二代隔离装置配置作业指导书

隔离装置配置作业指导书
前言
为进一步规范隔离装置接入配置，实现标准化配置流程，完善信息系统的作业标准化，确保设备及信息网络隔离装置的安全、可靠运行，特制订《隔离装置配置作业指导书》。

目录
1. 适用范围 (1)
2. 信息安全网络隔离装置介绍 (1)
2.1信息安全网络隔离装置的定义 (1)
2.2信息安全网络隔离装置在网络中的位置 (2)
2.3信息安全网络隔离装置访问控制策略 (2)
3. 作业准备 (3)
3.1新设备准备工作 (3)
3.2工器具 (4)
3.3危险点分析及预控措施 (4)
4. 隔离装置配置工作流程图 (5)
5. 作业程序及作业标准 (6)
附件一：隔离装置安装手册 (9)
1. 环境装备 (9)
2. 操作系统安装 (10)
2.1操作系统安装前装备 (10)
2.1.1查看装置MAC地址，申请凝思操作系统序列号 (10)
2.1.2 安装操作系统其它需求 (10)
2.2操作系统安装 (10)
3. Sql代理系统安装 (11)
3.1 Sql代理安装前准备 (11)
3.2 Sql代理系统安装 (12)
4. IP、路由配置 (12)
4.1 IP地址配置 (12)
4.11 IPV4地址 (12)
4.12 IPV6地址 (13)
4.2 路由配置 (14)
4.3 修改ssh限制外网连接 (14)
5.隔离装置配置 (15)
5.1配置前信息准备 (15)
5.2登录隔离装置 (15)
5.3配置SQL代理服务 (16)
5.4配置应用系统 (20)
5.5 提供给外网应用信息配置 (21)
6.应用系统配置 (22)
6.1修改应用配置 (22)
6.1.1添加jar包 (22)
6.1.2修改环境变量 (22)
6.2配置Weblogic数据源 (23)
6.2.1创建JDBC数据源 (23)
6.2.2JDBC数据库驱动类型 (24)
6.2.3其他属性配置 (24)
6.2.4连接属性 (25)
6.2.5测试数据库连接 (26)
6.2.6连接池设置（默认下不需要配置） (27)
7.常见配置问题 (29)
隔离装置配置作业指导书
1.适用范围
本作业指导书适用于第二代信息网络隔离装置配置工作。

2.信息安全网络隔离装置介绍
2.1信息安全网络隔离装置的定义
信息安全网络隔离装置是将可信任的信息内网和不可信任的信息外网进行隔离，因此必须保证信息内网和信息外网之间的SQL通信均通过信息安全网络隔离装置进行，同时还必须保证信息安全网络隔离装置自身的安全性。

2.2信息安全网络隔离装置在网络中的位置
普通网络系统连接示意图
2.3信息安全网络隔离装置访问控制策略
访问控制策略是信息安全网络隔离装置的基础，它可以按如下两种逻辑来制订：
1、默认禁止：访问控制规则没有明确允许的都禁止访问；
2、默认允许：访问控制规则没有明确禁止的都允许访问。

对于网络通讯的控制，采用默认禁止的方式，即为配置相应通讯策略的协议，均无法通过装置。

3.作业准备
3.1新设备准备工作
3.2工器具
3.3危险点分析及预控措施
4.隔离装置配置工作流程图
5.作业程序及作业标准
附件一：隔离装置安装手册1.环境装备
2.操作系统安装
2.1操作系统安装前装备
2.1.1查看装置MAC地址，申请凝思操作系统序列号
1)软件方法：用光盘引导进入凝思操作系统，系统用户为root，密码为rocky。

