TopRules安全隔离与信息交换系统(客户版)

天融信网络卫士安全隔离与信息交换系统TopRules产品概述天融信网络卫士安全隔离与信息交换系统TopRules是北京天融信公司基于公司具有自主知识产权的安全操作系统TOS (Topsec Operating System) 和多年网络安全产品研发经验研发而成的，该产品基于完整的安全体系结构设计理念，率先完善了安全隔离的概念。

该产品采用2+1系统架构，通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理，有效防止黑客攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露，实现网间安全隔离和信息交换。

该产品刚推出就得到很多用户的关注，使其在刚进入市场后就可以迅速积累客户应用经验，产品得到更快的完善和发展。

天融信作为中国信息安全的领先厂商，永于创新、不懈努力，将致力于为客户提供更加安全、可行的隔离和信息交换的解决方案。

产品特点 Product Feature先进的2+1系统模型TopRules“2+1”系统架构网闸产品，由内端机、外端机、数据迁移控制单元三部分组成。

内端机和外端机具有独立的存储和运算单元，并具有独立总线。

内外端机采用了天融新自主知识产权的专有TOS安全操作系统，可为TopRules系统提供全方位的保护。

内外端机之间采用了具有互斥效果的数据迁移控制单元进行连接，其结构如下图所示：。

专用硬件和专用通信协议采用了高速的专用硬件处理设备，使系统具有了极高的数据吞吐能力；通过在天融信公司专用安全操作系统TOS内核中嵌入专用协议和认证机制，使得设备的安全隔离能力大大增强；内网主机和外网住机是内部网络和外部网络通用TCP/IP协议的终点，各自的网络协议在仲裁主机实现剥离和重建，内部网络和外部网络不可向对方延伸。

所有过数据流都从TCP/IP协议包中剥离，还原为应用层数据，应用层数据通过专用硬件和专用通信协议发送给仲裁系统进行安全控制和审查可靠的安全隔离和受控的信息交换技术领先的2+1系统结构，专用的硬件和专用的通信协议，有效地隔断内外网间的直接连接，借助严格的安全策略对数据流进行细粒度控制，防范恶意攻击和敏感信息的泄漏，有效的保障了网络间的安全可靠隔离和信息的受控交换。

天融信网络卫士过滤网关系统TopFilter产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-400-610-5119+8610-800-810-5119版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印©1995-2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信信息反馈目录1产品概述 (4)2产品特点介绍 (4)3产品功能 (7)4产品规格 (9)5运行环境与标准 (9)6典型应用 (12)1）部署在网关处 (12)2）部署在分段的企业网络中 (13)7产品资质 (13)8特别声明 (14)1产品概述天融信网络卫士过滤网关系统TopFilter（简称：TopFilter）采取了一个与单机防护不同的基于网络的病毒防护方案。

它被设计成安装在网络边缘，在病毒侵入网络之前实时的阻止它们，并且没有传统解决方案通常都有的延时。

TopFilter具有真正的即插即用能力，只要部署好之后就可以进行网络协议数据的病毒过滤功能；目前TopFilter基本可以支持主要的网络协议，SMTP、IMAP4、POP3、HTTP以及FTP协议。

TopFilter采用业界先进的扫描技术，所以具有优秀的扫描性能，对各协议的处理性能表现优越。

网络卫士安全隔离与信息交换系统TopRules产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印© 1995-2008 天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1前言 (2)2产品概述 (3)3产品特点 (5)4产品功能 (8)4.1W EB访问功能 (8)4.2邮件访问功能 (8)4.3文件访问和同步功能 (8)4.4FTP访问功能 (8)4.5数据库访问和同步功能 (9)4.6自定义功能通道 (9)5产品规格 (10)6运行环境和标准 (11)7典型应用 (12)7.1涉密网络中的应用 (12)7.2常规网络中的应用 (13)1前言作为中国信息安全行业领导企业，北京天融信公司1995年成立于中国信息产业摇篮的北京，十年来天融信人凭借勇于创新、积极进取、和谐发展的精神，成功打造中国信息安全产业著名品牌——TOPSEC。

从1996年天融信率先推出填补国内空白的中国自主知识产权防火墙产品，到能够提供防火墙、VPN、入侵检测与防御、多功能安全网关(UTM)、过滤网关、安全审计、安全管理等高品质全系列安全产品；再到以安全产品为基础、以打造信息安全保障体系为目标、以等级保护为主线，天融信已经完成了从单一安全产品生产商向全线安全产品、解决方案与服务综合提供商的飞跃。

天融信作为民族信息安全产业的领航者肩负着国家信息安全重任，秉承“完全你的安全（Seamless Security Network）”品牌宗旨，结合多年网络安全技术，以“可信安全管理”为技术发展方向，全力保障客户网络与信息安全、为客户创造更大价值。

