天御6000单向安全系统隔离系统7.0使用手册簿
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
天御6000单向安全隔离系统
使用手册
版权声明
版权所有2005-2008,北京和信网安科技有限公司,保留所有权利。
本文档所提供的资料如有变更,恕不另行通知。
遵守所生效的版权法是用户的责任,在未经北京和信网安科技有限公司明确书面许可的情况下,不得对本文档的任何部分进行复制、将其保存于或引进检索系统;不得以任何形式或任何方式(电子、机械、影印、录制或其他可能的方式)进行商品传播或用于任何商业、赢利目的。北京和信网安科技有限公司拥有本文档所涉及主题的专利、专利申请、商标、商标申请、版权及其他知识产权。在未经北京和信网安科技有限公司明确书面许可的情况下,使用本文档资料并不表示您有使用有关专利、商标、版权及其他知识产权的特许。
目录
第一章产品概述 (4)
1.1 概述 (4)
1.2 主要特点 (4)
1.3规格及技术指标 (4)
第二章设备安装 (5)
2.1 概述 (5)
2.2 安装准备 (5)
2.3 安装步骤 (5)
第三章系统配置 (6)
3.1 概述 (6)
3.2 设备接入拓扑图 (6)
3.3 内网关配置 (7)
3.4 外网关配置 (9)
3.5 规则删除 (11)
3.6 密码设置 (11)
3.7 系统退出 (12)
第一章产品概述
1.1 概述
本章主要讲述天御6000网络安全隔离系统的主要特点和设备规格
1.2 主要特点
1)产品采用双机系统结构;
2)采用非INTEL指令系统的双微处理器;
3)中间隔离部件通过电子开关实现安全隔离;
4)内外网关TCP/IP协议栈被裁剪掉;
5)内外网关之间采用私有通讯协议;
6)安全、固化的操作系统,采用嵌入式LINUX操作内核,内、外网关取消所有网络功能;
7)双工作模式:桥接模式和路由模式。
8)应用层数据完全单向传输,TCP回应字节数(0~4 byte)可自定义设置;
9)支持IP/MAC 绑定;
10)指定通信目标主机IP与端口
1.3规格及技术指标
1)机箱尺寸
长宽高:430× 370× 47 mm3(标准1U机箱)
2)后面板接口
图一:后面板
一个电源接口:输入电压:220V ±20%输出功率:50W;
两个RS-232串口提供初始化配置;
三个RJ-45接口(10MBASE/100MBASE):内网口是以太网输入接口;外网口是以太网输出接口。
,热备口连接另一台同样的设备,供双机热备用。
3)平均无故障时间(MTBF) ≥50000小时(100%负荷)
第二章设备安装
2.1 概述
本章主要讲述如何安装天御6000网络安全隔离系统
2.2 安装准备
1)准备一根与电脑相连的串口线(随机附带)。
2)确保配置电脑能正常使用超级终端。
2.3 安装步骤
1) 选择安装地点
选择一个适当的地方安装天御6000安全隔离系统,确保系统电源是关闭的。
2)连接天御6000安全隔离系统到局域网
使用标准的网线把隔离系统连接在局域网中,确保内网口和外网口与相对应的局域网相连。
3)打开电源
注意!连接电源前请确保电源供电、连接、接地正常。
4)检查系统指示灯
图二:前面板(面向操作者方向)
表1 前面板指示灯状态
第三章系统配置
3.1 概述
使用隔离系统前,必须正确配置隔离系统,通过阅读本章,可以快速设置隔离系统正常运行的各参数
3.2 设备接入拓扑图
在进入系统配置前应该先了解当前的网络环境,本章系统配置都基于这样的网络环境:
图1 桥接模式设备部署拓扑图
首先将隔离系统的串口通过串口线连接电脑,打开超级终端(设置超级终端属性:波特率:19200、数据位:8、停止位:1、数据流控制:无、无校验),
接下来就可以配置隔离系统。
3.3 内网关配置
第一步,登陆隔离系统内网关
在登陆提示符下输入系统管理员的用户名和密码。(用户名的出厂设置为“utrust”,密码的出厂设置为“utrust”)。
成功登陆后,屏幕显示为
第二步,配置隔离系统内网关
如需要了解参数设置格式,请使用帮助命令help,
如需查看当前配置情况,请使用查看命令info
桥接模式:
1)设置系统工作模式
在shell提示符下输入:set mode=bridge(桥接模式)或set mode=route(路由模式)
2)设置隔离系统内网关的IP和子网掩码。如果工作模式设置为桥接模式,请跳过此步。
在shell提示符下输入:set ip=192.168.1.1,mask=255.255.255.0
3)设置内网中被允许通过隔离系统的主机地址
主机地址的匹配包括IP地址、MAC地址和IP/MAC绑定,所以此设置命令也有三种形式,但结果相同,区别在于隔离系统对数据包来源的地址检查方法不同。
a.如只对数据包来源的IP地址作检查,在shell提示符下输入:
add ip=192.168.1.100
b.如只对数据包来源的MAC地址作检查,在shell提示符下输入:
add mac=00:05:b7:01:82:82
c.如对检查数据包来源的IP、MAC地址都作检查,在shell提示符下输入:
add mac=00:05:b7:01:82:82,ip=192.168.1.100