天清安全隔离与信息交换系统数据库同步客户端用户手册

金电网安安全隔离与信息交换系统FerryWay V2.0配置实用手册2012年3月金电网安安全隔离与信息交换系统FerryWay V2.0配置实用手册版权说明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于上海金电网安科技有限公司所有。

未经上海金电网安科技有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

本手册中的信息受中国知识产权法和国际公约保护。

版权所有，翻版必究©前言文档范围本文将以实例方式指导操作人员安装、实施金电网安安全隔离与信息交换系统FerryWay V2.0（俗称“网闸”）。

本文适用于硬件2+1架构、三机三系统架构，软件版本号20110308及20120202版本，两个版本主要功能基本相同，仅在部分细节处做简单修改，具体细节文档中将做提示。

期望读者期望了解本产品主要技术特性和安装方法的系统管理员、网络管理员等。

本文假设您对下面的知识有一定的了解：可能需要的相关知识，如：✧LINUX系统基础知识✧Windows系统软件安装✧网络基本架构内容总结一、介绍金电网安安全隔离与信息交换系统FerryWay V2.0的硬件需求信息；二、以实例方式采用图文并茂的方法对金电网安安全隔离与信息交换系统FerryWay V2.0部署、安装、实施做一简单介绍；三、介绍金电网安安全隔离与信息交换系统FerryWay V2.0安装之前的准备工作和注意事项；四、成功安装、配置、使用时的注意事项；五、介绍金电网安安全隔离与信息交换系统FerryWay V2.0在实施中可能遇到的突发情况及问题。

格式约定文本框使用粗体字按钮使用斜体字本文中所有图例均为实际拍摄或屏幕截取图标表示的含义：有用的使用技巧、建议和对其他文档的引用等信息。

表示需要读者注意的信息，比如：当前的操作失误会导致数据的丢失。

目录一、安装概述 (2)1.1产品简介 (2)1.1.1 产品外观 (2)1.2安装准备 (3)1.3管理端软件安装、登录 (3)二、配置实例 (4)2.1实例配置环境 (4)2.1.1 拓扑图 (4)2.1.2 应用说明 (4)2.1.3 名词解释 (4)2.2 FerryWay V2.0配置实例 (5)2.2.1 HTTP应用通道配置 (5)2.2.2 FTP应用通道配置 (8)2.2.3 SMTP/POP3配置实例 (10)2.2.4 数据库访问应用通道配置 (14)2.2.5 目录同步应用通道配置 (14)三、高级应用 (16)3.1 双机热备配置实例 (16)3.1.1 双机热备简介 (16)3.1.2 双机热备配置方法 (16)3.2产品升级配置实例 (19)3.2.1前期准备 (19)3.2.2内端机升级操作（以Putty工具为例） (19)3.2.3外端机升级操作 (19)3.2.4安装新的管理端程序 (19)3.3 现场故障排除实例 (20)3.3.1查看版本 (20)3.3.2查看内核 ........................................................................... 错误!未定义书签。

启明星辰全线产品序号设备名称产品描述优势威胁管理类1 天阗入侵检测与管理系统新一代威胁检测、分析与管理产品。

对于病毒、木马、DDos、扫描、SQL注入、XXS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为等威胁具有高精度的检测能力，通过智能过滤技术，仅向使用者展示真正需要关注的威胁，在减轻使用者工作量的同时，保障威胁处理的及时性。

1、业界领先的威胁检测和识别技术（专利）；2、稳居国内市场第一位；3、国内针对APT攻击检测解决方案第一人；4、安全类认证齐全。

2天清入侵防御系统天清入侵防御系统NIPS系列在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，并集防火墙、防病毒、上网行为管理、无线安全模块、抗拒服务器攻击、内容过滤、NetFlow等多种安全技术于一身，同时全面支持Qos、高可用性、日志审计等功能，为网络提供全面的实时的安全防护。

1、业界领先的威胁检测和识别技术（专利）；2、多核技术架构，芯片级高级数据处理，低延时低功耗；3、IPv6金牌认证；4、安全类认证齐全。

3 天清web应用安全网关新一代Web安全防护与应用交付类应用安全产品，主要针对Web服务器进行HTTP/HTTPS流量分析，防护以Web应用访问各方面进行优化，通过网页防篡改及负载均衡等技术来提高Web或网络协议应用的可用性、性能及安全性，确保Web业务应用能够快读、安全、可靠的交付。

