网神SecSIS安全隔离与信息交换系统产品安装调试指

网神SecSIS 3600系列安全隔离与信息交换系统一、 产品介绍随着技术的发展和I n t e r n e t的普及，不仅带来了信息共享，也带来了黑客、病毒等不安全因素。

一些行业和机构中，公网的连接安全依赖防火墙设定的策略，但在机构内部也存在进一步保密数据要求，所以应运而生了保护这部分数据的安全隔离与信息交换系统（简称网闸）。

为了保护涉密网络的安全性，依靠自身在安全领域的技术和理念优势，网御神州开发出了安全、高效、灵活的网闸，实现了在物理隔离网络下信息的安全流转。

网神S e c S I S3600系列网闸部署在涉密网和内网之间，不仅能实现涉密网和内网的完全物理隔离，而且可以实现二者间的信息交换。

网神S e c S I S3600系列网闸，可为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地构建自己的安全网络或安全通道。

一、 产品亮点1.安全高效的数据传输体系结构网神S e c S I S3600系列网闸具有自主研发的内外主机系统间的安全检测与控制处理单元，采用专有电路设计的双通道高速数据交换卡，实现了独立的硬件交换控制逻辑，不仅保证了内外主机系统之间数据交换的机密性、完整性和可信性，而且在保证安全性的同时，提供更好的处理性能（延时<20s），能够适应各种复杂网络环境对隔离应用的需求。

网神S e c S I S3600系列网闸在内外主机系统间采用专有协议，阻断网络连接，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

2.可靠的冗余和均衡架构网神S e c S I S3600系列网闸基于可靠性的考虑，通过双击热备等技术保证了在网络或设备故障时，业务的不间断运行。

在网络流量较大时，也可能会造成业务不可用或和响应速度下降，网神S e c S I S3600系列网闸支持多台设备的负载均衡（最多支持32台），最大限度的提升了网络的可用性。

网神网闸系统军工文件交换方案网闸工作原理网神SecSIS 3600安全隔离与信息交换系统的工作基于人工信息交换的操作模式，即由内外网主机模块分别负责接收来自所连接网络的访问请求，两模块间没有直接的物理连接，形成一个物理隔断，从而保证可信网和非可信网之间没有数据包的交换，没有网络连接的建立。

在此前提下，通过专有硬件实现网络间信息的实时交换。

这种交换并不是数据包的转发，而是应用层数据的静态读写操作，因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源，而不必担心可信网的安全受到影响。

信息通过网闸传递需经过多个安全模块的检查，以验证被交换信息的合法性。

当访问请求到达内外网主机模块时，首先由网闸实现TCP连接的终结，确保TCP/IP协议不会直接或通过代理方式穿透网闸；然后，内外网主机模块会依据安全策略对访问请求进行预处理，判断是否符合访问控制策略，并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤，检验其有效载荷的合法性和安全性。

一旦数据包通过了安全检查，内外网主机模块会对数据包进行格式化，将每个合法数据包的传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等待被隔离交换模块处理。

这种“静态”的数据形态不可执行，不依赖于任何通用协议，只能被网闸的内部处理机制识别及处理，因此可避免遭受利用各种已知或未知网络层漏洞的威胁。

如下图所示：网神SecSIS 3600安全隔离与信息交换系统通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能，将指定区域的数据复制到对端相应的区域，完成数据的交换。

隔离交换卡内嵌安全芯片，采用高速全双工流水线设计，内部吞吐速率达5Gbps，完全可以满足高速数据交换的需要。

隔离交换模块固化控制逻辑，与内外网模块间只存在内存缓冲区的读写操作，没有任何网络协议和数据包的转发。

隔离交换子系统采用互斥机制，在读写一端主机模块的数据前先中止对另一端的操作，确保隔离交换系统不会同时对内外网主机模块的数据进行处理，以保证在任意时刻可信网与非可信网间不存在链路层通路，实现网络的安全隔离。

