天清安全隔离与信息交换系统数据库同步客户端用户手册

天清安全隔离与信息交换系统数据库同步客户端操作手册
声明
本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，北京启明星辰信息安全技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐
使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，北京启明星辰信息安全技术有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业
务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经北京启明星辰信息安全技术有限公司书面允许不得对本手
册的任何部分进行影印、复制或翻译。

北京启明星辰信息安全技术有限公司
北京市海淀区东北旺西路8号中关村软件园21楼启明星辰大厦
章节目录
章节目录 (3)
第1章前言 (5)
1.1 导言 (5)
1.2 本书适用对象 (5)
1.3 本书适合的产品 (5)
1.4 相关参考手册 (5)
第2章如何开始 (6)
2.1 系统概述 (6)
2.2 工作原理 (6)
2.3 产品特点 (6)
2.3.1 与数据库的连接方式 (6)
2.3.2 支持的数据库类型 (7)
2.3.3 支持的数据库表结构 (7)
2.3.4 其他特点 (7)
2.4 运行环境 (7)
2.5 安装步骤 (7)
第3章系统登录 (9)
3.1 系统登录 (9)
第4章系统选项 (11)
4.1 证书设置 (11)
4.2 本机地址 (12)
4.3HA设置 (13)
4.4密码管理 (14)
4.5开机启动 (14)
第5章通道管理 (15)
5.1添加 (15)
5.2修改 (16)
5.3删除 (16)
第6章数据源管理 (17)
6.1添加 (18)
6.2修改 (19)
6.3删除 (20)
第7章任务管理 (21)
7.1添加任务 (21)
7.2修改任务 (29)
7.3删除任务 (29)
7.4启动、停止任务 (30)
7.5设置同步条件 (31)
第8章日志管理 (32)
8.1日志设置 (32)
8.2日志查看 (33)
第9章报警管理 (34)
第10章统计管理 (35)
第11章容错管理 (36)
第1章前言
1.1 导言
《数据库同步客户端操作手册》是天清安全隔离与信息交换系统管理员手册中的一本。

该手册介绍了如何使用数据库同步客户端。

1.2 本书适用对象
本手册适用于负责支持、维护天清安全隔离与信息交换系统的安全管理员，是对天清安全隔离与信息交换系统进行配置管理时的必备手册。

1.3 本书适合的产品
本书适合天清安全隔离与信息交换系统系列产品，以后简称“天清网闸”或“网闸”，不再说明。

1.4 相关参考手册
《天清安全隔离与信息交换系统WEB操作手册》。

第2章如何开始
本章概要介绍天清安全隔离与信息交换系统中数据库同步系统的工作原理、产品特点、安装过程等。

如果您想尽快配置使用数据库同步客户端系统，可跳过概述部分，直接阅读第三章。

2.1 系统概述
数据库同步模块作为隔离网闸单独的应用模块，其功能主要负责完成在两个网络之间隔离的
前提下的基于数据库的安全数据交换。

原理主要是通过各项配置对需要传输的数据表进行监控，
一旦发现有更新（包括增加、删除、修改），立即对该数据进行提取。

通过隔离网闸放置在另外
一边网络的数据库中以实现数据的同步。

隔离网闸数据库模块支持相对较流行的Oracle、Sql-server、Sybase、Db2数据库，同时隔离网闸对于数据库表的支持包括：支持有限的数据类型；表名相同；表名不同；必须指定与其对
应的表（即一一对应）；源表字段个数必须小于等于目的表字段个数；支持以字段为单位的双向
传输；每一个需要同步传输的表都必须具有唯一确定一条数据的值，如果有主键则自动选用，否则可以自己选择。

2.2 工作原理
如图所示，数据库模块的专用客户端与网闸之间通过证书验证机制与网闸建立安全连接，负责在互不信任网络间进行安全的数据交换。

用户无需修改现有应用软件，部署方式更加灵活、简便。

图2-1 数据库同步系统工作原理
2.3 产品特点
2.3.1 与数据库的连接方式
直接通过数据库相应的JDBC驱动与数据库进行数据交互，并且对用户透明，这样大大简化
了用户对模块的配置工作。

2.3.2 支持的数据库类型
、ORACLE 、SYBASE 、 DB2 四种类型的数据库。

目前支持MSSQLSERVER
2.3.3 支持的数据库表结构
支持表名相同，源表字段个数不能大于目的表字段个数；
支持表名不同，表必须具有唯一确定值（一般为主键值）；
支持字段名不同；
支持字段可选；
支持表结构冲突检测；
支持主从关系表操作；
只支持主键为字符串类型或整型；
不支持主键为空格的字符串。