1、采用国际领先的MIPS64多核处理器架构（非Intel）2、芯片级高效数据处理能力，低延迟低功耗；3、IPv6金牌认证；4、拥有SQL注入攻击国家专利技术及其他多项技术专利；5、安全类认证齐全。

4 天清无线安全引擎无线安全引擎是一款专门针对无线网络的安全硬件设备，能够监听空间区域内的无线信号，检测扫描、欺骗、Dos、暴力破解等各针对无线网络链路等的攻击行为，并采取阻断和报警措施，自动发现覆盖区域内的无线设备及终端，并可通过安全策略阻断流氓AP及非法终端、提升无线网络的使用效果。

长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。

允许对该接口进行Telnet，PING，HTTPS 操作。

系统默认的管理员用户为admin，密码为g。

用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。

系统默认的审计员用户为audit，密码为venus.audit。

用户可以使用这个账号对安全策略和日志系统进行审计。

系统默认的用户管理员用户为useradmin，密码为er。

用户可以使用这个账号用于配置系统管理员。

二、USG设备的主要配置选项。

1.系统管理：系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络活动状况可以对USG进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。

协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS，选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理：网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0，eth1等等；如果是1000M网卡，则名称前缀为ge，端口默认的MTU为1500，本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口（VLAN接口）的以太网接口不能加入网桥组。

GRE 协议的英文全称是Generic Routing Encapsulation，即通用路由封装协议。

第1章 Web管理介绍........................................................... 1-11.1概述.................................................................... 1-11.2工具条.................................................................. 1-11.2.1 了解客户支持...................................................... 1-11.2.2 修改密码.......................................................... 1-21.2.3 控制台访问........................................................ 1-21.2.4 存盘 ............................................................. 1-31.2.5 注销 ............................................................. 1-31.3 Web管理................................................................ 1-31.3.1 菜单 ............................................................. 1-41.3.2 列表 ............................................................. 1-41.3.3 图标 ............................................................. 1-51.4设备默认配置............................................................ 1-61.4.1 接口0的默认配置.................................................. 1-61.4.2 默认管理员用户.................................................... 1-6第2章主功能1............................................................... 2-72.1子功能1................................................................ 2-72.1.1 子功能之子功能1.................................................. 2-72.1.2 子功能之子功能2.................................................. 2-7第3章主功能2............................................................... 3-73.1子功能1................................................................ 3-73.1.1 子功能之子功能1.................................................. 3-83.1.2 子功能之子功能2.................................................. 3-81命令行配置⏹启明星辰天清防御系统可以通过管理控制中心的下发控制以及直接登录进行操作两种方式，实现对系统的配置管理。

