网神SecSIS 360安全隔离与信息交换系统(网闸)产品介绍 09V1.0

网神SecVSS3600漏洞扫描系统销售一纸禅一、产品定位对用户的业务系统、设备等资产全面扫描探测，检测发现其中存在的漏洞风险，并提供详细分析报告，供用户参考排查，从最底层监护资产安全。

二、适用场景●合规驱动类由四部委联合起草的“网络关键设备和网络安全专用产品目录”、《信息安全等级保护信息安全等级保护管理办法》、《涉及国家秘密的信息系统分级保护技术要求》，以及行业的众多标准中，都会在漏洞安全上有明确的需求。

●基础安全防护需求信息化的普及，业务系统、主机、网络设备等不断增多，依赖性增强，，漏洞增多，系统、设备资产的安全成为重要的保障对象，而网络的攻击大部分来自于漏洞的利用，预先对漏洞进行处理防患与未然是解决问题的根本方法。

●监管检查类运营商、cncert等监管单位对被监管单位有漏洞检查的监管任务，专业的或便携式漏洞扫描产品成为他们重要的检测工具。

●态势感知数据探针安全已从单点安全需求逐渐延伸至全面化安全分析需求，态势感知、NGSOC等安全分析系统做为安全态势全感知平台，漏洞扫描做为其中主要的检测探针必不可少。

三、目标客户●合规驱动类二级等保、三级等保：政府、卫生、教育、交通、企业等；分保-涉密型号：检察院、机要局、司法部、电子政务内网等。

●基础安全防护需求企业、政府、医疗、教育公安等所有行业都会有大量的信息化系统，网络基础设备，漏洞提前发现预警为重要的安全保障手段之一。

●监管检查类运营商、cncert、军队、网信办等测评机构等监管单位，需要对地方或分支或被监管单位进行漏洞检查测评；●态势感知数据探针公安、政府、央企、电子政务一类需要做全网安全数据整体分析需求的机构，会采用漏洞扫描的数据做为基础数据支撑。

四、优势●一体化扫描器：系统扫描+WEB扫描+数据库检测+弱口令检测+基线核查，以多检测引擎合一体方式进行全方位扫描检测。

●庞大检测规则库：包括操作系统、数据库、账号、移动设备、网络设备、云安全、web安全等在内，60000多条漏洞检测规则。

网神SecSIS 3600系列安全隔离与信息交换系统一、 产品介绍随着技术的发展和I n t e r n e t的普及，不仅带来了信息共享，也带来了黑客、病毒等不安全因素。

一些行业和机构中，公网的连接安全依赖防火墙设定的策略，但在机构内部也存在进一步保密数据要求，所以应运而生了保护这部分数据的安全隔离与信息交换系统（简称网闸）。

为了保护涉密网络的安全性，依靠自身在安全领域的技术和理念优势，网御神州开发出了安全、高效、灵活的网闸，实现了在物理隔离网络下信息的安全流转。

网神S e c S I S3600系列网闸部署在涉密网和内网之间，不仅能实现涉密网和内网的完全物理隔离，而且可以实现二者间的信息交换。

网神S e c S I S3600系列网闸，可为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地构建自己的安全网络或安全通道。

一、 产品亮点1.安全高效的数据传输体系结构网神S e c S I S3600系列网闸具有自主研发的内外主机系统间的安全检测与控制处理单元，采用专有电路设计的双通道高速数据交换卡，实现了独立的硬件交换控制逻辑，不仅保证了内外主机系统之间数据交换的机密性、完整性和可信性，而且在保证安全性的同时，提供更好的处理性能（延时<20s），能够适应各种复杂网络环境对隔离应用的需求。

网神S e c S I S3600系列网闸在内外主机系统间采用专有协议，阻断网络连接，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