浅谈SIS系统安装与调试摘要：本文介绍了SIS系统的构成及特点；对SIS系统的安装、调试以及问题处理进行了详细的归纳和总结。

关键词：安全仪表系统安全连锁安装调试SIS的英文为Safety Instrumentation System ，称为安全仪表系统。

也称为安全连锁系统( Safety Interlocks)、紧急停车系统（Emergency Shutdown System, Emergency Shutdown Device ,ESD）。

它是20世纪90年代发展起来的，具有高可靠性和灵活性。

1SIS系统介绍安全仪表系统是由国际电工委员会（IEC）标准IEC 61508 和IEC61511标准定义的专门用于安全的控制系统。

按照安全独立原则要求，独立于集散控制系统，并且其安全级别高于DCS。

1.1系统构成广义上，安全仪表系统包括传感器、逻辑控制器和最终执行元件。

能够按照一定的安全完整度等级实现一个或多个安全功能的系统。

它是生产过程中的一种自动安全保护系统。

传感器和最终执行元件归属为现场仪表，这里我们说的SIS ，主要是指逻辑控制部分，它的主控卡和输入输出卡件安装在机柜中，操作和监视采用上位机。

1.2系统特点（1）具有极高的安全性和有效性，即使出现故障，也要用冗余等措施使系统工作正常。

（2）故障以可预见的、安全方式出现。

（3）着重内部诊断，将软硬件相结合，检测出系统本身的异常操作，采用一系列特殊的技术保证软件的可靠性；冗余配置，即使部件出现故障时也能保证正常操作；对通过数字通讯端口的任何读写有非常高的安全可靠保证。

2SIS系统安装SIS系统的处理器卡件、通讯卡件、电源卡件、看门狗或系统诊断卡件及输入、输出卡件等都安装在机柜内，出厂时由厂家配置安装完成。

这里的SIS系统安装主要指机柜、上位机的安装、专用电缆敷设和电源、接地系统安装。

我们以吉化炼油厂催化裂化装置的TRICON系统为例来介绍SIS系统的安装。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (11)1产品概述网神SecSIS 3600-AC1000 安全隔离与信息交换系统（简称：“网神网闸”）能够有效实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接，保证内外网数据能够安全、可靠地交换。

该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。

2产品特点●安全高效的体系架构网神网闸采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。

内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。

隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。

内外网主机模块间不存在任何网络连接，因此不存在基于网络协议的数据转发。

●专用的隔离交换模块网闸产品核心部件为隔离交换模块，网神网闸隔离交换模块基于专用安全芯片设计，全硬件交换；网神隔离交换模块是业界首家研发并使用高效PCI-AC1000接口的交换模块，此交换模块采用PCI-AC1000 x4通道设计，单向最高带宽大约是10Gbps，消除性能瓶颈；网神隔离交换模块采用双通道通信机制，从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道，对通道的分离控制保证各通道的传输方向可控。

●操作系统安全可靠内外网主机模块采用专用的网神自主研发的多核并行安全加固操作系统SecOS，此系统具备强大的抗攻击能力，内核经过特殊定制，实现强制性访问控制，保护自身进程及文件不被非法篡改和破坏。

网络安全系统安装与调试概述本文档提供了有关网络安全系统安装与调试的指南。

网络安全系统是为了保护计算机系统和数据免受恶意攻击的软件和硬件组合。

硬件要求在开始安装网络安全系统之前，请确保满足以下硬件要求：- 一台计算机或服务器，建议具有较高的处理能力和存储容量- 网络连接设备，如路由器或交换机- 防火墙设备（可选）软件要求在进行网络安全系统的安装之前，您需要准备以下软件：- 网络安全系统的安装包- 操作系统（适用于您的计算机硬件的操作系统）- 网络安全系统的相关驱动程序和依赖项安装步骤步骤1：准备工作在安装网络安全系统之前，请确保完成以下准备工作：1. 关闭计算机或服务器，并断开所有与其相关的电源和网络连接。

