光单向安全隔离数据自动导入系统管理员细则

深信服安全隔离与信息单向导入系统光闸FGAP-1000 白皮书目录1概述 (1)2需求背景 (1)法规标准要求 (1)2.1.1等级保护 (1)2.1.2行业法规 (3)安全需求 (3)2.2.1网络复杂，如何整合 (3)2.2.2安全隐患，如何规避 (3)2.2.3涉密信息，如何传输 (3)3产品概况 (4)产品定位 (4)产品介绍 (4)4产品架构与性能 (4)产品架构 (4)工作原理 (5)5产品功能与特性 (6)产品功能 (6)5.1.1业务功能 (6)5.1.2管理功能 (9)5.1.3高可用性功能 (10)产品特性 (11)5.2.1高安全性 (11)5.2.2高吞吐率 (11)5.2.3高可靠性 (11)5.2.4高便利性 (12)6产品优势与价值 (12)产品优势 (12)6.1.1简便易用的界面风格 (12)6.1.2强大的业务功能 (12)6.1.3高稳定性 (12)6.1.4良好的环境适应 (13)产品价值 (13)7产品应用场景 (13)文件单向安全上传场景 (13)7.1.1场景需求 (13)7.1.2解决方案 (13)7.1.3实现效果 (14)法院信息系统勒索病毒防护场景 (15)7.2.1场景需求 (15)7.2.2解决方案 (15)7.2.3实现效果 (16)1概述自上世纪90 年代以来，信息技术迅猛发展，人们的生活、工作方式发生了巨大变革，信息网络的大规模应用极大地提高了办公效率。

经过多年建设，我国已建成具有相当规模的数字化网络，但随着网络的不断普及，安全问题日益增多，网络和信息安全问题成为威胁国家和政府安全的重大隐患。

随着对安全问题的不断认识和了解，尤其是针对涉密信息的防护，党和政府已将信息安全建设提到一个相当的高度上来。

自2000 年以来安全隔离技术作为一项新兴的网络安全技术，在保障国家信息安全，尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。

联想网御安全隔离与信息单向导入系统产品白皮书Leadsec Uni-directional GAP V2.0✧绝对的单向数据传输✧防止涉密信息泄露✧应用独立和非入侵性✧高效、可靠数据传输目录1.产品介绍 (5)1.1产品概述 (5)1.2产品架构设计 (6)1.2.1硬件架构设计 (6)1.2.2软件系统设计 (7)1.3工作原理 (8)2.核心功能介绍 (10)2.1 信息单向导入功能 (10)2.1.1单向文件传输 (10)2.1.2单向数据库同步 (11)2.1.3单向邮件传输 (12)2.2系统安全控制功能 (12)2.2.1安全管理 (12)2.3.2传输控制 (13)2.3.3病毒检测 (13)2.3系统监控及日志审计报警功能 (13)2.3.1系统监控功能 (13)2.3.2日志审计 (14)2.3.3报警功能 (14)3产品特色 (14)3.1绝对单向无反馈传输 (14)3.2高可靠数据传输 (15)3.3全面的数据安全检测 (16)3.4应用独立和非入侵性 (16)4产品功能规格 (17)4.1基本功能 (17)4.2硬件规格 (18)5.运行环境 (18)6.典型应用 (19)6.1单向文件传输 (19)6.2单向数据库同步 (20)6.3涉密网络邮件接收 (20)1.产品介绍1.1产品概述对于涉密信息系统的保护向来受到国家的重视，2007年3月国家保密局和国务院信息化工作办公室联合颁布了《电子政务保密管理指南》（以下简称指南），指南中规定了电子政务涉密信息系统与电子政务非涉密信息系统的连接条件，指出当秘密级电子政务院涉密信息系统（或安全域）与互联网或其他公共信息网络物理隔离时，应同时满足电子政务非涉密信息系统（或安全域）与互联网或其他公共信息网络的逻辑隔离，可以采用“安全隔离与信息单向导入系统”将涉密信息网络与非涉密信息网络进行连接，数据仅能从非涉密信息网络流向涉密信息网络。