2.3.4 其他特点
1)支持双向数据传输
2)支持NULL与‘’的区分
3)支持自增变量的单向传输
4)支持数据库定时传输功能
5)提供友好的日志管理功能
6)提供同构表的简化配置功能
2.4 运行环境
硬件：
天清安全隔离与信息交换系统；
若干高性能的pc机：CPU PⅣ以上、内存1G以上，硬盘可用空间3G以上。

软件：
windows2000 / XP以及常见linux版本。

建议：
运行客户端系统的主机使用高性能的pc机或者运行于数据库服务器上。

2.5 安装步骤
双击客户端系统安装程序，按照界面提示，逐步安装即可。

特别指出：
数据库同步系统在网闸中的部分，请联系供货商，用网闸的许可证激活即可，无须其他安装。

第3章系统登录
系统设置模块用于设置本地客户端的各类基本参数，这些参数的设置将影响本地客户端的运行方式，对其他功能的正常运行都有直接的关系。

具体包括系统位置、本机IP地址、任务监听端口以及通信模式等。

3.1 系统登录
系统启动时会弹出登录界面，如下图：
图3-1 系统登录
系统只有一个用户名admin；密码默认为admin；输入完毕后会弹出系统主界面图3-2
图3-2
主界面内容包含：菜单、工具栏（菜单中都可以实现）、界面左边是主要配置和查阅内容、右边主要是任务列表、下面是实时日志；余下章节主要说明系统配置内容。

第4章系统设置
系统设置主要体现在菜单中如图4-1
图4-1 系统选项
系统选项包含：证书设置、本机地址、HA配置、密码管理和开机启动五个选项。

4.1 证书设置
图4-2
用户证书浏览其所在位置，当确认时，会校验口令与证书是否匹配如果不匹配会报错：如下图4-3
图4-3
系统在修改此项配置必须重启数据库同步软件才生效！
特别说明：
1)本机证书与系统位置对应；
2)在此导入过程中，系统不会对证书的有效性、合法性进行检查，只有在数据会话连接前
才能得到验证。

4.2 本机地址
图4-4
系统默认情况下地址是不绑定地址的，如果有需要用户可以自己填写；端口默认为
16000此端口号应为网闸上对应任务使用的端口号（详细参考网闸配置管理中的数据库
同步模块）；
是否选择认证，如果选择那么系统与网闸服务端通信为SSL方式，会自动加载证书；此时网闸服务端也必须设置为用户认证方式；如果没有选择则使用普通方式通信；网闸服
务端必须设置为不需要用户认证；
系统在修改此项配置必须重启数据库同步软件才生效！
特别指出：
必须确保本机地址与相连的网闸地址之间是可达的，通常本机IP地址与所对应网闸端地址应处于同一网段。

4.3HA设置
图4-5 HA配置
HA系统是为了解决用户单点故障而提供的，它需要一定的环境，具有并正确配置了包
含数据库同步模块的网闸设备为使用HA功能为前提；
系统角色有主系统、备份系统；当主系统运行时备份机不会同步任务数据；一旦备系统
与主系统失去心跳联系，则会接管；一旦和主系统恢复心跳则停止所有任务同步；主系统继续执行任务同步工作；
主系统则是本机监听地址和端口；备份系统则是需要通信主系统的地址和端口；
心跳时间：是主备系统之间发送通信信息的间隔时间；
切换时间：是备份系统与主机失去通信信息的时间，一旦达到这个临界时间点则会接管
系统；
同步按钮：是主系统配置完毕后确认不需要再更新，会把任务信息同步到备份系统上；
刷新，系统状态会返回双机运行状态；
系统在修改此项配置必须重启数据库同步软件才生效！
特别指出：
1、确定任务配置完毕后进行同步，主机会把配置文件同步到备机上，同时备机需要重启软件
系统才可以正常生效；
2、本机证书路径密码、本地地址需要各自配置。

4.4密码管理
图4-6
特别指出：
新用户名可以在配置文件中查到，但是密码是加密的所以请修改后记住!
4.5开机启动
图4.5
设置开机启动后，系统可以在电脑开机的时候自动加载服务。

第5章通道管理
通道管理是为配置任务服务的，任务需要通过通道设置找到需要通过的网闸地址，具体界面如图5-1
图5-1 通道设置主界面
5.1添加
图5-2 添加通道设置
通道名称：具有唯一性，并且保存后不能被修改，需被任务引用；
是否认证：是则与网闸通信通过证书认证，并且采用SSL加密方式；否则只应用普通
SOCKET方式通信；
网闸地址：网闸客户端任务配置监听地址，支持IPV4和IPV6两种方式；
端口号：网闸客户端任务配置监听端口；
特别指出
如果设备需要提供双机热备则网闸地址与端口要成对出现，网闸上也需要配置两个端口到
接收端的双机热备；
具体格式：网闸地址：ip1；ip2 ，端口：port1；port2中间用英文“；”分隔；
设置好的通道如图5-3
图5-3
特别指出
是否选择认证需要根据网闸配置确定；否则不能正常通信!
5.2修改
选择需要修改的通道设置的行，然后点击修改，如图5-4
图5-4
修改时不能修改通道名称，其它都可以修改，具体含义与添加一样。