2. 了解网络安全系统的系统要求，并准备相应的硬件和软件。

步骤2：安装操作系统如果您的计算机或服务器尚未安装操作系统，请按照操作系统供应商的指南进行操作系统的安装。

确保在操作系统安装完成后进行必要的更新和配置。

步骤3：安装网络安全系统按照以下步骤安装网络安全系统：1. 将网络安全系统的安装包复制到计算机或服务器的硬盘上。

2. 双击安装包，按照安装向导指示完成网络安全系统的安装过程。

3. 在安装过程中，根据系统要求和提示进行必要的配置，包括网络设置、防火墙设置等。

4. 完成安装后，重新启动计算机或服务器。

步骤4：调试网络安全系统在完成网络安全系统的安装后，进行以下调试步骤：1. 确认网络安全系统的运行状态，包括检查系统启动时是否正常运行以及相关服务是否启动。

2. 检查网络安全系统和操作系统之间的集成和互通性。

3. 测试网络安全系统的功能，包括防御恶意攻击、检测威胁、日志记录等。

4. 根据需要进行必要的调整和优化，以确保网络安全系统正常运行并满足安全需求。

总结本文档提供了网络安全系统安装与调试的指南。

按照所述步骤进行操作，可以确保网络安全系统的稳定运行，并保护计算机系统和数据免受恶意攻击。

安全隔离与信息交换系统产品安装调试指导手册VHEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】络环境、业务模式、安全需求等情况进行详细的了解，充分做好产品上线准备，确保网闸上线后高效、稳定，与用户业务安全结合。

了解实际用户网络环境或主机环境网络环境充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑网络拓扑图可以请用户网络工程师协助提供。

拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。

部署位置根据用户提供拓扑，分清安全域界限，明确网闸部署位置。

IP规划明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。

主机环境明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。

服务器系统平台信息了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。

了解各服务器网络配置信息，如服务器IP地址、服务器连接位置等。

数据库信息对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。

软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。

了解实际用户应用及安全需求业务模式了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。

应用相关信息了解业务所采用的协议类型，业务端口开放情况等业务相关信息。

业务流程分析通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更合适的方式来实现所需要的功能服务。

业务软件模式针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现方式。

安全需求了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全。

访问用户限制针对不同的访问用户进行业务应用限制，功能使用限制；对于不同的管理员赋予不同的权限。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

技术白皮书网神SecSIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司产品部所有目录1.产品概述 (3)2.产品原理 (4)3.产品说明 (5)4.产品功能说明 (6)4.1丰富的应用模块 (6)4.2访问控制 (7)4.3地址绑定 (7)4.4内容检查 (7)4.5高安全的文件交换 (8)4.6内置的数据库同步模块 (8)4.7融合加密、认证、授权多安全技术于一身 (9)4.8高可用设计 (9)4.9轻松的管理 (9)4.10传输方向控制 (9)4.11协议分析能力 (9)4.12完善的安全审计 (10)4.13强大的抗攻击能力 (10)4.14多样化的身份认证 (10)4.15负载均衡解决方案 (11)1.产品概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

