网闸CopGap管理手册(bs模式)
网闸技术规范书
网闸技术规范书需方拟采购中网物理隔离网闸。
一、功能描述:整个技术体系完全自主可控;具有自主知识产权的物理隔离内核;采用了自主可控的安全操作系统;物理隔离网闸的程序全部固化(只读);采用“2+1”结构,即双主机系统和一个固态介质存储交换系统;支持即插即用,对网络结构没有要求;具有普适性,对两个网络的IP地址没有要求;支持“无缝”地嵌入当前应用和业务系统;对两个网络执行物理隔离;消除了任何IP包穿透物理隔离网闸;消除任何的TCP/IP会话;消除任何的应用会话(B/S或C/S);消除了任何的通信和网络协议;没有网络协议通过物理隔离网闸,两网之间无直接访问;消除了基于网络的攻击;屏蔽了内网网络结构的缺陷;屏蔽了内网主机操作系统的缺陷;屏蔽了内网的应用缺陷;提供两个网络之间的文件信息交换;支持数据库应用;支持HTTP访问;支持Email收发;对加载了代理功能模块的应用提供服务;对物理隔离的保护功能;防扫描功能(Anti-scan);抗攻击功能(Anti-dos);入侵防御功能(IPS);(登录,篡改)主机访问控制功能(ACL);提供身份认证;传输文件的格式限制;支持通道管理和传输方向控制;配置方便,易于使用和管理,提供GUI,命令行等配置使用方式;完善的日志记录和查询审计功能;二、基本要求1、原厂商的非OEM产品;2、不影响现有系统的使用。
三、资质要求1、为保证供货和服务的及时性,本次竞价限本地供应商或在本地有销售及服务网点的外地供应商参与,外地供应商须在竞价时以附件形式上传本地销售服务网点证明材料;2、本次竞价投标供应商须为中央政府采购网中该产品协议供货商;3、为保证产品为国内行销原装正货且能够享受完善的售后服务,供应商竞价时需提供原厂售后服务承诺函,承诺提供三年7*24小时技术支持和售后响应服务;4、报价应包含设备费用、运输保险费用、安装调试费用、税金等所有费用。
四、服务要求提供全国范围内免费送货至用户指定地点交货时间:按照合同执行保修:交货后3年安装、调试、现场技术培训服务:上门安装,有技术人员提供现场服务免费上门服务期限:交货后3年内,在服务期内提供技术支持服务,如免费的版本升级和专业的售后服务专线支持(800电话)等。
珠海伟思隔离网闸产品手册
珠海伟思隔离网闸技术白皮书目录一、概述 (2)一、 .......................................................................................................................................... 网络安全现状 2二、 ................................................................................................................................. 现有网络安全技术 23、现有网络安全技术(防火墙技术)的缺点 (3)4、GAP技术简介 (3)二、ViGap介绍 (6)一、ViGap产品简介 (6)2、ViGap产品原理 (6)三、ViGap功能 (7)一、ViGap产品定位 (7)2、ViGap产品功能 (8)四、ViGap产品性能 (9)一、ViGap产品技术指标 (9)ViGap 100-150 (10)ViGap 100-350 (10)2、ViGap产品硬件和软件包 (10)五、ViGap产品应用 (11)一、通用解决方案 (11)二、重要网络数据资源保护 (12)3、电子政务安全岛 (12)ViGap技术白皮书一、概述1、网络安全现状运算机网络的普遍应用是现今信息社会的一场革命。
电子商务和电子政务等网络应用的进展和普及不仅给咱们的生活带来了专门大的便利,而且正在创造着庞大的财富,以Internet 为代表的全世界性信息化浪潮日趋深刻,信息网络技术的应用正日趋普及和普遍,应用层次不断深切,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,运算机网络也正面临着日趋剧增的安全要挟。
广为网络用户所知的黑客行为和解决活动正以每一年10倍的速度增加,网页被修改、非法进入主机、发送冒充电子邮件、进入银行系统盗取和转移资金、窃取信息等网络解决事件此起彼伏。
CopGap科博安全隔离与信息交换系统技术白皮书解读
科博安全隔离与信息交换系统(CopGap200)技术白皮书中铁信安(北京)信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网(VPN)功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系,通过纵深防御、系统联动达到协同保护网络安全的目的。
尽管防火墙在安全防御中作为一种核心的访问控制手段,起到了不可替代的作用,但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。
分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。
防火墙工作层次愈低,其性能愈高,安全性就愈差;工作层次愈高,其性能愈差,但安全性愈高。
联想_SIS-3000系列安全隔离网闸白皮书
