信息安全網(wǎng)絡(luò)隔離裝置培訓(xùn)v

主要內(nèi)容一、隔離裝置總體介紹二、隔離裝置相關(guān)知識及典型應(yīng)用三、隔離裝置實(shí)施的要求四、隔離裝置的配置使用五、演示與交流1目前一頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置總體介紹目標(biāo)實(shí)現(xiàn)總體情況隔離裝置的功能、特點(diǎn)隔離裝置的設(shè)計、組成雙網(wǎng)隔離的背景、架構(gòu)2目前二頁\總數(shù)九十八頁\編于十七點(diǎn)信息網(wǎng)雙網(wǎng)隔離背景3目前三頁\總數(shù)九十八頁\編于十七點(diǎn)雙網(wǎng)隔離總體結(jié)構(gòu)互聯(lián)網(wǎng)接入?yún)^(qū)生產(chǎn)控制大區(qū)

信息內(nèi)網(wǎng)調(diào)度生產(chǎn)外網(wǎng)交互內(nèi)網(wǎng)應(yīng)用內(nèi)網(wǎng)辦公終端外網(wǎng)上網(wǎng)終端管理信息大區(qū)

信息外網(wǎng)電力市場交易(內(nèi))招投標(biāo)(內(nèi))電力營銷(內(nèi))其他業(yè)務(wù)（內(nèi)）電力市場交易(外)招投標(biāo)(外)電力營銷(外)其他業(yè)務(wù)（外）正向隔離裝置反向隔離裝置公司互聯(lián)網(wǎng)出口外部網(wǎng)站

調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部門戶

邏輯強(qiáng)隔離設(shè)備互聯(lián)網(wǎng)防火墻單向隔離4目前四頁\總數(shù)九十八頁\編于十七點(diǎn)安全防護(hù)效果綜述外網(wǎng)內(nèi)網(wǎng)外網(wǎng)內(nèi)網(wǎng)部署前部署后攻擊類型病毒、惡意代碼、人為人為攻擊層次鏈路、網(wǎng)絡(luò)、應(yīng)用應(yīng)用攻擊來源整個外網(wǎng)特定應(yīng)用服務(wù)器攻擊目標(biāo)整個外網(wǎng)特定數(shù)據(jù)庫服務(wù)器攻擊效果竊密－>完全控制數(shù)據(jù)庫內(nèi)容非法訪問目前五頁\總數(shù)九十八頁\編于十七點(diǎn)目標(biāo)實(shí)現(xiàn)總體情況6裝置定位及目標(biāo)安全隔離裝置部署在信息內(nèi)外網(wǎng)之間實(shí)現(xiàn)雙網(wǎng)邏輯強(qiáng)隔離阻斷外網(wǎng)對內(nèi)網(wǎng)的攻擊在滿足外網(wǎng)應(yīng)用對內(nèi)網(wǎng)數(shù)據(jù)庫正常合法訪問的同時，對數(shù)據(jù)庫服務(wù)器進(jìn)行保護(hù)?？傮w情況可靠性安全性目前六頁\總數(shù)九十八頁\編于十七點(diǎn)設(shè)計目標(biāo)實(shí)現(xiàn)情況7設(shè)計目標(biāo)

具體要求實(shí)現(xiàn)

網(wǎng)絡(luò)層訪問控制基于MAC/IP/TCP/PORT的安全訪問控制√數(shù)據(jù)庫訪問控制對Oracle數(shù)據(jù)庫進(jìn)行協(xié)議解析√應(yīng)用層SQL訪問控制通過策略，對系統(tǒng)表、應(yīng)用表惡意操作進(jìn)行防護(hù)，對SQL攻擊進(jìn)行防護(hù)√安全審計網(wǎng)絡(luò)層，傳輸層，應(yīng)用層安全審計√設(shè)計目標(biāo)實(shí)現(xiàn)情況總體情況可靠性安全性目前七頁\總數(shù)九十八頁\編于十七點(diǎn)設(shè)計目標(biāo)實(shí)現(xiàn)情況8設(shè)計目標(biāo)

具體要求實(shí)現(xiàn)

