《天御6000单向安全隔离系统7.0使用手册》由会员分享,可在线阅读,更多相关《天御6000单向安全隔离系统7.0使用手册(12页珍藏版)》请在金锄头文库上搜索。
1、天御 6000 单向安全隔离系统使 用 手 册版 权 声 明版权所有 20052008,北京和信网安科技有限公司,保留所有权利。本文档所提供的资料如有变更,恕不另行通知。遵守所生效的版权法是用户的责任,在未经北京和信网安科技有限公司明确书面许可的情况下,不得对本文档的任何部分进行复制、将其保存于或引进检索系统;不得以任何形式或任何方式(电子、机械、影印、录制或其他可能的方式)进行商品传播或用于任何商业、赢利目的。北京和信网安科技有限公司拥有本文档所涉及主题的专利、专利申请、商标、商标申请、版权及其他知识产权。在未经北京和信网安科技有限公司明确书面许可的情况下,使用本文档资料并不表示您有使用有关
2、专利、商标、版权及其他知识产权的特许。目录第一章产品概述 4 1.1 概述 . 4 1.2 主要特点 . 4 1.3 规格及技术指标 4 第二章设备安装 5 2.1 概述 . 5 2.2 安装准备 . 5 2.3 安装步骤 . 5 第三章系统配置 6 3.1 概述 . 6 3.2 设备接入拓扑图. 6 3.3 内网关配置 . 7 3.4 外网关配置 . 9 3.5 规则删除 11 3.6 密码设置 11 3.7 系统退出 . 12 第一章产品概述1.1 概述本章主要讲述天御6000 网络安全隔离系统的主要特点和设备规格1.2 主要特点1)产品采用双机系统结构;2)采用非 INTEL 指令系统的
3、双微处理器;3)中间隔离部件通过电子开关实现安全隔离;4)内外网关TCP/IP 协议栈被裁剪掉;5)内外网关之间采用私有通讯协议;6)安全、固化的操作系统,采用嵌入式LINUX 操作内核,内、外网关取消所有网络功能;7)双工作模式:桥接模式和路由模式。8)应用层数据完全单向传输,TCP 回应字节数(0 4 byte)可自定义设置;9)支持 IP/MAC 绑定;10) 指定通信目标主机IP 与端口1.3 规格及技术指标1)机箱尺寸 长宽高: 430 370 47 mm3(标准 1U机箱)2)后面板接口图一:后面板一个电源接口:输入电压:220V 20输出功率: 50W ;两个 RS-232 串口
4、提供初始化配置;三个 RJ-45 接口(10MBASE/100MBASE) :内网口是以太网输入接口;外网口是以太网输出接口。,热备口连接另一台同样的设备,供双机热备用。3)平均无故障时间(MTBF) 50000 小时 (100%负荷 ) 第二章设备安装2.1 概述本章主要讲述如何安装天御6000 网络安全隔离系统2.2 安装准备1)准备一根与电脑相连的串口线(随机附带)。2)确保配置电脑能正常使用超级终端。2.3 安装步骤1) 选择安装地点选择一个适当的地方安装天御6000 安全隔离系统,确保系统电源是关闭的。2) 连接天御6000 安全隔离系统到局域网使用标准的网线把隔离系统连接在局域网中
5、,确保内网口和外网口与相对应的局域网相连。3) 打开电源 注意 !连接电源前请确保电源供电、连接、接地正常。4) 检查系统指示灯图二:前面板(面向操作者方向)指示灯启动时状态数据传输时状态DATA 灭闪烁LINK/ACT 常亮(网络连接正常时)闪烁RUN 上电 510 秒后开始闪烁闪烁热备灭(如热备口启用,常亮)灭(如热备口启用,常亮)POWER 常亮常亮表 1 前面板指示灯状态第三章系统配置3.1 概述使用隔离系统前,必须正确配置隔离系统,通过阅读本章,可以快速设置隔离系统正常运行的各参数3.2 设备接入拓扑图在进入系统配置前应该先了解当前的网络环境,本章系统配置都基于这样的网络环境:图 1