2 网络隔离与信息交换系统技术原理......................................................................................1 2.1 工作原理 ........................................................................................................................1 2.2 技术特性 ........................................................................................................................2
6 标准与资质认证 ...................................................................................................................21
7 典型用户 ...............................................................................................................................22
Vigap物理隔离网闸--技术白皮书
GAP技术—物理隔离网闸白皮书(简)物理隔离网闸珠海伟思(集团)有限公司ZHUHAI VICTORY-IDEA(GROUP)CO., LTD.介绍安全背景今天的网络面临许多日益剧增的安全威胁:病毒、特洛伊木马、机动代码(mobile code)、拒绝服务攻击、电子商务入侵和盗窃等。
随着INTERNET的发展,网络变得容易访问进而容易受到外部攻击,这使得许多安全专家认为一台连入INTERNET的PC就是一个攻击的目标。
从一个安全的角度观察,解决方案是简单的,将可信网络与其它任何网络特别是INTERNET断开,保密数据就可牢牢锁定,既没入口,也没出口。
彻底断开可以减少安全威胁。
不幸的是,在今天的电子商务和信息全球化年代,不接入INTERNET是不现实的,很多情况下简直是不可能,与此相反,许多公司越来越依赖于网络:提供职员、客户和商业伙伴快速自由的在线访问内部back-office系统和数据中心。
更复杂的是,通常企业许多敏感的商业信息要和有选择性的外部人员共享。
GAP技术针对这一挑战,通过结合物理断开和逻辑连接,提供给企业一个重要的、附加级的安全措施。
本册解释了怎样实现这一迷人的结合。
什么是GAP技术?GAP技术,它创建一个这样的环境,两个网络物理断开,但逻辑地相连。
某些网络是典型的可信网络,如企业内部网(INTRANET);另一些网络则是不可信的网络,如INTERNET。
GAP技术在这两个网络之间创建了一个物理隔断,这意味着网络数据包不能从一个网络流向另外一个网络,并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。
对于有连接的PC,黑客使用各种方法,通过网络能够建立连接来对它们进行控制,然而物理隔断却能杜绝这种情况发生。
GAP技术除可以实现物理隔断外,还可以允许可信网络和不可信网络之间的数据、资源和信息的安全交换。
正因为有这样的特点,GAP技术允许公司分享两个网络世界的杰出优点:物理隔断使可信网络安全和在线式不可信网络访问。
中网物理隔离网闸产品简介
中网X-GAP产品简介中网X-GAP(又称物理隔离网闸,或安全隔离与信息交换系统,以下简称X-GAP)产品是当今已知的安全性最高的网络安全设备。
X-GAP在保证通信隔离(又称物理隔离)的情况下,实现信息交换服务。
X-GAP可以轻松地集成到政府、电力、工商、税务、公安、交通、能源、金融和大型企业等的网络和业务环境中。
X-GAP不仅为客户提供基于隔离的安全保障,而且还提供高速度、高稳定性的数据交换能力,能够满足客户对高安全、高性能、高可靠性的应用需要。
产品概述:★专用的隔离设备隔离是指断开的意思。
安全隔离是指X-GAP连接的内外网之间,在物理链路层是永远隔断、没有连接,因此没有通信连接,没有网络连接,没有应用连接。
安全隔离后,网络无法进行数据通信。
隔离设备引入“文件摆渡”概念,通过“读写”两个命令来实现“文件摆渡”,在保证隔离的情况下实现文件安全交换。
★明确的产品定位X-GAP适用于相互断开的两个网络间安全、高速、可靠地交换文件。
X-GAP 在两个网络断开的前提下,通过“文件摆渡”实现数据交换,解决了各行业由于政策强制要求“物理隔离”所引起的“既要网络断开,又要交换数据”的两难境地,在保持隔离特性的同时,提供一种安全、有效的信息交换途径。
★易于管理和配置X-GAP的系统设计充分考虑到用户的使用和配置,为用户提供的配置界面和管理接口简单易用,安全管理员可以直观方便地配置系统。
产品组成(八大模块):★安全隔离(断开与摆渡)由外部主机、内部主机和开关系统组成。
外部主机连接外网,内部主机连接内网,外部主机包含外部单边代理、内部主机包含内部单边代理,内外网主机代理之间的文件交换均通过X-GAP的开关系统来摆渡。
★抗攻击内核(内核防护)X-GAP的内核是专有的裁剪加固的高安全性内核。
X-GAP系统采用了中网独有的宙斯盾抗攻击网关内核,为X-GAP本身提供了具有最高强度的抗DOS/DDOS 攻击特性。
X-GAP还支持防扫描的功能(Anti-Scan)和嵌入式的入侵检测防御功能(IDP)。
安全隔离网闸功能详细配置
3.2 带客户端文件交换-WEB配 置
第二步:添加文件交换——服务端任务
3.2 带客户端文件交换-WEB配 置
第三步:设置内容过滤选项