联想网御安全隔离与信息单向导入系统产品白皮书Leadsec Uni-directional GAP V2.0✧绝对的单向数据传输✧防止涉密信息泄露✧应用独立和非入侵性✧高效、可靠数据传输目录1.产品介绍 (4)1.1产品概述 (4)1.2产品架构设计 (5)1.2.1硬件架构设计 (5)1.2.2软件系统设计 (5)1.3工作原理 (6)2.核心功能介绍 (8)2.1 信息单向导入功能 (8)2.1.1单向文件传输 (8)2.1.2单向数据库同步 (9)2.1.3单向邮件传输 (9)2.2系统安全控制功能 (10)2.2.1安全管理 (10)2.3.2传输控制 (10)2.3.3病毒检测 (11)2.3系统监控及日志审计报警功能 (11)2.3.1系统监控功能 (11)2.3.2日志审计 (11)2.3.3报警功能 (11)3产品特色 (12)3.1绝对单向无反馈传输 (12)3.2高可靠数据传输 (12)3.3全面的数据安全检测 (13)3.4应用独立和非入侵性 (13)4产品功能规格 (14)4.1基本功能 (14)4.2硬件规格 (15)5.运行环境 (15)6.典型应用 (15)6.1单向文件传输 (15)6.2单向数据库同步 (16)6.3涉密网络邮件接收 (17)1.产品介绍1.1产品概述对于涉密信息系统的保护向来受到国家的重视，2007年3月国家保密局和国务院信息化工作办公室联合颁布了《电子政务保密管理指南》（以下简称指南），指南中规定了电子政务涉密信息系统与电子政务非涉密信息系统的连接条件，指出当秘密级电子政务院涉密信息系统（或安全域）与互联网或其他公共信息网络物理隔离时，应同时满足电子政务非涉密信息系统（或安全域）与互联网或其他公共信息网络的逻辑隔离，可以采用“安全隔离与信息单向导入系统”将涉密信息网络与非涉密信息网络进行连接，数据仅能从非涉密信息网络流向涉密信息网络。

该规定在政策层面解决了涉密信息网络与非涉密信息网络连接的问题，促进了电子政务信息化的发展，从而也促进了安全隔离与单向信息导入产品的完善和发展。

SANGFOR FGAP v3.0 深信服安全隔离与信息单向导入系统用户手册目录目录 (2)声明 (4)手册内容 (4)本书约定 (5)技术支持 (6)致谢 (6)第1章SANGFOR_FGAP安全隔离与信息单向导入系统硬件设备的安装 (7)1.1. 电源 (7)1.2. 产品接口说明 (7)1.3. 配置与管理 (8)1.3.1. 开始使用 (8)1.3.2. 设备关闭 (9)1.3.3. WEB管理 (9)1.3.4. 登录/注销 (9)1.3.5功能区域介绍 (10)1.4. 设备接线方式 (11)第2章SANGFOR_FGAP安全隔离与信息单向导入系统硬件设备的部署 (13)2.1.网络部署 (13)第3章SANGFOR_FGAP安全隔离与信息单向导入系统硬件设备的配置 (14)3.1.用户管理 (14)3.1.1. 说明 (14)3.1.2. 权限分立 (14)3.1.3. 登录限制 (16)3.1.4. 修改密码 (16)3.2.系统管理 (17)3.2.1. 基本设置 (17)3.2.2. 设备时间 (18)3.2.3. 双机热备 (19)3.2.4. 设备管理 (19)3.2.5. 网络接口 (20)3.2.6. 诊断工具 (22)3.2.7. 备份恢复 (26)3.2.8. 系统升级 (29)3.2.9. 设备状态 (31)3.3. 策略管理 (32)3.3.1. 地址绑定 (34)3.3.2. 存储管理 (35)3.3.3. 内容审查 (36)3.3.4. 关键字过滤 (36)3.3.5. 文件类型过滤 (38)3.3.6防病毒 (39)3.3.7数据传输 (39)3.3.8文件交换 (42)3.3.9邮件转发 (45)3.3.10组播策略 (47)3.3.12数据库同步 (48)3.3.13文件查看 (51)3.3.14校验传输 (51)3.4. 日志审计 (53)3.4.1. 管理日志 (53)3.4.2. 审计员日志 (55)3.4.3. 系统日志 (56)3.4.4. 交换日志 (57)3.4.5. 邮件日志 (57)3.4.6. 连接日志 (58)3.4.7. 内容过滤 (58)3.4.8. 数据库同步日志 (59)第4章SANGFOR_FGAP安全隔离与信息单向导入系统产品部署案例 (60)4.1.FTP自动交换 (60)4.2.数据库同步 (63)4.3.数据传输 (65)声明Copyright © 2019 深圳市深信服科技股份有限公司及其许可者版权所有，保留一切权利。