输入命令：ifconfig –a（中间有空格），显示四个网卡信息，用eth2的MAC地址来申请序列号。

2)硬件方法：隔离装置有两块网卡，直接查看竖着的网卡，其上印制有硬件地址。

2.1.2安装操作系统其它需求
1)显示器、键盘、鼠标（特殊情况下使用）
2)外接移动光驱
3)Linx（凝思）系统安装盘
2.2操作系统安装
1)在BIOS中设置光盘为第一启动盘，将凝思操作系统安装光盘放入光驱，引导进入
操作系统，输入localhost name为root，password为rocky。

2)登录到光盘系统，执行setup命令，按[Enter]键启动安装程序。

3)对操作系统进行磁盘分区，分为两个分区：
a)分配交换区为：
New——>primary——>size：20480——>Beginning——>Type：82
b)交换分区分配完成后，使用向下键选择到free space上，再利用左右键选择
[new]，对/进行分区：
New——>primary——>size：剩余空间——>Type：
83——>Bootable:boot
c)完成所有分区设置后，移动左右键到【Write】，并按【Enter】键。

d)提示：Are you sure you want write the partition table to disk？
输入命令：yes
(此步骤会出现“write protect is off”，忽略)
e)分区结果写入磁盘后，分区工作完成。

移动左右键到【Quit】并按【Enter】
键退出分区界面。

4)进入设置挂载点界面，执行：Edit ——>/——>回车——>Accept。

5)设置分区文件系统类型：选择ext3——>输入序列号，之后一路执行【enter】下
去，直到选择系统的安装模式。

6)选择系统安装模式，production或是Development，由具体要求决定。

区别在
于开发模式中包含开发工具和服务。

在正式环境中安装“production”模式。

7)安装完成后，执行reboot。

重启操作系统。

3.Sql代理系统安装
3.1Sql代理安装前准备
1)U盘
2)Sql代理系统安装文件（new_deploy_6_30）
3.2Sql代理系统安装
1)将Sql代理系统安装文件（new_deploy_6_30）拷贝到U盘内,并插到隔离装置上。

2)执行fdisk命令，查看优盘挂载的目录，并挂载优盘到mnt目录：
[ ]#fdisk –l
[ ]#mount /dev/sdbx /mnt/
3)通过U盘将sql代理安装文件（new_deploy_6_30）拷贝到隔离装置系统
a)拷贝部署文件new_deploy_6_30到/root目录下：
[ ]#cp –rf new_deploy_6_30/ /root
b)进入new_deploy _6_30/ 文件夹中执行”./setup”命令即可安装部署Sql代
理服务，安装过程中会提示“do you want to bonding network card[Y/N
]?”如果是首次部署Sql代理系统需输入Y来绑定网卡。

重新安装Sql代理系
统不需要再次绑定网卡输入n即可。

c)安装完成后重启操作系统，重启后通过”ps –ef | grep sql”来查看安
装情况，如果有下图红色标记进程表示安装成功。

4.IP、路由配置
4.1IP地址配置
4.11 IPV4地址
每台SQL代理部署到网络环境中，需要内外网各提供一个IP地址。

操作步骤：
1) 打开/etc/bonding.conf文件。

2) 修改内外网IP地址，bond0对应SQL代理隔离装置的内网IP地址，bond1对应SQL 代理隔离装置的外网IP地址，并保存bonding文件。

执行命令：[ ]#vim /etc/bonding.conf
对bonding.conf文件中的IP地址进行设置，根据具体部署单位提供的子网掩码对netmask 进行设置。