文件名控制 内容黑名单 内容白名单
3.3 带客户端文件交、接收用户、接收任务
4.2 数据库同步-WEB配置
第三步:添加服务端任务——数据端口、消息端口
4.3 数据库同步-客户端配置
第四步:配置发送端客户端 – 系统配置、通道设置
4.3 数据库同步-客户端配置
第四步:配置发送端客户端 – 数据源设置、发送任务设置
4.3 数据库同步-客户端配置
第五步:配置接收端客户端 – 系统设置、数据源设置
6、其他注意事项见相关用户手册;
4.1 数据库同步-功能概要
支持Oracle、SQL Server、Sybase、DB2等数据库内、 外网间的数据库数据的同步传输。
4.2 数据库同步-WEB配置
第一步:是否设置证书、启动服务
4.2 数据库同步-WEB配置
第二步:添加客户端任务——数据端口、消息端口
7.2 邮件传输-WEB配置(SMTP)
第一步:启动服务
7.2 邮件传输-WEB配置(SMTP)
第二步:配置“客户端” 访问任务——透明访问
7.2 邮件传输-WEB配置(SMTP)
第二步:配置“客户端” 访问任务——普通访问
7.2 邮件传输-WEB配置(SMTP)
第三步:配置“服务端” 访问任务 仅针对“普通访问”。
出现安全警报后点击“是(Y)”就会出现安全隔 离网闸登录页面
XP系统请确认IE浏览器中internet选项->隐私选项->中的阻止弹出窗口选取去掉:如下图
CGWAY-12T隔离网闸使用说明书
精心整理隔离网闸使用说明书CGWAY-12/T 正向型版权©2010工业800保留所有权力1产品概述 1.1分层分区方案 根据电力二次系统的特点,划分为生产控制大区和管理信息大区。
生产控制大区分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)。
信息管理大区分为生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)。
正向型网络安全隔离网闸(CGWAY-12/T )用于安全区I/II 到安全区III/IV 的单向数据传递。
如图1所示:图1:分层分区方案1.2硬件结构 网络安全隔离网闸(CGWAY-12/T )的硬件结构如图2所示。
本产品硬件采用RISC 体系架构高性能嵌入式计算机芯片,双机之间通过高速物理传输芯片进行物理连接。
底板上有两个高速10M/100M 网口(NET_A 和NET_B)用于连接要隔离的两个网络。
1.3同时1.4产品功能1.2.3.4.基于MAC5.支持NAT6.防止穿透性7.8.1.51.采用非2.3.4.抵御除1.6 1.7内网A 连接时,该外网B A 1.内网取得2.外网取得3.内网发起的4.B 机重新对外网发起连接。
5.B 机无程序设为SERVER 接受外网连接。
2.产品分发与安装 正向型网络安全隔离装置(CGWAY-12/T )产品分发包括硬件和软件两大部分。
2.1硬件部分 用户在使用本产品时,应先检查硬件产品是否带有具有(CPS )标志,外观是否有损坏现象。
如有以上现象,请勿使用并及时与本公司取得联系,处理相关事宜。
为了产品稳定、可靠的运行,请勿私自打开隔离装置。
如图5、6所示:图5:产品正面图6:产品背面2.2软件部分 隔离装置随机带有一张配置软件关盘,该程序不用安装,直接使用。
点击cps_tools.exe ,打开配置软件主界面,如下图7所示: 图7:网闸配置工具主界面 2.3网络拓扑图 隔离网闸的配置说明以下图为例,详细说明隔离网闸如何配置。
我公司会在内网侧配置一台接口机,接口机连在内网交换机上,接口机的作用是用DATAClient-OPC 获取DCSOPCServer 的数据,然后通过隔离网闸向外转发。
TopRules网闸产品说明
网络卫士安全隔离与信息交换系统TopRules产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印© 1995-2008 天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC® 天融信公司信息反馈目录1前言 (2)2产品概述 (3)3产品特点 (5)4产品功能 (8)4.1W EB访问功能 (8)4.2邮件访问功能 (8)4.3文件访问和同步功能 (8)4.4FTP访问功能 (8)4.5数据库访问和同步功能 (9)4.6自定义功能通道 (9)5产品规格 (10)6运行环境和标准 (11)7典型应用 (12)7.1涉密网络中的应用 (12)7.2常规网络中的应用 (13)1前言作为中国信息安全行业领导企业,北京天融信公司1995年成立于中国信息产业摇篮的北京,十年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。
从1996年天融信率先推出填补国内空白的中国自主知识产权防火墙产品,到能够提供防火墙、VPN、入侵检测与防御、多功能安全网关(UTM)、过滤网关、安全审计、安全管理等高品质全系列安全产品;再到以安全产品为基础、以打造信息安全保障体系为目标、以等级保护为主线,天融信已经完成了从单一安全产品生产商向全线安全产品、解决方案与服务综合提供商的飞跃。
天融信作为民族信息安全产业的领航者肩负着国家信息安全重任,秉承“完全你的安全(Seamless Security Network)”品牌宗旨,结合多年网络安全技术,以“可信安全管理”为技术发展方向,全力保障客户网络与信息安全、为客户创造更大价值。
安全隔离网闸技术规格参数.doc
最大并发连接数: 100,000 ;