各系列产品概述:1。

防火墙系列十几年来，天融信专注于信息安全，国内首家开发出自主知识产权的防火墙系统，率先提出TOPSEC联动技术体系，领先的TopASIC自主安全芯片,在不断的技术创新中网络卫士防火墙引领了包过滤、应用代理、核检测等突破性变革，目前已进入以自主安全操作系统TOS （Topsec Operating System) 为基础，以完全内容检测为标志的全新技术阶段，形成了适用于中小企业级到电信级各种网络应用需求的NGFW4000、NGFW4000—UF系列60多个型号的防火墙产品.网络卫士防火墙系统集成了防火墙、IPSEC VPN、SSL VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能；用户可根据实际需求灵活选择针对行业应用特点及不同性能的产品。

目前天融信防火墙已在政府、金融、电信、教育、能源、交通等各行业普遍应用.据TOPSEC统计：遍布全国的29810多个网络和业务在其保护下平稳运行.据权威数据机构IDC、CCID统计，天融信已连续十多年在网络安全硬件市场处于领先地位。

2。

网络卫士VPN系统作为国内最早从事信息安全产品研发生产的专业安全厂商，天融信自2000年开始向国内市场提供VPN产品，历经近十年的技术积累与市场考验，目前网络卫士VPN系统包括IPSEC VPN、VONE（IPSEC/SSL VPN多合一网关)两大系列，向用户提供成熟、完善的高性能VPN接入方案；拥有包括政府、金融、能源、物流、连锁服务等行业在内的两万余名用户。

国家部委全球项目的实施、NPD产品开发流程及ISO9001质量体系的成功实践，验证着天融信VPN产品凭借卓越的品质与技术进入了国际领先行列.自主知识产权的TOS(T opsec Operating System）系统平台，采用开放性系统架构及模块化设计，融合了数据加密、身份认证、访问控制等安全手段，使网络卫士VPN产品具有安全、高效、易于管理和扩展等特点.从2002年国内最早提出支持双边NAT穿越、第一个实现全动态组网；到2007年国内首发千兆线速VPN、首创全面支持分级可信接入VPN产品，2008年又在权威机构横向测评中，性能指标远远超越对手.长期以来，天融信VPN研发团队一直是VPN 技术趋势的领航者。

网络卫士安全隔离与信息交换系统TopRules产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印 © 2010 天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈2目录1产品概述 (4)1.1公司简介 (4)1.2信息安全隔离的重要性 (4)1.3隔离技术的发展过程 (5)1.4天融信网络卫士安全隔离与信息交换系统T OP R ULES (5)2关键技术 (7)2.1“2+1”系统架构 (8)2.2专用硬件和专用通信协议 (8)2.3全隔离特征 (9)3产品特点介绍 (9)3.1基于下推自动机的高效过滤算法 (9)3.2内端机/外端机 (9)3.3仲裁/审计系统 (10)3.4基于用户的访问控制 (11)3.5受控协议通道及工作模式 (11)3.6安全管理 (12)3.7其它技术特点 (12)4产品功能 (13)4.1安全W EB浏览功能 (13)4.2安全邮件收发功能 (14)4.3FTP文件交换功能 (14)4.4T ELNET应用功能 (15)4.5数据库访问功能 (15)4.6文件同步功能 (15)4.7数据库同步功能 (15)4.8自定义应用 (16)5运行环境与标准 (16)6典型应用 (17)6.1在涉密网络系统中的应用 (17)6.2在常规网络系统中的应用 (17)6.3成功案例 (19)7产品资质 (24)8特别声明 (24)1产品概述1.1公司简介作为中国信息安全行业领导企业，北京天融信公司1995年成立于中国信息产业摇篮的北京，十年来天融信人凭借勇于创新、积极进取、和谐发展的精神，成功打造中国信息安全产业著名品牌——TOPSEC。

金电网安安全隔离与信息交换系统FerryWay V2.0配置实用手册2012年3月金电网安安全隔离与信息交换系统FerryWay V2.0配置实用手册版权说明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于上海金电网安科技有限公司所有。

未经上海金电网安科技有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

本手册中的信息受中国知识产权法和国际公约保护。

版权所有，翻版必究©前言文档范围本文将以实例方式指导操作人员安装、实施金电网安安全隔离与信息交换系统FerryWay V2.0（俗称“网闸”）。

本文适用于硬件2+1架构、三机三系统架构，软件版本号20110308及20120202版本，两个版本主要功能基本相同，仅在部分细节处做简单修改，具体细节文档中将做提示。