4.12 IPV6地址
1）在任意目录下，使用root权限运行脚本ipv6-bond-set.sh (注：这个脚本只适用四网卡进行双绑定的情况)
./ipv6-bond-set.sh
2) 对/etc/sysconfig/network-devices/下的ifcfg-bond0和ifcfg-bond1分别进行配置IP即可
vi /etc/sysconfig/network-devices/ifcfg-bond0
vi /etc/sysconfig/network-devices/ifcfg-bond1
3）重启系统即可(或执行/etc/ini.d/network restart)
注：如果要单配IPV4的话
只需要在配置IP时，在IPV6ADDR＝172：16：0：：124行前加#号注释掉即可
例：
#IPV6ADDR＝172：16：0：：124
同理单配IPV6的情况则注释掉IPADDR＝172.16.0.124行即可
例：
#IPADDR=172.16.0.124
4) 修改ssh使其支持IPV6:
修改/etc/ssh/sshd_config文件找到#ListenAddress ::将前边的#号去掉然后终端中/etc/init.d/sshd restart应该就可以了
4.2路由配置
SQL代理隔离装置的内网IP地址与数据库的IP地址、或SQL代理的外网IP地址与业务系统服务器的IP地址可能不在一个网段。

这种情况下，需要添加路由规则。

添加路由规则如下：add –net x.x.x.x(目的网段) mask x.x.x.x(子网掩码) gw x.x.x.x(网关)。

具体操作：修改/sql_proxy/bin目录下的sp_route.sh脚本。

1)添加路由信息，每个网段对应一条信息。

例如：内网网段为192.168.0.100，提供的子网掩码为255.255.255.0，网关为192.168.0.254，则添加的信息为：
route add –net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.254
2)添加完之后，执行脚本，使设置的路由信息生效。

[ ]#./sp_route.sh
4.3修改ssh限制外网连接
修改ssh配置使隔离装置只能在内网使用ssh服务。

修改/etc/ssh/sshd_config文件找到“ListenAddress 0.0.0.0”行，将其改为“ListenAddress 内网IP”。

例如隔离装置的内网IP为“192.168.0.221”，则修改结果为“ListenAddress
192.168.0.221”
5.隔离装置配置
5.1配置前信息准备
5.1.1 业务系统
向业务系统人员收集以下有关数据库信息：
数据库ip地址、数据库类型、数据库端口、数据库用户名、数据库密码、数据库名称5.1.2 网络环境
隔离装置内网到数据库之间如果有防火墙必须要在防火墙上开通数据库端口，并且支持长连接。

否则隔离装置到数据库测试不通。

5.2登录隔离装置
打开“sgcc管理客户端”，并配置“SQL代理服务器”（windows系统，并安装JDK1.6以上版本，用户名/密码：admin/admin。

）
先添加服务器节点再配置负载均衡服务器地址（即隔离装置内网ip地址），端口填写
“18750”，先保存再确定，通过下拉框选择配置的“SQL代理服务器“节点再点击”确定“，弹出的对话框”确定“即可登录（无需配置”非结构化服务器“）如下图所示:(表示通过内网连接上了隔离装置服务器，可以通过管理客户端配置sql代理基本信息。

)
5.3配置SQL代理服务
5.3.1配置真实数据库
a)配置“SQL代理服务”菜单下的“真实数据库”。

配置如下信息，配置完成后点击“确
认“再提交（点击红色按钮提交，以下所有添加信息后务必提交）
b)测试刚添加真实数据库信息是否连接数据库测试成功。

先选择测试真实数据库记录信息
再点击“（测试数据库连接按钮）“若出现“xxxx:数据库测试成功”
则表示该数据库连接信息通过隔离装置可以正常访问数据库。

部分常用配置项说明如下：
真实数据库名称：真实数据库的名称，只允许字母与数字的组合并以“18600_”开头。

真实数据库类型：数据库的类型，分为三种：SQLSERVER,ORACLE和DB2。

最大连接数：数据库的最大连接数，通常500
IP：数据库的IP地址，如Oracle,DB2等。

端口：数据库的连接端口，如Oracle默认的1521等。

用户名：数据库的用户名。

密码：数据库的密码。

数据库SID：SID信息(ORACLE数据库才有此信息，其他数据库不填)。

数据库名称：数据库的名称即service_name
注：真实数据库名称推荐命名规则如下
如果应用只用数据库一个用户（user）实例为orcl，真实数据库推荐用”18600_orcl”;如果应用要用数据库多个用户（user1,user2….）实例为orcl,真实数据库推荐用“18600_user1”、”18600_user2”………便于区分。