文件交 换功能
功 能 模 数据库 块 同步
※ 文件交换包括客户端方式的文件交换方式,也包括文件共享同步方式; 支持客户端、Samba 、NFS 的文件交换;可以实现内网到内网、内网到外网、外网到内网的点对 点的文件 传送, 具备小 型公文 交换系 统的功 能。 1) 支持对传输文件的文件名控制机制;支持对黑白名单控制; 2) 支持文件自动收发功能,文件交换服务能够控制单个用户和分组用户的文件收发权限; 3) 文件交换可提供客户端和无客户端的操作 4) 支持实时或定时文件摆渡 5) 支持单向或双向传输; 6) 支持传输文件的病毒检测; 7) 支持传输后删除方式,可实现传输结束后删除源文件;
※ 数据库同步应用可通过灵活的同步机制保证安全等级不同的网络中的数据库系统实现数据同步 更新,支 持表级 、字段 级同步 ; 1) 支持多种方式同步(如镜像、增量),同步模式支持单向和双向同步; 2) 支持数据库客户端安全访问网络另一侧的数据库服务器的功能; 3) 能够支持 ORA CLE、SYBASE、MySQL、SQLServer、DB2 等主流数据库; 4) 无需修改数据库表结构,不涉及到代码及修改; 5) 可以同时发送和接收一个关系数据库中的多个表;可分别定义增加、删除、修改的数据传输; 6) 根据指定字段值进行条件传输; 7) 支持大字段数据同步交换; 8) 支持不同类型数据库之间的异构数据安全传输; 9) 支持灵活的数据库冲突处理策略,当关键字数据发生冲突时可选择:覆盖/丢弃;
国家电网公司 EM C 检测认证; DTP 物理隔离通道系统证书; TPCS 软件著作权登记证书; 计算机软 件著作 权登记 证书; 中国国家 信息安 全产品 认证证 书(三 级)
功能点
网闸(GAP)
网闸(GAP)全称安全隔离网闸。
安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
闸门的组成安全隔离网闸是由软件和硬件组成。
安全隔离网闸的硬件设备由三部分组成:外部处宇宙盾隔离网闸理单元、内部处理单元、隔离硬件。
使用闸门的意义为什么要使用安全隔离网闸呢?其意义是:(一)当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。
在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是最好的选择。
(二)对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。
(三)安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。
主要性能指标和功能性能指标安全隔离网闸的主要性能指标有那些呢?其性能指标包括:系统数据交换速率:120Mbps硬件切换时间:5ms主要功能1。
有哪些功能模块:安全隔离闸门的功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证2。
防止未知和已知木马攻击:为什么说安全隔离网闸能够防止未知和已知木马攻击?通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通用协议)。
使得支持传统网络结构的所有协议均失效,从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。
PFCG管理手册
PFCG管理员权限配置手册目录●目旳:错误!未定义书签。
●实现措施:错误!未定义书签。
●配置环节:错误!未定义书签。
1.创立角色....................................................................................... 错误!未定义书签。
2.添加事务代码............................................................................... 错误!未定义书签。
3.更改授权数据。
........................................................................... 错误!未定义书签。
1) 限制二级管理员可以添加旳T-CODE。
................................ 错误!未定义书签。
2) 限制二级管理员可以创立及修改旳角色名称。
................... 错误!未定义书签。
3) 对各企业旳Company Code进行限制。
................................ 错误!未定义书签。
4) 对USER GROUP进行限制。
................................................ 错误!未定义书签。
文档更动历史1 权限管理框架徐祥2006年9月18日目旳:为了使各级分企业管理员可以只能管理该企业旳权限和顾客而不能对其他企业旳权限和顾客作修改,现将管理员权限旳管理分为两层:1.最高管理员权限。
2.各级分企业管理员权限。
最高管理员权限:可以对所有旳权限和顾客进行更改和创立。
各级分企业管理员权限:容许该管理员只能创立及更改该企业旳权限和顾客,对于其他企业权限和顾客则无权进行更改。
实现措施:可以通过对授权对象进行限制来到达限制分企业管理员权限旳目旳,措施如下:1.对T-CODE进行限制通过对T-CODE进行限制,可以实现分企业旳管理员对添加旳事务代码(T-CODE)进行限制,容许分企业管理员只能添加容许范围内旳T-CODE。