伟思信安安全隔离与信息单向导入系统V3.5用户手册目录1系统概述 (1)1.1系统简介 (1)1.2名词解释 (1)2安装部署 (2)2.1前置工作 (2)2.1.1设备清单检查 (2)2.1.2安装环境要求 (2)2.1.3温度及湿度要求 (2)2.1.4环境洁净度要求 (3)2.1.5静电要求 (3)2.1.6雷电/电磁要求 (3)2.1.7安装台面检查 (4)2.1.8安全注意事项 (4)2.1.9安装工具准备 (5)2.2设备上架 (5)1.1.1安装到水平台面 (6)1.1.2安装到标准机架 (6)3业务操作指南 (6)3.1登录管理 (6)3.1.1准备工作 (6)3.1.2管理方式 (7)3.2本地文件同步 (7)3.2.1本地文件同步-功能描述 (7)3.2.2本地FTP文件同步-Web配置 (7)3.2.3本地SMB文件同步-Web配置 (8)3.3数据库同步 (8)3.3.1在外端创建数据资源 (8)3.3.2在内端创建数据资源 (9)3.3.3在外端添加服务 (10)3.3.4在内端添加服务 (11)3.3.5外端服务启停 (13)3.3.6内端服务启停 (13)3.3.7外端同步日志 (14)3.3.8内端同步日志 (14)4运维操作 (15)4.1常见故障 (15)4.1.1CPU高 (15)4.1.2内存高 (15)4.1.3网络异常 (15)4.1.4SYLOG日志失效 (16)4.1.5单向通道故障 (16)4.2运维指南 (17)4.2.1日常运维 (17)4.2.2应急处理 (18)4.3注意事项 (19)5单向外端功能介绍 (19)5.1登录 (19)5.2系统设置 (20)5.2.1系统状态 (20)5.2.2系统时间 (20)5.2.3系统维护 (21)5.2.4登录设置 (22)5.2.5备份/恢复 (22)5.2.6系统升级 (23)5.2.7设备信息 (23)5.3网络设置 (24)5.3.1接口设置 (24)5.3.2网关设置 (26)5.3.3静态路由 (27)5.3.4通道设置 (28)5.3.5IP/MAC绑定 (28)5.4本地服务 (29)5.4.1FTP服务 (29)5.4.2SMB服务 (30)5.4.3SFTP服务 (31)5.4.4邮件服务 (31)5.5数据同步 (32)5.5.1数据资源 (32)5.5.2数据库系统配置 (34)5.5.3业务注册 (34)5.5.4业务与服务管理 (35)5.6病毒库管理 (35)5.6.1引擎信息 (35)5.6.2隔离区管理 (36)6单向导入系统外端（日志审计员账号） (36)6.1日志与审计 (36)6.1.1管理操作日志 (36)6.1.2数据库抽取日志 (37)6.1.3数据库基本日志信息 (38)6.1.4文件同步日志 (38)6.1.5通道操作日志 (39)6.1.6告警日志 (40)7单向内端功能介绍 (40)1系统概述1.1系统简介伟思信安安全隔离与信息单向导入系统采用先进的单向光通道传输技术独立研制生产的新一代网络隔离与单向数据传输产品。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1 产品概述 (4)2 产品原理 (6)3 产品功能说明 (8)4 产品技术优势 (12)5 典型应用 (15)1产品概述随着网络应用范围的不断扩大和网络应用技术的不断深入，网络用户也更加意识到网络安全的重要性，同时各个网络安全厂商也不断发布新的产品以适应用户日益增长的网络安全需求。

但无论网络安全技术如何发展，网络及网络上的信息资源依然存在着相当的安全风险，网络攻击技术和网络安全技术正如中国古代矛与盾的比喻，攻防永无止境，发展永无止境。

防火墙、防病毒、漏洞扫描和系统风险评估、入侵检测等技术都可以在一定程度上提供安全防护，但这些安全手段还不足以保障用户网络系统、信息资源的安全。

据美国《金融时报》报道，现在平均每10秒就发生一次入侵计算机网络的事件，超过1/3的互联网防火墙被攻破。

目前政府机关内部网络可能所受到的攻击包括黑客入侵，内部信息泄漏，不良信息的进入内网等方式。

因此，对于高速发展的电子政务系统来说，最迫切要解决的安全问题应该是政府内部机密信息的数据安全，如果使内外网物理上的通路断开，不失为一个最有效的解决办法。

2007年3月份，国家保密局和国务院信息化工作办公室联合发布了《电子政务保密管理指南》。

《指南》中规定：按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，若非涉密网络与互联网物理隔离，则采用双向网闸隔离涉密网络与非涉密网络；若非涉密网络与互联网是逻辑隔离的，则采用单向网闸隔离涉密网络与非涉密网络，保证涉密数据不从高密级网络流向低密级网络。

如下图所示：政府涉密网络、军工、电力等行业中含有大量的敏感信息及涉密数据（可能定级为涉密网或含有敏感数据的非涉密网），这些涉密数据是绝对不能流入比它密级低的网络中的，但这些网络通常又需要能从密级低的网络中获取数据。

精心整理网神SecSIS 3600光单向安全隔离数据自动导入系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术（北京）股份有限公司除就本手册和产品应负的瑕疵担保责任外，适合某特定用途的担保。

商业利润的损失、业务中断、SecSIS 3600光单向安全隔离数据自动导入系统，您能成SecSIS 3600光单向安全隔离数据自动导入系统，网神SecSIS 3600光单向安全隔离数据自动导入系统必须通过管理主机对光单向安全隔离数据自动导入系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600光单向安全隔离数据自动导入系统的管理员。

在安装光单向安全隔离数据自动导入系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

谢谢您的合作！网神信息技术（北京）股份有限公司①~ 80%；存储环境为温度0℃ ~ 70℃，湿度②③如果您擅自更换标准电源线，可能会带来严重后果。

特别提示：①遇到故障，请不要自行拆卸光单向安全隔离数据自动导入系统，建议与我们的技术支持人员（免费咨询电话：400-610-8220）取得联系，以获得最佳解决方案。

