最新联想网御网闸(SIS-3000)配置过程教学文稿

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘——管理证书文件夹下，密码：hhhhhh）,管理IP:10.0.0.200 ，掩码：255.255.255.0 。

2、登录内网：用网线连接内网专用管理口，在IE浏览器输入：https://10.0.0.1:88893、输入用户名/密码：administrator/ administrator (超级用户)或输入：admin/admin123(管理员用户)。

4、登录外网：用网线连接外网专用管理口，在IE浏览器输入：https://10.0.0.2:8889或输入用户名/密码：administrator/ administrator (超级用户) 或输入：admin/admin123(管理员用户)。

测试拓扑结构：192.168.20.2内：192.168.20.1外：192.168.10.1192.168.10.2FTP客户端网闸客户端网闸服务端FTP服务端注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要使用之一，根据外部使用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种使用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器；原理区别两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网闸服务端任务；2）客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同；访问目的地址网闸另一侧的真实服务器地址和客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图：◆登陆界面◆登陆首页◆更改密码（按需求修改）◆网口配置（按需求修改）◆配置网闸内侧任务，并启动服务（按需求修改）添加网闸内侧任务，如下图：若是【普通访问】，该地址为内侧网口地址【192.168.20.1】；若是【透明访问】，该地址为FTP 服务器地址对象【ftpsvr_192.168.10.2】。

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘——管理证书文件夹下，密码：hhhhhh）,管理IP:10.0.0.200 ，掩码：255.255.255.0 。

2、登录内网：用网线连接内网专用管理口，在IE浏览器输入：https://10.0.0.1:88893、输入用户名/密码：administrator/ administrator (超级用户)或输入：admin/admin123(管理员用户)。

4、登录外网：用网线连接外网专用管理口，在IE浏览器输入：https://10.0.0.2:8889或输入用户名/密码：administrator/ administrator (超级用户) 或输入：admin/admin123(管理员用户)。

测试拓扑结构：FTP客户端FTP服务端注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器；原理区别两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网闸服务端任务；2）客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同；访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图：◆登陆界面◆登陆首页◆更改密码（按需求修改）◆网口配置（按需求修改）◆配置网闸内侧任务，并启动服务（按需求修改）添加网闸内侧任务，如下图：若是【普通访问】，该地址为内侧网口地址【192.168.20.1】；若是【透明访问】，该地址为FTP服务器地址对象【ftpsvr_192.168.10.2】。

联想网御网闸数据库访问功能配置案例2006-1-17目录1 网络拓扑 (1)2 客户需求 (1)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (4)4 网闸具体配置 (5)4.1 需求一配置 (5)4.1.1 内网模块配置 (5)4.1.1.1 添加Oracle 数据库客户端任务 (5)4.1.1.2 新建访问用户配置 (6)4.1.1.3 访问控制生效 (6)4.1.2 外网模块配置 (7)4.1.2.1 添加Oracle 数据库服务端任务 (7)4.1.2.2 新建访问用户配置 (7)4.1.2.3 访问控制生效 (8)4.1.3 内网客户端主机配置 (9)4.1.3.1 内网主机运行客户端软件并将数据库添加到树 (9)4.1.3.2 内网用户成功登录外网数据库 (9)4.2 需求二配置 (10)4.2.1 内网模块配置 (10)4.2.1.1 添加SQL Server 数据库客户端任务 (10)4.2.1.2 新建访问用户配置 (10)4.2.1.3 访问控制生效 (11)4.2.2 外网模块配置 (12)4.2.2.1 添加SQL Server 数据库服务端任务 (12)4.2.2.2 修改访问用户配置 (12)4.2.2.3 访问控制生效 (13)4.2.3 内网客户端主机配置 (14)4.2.3.1 内网主机数据库客户端配置 (14)4.2.3.2 内网主机成功登录外网SQL Server数据库 (14)1网络拓扑说明：1 网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：10.0.0.2，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