中铁信网闸技术指标
支持Web代理访问互联网功能,对访问的互联网网站没有限制,支持QQ、MSN的代理使用
策略路由
支持策略路由模式,保证公网的多网接入可以正确使用
多网管理
支持内网及外网的多网管理模式,即可以同时管理内网多个网络及外网多个网络
物理特性及性能要求
要求
备注
接口
4个千兆电口,2个串口,可扩展为8个千兆电口
数据库字段级同步
支持数据库字段级同步,即两个不同的数据库的不同表之间,只要字段类型一致,就可以进行同步
自定义服务支持
提供用户自定义应用的开发和支持
日志审计
提供详尽的日志功能;提供对日志数据丰富的审计功能;提供日志信息的加密存储功能
文件同步
提供基于策略的文件发布功能。至少支持基于文件名、子目录、通配符、筛选器的发布策略定制功能
连接终端和数据传输
内外端机实现基于应用代理的网络连接终止和应用数据提取功能。内外端机之间的应用数据交换采用基于硬件芯片的专用封装协议实现,不传输任何协议格式信息
基于GUI的安全管理
提供内网GUI管理接口,管理方式采用B/S模式,物理安装管理客户端
基于串口的管理
提供基于串口的命令行方式管理。
内容审查
能够对标准应用协议的命令、协议数据、文件类型进行审查和控制
标准协议支持
支持POP3、SMTP、FTP、HTTP、LDAP等标准协议代理
数据库同步
提供同构和异构数据库同步功能
数据库字段级同步
支持数据库字段级同步,即两个不同的数据库的不同表之间,只要字段类型一致,就可以进行同步
自定义服务支持
提供用户自定义应用的开发和支持
日志审计
提供详尽的日志功能;提供对日志数据丰富的审计功能;提供日志信息的加密存储功能
03网闸-基本配置
《信息安全产品配置与应用》之网闸篇
内外端机的接口地址设置(1)
以配置外端机的接 口地址为例:在如上 图的界面中红色圈住 部份点击:系统 > 设置 > 设置外端机eth0 IP 地址
《信息安全产品配置与应用》之网闸篇
内外端机的接口地址设置(2)
左图是外端机接口 地址配置图例(内 端机相同), 192.168.5.181这个 地址应该和相连网 络是同一个网段, 如果有其他网段需 要访问这个地址设 置默认网关,这个 地址的每一个端口 都可以映射为接内 端机网络中的一个 应用服务端口。
主要内容
一、网闸产品外观 二、网闸配置前的准备工作 三网闸篇
网络卫士安全隔离与信息交换系统
前端面板
外端机接口 仲裁机接口 内端机接口
其中仲裁机接口为管理端口(默认IP为192.168.1.254, 用户名/口令:superman/*****),内外端机做为不同网络 区域的相连接口。
《信息安全产品配置与应用》之网闸篇
主要内容
一、网闸产品外观 二、网闸配置前的准备工作 三、天融信网闸主要功能模块说明
《信息安全产品配置与应用》之网闸篇
网闸配置前的准备工作
打开网闸设备包装,加电进行检测,观察设备前端面 板的状态灯是否显示正常(如果工作正常,状态灯均 显示为绿色)
安装设备随机光盘中的管理端程序(注意:安装管理 端程序的终端不能是通过克隆盘安装的系统,否则程 序不能工作)
了解网闸内外端机接入网络的情况,如IP地址段、默 认网关等
了解需要访问的服务器的IP地址、服务类型、服务端 口
《信息安全产品配置与应用》之网闸篇
主要内容
一、网闸产品外观 二、网闸配置前的准备工作 三、天融信网闸主要功能模块说明
网闸基本全参数1
支持同种数据间(同构)和不同种数据库间(异构)的同步;
支持字段级数据库间的单向或双向同步(不改变用户的库结构)。支持同步库中初始数据功能;
支持灵活的数据库冲突处理策略,当关键字数据发生冲突时可选择:覆盖/丢弃;(提供功能介面截图)
支持字段值按条件进行数据同步;(提供功能介面截图)
无故障运行时间
不少于5万小时;
日志管理
日志实现按功能模块分组管理
实现对日志的浏览、查询、导出、删除等操作
日志支持远程存储,能为第三方提供日志格式,实现日志数据分析;支持SysLog标准
产品资质要求
设备具备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》。
具有公安部信息安全产品检测中心检测报告
支持时间策略访问控制。
病毒检测
★支持病毒检测专用模块,支持自动/手动两种升级模式;(提供功能界面截图)
★采用自有知识产权的病毒防护引擎,包括病毒检测引擎和病毒分析引擎(提供相关专利证明)
★采用专用国产知名病毒库。(提供相关证明)
入侵检测功能
支持实时入侵检测功能;
抗DDoS攻击
支持抗DoS、DDoS攻击功能;
提供对访问源地址、目的地址和端口、本机地址和端口的自定义访问过滤控制;
邮件收发支持时段访问控制;时间段可以是一次性执行、周循环两种方式
提供邮件访问日志,方便日志审计和管理
安全浏览
支持病毒扫描功能;
支持基于会话级的内容过滤策略,允许不同会话采用不同的内容访问控制策略;
支持访问源地址、目的地址、目的端口的访问控制;
安全管理
支持HTTPS的Web方式管理,实现了远程管理信息加密传输;
光单向安全隔离数据自动导入系统(网神隔离网闸)管理员管理守则V8141
精心整理网神SecSIS 3600光单向安全隔离数据自动导入系统管理员手册声明本手册所含内容如有任何变动,恕不另行通知。
在法律法规允许的最大范围内,网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外,适合某特定用途的担保。