②光单向安全隔离数据自动导入系统的搬运应注意：⑴本光单向安全隔离数据自动导入系统的搬运最好使用出厂原包装。

搬运之前请清点好所有部件和随机附带的资料。

⑵最好将各个部件和随机附带的资料按出厂时的包装还原。

⑶光单向安全隔离数据自动导入系统不可带电搬运，任何零部件不可带电插拔，否则可能损坏光单向安全隔离数据自动导入系统。

安盟信息：杜绝非授权的高密低传问题作者：来源：《中国计算机报》2016年第36期在我国的军工、研究所等网络环境中，一些涉密网络为了保证其自身的安全性、保密性，进行了物理网络隔离。

但是，由于存在数据交换的需求，所以采用光盘拷贝的形式进行数据传递。

这种形式传输数据存在以下弊端：无法解决数据的时效性问题，产生了大量的资源浪费（如人力资源、光盘耗材等）。

军工、研究所等涉密单位有着类似的应用数据单向传输需求。

以军工行业为例来说，网络分为涉密内网、办公内网、办公外网，也有部分军工单位用于生产控制的网络或者具有特定应用的局域网。

不同安全域之间存在数据传输的需求，其中高密低传部分涉及很多定密级、多层审批、数据脱敏、加解密等应用，所以不在本文讨论范围之列。

这里只探讨数据低密高传时，如何自动、快速的实现。

由于军工单位具有严格的保密制度，它们的信息共享、数据导入通常采用光盘刻录的形式，不能有效保证信息导入的及时性，一旦遇上紧急情况则可能因为数据传递的延误而带来较为严重的后果。

因此，如何在保证涉密单位的涉密网络在物理隔离的前提下，还可以及时高效地进行单向信息传输，是一个亟待解决的问题。

通过对军工涉密系统的风险分析和安全问题研究我们发现，用户需要制定合理的安全策略和数据传输方案，以保证涉密网络的保密性、完整性、可用性、可控性、可审查性和可恢复性。

在不同密级的网络之间，需要在物理层面进行隔离，并采用文件、数据库等应用的单向传输方式，杜绝非授权的高密低传的问题。

如今，有一种高效、安全、稳定的新技术为此类应用提供了一份具有实际操作意义的解决方案。

这种技术利用了光信号传输的单向性的物理特点，从物理层保证只有单向的数据流转。

采用此技术的产品目前定义为安全隔离与信息单向导入产品。

安全隔离与信息单向导入系统（简称单向光闸）在产品形式上是由内网单元、外网单元、光单向传输单元三个物理部分组成。

它基于光隔离平台的通信服务，采用经过优化的传输和冗余算法，将数据传输的功能进行整合，在保证内网数据不泄密的情况下，可以灵活地制定传输策略，从而实现在特定的时间、特定的地点，使用特定的身份，以特定的形式传输特定的数据。

光盘安全隔离与信息单向导入系统技术要求
光盘安全隔离与信息单向导入系统是一种涉及信息安全的技术解决方案，其技术要求如下：
1. 隔离性：系统应能够将光盘内的信息与外部系统完全隔离，确保光盘中的任何恶意软件或病毒无法传播到外部系统。