期望读者期望了解本产品主要技术特性和安装方法的系统管理员、网络管理员等。

本文假设您对下面的知识有一定的了解：可能需要的相关知识，如：✧LINUX系统基础知识✧Windows系统软件安装✧网络基本架构内容总结一、介绍金电网安安全隔离与信息交换系统FerryWay V2.0的硬件需求信息；二、以实例方式采用图文并茂的方法对金电网安安全隔离与信息交换系统FerryWay V2.0部署、安装、实施做一简单介绍；三、介绍金电网安安全隔离与信息交换系统FerryWay V2.0安装之前的准备工作和注意事项；四、成功安装、配置、使用时的注意事项；五、介绍金电网安安全隔离与信息交换系统FerryWay V2.0在实施中可能遇到的突发情况及问题。

格式约定文本框使用粗体字按钮使用斜体字本文中所有图例均为实际拍摄或屏幕截取图标表示的含义：有用的使用技巧、建议和对其他文档的引用等信息。

表示需要读者注意的信息，比如：当前的操作失误会导致数据的丢失。

目录一、安装概述 (2)1.1产品简介 (2)1.1.1 产品外观 (2)1.2安装准备 (3)1.3管理端软件安装、登录 (3)二、配置实例 (4)2.1实例配置环境 (4)2.1.1 拓扑图 (4)2.1.2 应用说明 (4)2.1.3 名词解释 (4)2.2 FerryWay V2.0配置实例 (5)2.2.1 HTTP应用通道配置 (5)2.2.2 FTP应用通道配置 (8)2.2.3 SMTP/POP3配置实例 (10)2.2.4 数据库访问应用通道配置 (14)2.2.5 目录同步应用通道配置 (14)三、高级应用 (16)3.1 双机热备配置实例 (16)3.1.1 双机热备简介 (16)3.1.2 双机热备配置方法 (16)3.2产品升级配置实例 (19)3.2.1前期准备 (19)3.2.2内端机升级操作（以Putty工具为例） (19)3.2.3外端机升级操作 (19)3.2.4安装新的管理端程序 (19)3.3 现场故障排除实例 (20)3.3.1查看版本 (20)3.3.2查看内核 ........................................................................... 错误!未定义书签。

网闸配置与应用（二）网闸产品配置实训一、实训目的1.掌握网闸基本配置方式。

2.掌握网闸基本配置步骤。

3.了解网闸的配置策略。

二、实训设备和工具安装有Windows 2003操作系统的计算机天融信的网闸（安全隔离与交换系统）。

三、实训内容和步骤任务1：掌握网闸基本配置方法任务2：网闸的规则配置任务3：上线测试步骤：第一步：熟悉网闸基本配置方法天融信TopRules系列网闸产品以仲裁机的端口做为管理和配置端口，管理和配置采用C/S模式，先要在管理机上安装管理端软件，通过管理端软件对网闸进行管理和配置，具体过程如下：1.管理端软件安装运行环境：Window 2000/XP/2003/Vista安装和初始化：运行随机光盘上TopRules目录下的安装文件setup.exe，设置管理控制端的安装路径，完成安装。

以下是安装截图：（图1-3：网闸管理程序安装）2.登录运行管理控制端：选择开始 > 程序 > TopSec > TopRules管理端。

（图1-4：网闸管理程序登录界面）将管理计算机与网闸的仲裁机相连，在登录窗口中输入登录主机地址、用户帐号、密码，点击“确定”，登录管理控制端。

主机的出厂IP为：192.168.1.254；用户帐号为：superman；密码为：talent123。

3.内外端机接口配置登录到设备以后将会看到如下的截图：（图1-5：网闸系统设置界面）网闸最大配置为内外各7个接口，标准配置为内外各1个接口，这里分别为eth0。

以配置外端机的接口地址为例：在如上图的界面中红色圈住部份点击系统> 设置> 设置外端机eth0 IP 地址（图1-6：网闸外端机IP配置界面）上图是外端机接口地址配置图例（内端机相同），192.168.5.181这个地址应该和相连网络是同一个网段，如果有其他网段需要访问这个地址设置默认网关，这个地址的每一个端口都可以映射为接内端机网络中的一个应用服务端口，如果出现有两个应用服务使用了相同的端口（如http服务的80端口）还可以点击高级添加多个虚拟地址，如下图：（图1-7：网闸虚拟IP配置界面）4.网闸用户设置天融信网闸设备可以通过用户设置多个管理用户，点击管理菜单中用户> 添加，按照对话框中的提示输入用户名、密码、管理用户的MAC地址再点击确定即可，如下图所示：（图1-8：网闸用户设置界面）第二步：网闸规则配置网闸规则配置，简言之就是要落实如何配置网闸，那么就需要明确网闸部署的位置，接口的IP地址，以及应用通道规则。