2.可靠的冗余和均衡架构网神S e c S I S3600系列网闸基于可靠性的考虑，通过双击热备等技术保证了在网络或设备故障时，业务的不间断运行。

在网络流量较大时，也可能会造成业务不可用或和响应速度下降，网神S e c S I S3600系列网闸支持多台设备的负载均衡（最多支持32台），最大限度的提升了网络的可用性。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利，如果配置截图与实际产品界面有差异，以实际产品配置界面为准。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司网神信息技术（北京）股份有限公司目录1导言 (13)1.1.本书适用对象 (13)1.2.手册章节组织 (13)1.3.相关参考手册 (15)2登录安全网关WEB界面 (16)2.1管理员必读 (16)2.1.2.管理员电子钥匙 (16)2.1.2.管理员证书 (17)2.1.3.管理员配置管理 (17)2.2.管理员首次登录 (18)2.2.1. 登录WEB界面 (19)2.3.管理员再次登录 (21)3首页 (22)4系统配置 (25)4.1.系统配置>>系统时钟 (25)4.2.管理配置>>管理方式 (27)4.3.管理配置>>管理主机 (28)4.4.管理配置>>管理员帐号 (29)4.5.管理配置>>管理员证书 (33)网神信息技术（北京）股份有限公司4.6.管理配置>>集中管理 (35)4.7.系统配置>>导入导出 (39)4.8.系统配置>>升级许可 (42)4.9.系统配置>>日志服务器 (45)4.10.系统配置>>域名服务器 (46)4.11.系统配置>>报警邮箱 (47)5网络配置 (49)5.1.网络配置>> 网络接口 (49)5.1.1网络接口>>基本配置 (49)5.1.2网络接口>>接口IP (52)5.1.3.网络接口>>子接口 (55)5.1.4.网络接口>>桥接口 (57)5.1.5.网络接口>>channel (60)5.1.6.网络接口>>Vlan配置 (63)5.2.网络配置>>静态路由 (64)5.2.1.静态路由>>目的路由 (64)5.2.2.静态路由>>智能选路 (65)5.3 网络配置>>动态路由 (68)5.3.1 动态路由>>RIP设置 (69)5.3.2 动态路由>>OSPF设置 (73)5.3.3 动态路由>>BGP设置 (77)5.3.4 动态路由>>DEBUG设置 (79)5.4 网络配置>>多播路由 (80)5.4.1 多播路由>>多播配置 (80)网神信息技术（北京）股份有限公司5.4.2 多播路由>>多播监控 (82)5.4.3 多播路由>>PIM信息 (82)5.5网络配置>>DHCP配置 (83)5.5.1DHCP配置>>DHCP服务器 (83)5.5.2DHCP配置>>DHCP中继 (87)5.5.3 DHCP配置>>DHCP客户端 (88)5.6网络配置>>虚拟系统 (89)5.6.1虚拟系统>>虚拟系统管理 (90)5.6.2虚拟系统>>虚拟系统切换 (93)5.7网络配置>>ADSL拨号 (93)5.8网络配置>>DNS中继 (95)5.9网络配置>>WIRELESS_3G配置 (96)5.10网络配置>>链路探测 (98)5.11网络配置>>网口联动 (99)5.12网络配置>>静态ARP (100)5.13 网络配置>>静态桥转发表 (101)5.14 网络配置>>端口镜像 (103)6对象定义 (104)6.1对象定义通用功能介绍 (104)6.1.1分页显示 (105)6.1.2 查找 (106)6.1.3排序 (106)6.1.4添加 (107)61.5编辑（修改） (108)网神信息技术（北京）股份有限公司6.1.6删除 (109)6.1.7名称和备注 (110)6.2地址 (111)6.2.1地址>>地址列表 (111)6.2.2地址>>地址组 (113)6.2.3地址>>服务器地址 (114)6.2.4地址>>虚拟服务器地址 (117)6.2.5地址>>NAT地址池 (120)6.2.6地址>>域名列表 (121)6.2.7地址>>isp地址表 (122)6.3服务 (124)6.3.1服务>>服务列表 (124)6.3.2服务>>服务组 (136)6.4时间 (138)6.4.1时间>>时间列表 (138)6.4.2 时间>>时间组 (140)6.5保护内容列表 (141)6.6连接限制配置 (144)7防火墙 (145)7.1 安全规则 (145)7.1.1 包过滤规则 (155)7.1.2NAT规则 (159)7.1.3IP/端口映射规则 (163)7.2抗攻击 (167)网神信息技术（北京）股份有限公司7.3IDS联动 (175)7.4 IP/MAC绑定 (177)7.5 URL重定向 (184)8Ipv6 配置......................................................................................... 错误!未定义书签。

网神SecGate 3600系列VPN安全网关一、 产品概述网御神州凭借在V P N领域的深厚技术功底，成为国家密码管理局I P S e c V P N国家标准的制定单位!秉承S e c O S的技术优势，网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的S e c G a t e3600（S J W79-A/B）系列V P N安全网关产品。