自身安全性采用國產(chǎn)安全linux操作系統(tǒng)，有效抵御從網(wǎng)絡(luò)發(fā)起對裝置的攻擊行為，具備完善的安全審計功能√雙機(jī)熱備透明工作模式下雙機(jī)的快速切換；√硬件體系研祥工控機(jī)√電磁兼容性電科院、南自院、武高院EMC三級√設(shè)計目標(biāo)實(shí)現(xiàn)情況總體情況可靠性安全性目前八頁\總數(shù)九十八頁\編于十七點(diǎn)設(shè)計目標(biāo)實(shí)現(xiàn)情況9研發(fā)歷程總體情況可靠性安全性評審、測試、運(yùn)行驗(yàn)證、奧運(yùn)保障時間點(diǎn)事件2007年10月研發(fā)項目啟動2007年12月原型實(shí)現(xiàn)2008年3月國網(wǎng)總部應(yīng)用系統(tǒng)上線試運(yùn)行奧運(yùn)城市開始推廣部署2008年4月通過國網(wǎng)組織的專家評審2008年5月V3版本開始定型，進(jìn)一步增強(qiáng)安全性、可靠性。組織測試組開始進(jìn)行大量測試2008年9月通過國網(wǎng)信通公司組織的業(yè)務(wù)應(yīng)用適應(yīng)性測試通過總參安全性測試，V3.0版本正式定型目前九頁\總數(shù)九十八頁\編于十七點(diǎn)功能安全性分析項目隔離裝置防火墻操作系統(tǒng)級安全性無TCP/IP協(xié)議棧無root用戶，采用四權(quán)分立國產(chǎn)安全加固Linux操作系統(tǒng)多級專用安全機(jī)制控制有TCP/IP協(xié)議棧有root用戶內(nèi)部裁剪Linux網(wǎng)絡(luò)層訪問控制基于MAC/IP/協(xié)議/端口的安全訪問控制基于MAC/IP/協(xié)議/端口的安全訪問控制數(shù)據(jù)庫TNS訪問控制TNS協(xié)議解析SQL語句還原X對比目前防火墻產(chǎn)品總體情況可靠性安全性目前十頁\總數(shù)九十八頁\編于十七點(diǎn)功能安全性分析對比目前防火墻產(chǎn)品項目隔離裝置防火墻應(yīng)用層SQL訪問控制對系統(tǒng)表的保護(hù)；對應(yīng)用表惡意操作的防護(hù)；對SQL注入等攻擊的防護(hù)；X安全審計網(wǎng)絡(luò)層，傳輸層，應(yīng)用層網(wǎng)絡(luò)層，傳輸層功能實(shí)現(xiàn)網(wǎng)絡(luò)及傳輸層的報文過濾，以及數(shù)據(jù)庫訪問的應(yīng)用層協(xié)議解析，對應(yīng)用層數(shù)據(jù)內(nèi)容－SQL語句進(jìn)行分析、檢測與過濾，阻斷惡意SQL訪問，保護(hù)數(shù)據(jù)庫及數(shù)據(jù)內(nèi)容的安全。實(shí)現(xiàn)網(wǎng)絡(luò)及傳輸層的報文過濾，無法實(shí)現(xiàn)數(shù)據(jù)庫訪問的應(yīng)用層協(xié)議解析；總體情況可靠性安全性目前十一頁\總數(shù)九十八頁\編于十七點(diǎn)操作系統(tǒng)安全性分析操作系統(tǒng)安全性安全隔離裝置OS通用防火墻OS通過總參測評中心測試的安全級別達(dá)到B1級的國產(chǎn)安全Linux系統(tǒng)通用Linux已穩(wěn)定運(yùn)行在調(diào)度中心、軍隊等場合裁剪掉TCP/IP協(xié)議棧，無IP地址具有IP地址無ROOT用戶，四權(quán)分立，無法提升權(quán)限有ROOT用戶具備強(qiáng)制運(yùn)行控制，強(qiáng)制能力控制，訪問控制列表等專有特性X總體情況可靠性安全性目前十二頁\總數(shù)九十八頁\編于十七點(diǎn)硬件可靠性分析13通過對選定的研祥工控機(jī)分別到電科院、南自院、武高所作EMC測試，選定安全隔離裝置的硬件達(dá)到EMC的三級要求;硬件平均無故障時間（MTBF）達(dá)到行業(yè)最高級3級30000小時；四個千兆網(wǎng)絡(luò)接口;支持watchdog;采用冗余電源支持熱插拔;電源故障蜂鳴報警;BIOS可編程控制，保證網(wǎng)絡(luò)資源優(yōu)先；加裝風(fēng)扇，增強(qiáng)散熱?？傮w情況可靠性安全性硬件可靠性目前十三頁\總數(shù)九十八頁\編于十七點(diǎn)操作系統(tǒng)可靠性分析14在國調(diào)中心穩(wěn)定應(yīng)用。在軍隊及政府穩(wěn)定應(yīng)用。軟關(guān)機(jī)功能，確保系統(tǒng)能長期穩(wěn)定運(yùn)行；支持軟件watchdog功能?？傮w情況可靠性安全性操作系統(tǒng)可靠性目前十四頁\總數(shù)九十八頁\編于十七點(diǎn)設(shè)備整體可靠性分析15總體情況可靠性安全性整體可靠性目前十五頁\總數(shù)九十八頁\編于十七點(diǎn)裝置介紹裝置名稱：