”中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

”在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施，可切断信息泄漏的途径。

2网神SECSIS 3600安全隔离与信息交换系统产品常见应用场景说明 (5)2.1数据库安全同步解决方案 (5)2.2安全收发解决方案 (6)2.3安全文件交换解决方案 (7)2.4安全FTP访问解决方案 (7)2.5安全浏览解决方案 (8)3准备工作 (8)3.1了解实际用户网络环境或主机环境 (9)3.1.1网络环境 (9)3.1.2主机环境 (9)3.2了解实际用户应用及安全需求 (9)3.2.1业务模式 (9)3.2.2安全需求 (10)3.3开箱、加电 (10)3.3.1设备开箱 (10)3.3.2设备加电 (11)3.3.3安全注意事项 (11)3.4管理网神SecSIS 3600安全隔离与信息交换系统 (12)3.4.1WEB界面方式 (12)3.4.2命令行方式 (14)3.4.3其它方式 (15)3.5如何申请许可证和激活网神SecSIS 3600安全隔离与信息交换系统产品功能模块 (16)3.5.1申请License (16)3.5.2导入License (16)4初级“假设法”手把手教您如何快速安装部署网闸产品 (17)4.1网闸网络配置 (17)5中级“假设法”手把手教您如何快速调试网闸产品的基本功能 (19)5.1安全浏览 (19)5.1.1客户需求 (19)5.1.2网络配置 (19)5.1.3网闸具体配置 (20)5.2安全FTP (26)5.2.1客户需求 (26)5.2.2网络配置 (27)5.2.3网闸具体配置 (29)5.3FTP访问 (36)5.3.1客户需求 (36)5.3.2网络配置 (37)5.3.3网闸具体配置 (38)5.4数据库访问 (41)5.4.1客户需求 (41)5.4.2网络配置 (41)5.4.3网闸具体配置 (42)5.5访问 (48)5.5.1客户需求 (48)5.5.2网络配置 (48)5.5.3网闸具体配置 (50)5.6定制模块 (52)5.6.1客户需求 (53)5.6.2网络配置 (53)5.6.3网闸具体配置 (55)1网神SecSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明网神SecSIS 3600安全隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：网络配置：完成设备网络参数的基本配置以及高可用性（双机负载）的配置管理员配置：管理员源地址的访问控制，权限分配，新增管理员及参数设置。

SecIPS3600快速安装指南快速安装指南1 安装指南本指南介绍了如何安装和配置网神入侵防御系统（SecIPS 3600）的各个组件并使之有效运行。

关于各个组件的详细使用操作，请参考《SecIPS 3600 安装部署手册》和《SecIPS 3600 操作和使用手册》中的相关章节，您可以通过随机光盘获得PDF格式的操作手册，也可以在SecIPS 3600的帮助菜单中察看联机帮助形式的版本。

注：当本手册中的图片与产品实物不符合时，请以产品为准。

2 需要安装的系统组件SecIPS 3600 Console (控制台)SecIPS 3600 Event-Collector（事件收集服务器）MSDE 2000/SQL Server数据库（第三方数据库）SecIPS 3600 LogServer（日志服务器）SecIPS 3600 Report（报表）组件的安装程序包含在产品安装光盘中，放入光盘后会自动运行，单击需要安装的组件即可启动相应的安装程序。

注：SQL Server数据库不包含在安装光盘中。

3安装之前在安装SecIPS 3600系统之前，请先确定下面的相关内容是否已经清晰：确认Sensor在您网络中的部署位置和部署方式确认目标机器的配置符合相应的系统需求确认您拥有许可的SecIPS 3600安装光盘、硬件设备和许可密钥确认是否是初次安装，如果是卸载后安装必须重新启动机器注：根据您希望的部署方式，可以选择在目标主机上安装一个或多个程序组件。

建议将不同的组件安装在不同的计算机上，以保证系统的运行效率。

MSDE为可选组件，根据您网络的情况可以选择SQL Server 数据库产品。

4 安装步骤5 配置传感器传感器出厂时的缺省配置信息如下：●登录方式：SSH或串口（波特率：9600）进行登录●用户名：admin●密码：admin●管理IP：192.168.0.254●子网掩码：255.255.255.0●缺省路由：192.168.0.1● EC的IP：192.168.0.253●传感器的名称：sensor●传感器加密密码：demo●重置传感器加密密码：demo注：通过串行通信口或者外接显示器，您可以更改Sensor的相关参数配置以便适应您的网络环境以下以IPS系列sesnor的配置界面为例，说明sensor的配置过程。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1 产品概述 (4)2 产品原理 (6)3 产品功能说明 (8)4 产品技术优势 (12)5 典型应用 (15)1产品概述随着网络应用范围的不断扩大和网络应用技术的不断深入，网络用户也更加意识到网络安全的重要性，同时各个网络安全厂商也不断发布新的产品以适应用户日益增长的网络安全需求。