该系列V P N安全网关采用国家密码管理局指定的加密算法，支持国家I P S e c V P N标准协议，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

网御神州目前推出了百兆和千兆两大系列多款I P S e c V P N产品，可全部覆盖高中低端网络应用，涉及通用领域和县乡通信专用领域，同时还提供自主研发的V P N客户端软件。

二、 产品亮点1.强大的组网能力网神V P N安全网关本身可支持各种组网模式，不仅支持网关－网关模式，还支持网状网模式和星型组网，支持基于路由的V P N应用,可十分方便进行纵向组网，这对于具有三级以上网络的行业专网非常合适；网神V P N安全网关可形成从高端、中端到低端再到客户端的全面的V P N解决方案，形成自主组网。

2.灵活的网络适应性网神V P N安全网关在提供传统静态I P的V P N网关功能的同时，也支持基于动态I P地址的V P N 网关，方便使用A D S L接入方式的用户构建自己的V P N网络；可以实现基于策略和基于路由的V P N，大小网络环境都可适应；网神V P N安全网关可与支持国家标准I P S e c、P P T P、L2T P的网关设备和客户端进行互联互通， 同时支持S S L V P N网关功能，支持标准的B/S、C/S连接。

3.全面的V P N功能网神V P N安全网关的功能涵盖了I P S e c、S S L、P P T P、L2T P和G R E多种V P N方式，以及基于这些方式的V P N应用，如N A T的穿越等；支持网关到客户端、客户端到网关多种移动用户上网方式；产品支持全面的防火墙访问控制功能，支持N A T、动态协议解析和带宽控制，支持V P N的实时S A隧道信息同步,实现全冗余的H A部署。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (11)1产品概述网神SecSIS 3600-AC1000 安全隔离与信息交换系统（简称：“网神网闸”）能够有效实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接，保证内外网数据能够安全、可靠地交换。

该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。

2产品特点●安全高效的体系架构网神网闸采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。

内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。

隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。

内外网主机模块间不存在任何网络连接，因此不存在基于网络协议的数据转发。

●专用的隔离交换模块网闸产品核心部件为隔离交换模块，网神网闸隔离交换模块基于专用安全芯片设计，全硬件交换；网神隔离交换模块是业界首家研发并使用高效PCI-AC1000接口的交换模块，此交换模块采用PCI-AC1000 x4通道设计，单向最高带宽大约是10Gbps，消除性能瓶颈；网神隔离交换模块采用双通道通信机制，从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道，对通道的分离控制保证各通道的传输方向可控。

●操作系统安全可靠内外网主机模块采用专用的网神自主研发的多核并行安全加固操作系统SecOS，此系统具备强大的抗攻击能力，内核经过特殊定制，实现强制性访问控制，保护自身进程及文件不被非法篡改和破坏。

安全隔离与信息交换系统产品安装调试指导手册VHEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】络环境、业务模式、安全需求等情况进行详细的了解，充分做好产品上线准备，确保网闸上线后高效、稳定，与用户业务安全结合。

了解实际用户网络环境或主机环境网络环境充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑网络拓扑图可以请用户网络工程师协助提供。

拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。

部署位置根据用户提供拓扑，分清安全域界限，明确网闸部署位置。

IP规划明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。

主机环境明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。

服务器系统平台信息了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。

了解各服务器网络配置信息，如服务器IP地址、服务器连接位置等。

数据库信息对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。

软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。

了解实际用户应用及安全需求业务模式了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。

应用相关信息了解业务所采用的协议类型，业务端口开放情况等业务相关信息。

业务流程分析通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更合适的方式来实现所需要的功能服务。

业务软件模式针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现方式。

安全需求了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全。

访问用户限制针对不同的访问用户进行业务应用限制，功能使用限制；对于不同的管理员赋予不同的权限。

网神S e c I P S3600系列入侵防御系统一、 产品介绍网神S e c I P S3600系列入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、D O S攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

二、产品亮点1.深度检测，多种技术融合融合多种检测技术，有效检测并阻止多种已知的和未知的攻击；应用层上的数据包重组、检测分析，以阻挡越来越多的应用层攻击行为；S e c I P S3600的攻击检测模块与内置访问控制模块的完美集成使得产品具有更安全可靠的防护能力。