SGI-NDS100信息安全網(wǎng)絡(luò)隔離裝置裝置外觀和布置位置：16目前十六頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置外觀、接口面板指示燈LCD顯示屏背板（網(wǎng)口、電源）裝置外觀介紹目前十七頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置的特點(diǎn)雙機(jī)熱備安全軟硬件結(jié)構(gòu)安全綜合防護(hù)應(yīng)用層協(xié)議解析SQL過濾功能采用經(jīng)過安全部門認(rèn)證的國產(chǎn)安全操作系統(tǒng)和國產(chǎn)工業(yè)級千兆硬件，系統(tǒng)整體的安全性和處理性能強(qiáng)。日志審計系統(tǒng)支持對數(shù)據(jù)報文的源、目的地址、協(xié)議及相應(yīng)的源、目的端口、MAC地址等屬性進(jìn)行組合隔離裝置支持雙機(jī)熱備功能，一旦當(dāng)主用設(shè)備出現(xiàn)故障時，備機(jī)可以以承擔(dān)起主機(jī)的工作，以避免重要業(yè)務(wù)數(shù)據(jù)的中斷。對常用的Oralce數(shù)據(jù)庫協(xié)議進(jìn)行解析與數(shù)據(jù)流還原，只容許特定的TNS協(xié)議報文穿透裝置，進(jìn)一步從應(yīng)用協(xié)議保證內(nèi)網(wǎng)數(shù)據(jù)庫安全對SQL語言的操作指令進(jìn)行細(xì)粒度控制，阻斷所有注入、攻擊等非法行為，保護(hù)關(guān)鍵的庫和數(shù)據(jù)表等隔離裝置能依據(jù)系統(tǒng)要求記錄敏感通信事件和管理事件。支持采用網(wǎng)絡(luò)方式將日志發(fā)送到綜合告警平臺。信息安全隔離裝置18目前十八頁\總數(shù)九十八頁\編于十七點(diǎn)裝置其他特點(diǎn)采用Intel

P4CPU,主頻2.8G,能夠滿足大流量下的高性能的需求;采用CF卡固化的操作系統(tǒng)和文件系統(tǒng),增加系統(tǒng)的物理可靠性;整個系統(tǒng)硬件結(jié)構(gòu)滿足電磁兼容特性三級要求;安全操作系統(tǒng)剔除不可靠的通用TCP/IP協(xié)議棧；安全隔離裝置本身無需網(wǎng)絡(luò)地址即可工作；本身能在一定程度上防御常見的網(wǎng)絡(luò)攻擊行為，因此設(shè)備本身能對來自外部網(wǎng)絡(luò)的攻擊有一定免疫能力。安全隔離裝置核心程序直接對網(wǎng)卡進(jìn)行操作,系統(tǒng)無協(xié)議棧,無須配置任何地址,對用戶完全透明,無須對用戶網(wǎng)絡(luò)拓?fù)渥鋈魏胃膭?/p>