商业利润的损失、业务中断、SecSIS 3600光单向安全隔离数据自动导入系统,您能成SecSIS 3600光单向安全隔离数据自动导入系统,网神SecSIS 3600光单向安全隔离数据自动导入系统必须通过管理主机对光单向安全隔离数据自动导入系统进行设置管理。
这本手册能帮助您更好地管理设置。
希望用户在遇到设置问题的时候能在手册里得到帮助。
我们对管理员手册的编排力求内容全面而又简单易懂,从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。
在第一次安装和使用之前,请务必仔细阅读所有资料,这会有助于您更好地使用本产品。
这本手册的读者对象是网神SecSIS 3600光单向安全隔离数据自动导入系统的管理员。
在安装光单向安全隔离数据自动导入系统之前及过程中,为更好地应用与配置,同时避免可能出现的各类问题,请仔细阅读本手册。
我们认为手册中所提供的信息是正确可靠的,请尽量避免人为的失误。
谢谢您的合作!网神信息技术(北京)股份有限公司①~ 80%;存储环境为温度0℃ ~ 70℃,湿度②③如果您擅自更换标准电源线,可能会带来严重后果。
特别提示:①遇到故障,请不要自行拆卸光单向安全隔离数据自动导入系统,建议与我们的技术支持人员(免费咨询电话:400-610-8220)取得联系,以获得最佳解决方案。
②光单向安全隔离数据自动导入系统的搬运应注意:⑴本光单向安全隔离数据自动导入系统的搬运最好使用出厂原包装。
搬运之前请清点好所有部件和随机附带的资料。
⑵最好将各个部件和随机附带的资料按出厂时的包装还原。
⑶光单向安全隔离数据自动导入系统不可带电搬运,任何零部件不可带电插拔,否则可能损坏光单向安全隔离数据自动导入系统。
网闸CopGap管理手册(bs模式)
科博安全隔离与信息交换系统(CopGap 200)使用手册2009年11月关于本手册本手册适用于采用B/S方式管理的科博安全隔离与信息交换系统。
主要面向安全管理员,介绍如何配置和管理“科博安全隔离与信息交换系统”,并对产品的功能特性进行说明,对安装使用环境提出要求,介绍了安装方法,列出了常见故障检查和服务支持信息.为您正确使用“科博安全隔离与信息交换系统”提供便利.本手册的全部内容已链接于我公司的网站用户可上网浏览,下载本手册。
版权声明本公司拥有本产品软硬件系统及相关文档的全部版权。
未经本公司书面许可,任何单位及个人不得以任何方式或理由对本产品的任何部分进行复制,抄录,传播,或将技术文档翻译成他国语言,并不得与其他产品捆绑销售. 信息反馈本公司欢迎您通过尽可能多的渠道向我们提供尽可能多的信息,您的意见和问题都会得到我们的重视和妥善处理。
请将反馈信息投递到下述地址:地址:北京市海淀区永丰开发区友谊路北京城市学院城北校区电话:(010)62478843、82470343 传真:(010)62478368邮编:100094目录第一章初始化配置 (1)第二章系统管理 (2)2.1关机/重启 (3)2。
2网络配置 (3)2.3配置管理 (9)2.4系统校时 (11)2.5用户管理 (11)第三章服务映射 (12)3.1服务映射 (12)3.2访问控制 (14)3。
3协议控制 (17)第四章文件同步 (19)4.1文件同步任务 (19)4.2筛选器 (22)第五章数据库同步 (29)5。
1数据库同步 (29)5.2同步程序日志 (34)5。
3同步程序升级 (35)5。
2同步程序版本 (35)第六章系统监控 (35)6.1设备状态 (35)6.2地址信息 (36)6.3系统信息 (36)6。
4运行状态 (37)第七章日志审计 (37)7.1系统日志 (38)7。
2管理日志 (38)7。
3映射日志 (40)7.4文件同步日志 (41)附件:典型案例 (43)服务映射 (43)文件同步 (50)第一章初始化配置1)科博安全隔离与信息交换系统CopGap200的内端机连接可信的内网,外端机连接不可信的外网。
网闸技术白皮书
网闸技术白皮书(总22页)--本页仅作为文档封面,使用时请直接删除即可----内页可以根据需求调整合适字体及大小--1产品概述随着网络技术的不断应用和完善,Internet正在越来越多地渗透到社会的各个方面。
一方面,企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展,人们的日常生活与网络的关系日益密切;另一方面,网络用户组成越来越多样化,出于各种目的的网络入侵和攻击越来越频繁。
人们在享受互联网所带来的丰富、便捷的信息同时,也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。
传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要,但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性。
为保护重要内部系统的安全,2000年1月,国家保密局发布实施《计算机信息系统国际互联网保密管理规定》,明确要求:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离。
” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。
”在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施,可切断信息泄漏的途径。
最初的解决方案很简单,即通过人工的操作来实现。
如下图所示:在不同安全等级的网络中进行信息交换的时候,由指定人员将需要转移的数据拷贝到软盘等移动存储介质上,经过查病毒、内容检查等安全处理后,再复制到目标网络中。
