所有应用,保障应用的正常运行。
因篇幅问题不能全部显示,请点此查看更多更全内容