19目前十九頁\總數(shù)九十八頁\編于十七點(diǎn)裝置防護(hù)設(shè)計思想綜合數(shù)據(jù)防護(hù)體系鏈路層IP層

TCP層

TNS/TDS應(yīng)用層SQL語法

SQL語義

SQL行為

20目前二十頁\總數(shù)九十八頁\編于十七點(diǎn)程序功能模塊21目前二十一頁\總數(shù)九十八頁\編于十七點(diǎn)裝置內(nèi)主要文件介紹類型文件名說明程序文件/sg186/dbkeeper隔離裝置主程序/sg186/config配置文件接收端/sg186/rule_checkSQL安全策略檢查工具/sg186/msgSender消息發(fā)送程序/sg186/statPumper主程序狀態(tài)查看/sg186/daemonDbkeeper主程序的監(jiān)控程序/sg186/daemonConfig配置程序的監(jiān)控程序配置文件/etc/policy.conf通信策略配置文件/etc/default.polSQL安全策略/etc/dbkeeper.ini功能配置文件22目前二十二頁\總數(shù)九十八頁\編于十七點(diǎn)主要內(nèi)容一、隔離裝置總體介紹二、隔離裝置相關(guān)知識及典型應(yīng)用三、隔離裝置實(shí)施的要求四、隔離裝置的配置使用五、演示與交流23目前二十三頁\總數(shù)九十八頁\編于十七點(diǎn)裝置相關(guān)知識和典型應(yīng)用信息內(nèi)外網(wǎng)數(shù)據(jù)交互的原則和方法單向隔離裝置的配合使用數(shù)據(jù)庫版本、驅(qū)動、協(xié)議典型業(yè)務(wù)系統(tǒng)的改造方案24目前二十四頁\總數(shù)九十八頁\編于十七點(diǎn)常見數(shù)據(jù)庫的網(wǎng)絡(luò)傳輸協(xié)議25目前二十五頁\總數(shù)九十八頁\編于十七點(diǎn)Oracle數(shù)據(jù)庫相關(guān)本裝置支持的版本號：9i、10g支持的連接驅(qū)動Thin數(shù)據(jù)庫的維護(hù)工具軟件一般用OCI，這些軟件無法通過裝置維護(hù)內(nèi)網(wǎng)數(shù)據(jù)庫。常用工具（采用的是Thin驅(qū)動）：26目前二十六頁\總數(shù)九十八頁\編于十七點(diǎn)Oracle數(shù)據(jù)庫的兩種驅(qū)動對比OCI1、通過客戶端的Net8驅(qū)動連接數(shù)據(jù)庫，采用平臺獨(dú)立二進(jìn)制代碼；2、安全上，Net8協(xié)議Oracle公司自己掌握，不公開；3、性能上，Oracle公司對其進(jìn)行優(yōu)化，效率較高。OCI和Thin驅(qū)動對比THIN1、socket直接連接數(shù)據(jù)庫，便于解析；2、安全上，Thin驅(qū)動可解析，對其傳輸?shù)臄?shù)據(jù)內(nèi)容可以掌握，可保證其傳輸數(shù)據(jù)的安全；3、在營銷、招投標(biāo)等高流量和高壓力環(huán)境下測試能夠完成需求。27目前二十七頁\總數(shù)九十八頁\編于十七點(diǎn)SQL基本語句創(chuàng)建表格：createtabletablename(column1datatype,column2datatype,column3datatype);數(shù)據(jù)查詢：selectcolumn1[,column2,etc]fromtablename