天清汉马USG防火墙（P系列）集中管理中心用户使用手册北京启明星辰信息安全技术有限公司2013年04月目录第一章前言 (5)1.1导言 (5)1.2适用对象 (5)1.3适合产品 (5)第二章如何开始 (6)2.1概述 (6)2.1.1产品特点 (6)2.1.2软件描述 (6)2.1.3主要功能 (7)2.1.4License控制 (7)2.2进入系统 (7)2.2.1登录 (7)2.2.2界面主框架 (8)第三章系统主页 (8)3.1概述 (8)3.1.1安全等级 (9)3.1.224小时安全趋势 (9)3.1.3系统状态 (9)3.1.4设备探测 (10)3.2安全概览图 (10)3.3安全设备分析 (11)3.4实时告警 (12)3.5攻击拓扑 (13)第四章资产管理 (13)4.1设备管理 (13)4.1.1网络拓扑管理 (14)4.1.2设备信息读取 (16)4.1.3设备基本信息查看 (17)4.1.4设备管理配置 (18)4.1.5节点管理 (18)4.1.6级联管理 (20)4.2策略管理 (20)4.2.1策略管理工具栏 (21)4.3VPN管理 (22)4.3.1IKE策略 (22)4.3.2IPSec策略 (22)4.3.3策略模板 (22)4.3.4VPN策略向导 (23)4.3.5VPN隧道监控 (23)4.4.1单个设备监控 (23)4.4.2设备集中监控 (24)4.4.3监控任务管理 (24)4.5升级管理 (25)4.5.1设备升级包管理 (25)4.5.2设备升级管理 (26)第五章事件管理 (26)5.1实时监控 (27)5.2安全日志查询 (28)5.3设备日志查询 (30)5.4系统日志查询 (30)第六章报表管理 (30)6.1概述 (30)6.1.1功能简介 (30)6.1.2功能分类 (31)6.2功能介绍 (32)6.2.1功能首页 (32)6.2.2安全事件特征报表 (33)6.2.3设备报表 (39)6.2.4定时报表 (40)6.2.5自定义报表 (42)第七章规则管理 (43)7.1告警规则 (44)7.2关联规则 (45)第八章系统设置 (46)8.1管理配置 (46)8.1.1服务器状态 (46)8.1.2设备发现列表 (47)8.1.3许可管理 (49)8.1.4系统日志 (49)8.1.5系统参数配置 (50)8.1.6系统维护 (51)8.2日志维护 (52)8.2.1日志导出管理 (52)8.2.2日志导入管理 (53)8.2.3日志状态信息 (54)8.2.4日志自动备份 (54)8.3事件服务器管理 (55)第九章权限配置 (56)9.1.1添加用户 (56)9.1.2修改用户信息 (57)9.1.3修改密码 (57)9.1.4删除用户 (58)9.2角色管理 (58)9.2.1添加角色 (58)9.2.2修改角色 (59)9.2.3删除角色 (60)9.3在线用户列表 (60)第十章帮助 (60)10.1帮助中心 (61)10.1.1帮助文档 (61)10.1.2FAQ (61)10.1.3联系支持中心 (62)10.1.4生成支持文件 (62)10.2配置实用工具 (62)10.2.1ping测试 (62)10.2.2snmp测试 (63)10.2.3syslog测试 (63)第一章前言1.1 导言《天清汉马USG防火墙（P系列）集中管理中心用户使用手册》是天清汉马USG防火墙（P系列）的集中管理中心（以下简称管理中心）的用户帮助文档。

天清异常流量清洗系统A D M-G u a r d W e b管理用户手册北京启明星辰信息安全技术有限公司Beijing Venustech Cybervision Co., Ltd二零一二年五月版权声明北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100193 电话：************传真：************您可以访问启明星辰网站：获得最新技术和产品信息。