2 PC5为管理主机，其地址要求与网闸的管理端口地址在同一个网段。

3 管理主机与网闸的内外网管理端口相连接，分别以https://10.0.0.1和https://10.0.0.2访问，用户名和密码为：admin。

Leadsec网御SIS安全隔离与信息交换系统数据库同步客户端操作手册声明♦本手册所含内容若有任何改动，恕不另行通知。

♦在法律法规的最大允许范围内，北京网御星云信息技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内，北京网御星云信息技术有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

♦本手册含受版权保护的信息，未经北京网御星云信息技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

北京网御星云信息技术有限公司中国北京海淀区中关村南大街6号中电信息大厦8层章节目录章节目录 ................................................................................................................... 错误!未定义书签。

第1章前言 ............................................................................................................. 错误!未定义书签。

1.1 导言 ............................................................................................................ 错误!未定义书签。

1.2 本书适用对象............................................................................................. 错误!未定义书签。

网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案目录1.前言Internet作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。

中国互联网络信息中心（CNNIC）在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数已经达到4580万人，而且一直呈现稳定、快速上升趋势。

面对如此众多的上网用户，为商家提供了无限商机。

同时，若通过Internet中进行传统业务，将大大节约运行成本。

据统计，网上银行一次资金交割的成本只有柜台交割的13%。

面对Internet如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用Internet这种新的运作方式，以适应面临的剧烈竞争。

为了迎接WTO的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。

但是作为基于Internet的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。

对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。

防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。

造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。

所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。

目前，出现了一种新的网络安全产品——联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。

Web服务器2.3将内部业务网与外部网络直接连接的安全隐患若直接将两个网络连接起来，将出现以下安全隐患：1)来自网络外部非法用户的攻击和越权访问等。

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构i 通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘一一管理证书文件夹下，密码：hhhhhh ）,管理 IP:10.0.0.200 ，掩码:255.255.255.0。

2、 登录内网：用网线连接内网专用管理口，在 IE 浏览器输入：3、 输入用户名/密码：administrator/administrator （超级用户）或输入：admin/admin123（管理员 用户）。

4、 登录外网：用网线连接外网专用管理口，在IE 浏览器输入：或输入用户名/密码：administrator/administrator （超级用户）或输入：admin/admin123（管理员用户）。

测试拓扑结构:注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访 外部客户端通过访问相连网闸地址，再由问网闸另一侧的真实服务器地址；网闸连接真实服务器； 原理区别 两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网必须同时配置网闸客户端、服务端任务， 闸服务端任务；且对应任务之间的任务号必须相同；2）客户端添加一条路由，指向网闸；访问目的地址 网闸另一侧的真实服务器地址 与客户端相连一侧的网闸地址 网闸两侧网络 支持支持地址同网段FTP 客户端FTP 服务端网闸客户端 I 网闸服务端网闸两侧网络支持支持地址不同网段双机热备 支持 支持 负载均衡不支持支持硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:内网陽离交换填坟交换芯片交换芯片I叫信网络仝抉子累统卄艾松剳r jfttr尸笑控制子茶统Leadsec AS I C 芯片内网主机系统〕外网隔涌交揀模块联韻网御安全隔需网闸非口 j 信网络登陆界面登陆首页；*rti碎曲日-n sew* -p卫#卫挺0 3Etti* 叮u"时i导11且际刁E送闾带崎用〈•'，巧：4P-勺訓抽灯P V JL A JL r勺咖士*■ -勺孚处托© ifiCJTH^wtrri 丽—3»Ma内IF魁和迥耳E理轴1納垃疋号■^-3flLjfl-£E!K犊忡嗾衣寻j.0.200.6fed?璋nan jifCfU料用3旳科n柑印•4QaV£H用・KMna««ew iriMb日创冬誓u^W9«B■Mil更改密码（按需求修改）© BTT 7鼠碗.a anm^-北屣舷鼻亏^T«3ft弓jjfljwi•号+ 口IJLBHSiBQ产上呷功任''i H'hrs +"砒只•■*幻扳鼻i m工H＞抚**+$ 3|EiS4 '鼻厚睥山闻t 1・TS晖诃歼+刁左±海査+ j "4Sfts.li；-暉理■ a ^r«昂啟号•号i ^XTErilrr sy^Qj? 4&neha?i 卜生茹* 辺起+a switBMLT 4L>MTr a^iia*4iT i a JR-L/廿F------------------------------------------------------------------------ /J ' iiisintrnt)□IP^RD*«ar(I ^r®ra?i卞•■认口卒!*»*< ■•■■■/ ifc^sa田HKWffiI-E曰妬计H"网口配置（按需求修改）-i E?二j j^-.wa a tinitf-l*、爵电礙T ?)««■■ q瑕戢・o用戶。