特别指出
引用此通道的任务如果为启动状态，此通道不能被修改。

5.3删除
选择需要删除的通道管理行，然后点击删除；
特别指出
如果此通道被任务引用，则不能被删除！
第6章数据源管理点击数据源管理后系统会弹出图6-1；
图6-1 数据源管理主界面
6.1添加
图6-2数据源配置主界面
数据源名称，是这个配置的唯一标识，可以被任务引用；
数据库类型，可以根据当前需要，选择合适的数据库类型；
数据源类型，有两种选择：
源数据源，表示导出数据库；目的数据源，表示需要导入数据库；
数据库地址，数据库所在设备的地址，支持IPV4和IPV6两种格式，其中IPV6地址前提是数据库本身必须支持IPV6；
端口，数据库所在设备服务开的端口；
库模式.需要同步表所属对象，(例如sqlserver默认为dbo)注意区分大小写；
数据库名、用户名、口令按照实际情况填写；
测试：为了降低失误操作可以测试一下是否填写的正确；
源数据源会直接和数据库连接；如果正确则会弹出图6-3，如果失败则会弹出图6-4；
图6-3
图6-4
目的数据源则会弹出图6-5，选择通道名称；系统会根据通道设置和网闸另一侧服务通信；
结果会通过网闸返回；
图6-5
特别指出
1、通常情况下需要源和目的同时配置，为配置任务做好基础！
2、如果数据源为一个集群则输入格式；
数据库地址：ip1；ip2 ，端口：port1；port2中间用英文“；”分隔；
6.2修改
选择需要修改数据源行，然后点击修改，如图6-6数据源的名称是不准许修改的；其它具体含义与添加一样；
特别指出
引用此数据源的任务如果为启动状态，此数据源不能被修改。

6.3删除
选择需要删除的数据源的行，然后点击删除；
特别指出
如果此数据源被任务引用则不能被删除。

第7章任务管理
7.1添加任务
图7-1 任务管理_基本配置
任务管理_基本配置各项说明如下：
任务名称
用于表示该任务，可以由字母和数字组成，并且不能与已建立的发送任务重名，该选项必填。

同步记录数
设置客户端在数据源发生变化时，客户端一次处理记录数，取值从1—10000，默认值为100 。

图7-2任务管理_通信设置.
任务管理_通信设置各项说明如下：
选择通道
用于选择本任务所使用的通道，在此处选择于“通道设置”处设置好的通道。

图7-3任务管理_调度策略任务管理_调度策略各项说明如下：
开始时间
用于选择本组时间策略的开始时间。

结束时间
用于选择本组时间策略的结束时间。

图7-4 任务管理_同步策略
任务管理_同步策略各项说明如下：
增量类型
设置本任务所处理的操作类型，只有勾选了的类型才会被本任务进行同步。

导出初始数据
导出初始数据选项，是表示在任务第一次运行时是否将当前所有数据进行同步处理，请注意，如当前同步数据表中记录过多，该过程会非常耗时，经确认是否有必要再慎重进行配置。

创建映射关系
用于配置本任务中各表的具体同步要求
图7-5 任务管理_设置数据源
图7-6 任务管理_创建映射关系_设置数据源_选择表
获取源表
默认选中“过滤任务已选表”就会将之前已经配置过的表过滤掉，获取源表会将所选中的源数据源中所有的用户表展示出，以供选择。

图7-7 任务管理_创建映射关系_设置数据源_选择源字段设置源字段
在获取源表配置界面选择好需要同步的数据表后，点击下一步会进入到设置源字段配置界
面，在此将展示出选定源数据表的所有字段（列），只有选定的列才会被软件进行同步处理，如需要同步某表的所有列，可直接选定该表；如需要同步所有表的所有列，可直接选定该数据源。

图7-8 任务管理_创建映射关系_设置数据源_设置主键
设置主键
在设置源字段配置界面选择好需要同步的列后，点击下一步会进入到设置主键配置界面，在此将展示出选定源数据表的所有字段（列），并根据各表的结构自动选定主键；对于没有主键的
表可手动指定将那个（些）列当做该表的主键。