目录第1章前言 (9)1.1 导言 (9)1.2 本书适用对象 (9)1.3 本书适合的产品 (9)1.4 手册章节组织 (9)1.5 相关参考手册 (10)第2章如何开始 (11)2.1 概述 (11)2.1.1 产品特点 (11)2.1.2 主要功能 (11)2.1.3 硬件描述 (13)2.1.4 软件描述 (15)2.1.5 附带软件描述 (16)2.2 拆箱检查 (16)2.3 安装 (16)2.3.1 检查安装场所 (16)2.3.2 安装 (17)2.3.3 网络连接 (17)2.4 配置管理方法 (17)2.4.1 网络接口WEB配置 (17)2.4.2 网络接口CLI配置 (17)2.4.3 本地串口CLI配置 (18)2.5 登录管理界面 (18)2.5.1 登录方法 (18)2.5.2 证书认证 (19)2.5.3 登录过程 (19)2.5.4 一般配置过程 (20)2.5.5 退出登录 (20)第3章系统管理 (22)3.1 系统信息 (22)3.1.1 版本信息 (22)3.1.2 License信息 (22)3.1.3 设备名称 (23)3.1.4 日期时间 (23)3.2 系统服务 (25)3.2.1 本地服务 (25)3.2.2 SSH服务 (26)3.2.3 Telnet服务 (28)3.2.4 SNMP配置 (29)3.2.5 WebUI超时 (31)3.3 配置管理 (31)3.3.2 存储设备管理 (32)3.3.3 当前配置查看 (33)3.4 维护升级 (33)3.4.1 系统升级 (33)3.4.2 License升级 (35)3.4.3 特征库升级 (35)3.5 证书管理 (36)3.5.1 导入证书 (36)3.5.2 本地证书 (37)3.5.3 CA中心 (42)3.6 集中管理 (45)3.7 批处理工具 (45)第4章网络管理 (46)4.1 网络接口 (46)4.1.1 接口IP地址 (46)4.1.2 接口配置 (51)4.2 ARP (56)4.2.1 静态ARP (56)4.2.2 ARP查看 (58)4.2.3 免费ARP (58)4.3 路由 (59)4.3.1 静态路由 (59)4.3.2 OSPF (62)4.3.3 智能路由 (65)4.3.4 路由表信息 (71)4.3.5 ISIS (71)4.4 DNS设置 (73)4.5 DHCP (74)4.5.1 服务器配置 (74)4.5.2 地址池配置 (75)4.5.3 DHCP中继 (78)第5章IPv6 (80)5.1 网络管理 (80)5.1.1 地址配置 (80)5.1.2 邻居配置 (81)5.1.3 服务段前缀 (81)5.1.4 自动配置 (82)5.1.5 静态路由 (82)5.2 资源定义 (83)5.2.1 地址 (83)5.2.2 服务 (85)5.2.3时间 (90)5.3 防火墙 (97)5.3.1 包过滤 (97)5.3.2 默认过滤策略 (97)5.4 流量牵引 (98)5.4.1 BGP牵引 (98)5.4.2 OSPF (109)5.5 流量分析 (110)5.5.1 自学习配置 (110)5.5.2 自学习管理 (112)5.6 流量清洗 (113)5.6.1 攻击处理方式 (113)5.6.2 日志采样 (114)5.6.3 DNS防护 (114)5.6.4 高级型攻击 (120)5.6.5 自定义特征 (124)5.7 流量统计 (126)5.7.1 事件统计 (126)5.7.2 攻击类型TOP5 (126)5.7.3 攻击来源TOP5 (127)5.7.4 攻击目的TOP5 (127)5.7.5 攻击流量统计 (128)5.7.6 保护域流量统计 (128)第6章虚拟网关 (130)6.1 网关管理 (130)6.1.1 虚拟网关划分 (130)6.1.2 接口归属查看 (132)6.2 全局资源 (132)6.2.1 地址 (132)6.2.2 服务 (137)6.2.3 时间 (142)6.2.4 应用协议 (145)6.2.5 包分类 (146)6.3 全局策略 (150)6.3.1 包过滤 (150)6.3.2 DNAT策略 (151)6.3.3 SNAT策略 (152)6.3.4 长连接 (154)第7章资源定义 (156)7.1 地址 (156)7.1.1 地址列表 (156)7.1.2 地址池 (157)7.1.3 地址组 (158)7.2 服务 (161)7.2.1 服务对象定义 (161)7.2.2 ICMP服务 (162)7.2.3 基本服务 (162)7.2.4 服务组 (164)7.2.5 ALG定义 (165)7.3 时间 (166)7.3.1 时间列表 (167)7.3.2 时间组 (168)7.4 应用协议 (169)7.4.1 应用协议 (169)7.4.2 应用协议组 (170)7.5 包分类 (170)第8章流量牵引 (174)8.1 BGP牵引 (174)8.1.1 BGP本地配置 (174)8.1.2 BGP邻居配置 (175)8.1.3 访问控制链表 (177)8.1.4 路由映射 (179)8.1.5 路由牵引配置 (181)8.2 OSPF (183)8.2.1 配置路由重分发 (183)8.2.2 启动、停止OSPF功能 (184)8.2.3 修改路由器ID (184)8.2.4 设置区域 (184)8.2.5 设置网络 (184)8.2.6 设置网络接口认证 (185)第9章流量分析 (186)9.1 自学习配置 (186)9.1.1 学习配置 (186)9.1.2 学习过程 (188)9.2 自学习管理 (188)9.2.1 学习结果 (188)9.2.2 学习曲线 (189)9.2.3 应用查看 (190)第10章流量清洗 (191)10.1 攻击处理方式 (191)10.2 日志采样 (191)10.3 攻击证据提取 (191)10.3.1 攻击证据提取 (191)10.3.2 捉包分析取证 (192)10.4 DNS防护 (193)10.4.2 域名访问限制 (195)10.4.3 DNS攻击保护 (197)10.4.4 域名长度参数 (199)10.5 基本型攻击 (199)10.6 高级型攻击 (200)10.7 自定义特征 (206)10.7.1 TCP (206)10.7.2 UDP (207)10.7.3 ICMP (207)10.7.4 自定义特征开启配置 (208)第11章流量回注 (209)11.1 接口转发 (209)11.2 启动GRE (211)11.3 隧道配置 (211)第12章流量统计 (213)12.1 事件统计 (213)12.1.1 开启统计 (213)12.1.2 事件统计 (213)12.2 攻击类型TOP5 (213)12.3 攻击来源TOP5 (214)12.4 攻击目的TOP5 (214)12.5 攻击流量统计 (215)12.5.1 即时流量统计 (215)12.5.2 异常流量统计 (215)12.6 保护域流量统计 (215)12.6.1 牵引流量统计 (215)12.6.2 清洗流量统计 (216)第13章防火墙 (217)13.1 包过滤 (217)13.1.1 默认过滤策略 (218)13.2 DNAT策略 (218)13.3 SNAT策略 (220)13.4 二层协议 (221)13.5 地址绑定 (222)13.6 服务器探测 (229)第14章会话管理 (232)14.1 会话配置 (232)14.2 长连接 (232)14.3 会话日志 (233)14.4 会话状态 (233)14.5 同步选项配置 (234)第15章带宽管理 (235)15.1 基于管道的带宽管理 (235)15.1.1 配置中心 (235)15.1.2 管道管理 (235)15.1.3 IP型策略管理 (236)15.1.4 动作管理 (237)15.2 基于接口的带宽管理 (238)15.2.1 物理限速 (238)15.2.2 QoS标签 (240)15.2.3 IPQoS (241)15.2.4 流量监管 (243)15.2.5 流量整形 (246)15.2.6 拥塞管理 (249)15.3 流量优化 (268)15.3.1 带宽借用 (268)15.3.2 流量建模 (271)第16章高可用性 (273)16.1 节点配置 (274)16.2 工作模式 (275)16.3 查看状态 (277)第17章应用安全 (278)17.1 DNS应用防火墙 (278)17.1.1 基本配置 (278)17.1.2 自定义域名监测 (279)17.1.3 静态域名表 (279)17.1.4 域名黑名单 (280)17.1.5 QPS信息 (282)17.1.6 重定向统计 (282)17.2 缓存感染监测 (283)17.2.1 缓存感染监测配置 (283)17.2.2 缓存感染实时监测统计 (283)17.2.3 缓存感染历史监测统计 (284)第18章应用识别 (285)18.1 特征策略 (285)18.2 策略应用 (288)18.3 统计图表 (290)18.4 日志采样 (290)第19章用户认证 (291)19.1 本地用户 (291)19.2 AAA认证 (292)19.2.1 认证服务器 (293)19.2.2 登录用户 (294)19.2.3 在线Portal用户 (294)19.2.4 Portal用户组 (294)19.2.5 Portal服务器 (296)第20章日志信息 (298)20.1 日志配置 (298)20.1.1 日志服务器 (298)20.1.2 终端信息控制 (298)20.1.3 信息终端 (299)20.1.4 U盘日志输出 (301)20.2 日志查看 (301)20.2.1 日志查看 (301)20.2.2 管理日志 (302)20.2.3 会话日志 (302)20.2.4 抗攻击日志 (302)20.2.5 流量牵引日志 (303)20.2.6 云安全日志 (303)20.3 邮件报警 (303)20.3.1 邮件报警 (304)20.3.2 邮件测试 (306)第21章流量可视 (308)21.1 统计配置 (308)21.2 网络概览 (309)21.3 接口统计 (309)21.4 应用统计 (310)21.5 会话统计 (312)21.6 IP统计 (313)21.7 自定义统计 (313)第22章系统监控 (316)22.1 CPU监控 (316)22.2 内存监控 (316)22.3 接口流量统计 (317)第23章在线支持 (318)23.1 技术支持 (318)23.2 关于 (318)第1章前言1.1 导言《天清异常流清洗系统ADM-Guard Web管理用户手册》是启明星辰天清异常流量管理与抗拒绝服务系统（天清ADM）管理员手册中的一本。