但无论网络安全技术如何发展，网络及网络上的信息资源依然存在着相当的安全风险，网络攻击技术和网络安全技术正如中国古代矛与盾的比喻，攻防永无止境，发展永无止境。

防火墙、防病毒、漏洞扫描和系统风险评估、入侵检测等技术都可以在一定程度上提供安全防护，但这些安全手段还不足以保障用户网络系统、信息资源的安全。

据美国《金融时报》报道，现在平均每10秒就发生一次入侵计算机网络的事件，超过1/3的互联网防火墙被攻破。

目前政府机关内部网络可能所受到的攻击包括黑客入侵，内部信息泄漏，不良信息的进入内网等方式。

因此，对于高速发展的电子政务系统来说，最迫切要解决的安全问题应该是政府内部机密信息的数据安全，如果使内外网物理上的通路断开，不失为一个最有效的解决办法。

2007年3月份，国家保密局和国务院信息化工作办公室联合发布了《电子政务保密管理指南》。

《指南》中规定：按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，若非涉密网络与互联网物理隔离，则采用双向网闸隔离涉密网络与非涉密网络；若非涉密网络与互联网是逻辑隔离的，则采用单向网闸隔离涉密网络与非涉密网络，保证涉密数据不从高密级网络流向低密级网络。

如下图所示：政府涉密网络、军工、电力等行业中含有大量的敏感信息及涉密数据（可能定级为涉密网或含有敏感数据的非涉密网），这些涉密数据是绝对不能流入比它密级低的网络中的，但这些网络通常又需要能从密级低的网络中获取数据。

3.1了解实际用户网络环境或主机环境3.1.1网络环境充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑网络拓扑图可以请用户网络工程师协助提供。

拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。

部署位置根据用户提供拓扑，分清安全域界限，明确网闸部署位置。

IP规划明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。

3.1.2主机环境明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。

服务器系统平台信息了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。

了解各服务器网络配置信息，如服务器IP地址、服务器连接位置等。

数据库信息对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。

软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。

3.2了解实际用户应用及安全需求3.2.1业务模式了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。

应用相关信息了解业务所采用的协议类型，业务端口开放情况等业务相关信息。

业务流程分析通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更合适的方式来实现所需要的功能服务。

业务软件模式针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现方式。

3.2.2安全需求了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全。

访问用户限制针对不同的访问用户进行业务应用限制，功能使用限制；对于不同的管理员赋予不同的权限。

访问客户端限制针对IP段、MAC地址的访问限制；应用层过滤针对业务应用进行的策略限制，黑白名单策略、命令限制、文件类型限制等。

3.3开箱、加电3.3.1设备开箱设备开箱请按装箱清单进行清点，并对设备外观进行检查，若有异常请认真详细地做好记录。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术（北京）股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术（北京）股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术（北京）股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术（北京）股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦、八、亠刖言感谢您使用网神信息技术（北京）股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

网神IDS 4.0安装指南目录目录........................................................................................................................................................................................2 第１章 简介........................................................................................................................................................................3 1.1 网神IDS 4.0概览..............................................................3 第２章 安装安装管理管理管理组组件..........................................................................................................................4 2.1 安装管理中心 （M ANAGER ）......................................................4 2.2 安装控制台 (C ONSOLE ).........................................................11 2.3 报表（R EPORT ）...............................................................20 第３章 配置配置探探测器CLI MANUAL CLI MANUAL........................................................................................................................................27 3.1 登录........................................................................27 3.2 简介........................................................................28 3.3 基本配置....................................................................31 第４章 简易向易向导导..............................................................................................................................33 4.1 添加探测器..................................................................33 4.2 设置报表服务器.. (36)第１章 简介1.1 网神IDS 4.0概览概要针对互联网病毒，蠕虫，黑客攻击行为的增多，网神IDS4.0在监测网络流量的基础上，集成了对这些信息的控制和实时响应功能，为用户提供了安全检测，流量分析，修正分析和及时准确的警告信息功能，从而可以更好的实行风险分析，全球风险信息预警，系统和网络脆弱性信息分析等。