[wherecondition];添加、更新、刪除記錄：insertintotablename(first_column,...last_column)values(first_value,...last_value);updatetablenamesetcolumnname=newvalue[,nextcolumn=newvalue2...]wherecolumnnameOPERATORvalue[and|orcolumnOPERATORvalue];deletefromtablenamewherecolumnnameOPERATORvalue[and|orcolumnOPERATORvalue];刪除表格：droptabletablename;28目前二十八頁\總數(shù)九十八頁\編于十七點(diǎn)內(nèi)外網(wǎng)數(shù)據(jù)交互原則和方法由外向內(nèi)（反向）傳輸數(shù)據(jù)信息安全網(wǎng)絡(luò)隔離裝置手工拷貝專用存儲介質(zhì)采用反向隔離裝置國網(wǎng)公司要求所有電力公司的信息網(wǎng)內(nèi)外網(wǎng)要隔離，若要數(shù)據(jù)交互必須采用隔離裝置（正反向、信息安全隔離裝置）目前二十九頁\總數(shù)九十八頁\編于十七點(diǎn)內(nèi)外網(wǎng)數(shù)據(jù)交互原則和方法由內(nèi)向外（正向）傳輸數(shù)據(jù)信息安全網(wǎng)絡(luò)隔離裝置手工拷貝專用存儲介質(zhì)采用正向隔離裝置國網(wǎng)公司要求所有電力公司的信息網(wǎng)內(nèi)外網(wǎng)要隔離，若要數(shù)據(jù)交互必須采用隔離裝置（正反向、信息安全隔離裝置）目前三十頁\總數(shù)九十八頁\編于十七點(diǎn)單向隔離裝置的配合使用配合使用原因31目前三十一頁\總數(shù)九十八頁\編于十七點(diǎn)單向隔離裝置的配合使用配合使用說明32目前三十二頁\總數(shù)九十八頁\編于十七點(diǎn)某網(wǎng)省招投標(biāo)改造方案簡圖33目前三十三頁\總數(shù)九十八頁\編于十七點(diǎn)網(wǎng)省與總部改造后總體框圖34目前三十四頁\總數(shù)九十八頁\編于十七點(diǎn)某網(wǎng)省電力交易改造方案簡圖35目前三十五頁\總數(shù)九十八頁\編于十七點(diǎn)電力交易系統(tǒng)的業(yè)務(wù)改造將數(shù)據(jù)申報和信息發(fā)布服務(wù)遷移到Web服務(wù)器中；外網(wǎng)中的Web服務(wù)器不直接與后臺數(shù)據(jù)庫連接，數(shù)據(jù)通過內(nèi)網(wǎng)的應(yīng)用服務(wù)器與數(shù)據(jù)庫交互；在內(nèi)網(wǎng)中保留改造前的Web服務(wù)器，為內(nèi)網(wǎng)提供數(shù)據(jù)申報和信息發(fā)布服務(wù)；外網(wǎng)應(yīng)用與Web服務(wù)的部署策略，根據(jù)各單位市場成員接入數(shù)目以及電力市場具體業(yè)務(wù)開展情況進(jìn)行。36目前三十六頁\總數(shù)九十八頁\編于十七點(diǎn)信息網(wǎng)改造后的網(wǎng)絡(luò)拓?fù)?7目前三十七頁\總數(shù)九十八頁\編于十七點(diǎn)主要內(nèi)容一、隔離裝置總體介紹二、隔離裝置相關(guān)知識及典型應(yīng)用三、隔離裝置實(shí)施的要求四、隔離裝置的配置使用五、演示與交流38目前三十八頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置實(shí)施的要求隔離裝置對業(yè)務(wù)系統(tǒng)的要求實(shí)施的網(wǎng)絡(luò)和配合要求雙網(wǎng)隔離實(shí)施流程隔離裝置實(shí)施計劃隔離裝置實(shí)施網(wǎng)絡(luò)環(huán)境配置簡例39目前三十九頁\總數(shù)九十八頁\編于十七點(diǎn)實(shí)施時間安排40目前四十頁\總數(shù)九十八頁\編于十七點(diǎn)實(shí)施分工41目前四十一頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置對業(yè)務(wù)系統(tǒng)的要求42目前四十二頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置對業(yè)務(wù)系統(tǒng)的要求注意事項：隔離裝置初始默認(rèn)情況下對含有以下特征的SQL語句采取阻斷處理：1＝1，2＝2等；1<>1,2<>2等；1<2等；‘A’<>‘A’等；含有對數(shù)據(jù)庫系統(tǒng)表操作的SQL語句將被視為越權(quán)訪問，默認(rèn)情況下被裝置阻斷。對所有表的DROP、CREATE、TRUNCATE等操作的SQL語句將被視為非法訪問，默認(rèn)情況下被裝置阻斷43目前四十三頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置對業(yè)務(wù)系統(tǒng)的要求已通過上線測試的SG186系統(tǒng)招投標(biāo)系統(tǒng)（普華）電力市場交易系統(tǒng)（南瑞、科東）營銷系統(tǒng)（朗新、東軟、普華）44目前四十四頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置對網(wǎng)絡(luò)環(huán)境的要求45目前四十五頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置對網(wǎng)絡(luò)環(huán)境的要求注意事項：信息內(nèi)外網(wǎng)互聯(lián)交換機(jī)，接隔離裝置接口需在同一網(wǎng)段之內(nèi)。在信息內(nèi)外網(wǎng)交換機(jī)中定義靜態(tài)路由且保證從應(yīng)用服務(wù)器發(fā)起的請求和從數(shù)據(jù)庫返回的數(shù)據(jù)路由一致。46目前四十六頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置的實(shí)施流程47目前四十七頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置的實(shí)施流程前期準(zhǔn)備48目前四十八頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置的實(shí)施流程前期準(zhǔn)備49目前四十九頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置的實(shí)施流程方案編寫50目前五十頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置的實(shí)施流程方案編寫51目前五十一頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置的實(shí)施流程裝置上線52目前五十二頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置的實(shí)施流程裝置上線53目前五十三頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置的實(shí)施流程收尾工作54目前五十四頁\總數(shù)九十八頁\編于十七點(diǎn)資料業(yè)務(wù)系統(tǒng)現(xiàn)狀、業(yè)務(wù)系統(tǒng)服務(wù)器情況（型號、操作系統(tǒng)、IP、MAC），業(yè)務(wù)系統(tǒng)訪問關(guān)系圖，業(yè)務(wù)系統(tǒng)采用Oracle情況（版本、驅(qū)動、訪問方式）各個業(yè)務(wù)系統(tǒng)的內(nèi)外網(wǎng)訪問需求，是否有除數(shù)據(jù)庫訪問外的其它方式等；網(wǎng)絡(luò)拓?fù)鋱D、互聯(lián)交換機(jī)配置情況等。隔離裝置的實(shí)施配合要求55目前五十五頁\總數(shù)九十八頁\編于十七點(diǎn)人員組織人員一名、網(wǎng)絡(luò)管理員一名、各業(yè)務(wù)系統(tǒng)實(shí)施單位配合人員一名。設(shè)備系統(tǒng)改造所需設(shè)備環(huán)境隔離裝置接入所需環(huán)境隔離裝置的實(shí)施配合要求56目前五十六頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置實(shí)施網(wǎng)絡(luò)配置簡例57目前五十七頁\總數(shù)九十八頁\編于十七點(diǎn)圖示IP均為實(shí)驗(yàn)室測試環(huán)境58目前五十八頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置交換機(jī)配置上聯(lián)交換機(jī)（信息外網(wǎng)交換機(jī)相關(guān)配置）下聯(lián)交換機(jī)（信息內(nèi)網(wǎng)交換機(jī)相關(guān)配置）59目前五十九頁\總數(shù)九十八頁\編于十七點(diǎn)<!E=DBGLclass#=10object#=20version=1.0!><DB:DEVICE>@NAMEIPNIC#root169.254.200.200ETH2</DB:DEVICE><SERVICE:ORACLE_SERVICE>@IDSIDUSERPASSWORDIPMAC#dbroutewebrootrootroot192.168.207.25400:00:00:00:00:00#dbserverwebdb1rootroot192.168.207.100:00:00:00:00:00</SERVICE:ORACLE_SERVICE><APPLICATION:APP_SERVER>@IDHOSTNAMEIPPROTOCOLPORTMAC#webrouteepm01192.168.200.1off152100:00:00:00:00:00#webappepm02192.168.207.242off152100:00:00:00:00:00</APPLICATION:APP_SERVER><POLICY:COMMON>@IDRULESERVICEAPPLICATION#R_policytest01dbroutewebroute#policytest01dbserverwebapp</POLICY:COMMON><DB:RULE>@RULE_NAMEMODEPROLTOCOLSRC_IPSRC_PORTDIRDES_IPDES_PORTCONTENT_MSG_SID</DB:RULE>隔離裝置配置60目前六十頁\總數(shù)九十八頁\編于十七點(diǎn)主要內(nèi)容一、隔離裝置總體介紹二、隔離裝置相關(guān)知識及典型應(yīng)用三、隔離裝置實(shí)施的要求四、隔離裝置的配置使用五、演示與交流61目前六十一頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