2. 安全性：系统应具备高强度的安全性能，包括严格的访问控制、数据加密、完整性保护等功能，防止未经授权的访问、篡改或泄漏。

3. 可靠性：系统应保证光盘的内容在传输过程中不会出现错误或丢失，确保数据的完整性和一致性。

4. 易用性：系统应具备简洁、直观的用户界面，方便用户操作，减少误操作和操作疏忽导致的安全风险。

5. 兼容性：系统应能够与现有的硬件设备和操作系统兼容，确保用户能够方便地使用系统。

6. 可扩展性：系统应具备良好的扩展性，能够满足不同规模和需求的应用场景，支持多种接口和协议。

7. 日志审计：系统应记录所有的操作日志，包括光盘的导入、访问和操作等，为安全审计和故障排查提供支持。

8. 系统更新和维护：系统应支持定期的更新和维护，及时修复
安全漏洞和软件缺陷，保证系统的长期稳定和安全性。

总之，光盘安全隔离与信息单向导入系统技术要求主要包括隔离性、安全性、可靠性、易用性、兼容性、可扩展性、日志审计和系统更新和维护。

这些要求可以确保光盘中的信息能够安全地导入外部系统，同时避免潜在的安全威胁和风险。

内部网络隔离操作规程一、概述随着信息技术的迅猛发展，网络已成为企业内部办公和业务处理的基础设施。

然而，网络的开放性也带来了安全威胁，特别是内部网络的隔离问题。

为了保障企业信息安全，制定一套内部网络隔离操作规程是至关重要的。

二、目的内部网络隔离旨在实现以下目的：1. 防范内外网攻击：通过划分网络空间，限制内网对外网的直接访问，有效预防黑客入侵和恶意软件扩散。

2. 保护重要数据：对内部网络按照安全级别进行划分，将重要数据存放在隔离的网络区域，减少数据泄露的风险。

3. 提升网络性能：内部网络隔离可以避免网络拥塞，提高网络传输效率和响应速度。

4. 符合法律法规要求：根据相关法律法规的规定，实施内部网络隔离有助于企业合规运营。

三、操作规程1. 内外网物理隔离：设置防火墙、路由器等设备，将内外网物理隔离，确保内网与外网隔离开，并实施严格的访问控制策略。

2. 内部网络划分：根据信息安全级别和业务需求，将内部网络划分为不同的安全区域。

每个区域依据需求设置不同的权限和访问控制策略。

3. 内网访问控制：通过技术手段对内部网络访问进行严格控制，例如使用网络访问控制列表（ACL）限制访问目标和端口，设置虚拟专用网络（VPN）隧道等。

4. 应用层访问控制：在内部网络中，应根据业务需求，设置访问控制策略，限制用户对特定应用的访问权限，并定期审查和更新访问策略。

5. 定期漏扫和安全评估：定期进行内网漏洞扫描和安全评估，及时发现网络潜在风险和弱点，并及时进行补救和加固。

6. 日志监控和事件响应：建立完善的网络日志监控系统，实时监测网络活动，及时发现异常行为并采取相应的安全响应措施。

7. 员工意识培训：加强对员工的网络安全意识培训，教育员工遵守网络安全政策和操作规程，防范社会工程学攻击及其他安全威胁。

四、操作流程1. 制定网络隔离方案：根据企业需求和业务特点，制定内部网络隔离方案，明确隔离区域、策略和权限控制等内容。

2. 配置网络设备：根据方案配置相应的网络设备，保证设备与方案的一致性，并确保设备的正常运行。

深信服安全隔离与信息单向导入系统光闸FGAP-1000 白皮书目录1概述 (1)2需求背景 (1)法规标准要求 (1)2.1.1等级保护 (1)2.1.2行业法规 (3)安全需求 (3)2.2.1网络复杂，如何整合 (3)2.2.2安全隐患，如何规避 (3)2.2.3涉密信息，如何传输 (3)3产品概况 (4)产品定位 (4)产品介绍 (4)4产品架构与性能 (4)产品架构 (4)工作原理 (5)5产品功能与特性 (6)产品功能 (6)5.1.1业务功能 (6)5.1.2管理功能 (9)5.1.3高可用性功能 (10)产品特性 (11)5.2.1高安全性 (11)5.2.2高吞吐率 (11)5.2.3高可靠性 (11)5.2.4高便利性 (12)6产品优势与价值 (12)产品优势 (12)6.1.1简便易用的界面风格 (12)6.1.2强大的业务功能 (12)6.1.3高稳定性 (12)6.1.4良好的环境适应 (13)产品价值 (13)7产品应用场景 (13)文件单向安全上传场景 (13)7.1.1场景需求 (13)7.1.2解决方案 (13)7.1.3实现效果 (14)法院信息系统勒索病毒防护场景 (15)7.2.1场景需求 (15)7.2.2解决方案 (15)7.2.3实现效果 (16)1概述自上世纪90 年代以来，信息技术迅猛发展，人们的生活、工作方式发生了巨大变革，信息网络的大规模应用极大地提高了办公效率。

经过多年建设，我国已建成具有相当规模的数字化网络，但随着网络的不断普及，安全问题日益增多，网络和信息安全问题成为威胁国家和政府安全的重大隐患。

随着对安全问题的不断认识和了解，尤其是针对涉密信息的防护，党和政府已将信息安全建设提到一个相当的高度上来。

自2000 年以来安全隔离技术作为一项新兴的网络安全技术，在保障国家信息安全，尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。

光单向安全隔离数据自动导入系统项目需求一、供应商资格要求：1.投标人具有信息技术服务管理体系标准认证证书；（以上证书单位名称需与营业执照单位名称完全一致）；2.投标人承诺中标后一周内提供所投光单向安全隔离数据自动导入系统原厂针对本项目的三年质保承诺函原件。

请投标人认真对照资格要求，如不符合要求，无意或故意参与投标的，所产生的一切后果由投标人自行承担。

货到安装、调试、验收合格后5个工作日内一次性支付货款。

四、其他1、签定合同日期：自采购中心中标（成交）通知书发出之日起5个工作日内按时签约。

2、交货期：自合同签定之日起10天内。

3、交货地点：采购人指定地点。

4、质保期限：三年原厂质保。

5、验收要求：在接到供应商以书面形式提出验收申请后，在5个工作日内及时组织相关专业技术人员，必要时邀请相关部门共同参与验收，并出具验收报告，作为支付货款的依据。

6、售后服务及其他中标供应商需提供本地化服务，提供安装、调试、培训、维护等服务，所有设备质保期内免费维护维修及技术支持，保修期以外提供免费维护和技术支持，维修只收材料成本费。

