《stonewall-2000网络安全隔离设备(正向型)使用指南》由会员分享,可在线阅读,更多相关《stonewall-2000网络安全隔离设备(正向型)使用指南(37页珍藏版)》请在金锄头文库上搜索。
1、 版版 权权 声声 明明 StoneWall-2000 网络安全隔离设备(正向型)Ver1.0 版权归中国电力科 学研究院(电网所) 、北京科东电力控制系统有限责任公司所有,任何侵犯 版权的行为将被追究法律责任。未经版权所有者的书面准许,不得将本手册 的任何部分以任何形式、采用任何手段(电子的或机械的,包括照相复制或 录制) 、或为任何目的,进行复制或扩散。 Copyright2001-2002 中国电力科学研究院(电网所) 、北京科东电力控 制系统有限责任公司。版权所有,复制必究。 中国电力科学研究院(电网所) 、北京科东电力控制系统有限责任公司 不对因为使用该软件、用户手册或由于该软件、用
2、户手册中的缺陷所造成的 任何损失负责。 前 言 前 言 互联网从无到有以飞快的速度发展着,它的开放性在给人们带来巨大便 利的同时,也带来了系统入侵、信息泄密等网络安全问题。网络的存在使得 信息能达到高度共享和迅速传递,但是也要清楚认识到,网络安全问题作为 一个十分重要的问题是一直存在着的。 目前,有很多网络安全工具,比如防火墙、IDS 等等,网络安全隔离作 为近几年来国内研究开发的网络安全技术也飞速发展起来,相信在不久的将 来网络安全隔离在信息安全领域将扮演着越来越重要的角色。 StoneWall-2000 网络安全隔离设备(正向型)是在包过滤的基础上, 通过 采用特殊的硬件设备来实现主机与主
3、机之间、主机与网络之间、网络与网络 之间的隔离。本系统采取了单向链接、单向数据传输、数据分阶段非网络递 交等措施因此有效的实现了网络的物理隔离。本系统的总体结构按照国家有 关信息安全的最近标准设计,具备软、硬结合的数据流向控制、连接方向控 制、多级访问的立体控制的功能、具备高强度的防御功能、支持包括无 IP 地址监听、网络地址转换等多种工作模式。同时,提供了丰富的 GUI 方式的 管理和监控工具,可以方便的对设备进行安全策略配置、用户管理、实时监 控、日志查询等操作。 因此 StoneWall-2000 网络安全隔离设备(正向型)是实施网络物理安全 隔离的最佳装置。 阅阅 读读 指指 南南 手
4、册目标 本手册是中国电力科学研究院(电网所) 、北京科东电力控制系统有限 责任公司的产品 StoneWall-2000 网络安全隔离设备(正向型)的用户指南, 它详细地介绍了设备功能和操作。通过阅读本手册,用户可以掌握 StoneWall-2000 网络安全隔离设备(正向型)的使用方法。 阅读对象 本手册是专为购买 StoneWall-2000 网络安全隔离设备(正向型)的用户 编写的。用户在使用隔离设备之前请仔细阅读本手册,以免误操作,造成不 必要的损失。 手册构成 本手册主要由以下几个部分组成: 1 第一部分:背景,包括第 1 章“网络安全隔离设备介绍”和第 2 章 “StoneWall-
5、2000 网络安全隔离设备(正向型)简介” ,介绍了与网络安 全隔离技术有关的背景知识以及 StoneWall-2000 网络安全隔离设备(正 向型)的功能。 2 第二部分:安装篇,包括第 3 章“StoneWall-2000 网络安全隔离设备(正 向型)连接网络说明” , 介绍 StoneWall-2000 在网络中的安装位置和安装 方法。 3 第三部分:管理篇,包括第 4 章“StoneWall-2000 网络安全隔离设备(正 向型)管理” ,介绍了 StoneWall-2000 网络安全隔离设备(正向型)CLI 管 理器和 GUI 管理器的使用方法。 4 第四部分:实例篇,包括第 5 章