2.A S E引擎实现准确的检测与防护S e c I P S3600基于独有的应用检测引擎A S E,实现了的协议状态分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术，结合基于特征匹配的检测技术，极大地提高检测的准确性，降低误报率。

S e c I P S3600特有的协议识别技术能够识别近100种包括后门、木马、I M、网络游戏在内的应用层协议，不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵，并且能更好的提高检测效率和准确率。

S e c I P S3600出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击，达到接近100%的检测准确率和几乎为零的误报率。

3.优异的产品性能S e c I P S3600专门设计了安全、可靠、高效的硬件运行平台。

硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。

S e c I P S3600依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。

4.高可靠、可扩展S e c I P S3600支持失效开放（F a i l b y p a s s）机制，当出现软件故障、硬件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避免单点故障。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (12)4产品资质................................................................................ 错误!未定义书签。

1产品概述网神SecIPS 3600入侵防御系统（简称：“网神IPS”）将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。

配合实时更新的入侵攻击特征库，可检测防护3000种以上的网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁，并具有丰富的上网行为管理，可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。

从而，很好地提供了动态、主动、深度的安全防御。

2产品特点网神IPS的完善体系结构包括两大部分：强化安全的专用操作系统和模块化硬件系统。

以下分别介绍这两大部分。

高效的体系结构在平台优化的核心技术方面，主要有以下三个方面。

1）零拷贝技术数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝，有效地减少内存存取次数。

2）核心层优化所有报文的解析与比对都由核心层（Kernel）进行，完全不用通过核心层与应用层之多余的转换，因此不用进行内存拷贝，从而有效地减少内存存取次数。

3）硬件特征比对网神特征比对引擎是一款能直接比对特征码格式，引擎比对速度高达4Gbps。

相对于一般只对报文内容进行文字搜索的作法，引擎同时整合了第四层的特征内容，减少了处理器额外比对并且有效降低误判，且支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元，能高速进行对比并且不会有规则存储导致硬件满载的风险。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

目录1产品概述 (2)2产品特点 (2)3主要功能 (4)4产品形态............................................................................... 错误！未定义书签。

5产品资质 (14)1产品概述针对互联网病毒、蠕虫，黑客攻击行为的增多，网神SecIDS 3600 入侵检测系统在监测网络流量的基础上，集成对这些信息的控制和实时响应功能，为用户提供安全检测、流量分析、修正分析、和及时准确的告警功能，帮助安全管理员更好地进行风险分析、全球风险信息预警、系统和网络脆弱性分析，构建安全可靠的信息网络。

2产品特点⏹强大的分析检测能力：采用了先进的入侵检测技术体系，结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击，使系统能够准确快速地检测各种攻击行为，并显著地提高了系统的性能，能够适应日益复杂的网络环境。

⏹超低的误报率和漏报率：采用TCP/IP数据重组技术、目标SecOS和应用程序识别技术、完整的应用层有限状态追踪、应用层协议分析技术、先进的事件关联分析技术以及多项反IDS逃避技术，提供业界超低的误报率和漏报率。

⏹丰富的统计报表：能够给用户提供丰富的动态图形报表，有超过40种的分析报表模版和向导式的用户自定义报表功能。

⏹良好的可管理性：优化的三层分布式体系架构设计，分级部署，集中控制，全远程智能升级。

能够提供图形化的风险评估、事件显示和资产配置，以及图形化的网络流量状态的实时监控。

⏹基于工作域的管理模式:SecIDS 3600 v4.0采用基于工作域的全新管理模式，用户可以按照传感器部署的位置或组织结构的要求等条件，将整个入侵检测系统划分为不同工作域。

在不同的工作域里，可以根据需要部署不同的组件。

工作域之间可以是平行或上下级的关系，上一级的工作域拥有比下一级工作域更多的管理权限。

系统具有唯一的全局工作域，负责对整个系统进行管理。

1网神SecSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明网神SecSIS 3600安全隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：网络配置：完成设备网络参数的基本配置以及高可用性（双机负载）的配置管理员配置：管理员源地址的访问控制，权限分配，新增管理员及参数设置。

文件交换：实现将网闸一侧的文件安全可控的摆渡到另外一侧数据库同步：实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中安全浏览：在内外网隔离环境下保证内网用户安全浏览外网资源。