设备发生故障时，接到用户通知需4小时内上门，48小时内解决问题。

7、本项目预算12万元整，投标人报价超过预算的为无效报价。

供应商报价时需同时上传以下附件：1、投标人营业执照、信息技术服务管理体系标准认证证书复印件。

2、投标人承诺函，承诺中标后一周内提供所投光单向安全隔离数据自动导入系统原厂针对本项目的三年质保承诺函原件。

（承诺函格式自拟）3、投标人盖章的项目清单报价组成明细表，表中须标注所投品牌名称、型号及参数（不接受负偏离应标）。

ViGap安全隔离与信息单向导入系统V3.0用户手册珠海经济特区伟思有限公司目录第一章系统管理员操作简介 (4)1.1.初始化配置 (4)1.2.系统配置 (5)1.2.1.系统状态 (5)1.2.2.系统时间 (6)1.2.3.登录设置 (7)1.2.4.备份/恢复 (7)1.3.网络配置 (8)1.3.1.接口配置 (8)1.3.2.网关设置 (9)1.3.3.静态路由 (10)1.3.4.通道设置 (10)1.3.5.IP/MAC绑定 (11)1.4.高可用性 (12)1.4.1.双机热备 (12)1.4.2.虚拟IP (13)1.4.3.双击热备状态 (13)1.5.本地服务 (14)1.5.1.通信访问控制 (14)1.5.2.FTP服务 (15)1.5.3.SMB服务 (15)1.5.4.NFS服务 (16)1.6.数据同步 (16)1.6.1.数据资源 (16)1.6.2.业务注册 (17)1.6.3.业务与服务管理 (17)1.7.病毒库管理 (31)1.7.1.引擎信息 (31)1.7.2.隔离区管理 (31)第二章用户管理员操作简介 (33)2.1.用户配置 (33)第三章日记审计员操作简介 (35)3.1.日志与审计 (35)3.1.1.系统日志 (35)3.1.2.管理操作日志 (36)3.1.3.数据库抽取日志 (36)3.1.4.数据库基本信息日志 (37)3.1.5.文件同步日志 (38)3.1.6.通道操作日志 (38)3.1.7.告警日志 (39)3.1.8.日志管理设置 (40)第四章故障维修 (41)第一章系统管理员操作简介1.1.初始化配置1)ViGap安全隔离与信息单向导入系统V3.0内端机连接可信的内网，外端机连接不可信的外网；2)ViGap安全隔离与信息单向导入系统V3.0采用B/S模式管理，且必须通过内外两个管理口分别对ViGap安全隔离与信息单向导入系统V3.0两端进行管理。

联想网御安全隔离与信息单向导入系统产品白皮书Leadsec Uni-directional GAP V2.0✧绝对的单向数据传输✧防止涉密信息泄露✧应用独立和非入侵性✧高效、可靠数据传输目录1.产品介绍 (4)1.1产品概述 (4)1.2产品架构设计 (5)1.2.1硬件架构设计 (5)1.2.2软件系统设计 (5)1.3工作原理 (6)2.核心功能介绍 (8)2.1 信息单向导入功能 (8)2.1.1单向文件传输 (8)2.1.2单向数据库同步 (9)2.1.3单向邮件传输 (9)2.2系统安全控制功能 (10)2.2.1安全管理 (10)2.3.2传输控制 (10)2.3.3病毒检测 (11)2.3系统监控及日志审计报警功能 (11)2.3.1系统监控功能 (11)2.3.2日志审计 (11)2.3.3报警功能 (11)3产品特色 (12)3.1绝对单向无反馈传输 (12)3.2高可靠数据传输 (12)3.3全面的数据安全检测 (13)3.4应用独立和非入侵性 (13)4产品功能规格 (14)4.1基本功能 (14)4.2硬件规格 (15)5.运行环境 (15)6.典型应用 (15)6.1单向文件传输 (15)6.2单向数据库同步 (16)6.3涉密网络邮件接收 (17)1.产品介绍1.1产品概述对于涉密信息系统的保护向来受到国家的重视，2007年3月国家保密局和国务院信息化工作办公室联合颁布了《电子政务保密管理指南》（以下简称指南），指南中规定了电子政务涉密信息系统与电子政务非涉密信息系统的连接条件，指出当秘密级电子政务院涉密信息系统（或安全域）与互联网或其他公共信息网络物理隔离时，应同时满足电子政务非涉密信息系统（或安全域）与互联网或其他公共信息网络的逻辑隔离，可以采用“安全隔离与信息单向导入系统”将涉密信息网络与非涉密信息网络进行连接，数据仅能从非涉密信息网络流向涉密信息网络。