6、“设定范例和问题排解” ,以实际的例子 来详细介绍配置安全策略的过程。 手册约定 【注意】 、 【提示】的意思是请读者注意那些需要注意的事项。 I 目目 录录 背背 景景 篇篇 第 1 章网络安全隔离设备介绍 0 1.1 网络安全隔离设备的定义 0 1.2 网络安全隔离设备在网络中的位置 0 1.3 网络安全隔离设备访问控制策略 1 第 2 章 STONEWALL-2000 网络安全隔离设备(正向型)简介. 1 2.1 工作原理 1 2.2 功能和特性 2 管管 理理 篇篇 第 3 章 STONEWALL-2000 网络安全隔离设备(正向型)管理. 4 3.1 网络安全隔离设备软件名称及存储位
7、置 4 3.2 相关文件说明及存储位置 . 4 3.3 网络安全隔离设备管理工具 . 4 3.3.1、访问控制规则结构 4 3.3.2、选项解释 4 3.3.3、CLI 管理器使用说明 5 3.3.4、GUI 管理器使用说明 . 10 3.4 网络地址转换原理及具体实例 . 17 3.5 停止和重新激活网络安全隔离设备 . 18 实实 例例 篇篇 第 4 章 设定范例 . 19 4.1 通过 HUB 连接的网络结构拓扑图 19 4.2 接路由器的网络结构拓扑图 20 4.3 内外网侧均为路由器,且一侧使用 NAT 环境的配置 23 4.4 隔离设备用作简单的路由器 24 4.5 隔离设备并联
8、26 背 景 篇背 景 篇 第 1 章网络安全隔离设备介绍 第 1 章网络安全隔离设备介绍 1.1 网络安全隔离设备的定义 1.1 网络安全隔离设备的定义 网络安全隔离设备是一种通过专用的硬件使两个网络在不连通的情况 下进行网络间的安全数据传输和资源共享的网络设备。因此,它有广阔的应 用前景。在国外已被美国、以色列等国家的军政、航天、金融等要害部门广 泛应用。作为国际上最新的网络安全技术,网络安全隔离设备独特的硬件设 计使它能够提供比防火墙更高的安全性能,可大大提高政府、金融、军队等 高端用户的整体网络安全强度。 网络安全隔离设备将可信任的内网和不可信任的外网进行隔离,因此必 须保证内部网和外
9、部网之间的通信均通过网络安全隔离设备进行,同时还必 须保证网络安全隔离设备自身的安全性;网络安全隔离设备是实施内部网安 全策略的一部分,保证了内部网的正常运行而不受外部的干扰。 1.2 网络安全隔离设备在网络中的位置网络安全隔离设备在网络中的位置 图图 1-1 普通网络系统连接示意图 图 普通网络系统连接示意图 图 1-2 网络安全隔离设备连接示意图网络安全隔离设备连接示意图 StoneWall-2000 网络安全隔离设备(正向型)使用指南 1 1.3 网络安全隔离设备访问控制策略网络安全隔离设备访问控制策略 访问控制策略是网络安全隔离设备的基础,它可以按如下两种逻辑来制 订: 1、 默认禁止
10、:访问控制规则没有明确允许的都禁止访问; 2、 默认允许:访问控制规则没有明确禁止的都允许访问。 可以看出,前一种逻辑限制性大,后一种逻辑则比较宽松。基于安全性 考虑,StoneWall-2000 网络安全隔离设备(正向型)采用的是“默认禁止”访问 控制策略。 第 2第 2章章StoneWall-2000网络安全隔离设备网络安全隔离设备(正向型正向型)简介简介 2.1 工作原理工作原理 StoneWall-2000 网络安全隔离设备(正向型)采用软、硬结合的安全措施, 在硬件上使用双机结构通过安全岛装置进行通信来实现物理上的隔离,及单 向数据流向控制;在软件上,采用综合过滤、访问控制、应用代理
11、技术实现 链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法 信息的隔离。 StoneWall-2000 网络安全隔离设备(正向型)通过开关切换及数据缓冲设 施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,在 某个时刻网络安全隔离设备只能连接到一个网络,而数据流经网络安全隔离 设备时 TCP/IP 协议被终止, 因此可以有效地防护利用网络进行的外部攻击。 StoneWall-2000 网络安全隔离设备(正向型)作为代理从内网的网络访问 包中抽取出数据然后通过数据缓冲设施转入外网,完成数据中转。在中转过 程中,网络安全隔离设备会对抽取的数据报文的 IP 地址、MA