金电网安安全隔离与信息交换系统FerryWay V2.0操作手册文件编号：FWUS01目录第一章管理员使用指南本章主要指导用户配置安全隔离与信息交换系统的各项管理功能与策略。

一、运行环境支持的浏览器：Google/Firefox/IE8—9二、运行说明1.登陆1．网闸man口插上网线后，在浏览器中输入(默认管理地址)2．显示登录页面。

如图：3．在登录窗口中输入用户帐号、密码，点击“确定”，登录管理控制端。

4．默认登录信息（系统管理员）用户帐号：admin密码：admin20032.网络管理2.1网卡绑定1、点击左边“网卡绑定”显示如图2、选择要绑定网卡，并点击“增加绑定”如图注:连接状态检测方式共有2种，Mll是通过检测网线是否连接进行绑定，ARP是通过网卡的物理地址进行IP地址绑定。

一般选择ARP绑定。

3、选择连接状态检测方式为ARP如图，4、添加需要的目标IP地址，点击保存完成后如图:5、选择要修改绑定的IP，并点击“修改绑定”，并点击“保存”注：修改绑定不仅可以修改绑定的网卡，也可以修改IP和连接状态检测方式。

6、选中要删除已绑定网卡，并点击“删除绑定”弹出如图信息：7、点击“是”，成功删除绑定2.2内端机1、点击主机管理下的“内端机”如图2、选择内端机的想要配置IP的网卡，并点击“添加IP”，如图注：以 eth4为例，3、配置完成后如图4、选中要修改的网卡，并点击“修改IP”如图（正在使用中的IP不允许被修改）5、选中要删除的网卡，并点击“删除IP”如图（正在使用中的IP不允许被删除）2.3外端机详细操作请查看2.2内端机。

2.4 DNS配置1、浏览点击“网络管理”→“DNS配置”，进入DNS配置页面：2、编辑选中内外端机DNS输入框，输入所要设置的DNS地址，并点击“提交”按钮：2.5 路由管理1、浏览点击左侧路由管理功能，进入路由管理页面2、添加路由点击新增路由功能，进入路由设置窗口端机口：和目的通信的内端机或外端机目的子网：目的IP的子网子网掩码：掩码网卡：可选项（通信的网口）网关：当前能上网的网关（和所选内网端机IP段要相对应）权重：越小优先级越高3、修改路由选中指定的路由，点击编辑，确认后，点击修改成功4、删除路由选择指定的路由设置，点击删除，确认后删除成功。

天融信TOPSEC网络安全管理整体解决方案天融信公司在国内独创的ＴＯPSEC技术体系上,在“全面、联动、管理"的技术理念的基础上,构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TＯＰＳEC安全解决方案,保障客户网络从边界到桌面、从局域网到广域网高安全性。

TOＰＳEC解决方案包括综合管理系统,各类安全产品如防火墙、IDＳ、VPＮ、安全网关、个人安全套件以及综合安全审计系统等.全面、联动、高效、易于管理网络安全是整体的.我们可以通过选择优秀的产品、优秀的服务构建一个解决方案,但如果各个优秀的产品、优秀的服务等各个环节之间相互孤立，则各个产品、服务环节的安全策略相对孤立，无法形成整体的安全策略;这样势必形成安全漏洞，给入侵者可乘之机。

网络安全是动态的。

如果各个优秀的产品、服务等各环节之间是孤立的,则无法全面了解网络的整体安全状况，当然也无法根据网络和应用情况动态调整安全策略.因此，网络安全需要统一、动态的安全策略，更需要一个联动的高效的整体的安全解决方案。

天融信公司在国内独创的TＯPSEC技术体系上，在”全面、联动、管理”的技术理念的基础上,构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案,保障客户网络从边界到桌面、从局域网到广域网高安全性。

TＯPSEC解决方案架构在天融信独创的、先进T-ＳＣM（(Tｏpsｅｃ Sｅcuriｔｙ Center Ｍanageｍenｔ）—－天融信安全集中管理平台,Ｔ—SCＰ（Tｏpsｅc Sｅcｕrity cｏoperation ｐｌatｆorm)—-—天融信安全产品标协作平台,T—SAS(ToｐsｅｃＳｅcuriｔy Auｄｉｔioｎ Syｓtｅｍ）天融信安全审计平台３个核心技术平台之上。

ToｐsｅcMａnaｇｅr通过Ｔ—SCM实现对各种安全产品和非安全产品的综合管理;各种安全产品通过T—SCP实现不同产品之间的联动、协同工作;SＡS通过T—ＳAS实现对网络中的安全设备和非安全设备的集中审计、分析．TOＰSEC解决方案包括Topsec Mａnager综合管理系统,各类安全产品，和ＳAS 综合安全审计系统。