该规定在政策层面解决了涉密信息网络与非涉密信息网络连接的问题，促进了电子政务信息化的发展，从而也促进了安全隔离与单向信息导入产品的完善和发展。

铱迅下一代防火墙系统管理员手册南京铱迅信息技术有限公司Nanjing Yxlink Information Technologies Co., Ltd.注意●未经南京铱迅信息技术有限公司(Nanjing Yxlink InformationTechnologies Co.,Ltd.，简称：铱迅信息) 的事先书面许可，对本产品附属的相关手册之所有内容，不得以任何方式进行翻版、传播、转录或存储在可检索系统内，或者翻译成其他语言。

●本手册没有任何形式的担保、立场表达或其他暗示。

若有任何因本手册或其所提到之产品信息，所引起直接或间接的数据流失、利益损失或事业终止，铱迅信息不承担任何责任。

●铱迅信息保留可随时更改手册内所记载之硬件及软件规格的权利，而无须事先通知。

●本手册描述的“铱迅下一代防火墙系统”之功能，并非所有型号都支持，对于每个型号拥有的功能模块，请咨询供货商或联系铱迅客服人员。

●本公司已竭尽全力来确保手册内载信息的准确性和完善性。

如果您发现任何错误或遗漏，请向铱迅信息反映。

对此，我们深表感谢。

商标信息铱迅信息、铱迅信息的标志、铱迅下一代防火墙系统标志为南京铱迅信息技术有限公司的商标或注册商标。

本手册或随铱迅信息产品所附的其他文件中所提及的所有其他商标名称，分别为其相关所有者所持有的商标或注册商标。

铱迅Web应用防护系统管理员手册阅读指导如果您是第一次使用铱迅下一代防火墙系统，建议首先阅读如下章节：3.安装部署4.安装及初始化5.快速使用指南6.开始使用如果您做日常入侵告警的查看和分析，建议阅读如下章节：7.概况8.监视15.报表管理如果您是高级用户，建议重点阅读如下章节：9.防火墙10.入侵防御11.病毒防御12.流量控制13.负载均衡14.网络配置16.系统配置17.日志18.Console功能19.复位与还原如果您想了解产品特点及规格，建议阅读如下章节：1. 简介2. 产品规格如果您有问题需要寻求答案，可阅读如下章节：20.常见问题与解答目录前言 (1)1.简介 (3)1.1.产品介绍 (3)1.2.技术特点 (3)2.产品规格 (5)2.1.面板说明 (5)2.1.1.接口说明 (5)2.1.2.面板类型 (6)2.2.规格与电气特性 (6)3.安装部署 (7)3.1.透明网桥模式 (7)3.1.1.单一混合型Web服务部署模式 (7)3.1.2.单一分离式应用服务部署模式 (8)3.1.3.集群式/集中式应用服务部署模式 (9)3.1.4.半分散式应用服务部署模式 (11)3.1.5.全分散式应用服务部署模式 (12)4.安装及初始化 (13)4.1.打开包装箱 (13)4.2.安装设备 (13)4.3.选择部署方案 (13)4.4.初始化设备 (13)4.4.1.连接设备的Console口 (13)4.4.2.连接设备的DSI接口 (14)4.4.3.配置DMI接口网络参数 (16)5.快速使用指南 (20)5.1.修改密码 (20)5.2.查看系统状态 (20)5.2.1.系统状态 (20)5.2.2.设备信息 (21)5.2.3.授权信息 (22)5.3.查看入侵记录 (23)5.4.查看网络流量 (23)5.5.关机和重启 (23)6.开始使用 (24)6.1.登录 (24)6.1.1.登录系统 (24)6.1.2.系统管理员登录 (25)6.1.3.安全审计员登录 (26)6.1.4.安全管理员登录 (27)6.2.密码修改 (28)6.3.欢迎界面 (29)6.4.功能菜单 (29)6.5.通用菜单、按钮介绍 (33)6.5.1.保存和应用功能 (33)6.5.2.重置和取消功能 (33)6.5.3.刷新功能 (34)6.5.4.多选功能 (34)6.5.5.双击功能 (34)6.5.6.翻页功能 (35)6.5.7.排序功能 (35)6.5.8.选择列功能 (36)7.概况 (37)7.1.系统状态 (37)7.2.设备信息 (37)7.3.授权信息 (38)8.监视 (40)8.1.入侵记录 (40)8.1.1.查看入侵记录 (40)8.1.2.统计视图 (42)8.1.3.筛选入侵记录 (42)8.1.4.导出入侵记录 (43)8.1.5.入侵记录的右击菜单 (43)8.2.入侵查询 (44)8.3.入侵统计 (45)8.4.阻断状态 (46)8.5.防病毒记录 (46)8.5.1.查看防病毒记录 (46)8.5.2.统计视图 (48)8.5.3.筛选防病毒记录 (48)8.5.4.导出防病毒记录 (49)8.6.系统日志 (49)8.7.磁盘日志清理 (51)8.7.1.自动磁盘清理 (51)8.7.2.手动磁盘清理 (51)8.8.VPN日志 (52)8.9.VPN监控 (52)9.防火墙 (54)9.1.访问控制 (54)9.1.1.添加访问控制 (54)9.1.2.修改访问控制 (55)9.1.3.删除访问控制 (56)9.2.NAT配置 (56)9.2.1.