特别指出
如手动配置非主键列当做主键，必须保证该列的数据唯一性；
所有同步数据表必须有主键，或有手动配置被当作主键的列；
某个表的主键是手动配置的，如果这个表的主键在表中存在重复记录，则系统会弹出提示窗口，确定是否继续。

图7-9 任务管理_创建映射关系_设置数据源_创建映射关系
单表同构/单表异构
用于选择配置规则的类型，单表同构规则用于配置源和目的结构相同的表；单表异构规则可以对结构不同的表逐列进行配置。

源表
用于选择需要配置的源表，选择后，该表的结构会在映射关系->源字段中展示出来。

目的数据源
用于选择目的表所在的目的数据源，目的数据源的配置请参见“数据源配置”。

目的表
用于选择需要配置的目的表，选择后，该表的结构会在目的字段名中展示出来。

特别指出
异构规则配置必须符合映射条件，否则该规则不允许添加
所有在选择表时选到的表都必须配置相应的映射关系
图7-10 任务管理_导入策略
数据冲突策略
用于配置该任务在接收端导入时遇到主键冲突无法导入数据时所采取的策略。

主键丢弃策略：该条记录将会被丢弃，目的数据源维持原数据。

主键覆盖策略：该条记录将会覆盖目的数据源中与其发生冲突的记录。

7.2修改任务
图7-11 修改任务
鼠标左键点击任务选定后，点击右键通过菜单中“修改任务”选项可对该任务进行修改。

请参考7.1新增任务部分
7.3删除任务
图7-12
鼠标左键点击任务选定后，点击右键通过菜单中“删除任务”选项即可删除该任务
特别指出
只有处于停止状态的任务才可被删除
7.4启动、停止任务
图7-13
鼠标左键点击任务选定后，点击右键通过菜单中“启动任务”和“停止任务”选项可分别停启该任务
7.5设置同步条件
图7-14
同步条件列表：通过“添加”、“修改”、“删除”按钮对条件同步进行设置。

图7-15
在添加或者修改同步条件的时候，必须遵循以下原则：
表名建议为大写。

同步条件默认为：1=1。

条件同步的格式如下：
([列名1]+[条件( = / != / <> / > /<)]+[值1]and [列名2]+[条件( = / != / <> / > /<)]+[值2])or(……)or(……)。

例如：
(id > 100 ) ——将只有id 大于100的记录会被同步；
的记录会被同步；(id > 100 and filename = 'test') ——将只有id 大于100且filename值为’test’
的记录会被同步；(id > 100)or(filename = 'hello')——将只有id 大于100或filename值为’hello’
(id > 100 and filename = 'test')or(id < 50 and filename = 'hello')
的记录都会被同步
、id 小于50且filename值为’hello’
——id 大于100且filename值为’test’
第8章日志管理
8.1日志设置
图8-1
参照上图8-1；
日志服务器地址和端口是配置安全管理平台的地址和端口；具体功能参照安全平台。

记录日志级别可以自由选择；
滚动输出是针对界面上日志滚动栏而言，如果选择则实时打印在界面上，否则不打印，但是会记录到日志中去。

本地日志缓存容量，是单个日志文件最大值；
日志数量，是备份日志文件个数。

8.2日志查看
操作日志
图8-2
同步日志
图8.3
日志列表会列出当前日志文件所有日志信息，可以按照界面操作进行。

第9章报警管理
图9-1
是否报警，如果不选择则报警功能不生效；
是否每日提示，如果不选择则此功能不生效；
报警最大次数，为如果报警信息比较多，可能会对用户邮箱造成影响，所以需要设置每日发送报警邮件最大次数；
邮件服务器，数据库同步系统能够到达的服务器地址；
发送邮箱，填写要全名；
接收邮箱，是需要报警的邮箱。

特别指出
1、报警只针对连接数据源失败、同步数据失败、连接网闸失败三类信息报警。

第10章统计管理
图10-1
如上图选择数据源然后查询，则会列出此数据源内所有用户同步数据统计；双击任务行则会弹出图10-2，包含此任务表的同步数据统计。

图10-2
第11章容错管理
图11-1
容错管理模块用于对发送端由于某些原因未成功同步到接收端的数据进行查询、删除、
重传等操作。

未成功同步的常见原因包括网络在同步任务运行时出现故障，数据库服务未启动等。

选择下拉框中需要查询的数据源，点击查询，即可列出该数据源中所有未成功同步的记录信息
选定记录信息后点击恢复按键，软件将重新尝试同步该条记录。

选定记录信息后点击删除按键，永久删除掉该条同步记录信息（该条同步记录将会被忽略，软件将不再会尝试传输该条记录）。