这种解决方案可实现网络的安全隔离,但数据的交换通过人来实现,工作效率低;安全性完全依赖于人的因素,可靠性无法保证。
在数据量不大,交换不频繁的情况下,通过人工交换数据的确简单可行。
然而,随着电子政务的开展,内外网交换数据的数量和频率呈几何量级上升,这种解决方案已经越来越无法满足用户的需要。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
科博安全隔离与信息交换系统(CopGap 200)使用手册2009年11月关于本手册本手册适用于采用B/S方式管理的科博安全隔离与信息交换系统。
主要面向安全管理员,介绍如何配置和管理“科博安全隔离与信息交换系统”,并对产品的功能特性进行说明,对安装使用环境提出要求,介绍了安装方法,列出了常见故障检查和服务支持信息。
为您正确使用“科博安全隔离与信息交换系统”提供便利。
本手册的全部内容已链接于我公司的网站用户可上网浏览,下载本手册。
版权声明本公司拥有本产品软硬件系统及相关文档的全部版权。
未经本公司书面许可,任何单位及个人不得以任何方式或理由对本产品的任何部分进行复制,抄录,传播,或将技术文档翻译成他国语言,并不得与其他产品捆绑销售。
信息反馈本公司欢迎您通过尽可能多的渠道向我们提供尽可能多的信息,您的意见和问题都会得到我们的重视和妥善处理。
请将反馈信息投递到下述地址:地址:北京市海淀区永丰开发区友谊路北京城市学院城北校区电话:(010)62478843、82470343 传真:(010)62478368邮编:100094目录第一章初始化配置 (1)第二章系统管理 (2)2.1关机/重启 (3)2.2网络配置 (3)2.3配置管理 (9)2.4系统校时 (11)2.5用户管理 (11)第三章服务映射 (12)3.1服务映射 (12)3.2访问控制 (14)3.3协议控制 (17)第四章文件同步 (19)4.1文件同步任务 (19)4.2筛选器 (21)第五章数据库同步 (28)5.1数据库同步 (28)5.2同步程序日志 (33)5.3同步程序升级 (34)5.2同步程序版本 (34)第六章系统监控 (34)6.1设备状态 (34)6.2地址信息 (35)6.3系统信息 (35)6.4运行状态 (36)第七章日志审计 (36)7.1系统日志 (37)7.2管理日志 (37)7.3映射日志 (39)7.4文件同步日志 (40)附件:典型案例 (42)服务映射 (42)文件同步 (49)第一章初始化配置1)科博安全隔离与信息交换系统CopGap200的内端机连接可信的内网,外端机连接不可信的外网。
2)科博安全隔离与信息交换系统采用B/S模式管理,管理口缺省IP地址为10.111.14.119/24。
3)选择一台安装有IE浏览器的客户机,与管理口相连,修改客户机IP地址,使其与内端管理接口(默认为:10.111.14.119/24)处于同一个网段,例如设置为10.111.14.110/24;在浏览器地址栏输入:https://10.111.14.119即出现管理系统登陆界面。
4)在“用户名”一栏输入用户名admin,在“密码”一栏输入其对应默认口令“123456”(提醒管理人员及时更改系统初始缺省管理员的用户名和口令),进入科博安全隔离与信息交换系统CopGap200的管理系统,如图所示。
管理系统分为:系统管理、服务映射、文件同步、数据库同步、系统监控、日志审计六个模块。
第 1 页第二章系统管理系统管理模块可查看和配置系统基本信息,功能如下:第 2 页2.1 关机/重启单击“关机”按钮可关闭系统,单击“重启”可重启系统。
2.2 网络配置显示基本网络信息(包括IP地址、DNS、网关、路由、域名解析、高可用性等),如图:以上页面显示的是科博安全隔离与信息交换系统主要网络配置。
2.1.1 接口配置1)添加IP地址首先选中需要配置的网络接口,然后在IP地址和子网掩码文本框内填写正确的IP和掩码,最后点击“添加”按钮即可。
例如:第 3 页网络接口选择“业务口1”,填写IP地址10.0.0.56,子网掩码为24位即255.255.255.0,如下。
完成“添加”后,该配置信息将显示在列表中(如下图所示),同时,在与业务口1相连的主机上配置与10.0.0.56/255.255.255.0同网段的IP地址,可ping 得此IP。
2)删除IP地址单击列表中需要删除的IP配置所在行按钮,即可删除该行配置。
3)修改IP地址单击列表中需要修改的IP配置所在行按钮,出现修改IP配置页面:第 4 页修改参数,点击“修改”完成配置修改返回主页面;点击“返回”放弃修改返回主页面。
2.1.2 路由配置在文本框内输入正确的网关地址后点击“设置”即可。
2.1.3DNS/网关/管理口第 5 页输入可信端与不可信端正确的网关DNS,点击设置即可。
可信端管理口默认地址为:10.111.14.119/255.255.255.0;不可信端管理口默认地址为:10.111.14.118/255.255.255.0。
管理口地址可配置,新配置重启后生效。
2.1.4 名称解析静态域名解析配置当前系统的DNS解析条目。
例如,配置:“可信端”“10.0.0.66”“”。
第 6 页表示,在可信端将被解析为ip地址10.0.0.66。
例如,配置:“不可信端”“10.1.1.58”“”。
表示,在不可信端将被解析为ip地址10.1.1.58。
2.1.5 高可用性(只有具备高可用性模块的设备可配置)。