添加NAT配置 (56)9.3.IP-MAC绑定 (58)9.4.TCP Flood设置 (58)9.5.UDP/ICMP Flood设置 (59)9.6.DDOS访问控制 (60)10.入侵防御 (60)10.1.策略集设置 (60)10.1.1.添加策略集 (60)10.1.2.修改策略集 (61)10.1.3.复制策略集 (61)10.1.4.删除策略集 (61)10.2.防护策略 (61)10.2.1.添加防护策略 (61)10.2.2.修改防护策略 (63)10.2.3.删除防护策略 (64)10.3.内置规则 (64)10.4.自定义规则 (66)10.4.1.查看自定义规则 (66)10.4.2.自定义规则的添加和修改 (67)10.4.3.自定义规则举例 (67)11.病毒防御 (69)11.1.防病毒设置 (69)11.2.防病毒策略 (69)11.2.1.添加防护策略 (69)11.2.2.修改防病毒策略 (71)11.2.3.删除防病毒策略 (72)12.流量控制 (73)12.1.实时流量 (73)12.2.流量控制 (73)12.2.1.添加流量控制 (73)12.2.2.修改流量控制 (75)12.2.3.删除流量控制 (75)12.3.流量监测 (76)12.4.流量监测配置 (76)12.5.网络流量 (76)13.负载均衡 (77)13.1.WAN链路均衡 (77)13.1.1.权重均衡 (77)13.1.2.ISP列表 (78)13.1.3.策略选路 (78)13.1.4.DNS智能转发 (79)13.2.服务器负载均衡 (80)13.2.1.真实服务器 (80)13.2.2.服务器组 (82)13.2.3.虚拟服务器 (82)13.3.UDP负载均衡 (83)13.3.1.真实服务器 (83)13.3.2.虚拟服务器 (83)13.4.缓存加速 (84)13.4.1.缓存加速设置 (85)13.4.2.缓存加速统计 (85)14.VPN应用 (85)14.1.VPN用户管理 (85)14.1.1.VPN用户 (86)14.1.2.VPN用户组 (88)14.1.3.在线用户 (90)14.2.VPN应用设置 (91)14.2.1.VPN应用 (91)14.3.VPN使用举例 (93)14.3.1.C/S应用 (93)14.3.2.全网络应用 (106)14.4VPN授权 (110)15.网络配置 (111)15.1.网络接口 (111)15.1.1．配置网络接口为普通方式 (111)15.1.2．配置网络接口为透明方式 (112)15.1.3．配置网络接口为策略路由方式 (113)15.1.4．配置网络接口为端口汇聚方式 (114)15.1.5．配置网络接口为PPPOE方式 (115)15.2．虚拟网桥 (116)15.3．静态路由 (116)15.3.1．修改默认路由 (117)15.3.2．添加普通路由 (117)15.4．策略路由 (118)15.5．DHCP服务 (118)15.6．VLAN网络设置 (119)15.7．虚拟IP设置 (119)15.8．端口汇聚 (121)15.9．DNS设置 (121)15.9.1．DNS服务器地址 (121)15.9.2.DNS缓存 (122)15.10.接口管理 (122)15.10.1.配置系统初始化接口（DSI） (122)15.10.2.配置设备管理接口（DMI） (122)15.11.BYPASS设置 (123)15.12.部署配置实例 (123)15.12.1.配置双路进线（电信、教育网） (123)15.12.2.配置一进多出（一条线路，多台服务器） (124)15.12.3.配置策略路由 (125)16.报表管理 (127)16.1.报表管理 (127)16.2.即时报表 (127)16.3.定期报表 (128)17.系统配置 (128)17.1.高级 (129)17.1.1.防护IP范围 (129)17.1.2.地址范围 (129)17.1.3.计划任务 (131)17.1.4.蜘蛛设置 (134)17.2.系统 (136)17.3.基本参数设置 (139)17.4.用户设置 (141)17.4.1.用户设置（系统管理员适用） (141)17.5.通知 (142)18.日志 (147)18.1.审计日志(仅限于安全审计员) (147)19.Console功能 (148)19.1.主菜单： (149)主菜单常用命令 (149)显示接口信息： (149)配置菜单（configure）： (149)配置菜单常用命令： (150)20.复位与还原 (152)21.常见问题与解答 (153)附录A出厂默认设置 (155)附录B设备设置接口(DSI接口)初始设置 (155)附录C预置账号 (155)附录D安全审计员预置账号 (155)附录E安全管理员预置账号 (155)附录F Console用户预置帐号 (155)附录G默认设置 (155)前言文档范围本文将覆盖铱迅下一代防火墙系统的硬件产品规格和Web管理界面的所有功能特点，并详细介绍该系统的具体使用方法。