隔離裝置日志管理

隔離裝置物理連接隔離裝置的配置使用隔離裝置操作系統(tǒng)目前六十二頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器運(yùn)行環(huán)境硬件要求：Pentium200、64M內(nèi)存、硬盤4GB以上的自由空間、網(wǎng)口。軟件要求：SGI-NDS100信息安全網(wǎng)絡(luò)隔離裝置管理系統(tǒng)各部件可以運(yùn)行在簡體中文Windowsxp（ServicePack2或以上版本，并安裝InternetExplorer6.0或以上版本）、Windows2003之上。目前六十三頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器安裝雙擊管理工具安裝程序，安裝界面如圖示目前六十四頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器連線

使用網(wǎng)線一端連接臺式計算機(jī)的網(wǎng)口（或筆記本電腦的網(wǎng)口），另一端連接本信息安全網(wǎng)絡(luò)隔離裝置eth2的網(wǎng)口。目前六十五頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器登錄

sg186為默認(rèn)的超級用戶，口令為111111設(shè)備設(shè)置ip為與管理工具通訊的設(shè)備ip地址。（設(shè)備出廠默認(rèn)）目前六十六頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器主界面

左邊為信息項，點(diǎn)擊后右邊為對應(yīng)的項內(nèi)容輸入對應(yīng)的值時，用鼠標(biāo)點(diǎn)擊對應(yīng)得網(wǎng)格，在網(wǎng)格里輸入內(nèi)容在網(wǎng)格上鼠標(biāo)右鍵會出現(xiàn)新建、復(fù)制、刪除兩項功能，目前六十七頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器點(diǎn)擊請求，或恢復(fù)按鈕