交换机Web操作手册法律声明版权所有©杭州海康威视数字技术股份有限公司2022。

保留一切权利。

本手册的任何部分，包括文字、图片、图形等均归属于杭州海康威视数字技术股份有限公司或其关联公司（以下简称“海康威视”）。

未经书面许可，任何单位或个人不得以任何方式摘录、复制、翻译、修改本手册的全部或部分。

除非另有约定，海康威视不对本手册提供任何明示或默示的声明或保证。

关于本产品本手册描述的产品仅供中国大陆地区销售和使用。

本产品只能在购买地所在国家或地区享受售后服务及维保方案。

关于本手册本手册仅作为相关产品的指导说明，可能与实际产品存在差异，请以实物为准。

因产品版本升级或其他需要，海康威视可能对本手册进行更新，如您需要最新版手册，请您登录海康威视官网查阅（）。

海康威视建议您在专业人员的指导下使用本手册。

商标声明●为海康威视的注册商标。

●本手册涉及的其他商标由其所有人各自拥有。

责任声明●在法律允许的最大范围内，本手册以及所描述的产品（包含其硬件、软件、固件等）均“按照现状”提供，可能存在瑕疵或错误。

海康威视不提供任何形式的明示或默示保证，包括但不限于适销性、质量满意度、适合特定目的等保证；亦不对使用本手册或使用海康威视产品导致的任何特殊、附带、偶然或间接的损害进行赔偿，包括但不限于商业利润损失、系统故障、数据或文档丢失产生的损失。

●您知悉互联网的开放性特点，您将产品接入互联网可能存在网络攻击、黑客攻击、病毒感染等风险，海康威视不对因此造成的产品工作异常、信息泄露等问题承担责任，但海康威视将及时为您提供产品相关技术支持。

●使用本产品时，请您严格遵循适用的法律法规，避免侵犯第三方权利，包括但不限于公开权、知识产权、数据权利或其他隐私权。

您亦不得将本产品用于大规模杀伤性武器、生化武器、核爆炸或任何不安全的核能利用或侵犯人权的用途。

●如本手册内容与适用的法律相冲突，则以法律规定为准。

前言本节内容的目的是确保用户通过本手册能够正确使用产品，以避免操作中的危险或财产损失。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

产品安装手册——天清入侵防御系统产品名称：天清入侵防御系统版本标识：V6.0.2.6单位：北京启明星辰信息安全技术有限公司北京启明星辰信息安全技术有限公司天清IPS产品安装手册版 权 声 明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容，其著作权及相关权利均属于北京启明星辰信息安全技术有限公司（以下简称“本公司”），特别申明的除外。

未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。

“天清”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息安全技术有限公司2008年6月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

1目 录第1章 简述 (2)第2章 安装准备 (3)2.1 控制中心安装准备 (3)2.1.1硬件需求 (3)2.1.2 软件需求 (4)2.2 引擎安装准备 (4)2.3 网络资源准备 (5)第3章 开箱检查 (6)第4章 控制中心安装配置 (7)4.1.1 MSDE数据库 (8)4.1.2 入侵防御系统 (8)4.1.3 天清使用Oracle数据库的注意事项 (14)4.1.4控制中心卸载 (15)第5章 引擎安装配置 (16)5.1 标识说明 (16)5.1.1接口说明 (16)5.2 超级终端安装及设置 (17)5.3 引擎配置 (22)5.3.1 配置菜单介绍 (23)5.3.2 初始应用 (26)第6章 产品可用性检查 (27)第7章 产品部署 (29)7.1 控制中心部属 (29)7.2 引擎部属 (29)北京启明星辰信息安全技术有限公司天清IPS产品安装手册7.3 产品应用设置 (29)附录一：快速使用指南 (31)一、快速使用流程 (31)二、多级管理设置 (35)附录二：数据源的配置 (39)附录三：Windows2003上报表查询速度优化建议方案 (43)1.现象描述 (43)2.现象分析 (44)3.解决建议方案 (44)(1)对报表模块的使用建议 (44)(2)产品部署建议 (45)(3)硬件配置和操作系统选择建议。