文件交换模块1.问：为什么无法登陆文件交换共享目录及用户管理或登陆后显示不正常。

答：1、当无法登陆文件交换共享目录时，检查主机IP地址是否与网闸地址在同一网段，在有多IP地址时，与网闸通讯的IP的地址必须在多IP地址中的第一个；2、当无法登陆用户管理界面时，请检查密码是否被更改。

默认用户名：admin，密码：123456。

3、当登陆后显示不正常时，请关闭当前浏览器，重新打开一个浏览器窗口，清除已有的浏览器缓存后，再次登陆。

或登陆管理界面后，点击鼠标右键‚刷新‛此页面。

2.问：为什么文件传输后在目的网络中无法找到？答：1、确认文件发送方的日志中记录成功发送信息；2、检查在文件交换共享目录data中是否存在该文件；3、检查文件传输任务设置中的路径设置是否正确，特别注意任务的存储号是指目的网络中定义的文件传输模块的存储号；4、检查文件接收方的日志记录。

3.问：为什么文件名或路径名中含有字符’+’时，传输后文件名发生了变化？答：1、因为字符’+’已经作为安全隔离与信息交换系统内部使用的符号。

当文件名或路径名中含有字符’+’时，系统会将该字符替换成空格。

4.问：文件无法正常传递？答：1、检查安全隔离与信息交换系统文件传输模块是否正常启动运行；2、检查是否对所要传输的文件作了格式的限制；3、检查文件传输配置文件中操作方式是否正确；4、检查是否启用了黑白名单，而文件中含有黑名单中的关键字或者没有包含白名单中的关键字；5、检查配置完毕后是否是已经启用配置。

查看文件传输日志记录，从日志中分析问题的具体所在。

5.问：怎么去除首页的日志报警提示？答：文件日志限定最大长度为512兆，超过系统将自动删除，但是警告信息需要手工删除日志才能清除。

6.问：文件配置的注意事项答：文件存储路径可以有20个（即发送端和接受端各20个），可在/home/admin/…/下建立新的存储和传输路径；允许的文件扩展名，多个扩展名时用英文逗号分隔，用中文逗号分隔文件将传送失败，日志记录。

网御星云安全隔离网闸行业应用典型案例网御星云安全隔离与信息交换系统(以下简称“安全隔离网闸”)基于“2+1”系统架构、LeasASIC专用芯片、USE统一安全引擎、MRP多重冗余协议，将安全性、高效性、智能性、可靠性完美结合，具有数据同步型和数据访问型两种工作模式。

对数据在应用层细粒度安全过滤后，以自有协议方式在安全隔离网闸内摆渡，彻底切断了不同安全级别网络间的任何连接，实现了高安全的隔离和实时的信息交换。

网御星云现已成为国内安全隔离网闸业内技术最优、产品线最全、市场占有率最好的领导厂商。

以下案例是网御星云安全隔离网闸众多行业应用典型案例中的很少一部分，旨在为大家提供一些安全隔离网闸行业应用案例借鉴，也希望通过本文与读者进行更加深入的探讨。

网御星云安全隔离网闸特色描述：n 高安全性的“2+1”系统架构系统硬件平台由内网主机系统、外网主机系统、隔离交换矩阵三部分组成;主机系统采用VSP通用安全平台，隔离交换矩阵实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议。

n 强大的数据交换能力和多业务应用支持技术网御星云安全隔离网闸拥有强大的数据交换能力，以数据库同步为例，安全隔离网闸支持Oracle、SQLServer、DB2、Sybase等主流数据库间的同构、异构同步，支持单向、双向同步，支持一到多、多到一的同步，支持灵活多样的数据冲突处理机制，采用先进的数据容错技术，保障数据同步的可靠性、稳定性。