6、 桥接模式设备部署拓扑图首先将隔离系统的串口通过串口线连接电脑,打开超级终端(设置超级终端属性:波特率:19200、数据位: 8、停止位: 1、数据流控制:无、无校验) ,接下来就可以配置隔离系统。3.3 内网关配置第一步,登陆隔离系统内网关在登陆提示符下输入系统管理员的用户名和密码。(用户名的出厂设置为“utrust” ,密码的出厂设置为“ utrust” ) 。成功登陆后,屏幕显示为第二步,配置隔离系统内网关如需要了解参数设置格式,请使用帮助命令help,如需查看当前配置情况,请使用查看命令info 桥接模式:1) 设置系统工作模式在 shell 提示符下输入:set mode=bridg
7、e (桥接模式)或set mode=route (路由模式)2) 设置隔离系统内网关的IP 和子网掩码。如果工作模式设置为桥接模式,请跳过此步。在 shell 提示符下输入:set ip=192.168.1.1,mask=255.255.255.0 3) 设置内网中被允许通过隔离系统的主机地址主机地址的匹配包括IP 地址、MAC 地址和 IP/MAC 绑定,所以此设置命令也有三种形式,但结果相同,区别在于隔离系统对数据包来源的地址检查方法不同。a.如只对数据包来源的IP 地址作检查,在shell 提示符下输入:add ip=192.168.1.100b.如只对数据包来源的MAC 地址作检查,在
8、shell 提示符下输入:add mac=00:05:b7:01:82:82c.如对检查数据包来源的IP、MAC 地址都作检查,在shell 提示符下输入:add mac=00:05:b7:01:82:82,ip=192.168.1.100 注意!系统一旦在规则列表里找到一条匹配地址,不再往下匹配。第三步,重启隔离系统内网关在 shell 提示符下输入:reboot 或者关闭 /开启电源3.4 外网关配置第一步,登陆隔离系统外网关在登陆提示符下输入系统管理员的用户名和密码。用户名的出厂设置为“utrust” ,密码的出厂设置为“ utrust” ) 。成功登陆后,屏幕显示为第二步,配置隔离系统
9、外网关,如需要了解参数设置格式,请使用帮助命令help,如需查看当前配置情况,请使用查看命令info桥接模式:路由模式:1) 置系统工作模式在 shell 提示符下输入:set mode=bridge (桥接模式)或set mode=route (路由模式)2) 设置隔离系统外网关的IP、 子网掩码和网关。 如果工作模式设置为桥接模式,请跳过此步。在 shell 提示符下输入:set ip=192.168.2.1,mask=255.255.255.0,gateway=192.168.2.254 如 gateway 为空,则表示未设网关。如需增加或修改网关地址,在shell 提示符下输入:set
10、 gateway=192.168.2.254 3) 设置隔离系统的回应字节数回应字节数的有效范围04 ,在 shell 提示符下输入:set byte=4 4) 设置外网中被允许访问的主机IP 地址和端口号在 shell 提示符下输入:add ip=192.168.1.98,port=80 如不对目地主机的端口作限制,port 为空,在 shell 提示符下输入:add ip=192.168.1.98 第三步,重启隔离系统内网关在 shell 提示符下输入:reboot 或者关闭 /开启电源3.5 规则删除每条规则前都标有序号,如不再需要规则2,在 shell 提示符下输入:del 2 以下是使用此命令后规则列表的对比:3.6 密码设置隔离系统出厂的管理员(utrust)密码为“ utrust” ,建议修改隔离系统的密码并妥善保管,以提高隔离系统的安全性。管理员密码的设置,在shell 提示符下输入:passwd3.7 系统退出在 shell 提示符下输入:exit 注意!确保每次登陆系统后正常退出。