高可用性(high available),解决一种不可避免的计划和非计划系统宕机问题的软件解决方案。
当某个主机故障时,运行在其上的服务就可以被其它主机接管。
在这个过程中,用户只需要经受一定程度可接受的时延,而能够在最短的时间内恢复服务。
配置界面如下:需要配置的参数有:位置、节点名。
第7 页位置:远程(指非本机以外的其他设备);本地(本机设备)。
节点名:在1~254之间的一个ID号。
案例如下:两台CopGap设备,简称为GapA、GapB,做高可用配置。
1、GapA、GapB除高可用性模块以外的所有配置完全一致。
2、将两台设备心跳线用交叉线互连。
3、在GapA上配置两条:1)、“本地”,“1”;(表示当前设备的ID号为1)2)、“远程”,“2”。
(表示另一台设备ID号为2)4、在GapB上配置两条:1)、“本地”,“2”;(表示当前设备的ID号为2)2)、“远程”,“1”。
(表示另一台设备ID号为1)5、启动两台设备,完成高可用性配置,当一台设备故障时,另一台设备自动接管业务。
2.1.6 MAC绑定将特定IP与一台主机的网卡物理地址绑定。
只有指定第8 页主机用特定IP地址连接安全隔离与信息交换系统时,连接才被接受。
其他主机用此特定IP地址连接全隔离与信息交换系统时,连接被认为不合法,拒绝。
例如:内网IP:10.0.0.41/24和物理地址00-0e-f5-00-4c-a1绑定,如下:当MAC地址非00-0e-f5-00-4c-a1的主机使用IP10.0.0.41连接安全隔离与信息交换系统,连接失败。
不可通过当前系统访问外网资源。
同理在外端也可进行MAC地址绑定。
2.3 配置管理2.3.1 配置文件备份第9 页点击“配置备份”出即可把当前系统配置下载到本机;配置文件名称为:copgap64.cfg2.3.2 配置文件加载配置文件加载可把本机上已备份的配置上传至科博安全隔离与信息交换系统,将系统恢复为备份的配置,如图:选择正确的配置文件,点击加载即可。
2.3.3 恢复出厂设置配置文件加载可把本机上已备份的配置上传至科博安全隔离与信息交换系统,将系统恢复为备份的配置,如图:2.3.3 恢复出厂设置第10 页点击“恢复出厂设置”按钮可将当前设备配置恢复为出厂默认设置:可信端管理口默认地址为10.111.14.119/255.255.255.0;不可信端管理口默认地址为10.111.14.118/255.255.255.0;无其他配置信息2.4 系统校时用本地时间校准系统时间。
2.5 用户管理本系统用户分为操作员admin和审计员audit;默认口令均为“123456”;用户初次登陆系统建议修改密码。
1.审计员可以进行日志审计,系统监控和修改自己的登陆密码。
第11 页无权进行其他任何操作。
2.操作员操作员登陆系统之后,可修改设备网络配置,修改当前用户密码,修改信息交换和接入控制模块的配置,查看当前系统状况并使用工具箱。
无权进行系统控制,配置文件管理,日志审计。
第三章服务映射服务映射包括以下模块,如图:3.1 服务映射服务映射对某个服务的IP地址和端口进行转换。
若用第12 页户在外网的192.168.80.41上有服务,其端口为1536,传输协议为tcp。
如下配置。
添加服务映射规则:进入“服务映射” “服务映射”节点,添加规则。
添加完毕如图示:若内网用户想要访问原来外网服务器192.168.80.41上1536端口的服务,访问10.0.0.59的1536端口即可。
此规则各参数含义:映射方向:由内向外(用户在内网去访问外网的服务);由外向内(用户在外网访问内网的服务)。
服务器地址:真正的服务器IP或域名。
服务器端口:服务所监听的端口(比如http服务一般监听在80端口)。
映射后地址:选择当前系统的某个地址。
第13 页映射后端口:经过映射后服务所监听的端口(一般来说与“服务器端口”参数一致即可)。
映射协议:当前被映射服务的协议(协议共有8个选项,见“CopGap典型应用”)。
状态:启用(当前规则生效);停用(当前规则不生效)。
3.2 访问控制访问控制是针对服务映射生效的。
在缺省情况下,被映射的服务是允许所有人访问的。
通过访问控制可定义和用户安全需求一致的规则,用来控制允许进出的数据流。
3.2.1 什么是访问控制规则一个规则定义包括:1. 映射ID:指此规则对哪一条映射生效。
2. 客户端IP范围:发起连接的地址(主机地址或网络地址)。
3. 掩码:客户端IP范围的正确的网络掩码(若为某个确定的IP地址,则填写32或255.255.255.255)。
4.起始时间:此规则在什么时候开始生效。
5.终止时间:此规则在工作至什么时候结束。
第14 页6. 动作:指定当遇到匹配参数将要执行的动作(DENY:用户无法访问;PASS:用户可以正常访问)。
3.2.2 访问控制规则的例子内网IP为10.2.2.5/24的用户在11:30到16:30不允许访问一个已经通过映射的外网服务器192.168.80.41上的1536服务,其他时间可访问(该服务已在映射ID为“0”的服务映射中被映射到内网的一个IP地址10.0.0.59上)。
其它用户不受限制通过使用下面的参数能创建一个发生这个动作的规则:10.2.2.5在11:30到16:30这段时间内,对映射ID为“0”的服务映射发起访问请求是无法正常访问的。
其他用户可任意访问。
3.2.3 访问控制规则如何工作访问控制规则是一个用户定义规则的集合,用来确保安全。
第15 页系统根据下面的过程应用规则:1.当在系统中一个新的连接到设备时,设备持续的检查每一个在访问控制里的规则,依据新连接的匹配参数,直到第一个匹配被找到。