這兩項功能分別為從設(shè)備或本地電腦里讀出配置信息，在網(wǎng)格里顯現(xiàn)。要修改的話，只要點(diǎn)擊該項內(nèi)容，在焦點(diǎn)上輸入數(shù)據(jù)就可。點(diǎn)擊設(shè)置或備份按鈕這兩項功能分別為從管理工具里把配置信息寫入設(shè)備或備份到本地的電腦里。點(diǎn)擊rule恢復(fù)或rule備份

這兩項功能分別是把rule數(shù)據(jù)寫入設(shè)備或備份設(shè)備rule數(shù)據(jù)到本地電腦。目前六十八頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器設(shè)備信息設(shè)備名：此隔離設(shè)備的名稱標(biāo)識。設(shè)備管理ip：分配給設(shè)備管理網(wǎng)口的ip設(shè)備管理網(wǎng)口：與管理工具通訊時設(shè)備連接的網(wǎng)口，默認(rèn)是eth2（背面板標(biāo)識eth2的網(wǎng)口）。目前六十九頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器數(shù)據(jù)庫信息Id：數(shù)據(jù)庫的名稱標(biāo)識，用于策略關(guān)聯(lián)。Ip：該數(shù)據(jù)庫服務(wù)器網(wǎng)卡的ip地址，必須填真實(shí)數(shù)據(jù)庫的ip。Mac：根據(jù)實(shí)際部署網(wǎng)絡(luò)情況，配置數(shù)據(jù)庫服務(wù)器網(wǎng)卡的mac地址，或三層交換機(jī)的mac地址，默認(rèn)00：00：00：00：00：00：為此mac地址和ip地址不綁定，需綁定就填真實(shí)mac地址。Port：通訊時的網(wǎng)絡(luò)端口另：Sid、User、Pass為擴(kuò)展接口，目前沒用。目前七十頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器應(yīng)用介紹Id：運(yùn)行應(yīng)用服務(wù)器的名稱標(biāo)識，用于策略關(guān)聯(lián)。Hostname：服務(wù)器的機(jī)器名，，此為擴(kuò)展接口，目前沒用。Protocol：SQL安全標(biāo)簽檢查功能，on為開啟此功能，其他默認(rèn)關(guān)閉。Ip：該應(yīng)用服務(wù)器網(wǎng)卡的ip地址，必須填真實(shí)應(yīng)用服務(wù)器的ip。Mac：根據(jù)實(shí)際部署網(wǎng)絡(luò)情況，配置應(yīng)用服務(wù)器網(wǎng)卡的mac地址或三層交換機(jī)的mac地址，默認(rèn)00：00：00：00：00：00：為此mac地址和ip地址不綁定，需綁定就填真實(shí)mac地址。目前七十一頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器規(guī)則管理只填寫規(guī)則過濾信息在ip地址輸入時，雙擊時，出現(xiàn)ip地址控件，輸入ip地址，單擊時可以輸入文本，長度20。目前七十二頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置規(guī)則配置詳解

目前七十三頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置RULE_NAME：規(guī)則名稱目前不支持中文MODE：規(guī)則模式alert-檢測到符合規(guī)則內(nèi)容所對應(yīng)的數(shù)據(jù)包時，對該包執(zhí)行丟棄操作pass-檢測到符合規(guī)則內(nèi)容所對應(yīng)的數(shù)據(jù)包時，對該包執(zhí)行放過操作PROLTOCOL：協(xié)議應(yīng)用服務(wù)器到后臺數(shù)據(jù)庫通信所采用的協(xié)議，目前采用TCP目前七十四頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置SRC_IP：源IP地址SRC_PORT：源端口DIR：要檢測的數(shù)據(jù)流方向（“->”）DES_PORT：目的端口（“any”）CONTENT_MSG_SID:過濾規(guī)則內(nèi)容content:過濾的內(nèi)容sid：該條規(guī)則的id號,從4001后遞增，每條規(guī)則的id號不同rev:規(guī)則處理模塊的版本號，當(dāng)前為值1目前七十五頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器策略介紹Id：策略的名稱標(biāo)識。Rule：該名稱用來指示本條規(guī)則是否支持oci方式的驅(qū)動。本字段內(nèi)容為“OCI”的情況下將支持OCI驅(qū)動，否則為不支持。Server:對應(yīng)數(shù)據(jù)庫信息中的id名稱，大小寫要一致。Application：對應(yīng)應(yīng)用信息中的id名稱，大小寫要一致。目前七十六頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器策略介紹雙機(jī)默認(rèn)不配置的情況下，將默認(rèn)為主機(jī)。