Ip1:orcl1;ip2:orcl2
5.3.2配置虚拟数据库
部分常用配置项说明如下：
虚拟数据库名称：虚拟数据库的名称，只允许字母与数字的组合。

（提供给外网应用）
真实数据库名称：虚拟数据库所对应的真实数据库的名称。

最大连接数：虚拟数据库的最大连接数。

用户名：连接虚拟数据库所需的用户名。

（提供给外网应用）
密码：连接虚拟数据库所需要的密码。

（提供给外网应用）
注：虚拟数据库名称推荐命名规则如下
根据上面输入的真实数据库名称并在前加入”v_“就可以了，如”v_18600_orcl”或“v_18600_user1”等。

5.4配置应用系统
5.4.1 配置SQL代理应用系统
部分常用配置项说明如下：
应用名称：应用系统的名称，只允许字母与数字的组合。

（提供给外网应用）
工作模式：分为学习和过滤模式。

默认“学习”模式。

注意：为了防止用户的误操作导致对工作模式不必要的修改，用户如想更改工作模式，需点击更改激活工作模式的选择栏。

应用服务器列表：一个应用所对应的多个应用服务器。

（系统自动显示，不需选择和填写）注：应用名称推荐命名规则如下
以”app_“开头后面跟上系统名称拼音缩写，如电力交易推荐使用“app_dljy”，统一车辆推荐使用“app_tycl”
5.4.2 配置SQL代理应用服务器
部分常用配置项说明如下：
应用服务器名称：应用服务器的名称（一条真实数据库信息对应一个虚拟数据库信息对应一个应用服务器名称。

）
应用名称：选择应用服务器所对应的应用系统的名称，多个应用服务器可以选择同一个应用。

应用服务器IP：应用服务器(如weblogic)的IP地址，默认填写“127.0.0.1”
虚拟数据库名称：选择应用系统所对应的虚拟数据库名称。

注：应用服务器名称推荐命名规则如下
以“appSvr_“后面跟上系统名称拼音缩写，如电力交易推荐使用“appSvr_dljy”，统一车辆推荐使用“appSvr_tycl”
5.5 提供给外网应用信息配置
需要提供给外网应用配置的文件有：隔离装置外网ip，隔离装置端口（18600），虚拟数据库名称（v_18600_xxx），虚拟数据库用户名，虚拟数据库密码，应用名称(app_xxx)
由以上信息拼成url 为：
jdbc:nds://隔离装置ip1:18600,隔离装置2:18600/虚拟数据库名称?appname=应用名称 如果有2台或多台ip 都要填写在url 中，中间用逗号隔开即可。

6.应用系统配置
6.1修改应用配置
6.1.1添加jar 包
将驱动
SqlProxyCfg_Jdbc
.jar
jar 包存放到weblogic 安装的要目录。

如该目录下
“\Oracle\Middleware\user_projects\domains\base_domain\lib ” 注：要根据自己系统具体weblogic 安装路径存放jar 包
6.1.2修改环境变量
到以下目录中“\Oracle\Middleware\user_projects\domains\base_domain\bin ”找到“startWebLogic.cmd （startWebLogic.sh ）”,在set CLASSPATH 后添加驱动jar 包路径，windows 系统修改如下：
Linux 系统修改如下：（注意”${DOMAIN_HOME}”路径，如没有配置该路径可将驱动jar 包绝对路径添加到后面）
6.2配置Weblogic数据源
6.2.1创建JDBC数据源
a)JNDI Name：应用程序访问weblogic的数据源名称
b)数据库类型(Database Type)：oracle类型。