12、C 地址、端口 号、连接方向实施过滤控制; 由于网络安全隔离设备采用了独特的开关切 StoneWall-2000网络安全隔离设备 (正向型) 接 口 机 B 网络安 非实时网 络(外网) 以太网以太网 以太网以太网 隔离设备的硬件结构及网络连接 通断开关 接 口 机A 实时网络 (内网) StoneWall-2000 网络安全隔离设备(正向型)使用指南 2 换机制,因此,在进行过滤检查时网络实际上处于断开状态;通过严格检查 只有符合安全策略的特定数据才能进入内网,因此即使黑客强行攻击了网络 安全隔离设备,由于攻击发生时内外网始终处于物理断开状态,黑客也无法 进入内网。 StoneWall-20
13、00 网络安全隔离设备(正向型)在实现物理隔断的同时允许 可信的内部网络和不可信的外部网络之间的数据和信息进行安全交换。由于 网络安全隔离设备仅抽取特定的合法数据进入内网,因此,内网不会受到网 络层的攻击,这就在物理隔离的同时实现了数据的安全交换。 2.2 功能和特性 2.2 功能和特性 StoneWall-2000 网络安全隔离设备(正向型)具备以下功能和特性: 具有物理隔离能力的硬件结构具有物理隔离能力的硬件结构 由两个嵌入式计算机及辅助装置形成安全岛系统,并由安全半岛调度引 擎实现安全轮渡,保证了内部网络和外部网络的物理隔离; 硬件数据流向控制硬件数据流向控制 经过安全隔离设备的数据流向
14、控制是通过特定的硬件实现,极大地保证 了内部系统的安全; 连接方向的控制连接方向的控制 可对 TCP 连接进行方向控制,TCP 连接只能由内网主机建立连接,以保 证内网主机不向外网提供网络服务; 多级过滤的立体访问控制多级过滤的立体访问控制 多级过滤形成了立体的全面的访问控制机制。 它可以在链路层根据MAC 地址进行分组过滤, 在 IP 层提供基于状态检测的分组过滤, 可以根据网络地 址、网络协议以及 TCP、UDP 端口进行过滤;在应用层通过应用代理提供对 应用协议的命令、访问路径、内容等的过滤;同时还提供用户级的鉴别和过 滤控制。保证了系统的安全性,提高了了防护能力,增强控制的灵活性; 更
15、强的防御功能更强的防御功能 采用非 INTEL 系列的 RISC 处理器,减少被病毒攻击的概率,采用专门 裁剪的 LINUX 内核,取消所有系统网络功能。这不但提高了安全性,而且 保证了高性能; 支持实时报警支持实时报警 支持多种工作模式,包括无支持多种工作模式,包括无 IP 地址透明监听、网络地址转换、混合工作 模式、双向网络地址转换( 地址透明监听、网络地址转换、混合工作 模式、双向网络地址转换(NAT) 可以支持无 IP 地址透明监听、网络地址转换、混合工作模式。隔离设备 没有 IP 地址,非法用户无法对隔离设备本身进行网络攻击。同时双向 NAT, 隐藏内部网络主机 IP 地址。不但便于
16、实施,又提高了安全性能; 真正实现了透明接入真正实现了透明接入 StoneWall-2000 网络安全隔离设备(正向型)真正做到了透明接入;即: StoneWall-2000 网络安全隔离设备(正向型)使用指南 3 在接入网络安全隔离设备后,不影响现有的网络应用的数据传输,正常使用 网络的合法用户来对本设备是不可感知的。 安全方便的维护管理 安全方便的维护管理 StoneWall-2000 网络安全隔离设备(正向型)配置非常简便,对它的操作 及设置基本上只需使用规则配置管理工具就可以实现。StoneWall-2000 网络 安全隔离设备(正向型)提供了两种不同的规则配置管理工具: GUI 管理工具、 CLI 管理工具。 规则管理工具(GUI)是本产品的专用配套程序。该管理器具有界面友 好 、 直 观 、 功 能 齐 全 、 通 俗 易 懂 等 特 点 , 可 以 运 行 于 Microsoft Windows9X/Me/2000/XP 环境下。管理工具如下图所示: CLI 命令行方式是指