雙機(jī)可以通過如下方式進(jìn)行配置：在策略關(guān)聯(lián)中，將用于互聯(lián)地址間通訊的關(guān)聯(lián)的id名稱更改為router，在其通過其rule屬性進(jìn)行配置。如果rule配置為backup，則為備機(jī)。如果配置為single，則為單機(jī)模式。如果以上兩者皆不是，則為默認(rèn)的主機(jī)模式。目前七十七頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器用戶與口令管理添加用戶：點(diǎn)擊添加用戶按鈕，彈出圖2窗體輸入必要的信息后，點(diǎn)擊確定按鈕，新的用戶就會出現(xiàn)在用戶窗體里了。刪除用戶：在用戶姓名里點(diǎn)擊要刪除的名稱，在點(diǎn)擊刪除用戶按鈕，此用戶就被刪除掉了。注意：只有sg186用戶有管理的權(quán)限。目前七十八頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

網(wǎng)絡(luò)安全隔離設(shè)備管理工具—GUI管理器用戶與口令管理只允許更改當(dāng)前登錄的用戶的口令，更改前需正確輸入原口令，在輸入兩次新設(shè)定的口令。點(diǎn)擊確定后推出就可以。目前七十九頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

隔離裝置日志管理

隔離裝置物理連接主要內(nèi)容隔離裝置操作系統(tǒng)目前八十頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置日志管理通過管理工具日志管理

日志瀏覽界面目前八十一頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置日志管理通過管理工具日志管理

支持的相關(guān)操作讀取日志：可對日志db.log、errorskernel、、errors.1

及kernel.1進(jìn)行讀取操作日志范圍查詢：可對選中日志進(jìn)行相關(guān)條數(shù)范圍限定后查詢備份相關(guān)日志：可對選中日志以txt格式導(dǎo)出到本地電腦中目前八十二頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置日志管理通過CRT等軟件日志管理以dbkeeper用戶身份登陸設(shè)備以命令行形式對/var/log下日志文件進(jìn)行讀取操作以sysadmin用戶身份對日志進(jìn)行導(dǎo)出操作目前八十三頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置基本配置

隔離裝置日志管理

隔離裝置物理連接主要內(nèi)容隔離裝置操作系統(tǒng)目前八十四頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置物理連接信息安全隔離裝置典型拓?fù)浣Y(jié)構(gòu)目前八十五頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置外觀、接口面板指示燈LCD顯示屏背板（網(wǎng)口、電源）裝置外觀介紹目前八十六頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置物理連接面板指示燈說明名稱說明POWER

電源指示燈HDD磁盤指示燈

Eth0

Link燈亮表明內(nèi)部網(wǎng)絡(luò)是連通的閃爍表明有數(shù)據(jù)接收或發(fā)送

,speed燈表示網(wǎng)卡的連接速度Eth1Link燈亮表明外部網(wǎng)絡(luò)是連通的閃爍表明有數(shù)據(jù)接收或發(fā)送，speed燈表示網(wǎng)卡的連接速度。Eth2Link燈亮表明配置網(wǎng)絡(luò)是連通的閃爍表明有數(shù)據(jù)接收或發(fā)送，speed燈表示網(wǎng)卡的連接速度。Eth3Link燈亮表明高可用網(wǎng)絡(luò)是連通的閃爍表明有數(shù)據(jù)接收或發(fā)送，speed燈表示網(wǎng)卡的連接速度。目前八十七頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置物理連接背板說明名稱說明I/O電源開關(guān)Console

串口，用來連接管理終端ETH0連接內(nèi)部網(wǎng)絡(luò)的以太網(wǎng)口

ETH1連接外部網(wǎng)絡(luò)的以太網(wǎng)口ETH2連接配置網(wǎng)絡(luò)的以太網(wǎng)口

ETH3連接高可用網(wǎng)絡(luò)的以太網(wǎng)口

目前八十八頁\總數(shù)九十八頁\編于十七點(diǎn)隔離裝置物理連接接入過程首先確定要安全隔離的內(nèi)外兩個網(wǎng)絡(luò)（或計算機(jī)主機(jī)）將SGI-NDS100信息安全網(wǎng)絡(luò)隔離裝置的eth1以太網(wǎng)口連接至外部網(wǎng)絡(luò)的Hub/Switch；如果外部網(wǎng)絡(luò)只是一臺計算機(jī)主機(jī)，那么就將SGI-NDS100信息安全網(wǎng)絡(luò)隔離裝置的