网御星云安全隔离网闸有数据库同步、文件同步、安全浏览、邮件传输、定制访问、消息传输等多种功能模块为用户多种业务提供了丰富的应用支持。

n 高智能性的全文内容过滤、高效病毒检测技术以USE(Uniform Security Engine)统一安全引擎为基础，对隔离交换报文进行全文数据还原，对用户登录、命令请求、文本信息、协议格式等实施全文深度检测，并支持特定应用层协议标签的检测控制，实现了对特定信息交换多重内容安全管理，为网络间数据交换提供了“绿色通道”。

概述一、网闸的常见故障概述：1、网闸的常见故障分类：可以分为两大类，软件故障和硬件故障。

硬件故障，如果影响了正常使用，一般要返修或者由专业技术人员前来维修。

软件故障，一般情况下，可以通过修改配置、添加补丁和重新安装的方式解决，最后一种方式，一般由厂家技术人员完成，或者直接更换新设备。

2、网闸故障常见问题的判断：基本原则：一看，二登，三ping，四“挂”。

一看：是看各种指示灯的工作状态！具体判断见硬件故障判断依据。

二登：是登陆web的管理界面，去外网和内网查看各种配置信息，应用状态检测，交换卡的工作状态、日志等等，基本给硬件和软件故障进行定性；三ping：在网闸的ping状态开放的情况下，去ping各个IP和IP别名，去判断网闸的工作状态；四“挂”，用telnet 去“挂”各服务开放的端口，判断具体是哪个部分出了问题。

以上是用户和代理商，用来初步判断故障的基本方法。

如果是专业的工程师，可以登陆后台依据进程、服务等，对网闸故障进行判断和分析。

二、基本模块1、硬件问题1.问：如何检查设备硬件工作状态是否正常？答：1、检查内外网模块电源（长亮）及硬盘（有数据传输时闪烁）指示灯是否正常；2、检查网闸数据交换模块状态指示灯是否保持闪烁状态；3、登录管理界面检测内外网系统是否已经启动。

2.问：如何检查交换模块工作状态是否正常？答：1. 检查前面板交换灯状态：内外网交换灯长亮或一灯长亮一灯不亮则说明交换模块工作异常；交换灯处于闪烁状态说明内外网有数据交换。

（系统在没有导入许可证前，由于系统的交换卡检测程序频繁的发送数据会导致两个交换灯处于近乎长亮的状态）2．登陆管理界面，打开工具箱-〉交换卡状态界面，可查看交换模块工作状态3．通过串口登陆，运行detect_card命令，可查看交换模块工作状态登陆命令行管理方式的方法，管理主机与网闸com1口相连，波特率是9600，其它为默认，登陆用户名为lenovo，无密码。

网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案目录1.前言Internet作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。

中国互联网络信息中心（CNNIC）在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数已经达到4580万人，而且一直呈现稳定、快速上升趋势。

面对如此众多的上网用户，为商家提供了无限商机。

同时，若通过Internet中进行传统业务，将大大节约运行成本。

据统计，网上银行一次资金交割的成本只有柜台交割的13%。

面对Internet如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用Internet这种新的运作方式，以适应面临的剧烈竞争。

为了迎接WTO的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。

但是作为基于Internet的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。

对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。

防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。

造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。

所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。

目前，出现了一种新的网络安全产品——联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。

Web服务器2.3将内部业务网与外部网络直接连接的安全隐患若直接将两个网络连接起来，将出现以下安全隐患：1)来自网络外部非法用户的攻击和越权访问等。