网神安全产品安装调试指导手册网神SecSIS 3600安全隔离与信息交换系统目录1网神SecSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明 ....................................................... 2网神SecSIS 3600安全隔离与信息交换系统产品常见应用场景说明 ...................................................................2.1数据库安全同步解决方案.....................................................................................................................................2.2安全邮件收发解决方案.........................................................................................................................................2.3安全文件交换解决方案.........................................................................................................................................2.4安全FTP访问解决方案 ........................................................................................................................................2.5安全浏览解决方案................................................................................................................................................. 3准备工作.....................................................................................................................................................................3.1了解实际用户网络环境或主机环境 .....................................................................................................................3.1.1网络环境.............................................................................................................................................................3.1.2主机环境.............................................................................................................................................................3.2了解实际用户应用及安全需求 .............................................................................................................................3.2.1业务模式.............................................................................................................................................................3.2.2安全需求.............................................................................................................................................................3.3开箱、加电.............................................................................................................................................................3.3.1设备开箱.............................................................................................................................................................3.3.2设备加电.............................................................................................................................................................3.3.3安全注意事项.....................................................................................................................................................3.4管理网神SecSIS 3600安全隔离与信息交换系统...............................................................................................3.4.1WEB界面方式.......................................................................................................................................................3.4.2命令行方式.........................................................................................................................................................3.4.3其它方式.............................................................................................................................................................3.5如何申请许可证和激活网神SecSIS 3600安全隔离与信息交换系统产品功能模块 .......................................3.5.1申请License .......................................................................................................................................................3.5.2导入License ....................................................................................................................................................... 4初级“假设法”手把手教您如何快速安装部署网闸产品......................................................................................4.1网闸网络配置......................................................................................................................................................... 5中级“假设法”手把手教您如何快速调试网闸产品的基本功能..........................................................................5.1安全浏览.................................................................................................................................................................5.1.1客户需求.............................................................................................................................................................5.1.2网络配置.............................................................................................................................................................5.1.3网闸具体配置.....................................................................................................................................................5.2安全FTP.................................................................................................................................................................5.2.1客户需求.............................................................................................................................................................5.2.2网络配置.............................................................................................................................................................5.2.3网闸具体配置.....................................................................................................................................................5.3FTP访问.................................................................................................................................................................5.3.1客户需求.............................................................................................................................................................5.3.2网络配置.............................................................................................................................................................5.3.3网闸具体配置.....................................................................................................................................................5.4数据库访问.............................................................................................................................................................5.4.1客户需求.............................................................................................................................................................5.4.2网络配置.............................................................................................................................................................5.4.3网闸具体配置.....................................................................................................................................................5.5邮件访问.................................................................................................................................................................5.5.1客户需求.............................................................................................................................................................5.5.2网络配置.............................................................................................................................................................5.5.3网闸具体配置.....................................................................................................................................................5.6定制模块.................................................................................................................................................................5.6.1客户需求.............................................................................................................................................................5.6.2网络配置.............................................................................................................................................................5.6.3网闸具体配置..................................................................................................................................................... 6常见问题答疑............................................................................................................................................................. 网神SecSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明网御神州SecSIS 3600安全隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：网络配置：完成设备网络参数的基本配置以及高可用性（双机负载）的配置管理员配置：管理员源地址的访问控制，权限分配，新增管理员及参数设置。

工业网闸解决方案白皮书目录工业网闸•需求分析•产品简介•功能特点•技术优势•典型应用•用户价值需求分析SCADA系统以及DCS分散控制系统广泛地应用在各生产行业的生产控制过程中，由于担心生产控制网被攻击，往往将生产网和管理网完全隔离。

为了获取现场的生产数据，许多企业采用拷盘或人工传递的方式传送信息。

随着两化融合和物联网的发展，传统的信息传递方式已无法满足需求。

2010年发生的“震网”病毒事件，更是暴露了U盘拷贝方式的严重弊端。

在等保2.0（送审稿）工控安全扩展要求中，也提到了“工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用相应的技术隔离手段”、“禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务”等内容。

可见，工业生产网与管理网之间需要更安全的传递方式和有效的技术隔离手段。

产品简介产品简介天清安全隔离与信息交换系统-工业网闸是启明星辰集团自主研发的工业网闸产品。

该产品利用了成熟的网络隔离技术和数据摆渡技术，并结合工业控制领域信息化的特点与要求，在充分发挥隔离特性的同时，保障生产控制系统中的数据安全有效的传递。

启明星辰工业网闸模拟人工在两个隔离的网络之间进行信息交换，使得两个网络之间不存在依据TCP/IP协议进行数据包转发，只有格式化的数据块进行的“无协议摆渡”，被隔离的两个网络之间完全采用私有方式传递，而不具备互通性。

启明星辰工业网闸，只允许生产控制网采集的数据流向管理网，可允许符合控制网传输协议的数据返回到控制网络，不容许任何其它数据返回到控制网络，同时对流经的数据报文进行严格协议格式检查和内容过滤，以保证生产控制网和管理网的通讯安全。

功能特点•高速的安全隔离芯片和交换芯片，双摆渡传输技术，有力提高数据交换性能。

•友好的图形化界面，安全的HTTPS远程管理，并提供密码和证书的认证方式。

•工业协议的指令控制，对OPC、Modbus/TCP、IEC104等协议进行指令控制，如OPC Item过滤、Modbus功能码过滤、IEC104遥调控制等。