安全FTP：实现对FTP服务器的安全防护FTP 访问：在内外网隔离环境下实现安全的 FTP 访问。

数据库访问：在内外网隔离环境下实现安全的数据库访问。

邮件访问：在内外网隔离环境下实现安全的邮件访问。

视频模块：在内外网隔离环境下实现安全的视频服务器的访问。

定制模块：在内外网隔离环境下实现对所有的基于TCP/UDP服务的访问。

工具箱：系统许可证、配置管理、系统时间、修改口令，版本等信息的管理。

2网神SecSIS 3600安全隔离与信息交换系统产品常见应用场景说明网神SecSIS 3600安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境，可应用在不同的涉密网络之间；同一涉密网络的不同安全域之间；与互联网物理隔离的网络和秘密级涉密网络之间；未与涉密网络连接的网络和互联网络之间，通过网闸的安全控制，在保证信息安全的前提下更好地促进各个业务系统的互联互通、资源共享。

2.1数据库安全同步解决方案某政府部门开展电子政务，允许公众通过互联网提交服务申请并查询结果。

如果允许访问者通过Web服务器直接向核心数据库服务器发起数据访问请求，则黑客可能穿透防火墙的保护直接侵入后台数据库系统，严重威胁到业务的正常开展。

如上图所示，采用网神SecSIS 3600安全隔离与信息交换系统，在核心数据库服务器和外部不可信网络间实现安全隔离，则来自互联网的用户只能通过Web 服务器访问到前置数据库服务器。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

3.1了解实际用户网络环境或主机环境3.1.1网络环境充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑网络拓扑图可以请用户网络工程师协助提供。

拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。

部署位置根据用户提供拓扑，分清安全域界限，明确网闸部署位置。

IP规划明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。

3.1.2主机环境明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。

服务器系统平台信息了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。

了解各服务器网络配置信息，如服务器IP地址、服务器连接位置等。

数据库信息对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。

软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。

3.2了解实际用户应用及安全需求3.2.1业务模式了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。

应用相关信息了解业务所采用的协议类型，业务端口开放情况等业务相关信息。

业务流程分析通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更合适的方式来实现所需要的功能服务。

业务软件模式针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现方式。

3.2.2安全需求了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全。

访问用户限制针对不同的访问用户进行业务应用限制，功能使用限制；对于不同的管理员赋予不同的权限。

访问客户端限制针对IP段、MAC地址的访问限制；应用层过滤针对业务应用进行的策略限制，黑白名单策略、命令限制、文件类型限制等。

3.3开箱、加电3.3.1设备开箱设备开箱请按装箱清单进行清点，并对设备外观进行检查，若有异常请认真详细地做好记录。

网御神州SecIPS 3600入侵防护系统产品白皮书V1.0 网御神州科技（北京）有限公司版权信息©版权所有2001－2007，网御神州科技（北京）有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属网御神州科技（北京）有限公司所有，受国家有关产权及版权法保护。

如何个人、机构未经网御神州科技（北京）有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息网御神州，Legend，Legendsec等标识及其组合是网御神州科技（北京）有限公司拥有的商标，受商标法和有关国际公约的保护。

第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

网御神州科技有限公司总部（北京）Legendsec Technologies Inc.北京市海淀区上地信息产业基地开拓路7号先锋大厦2段1层100085电话（TEL）：+86(10)62972892传真（FAX）：+86(10)62972896技术热线（Customer Hotline）：400-610-8220(7×24小时)公司网站：目录1前言 (4)2网御神州IPS (5)2.1系统架构 (6)2.2工作模式 (8)2.3主要功能 (10)2.4产品特点 (14)2.4.1高效的硬件体系结构 (14)2.4.2实时的入侵检测防护 (15)2.4.3丰富的上网行为管理 (18)2.4.4强大的抗DoS/DDoS (21)2.4.5动态的异常流量管理 (22)2.4.6精准的带宽管理功能 (24)2.4.7实用的多重冗余功能 (24)2.4.8方便的管理方式 (26)3解决方案 (28)3.1外网防御解决方案 (28)3.2服务器群保护解决方案 (29)3.3上网行为管理解决方案 (29)3.4内外兼具解决方案 (30)1 前言近几年来，随着网络与信息化建设的飞速发展，信息安全问题也越来越广泛，导致用户对安全设备的需求也越来越高。