6.2.2JDBC数据库驱动类型
c)数据库驱动程序(Database Driver)：选择倒数第四个“Oracle’s Driver(Thin) for
Service connections; Versions9.0.1and later”
6.2.3其他属性配置
默认下一步
6.2.4连接属性
d)数据库名称(Database Name)：管理客户端配置的虚拟数据库名称
e)主机名(Host Name)：隔离装置外网ip地址
f)端口(Port)：18600
g)数据库用户名(Database User Name)：管理客户端配置虚拟数据库的用户名
h)口令(Password)：管理客户端配置虚拟数据库的密码
6.2.5测试数据库连接
a)驱动程序名称：sgcc.nds.jdbc.driver.NdsDriver
b)URL：“jdbc:nds://隔离装置外网ip1:18600,隔离装置ip2:18600/虚拟数据库名
称?appname=应用系统名称”如下:
c)jdbc:nds://170.20.8.223:18600,170.20.8.224:18600/v_18600_tjuvmp?appname=
uvmp
6.2.6连接池设置（默认下不需要配置）
a)初始容量(Initial capacity)：30
b)最大容量(Maximum capacity)：2147483647
c)Capacity increment：连接池增长的幅度
d)Inactive connection timeout：不活动连接的超时时间（若连接在设置的时间内没有
活动，则系统将其放入连接池）
通过以上Weblogic步骤的配置，可以通过Weblogic数据源测试配置是否成功，如果提示数据源配置成功则表示外网应用到隔离装置，隔离装置到数据库之间是互通的。

配置完毕。

7.常见配置问题
a)应用服务器异常
错误信息：IP address or application name is invalid, please check it。

解决方法：需要将url中的应用名称替换为实际配置的应用程序名称。

b)网络异常
错误信息：java.sql.SQLException: 网络通信异常。

解决方法：使用正确的ip地址或端口号。

c)虚拟数据库名称不正确
错误信息：java.sql.SQLException: Database name is invalid,please check it.
解决方法：在URL连接字符串中，使用正确的虚拟数据库名称。

d)真实数据库名称不正确
错误信息：Could not connect to the real database,please check it.
解决方法：可能是网络不通、数据库服务未开或库名不正确。

启动数据库服务器并且确保数据库可以接受新的连接，
e)用户名和密码不正确
错误信息：java.sql.SQLException: invalid username or password.
解决方法：使用正确的用户名或密码。

f)URL格式不正确
错误信息：java.sql.SQLException: No suitable driver.
解决方法：按照正确的URL格式填写。

g)Jdbc驱动信息异常
错误信息：ng.ClassNotFoundException: sgccc.wrong。

解决方法：按照驱动的规范类名sgcc.nds.jdbc.driver.NdsDriver来指定驱动类。

h)jdbc驱动信息异常
错误信息：content error
解决方法：查看jdbc驱动加解密的设置。

同时，查看sql代理配置文件SQLProxyCfg.ini。

jdbc_recv_data_decrypt和jdbc_send_data_encrypt。

jdbc_recv_data_decrypt表示是否对收到的jdbc数据解密，0表示不解密，1表示进行解密。

jdbc_send_data_encrypt 表示是否对发送给jdbc驱动的数据进行加密，0表示不加密，1表示加密。

查看sql代理的加解密配置和jdbc驱动的加解密设置是否一致。

8.系统常用命令
备份：1./proxy_db 18600SQLProxyCfg 备份2./sql_proxy/bin/sp_route.sh备份
重启网卡：/etc/init.d/network restart
重启绑定：/etc/init.d/bonding restart
添加路由：route add –net 192.0.0.0 netmask 255.0.0 gw 192.168.1.1
重启sql代理服务：/etc/init.d/sqlproxy restart
查看sql代理进程：ps –ef |grep sql
查看sql代理日志：tail –f 100 /sql_proxy/log/nds0
查看连接数：netstat -nat | grep 18600 | wc -l
sqlplus连接数据库：sqlplus user/pwd@ip:port/sid
重启服务器：reboot。