天融信安全隔離與信息交換系統(tǒng)用戶手冊(cè)20130311

天融信安全隔離與信息交換系統(tǒng)用戶手冊(cè)天融信安全隔離與信息交換系統(tǒng)用戶手冊(cè)天融信安全隔離與信息交換系統(tǒng)—用戶手冊(cè)天融信TOPSEC(R)北京市海淀區(qū)上地東路1號(hào)華控大廈100085電話：+8610-82776666傳真：+8610-82776677服務(wù)熱線：+8610-8008105119版權(quán)聲明本手冊(cè)中的所有內(nèi)容及格式的版權(quán)屬于北京天融信公司（以下簡(jiǎn)稱天融信）所有，未經(jīng)天融信許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。版權(quán)所有不得翻印(C)2013天融信公司商標(biāo)聲明本手冊(cè)中所談及的產(chǎn)品名稱僅做識(shí)別之用。手冊(cè)中涉及的其他公司的注冊(cè)商標(biāo)或是版權(quán)屬各商標(biāo)注冊(cè)人所有，恕不逐一列明。TOPSEC(R)天融信公司信息反饋目目錄關(guān)于本手冊(cè) 1一安裝 21.1隔離設(shè)備接口說(shuō)明 21.2軟件安裝 21.2.1控制臺(tái)安裝硬件環(huán)境 21.2.2控制臺(tái)安裝軟件環(huán)境 21.2.3控制臺(tái)軟件安裝 2二開(kāi)始使用 22.1啟動(dòng) 22.1.1啟動(dòng) 32.1.2關(guān)閉 32.1.3運(yùn)行控制臺(tái) 32.2登錄/注銷/修改密碼 42.2.1啟動(dòng) 42.2.2退出 52.2.3修改密碼 52.3功能區(qū)域介紹 5三用戶管理 63.1說(shuō)明 63.2用戶分級(jí) 93.3權(quán)限分立 93.3設(shè)置說(shuō)明 93.3.1添加用戶 93.3.2修改用戶 93.3.2刪除用戶 10四對(duì)象管理 104.1說(shuō)明 104.2對(duì)象 104.2對(duì)象設(shè)置說(shuō)明 114.2.1添加對(duì)象 114.2.2修改對(duì)象 114.2.3刪除對(duì)象 124.3分組 124.4分組設(shè)置說(shuō)明 134.4.1添加分組 134.4.2修改分組 134.4.3刪除分組 13五應(yīng)用管理 135.1說(shuō)明 135.2服務(wù) 135.2服務(wù)設(shè)置說(shuō)明 155.2.1添加服務(wù) 155.2.2修改服務(wù) 165.2.3刪除服務(wù) 175.3應(yīng)用 175.4應(yīng)用設(shè)置說(shuō)明 185.4.1添加應(yīng)用 185.4.2修改應(yīng)用 185.4.3刪除應(yīng)用 185.4.4導(dǎo)出應(yīng)用 185.4.5導(dǎo)入應(yīng)用 19六內(nèi)容管理 206.1說(shuō)明 206.2URL組 216.2.1添加URL組 226.2.2修改URL組 236.2.2刪除URL組 236.3內(nèi)容過(guò)濾 236.4內(nèi)容過(guò)濾設(shè)置說(shuō)明 246.4.1添加內(nèi)容過(guò)濾 246.4.2修改內(nèi)容過(guò)濾 246.4.2刪除內(nèi)容過(guò)濾 24七策略管理 247.1說(shuō)明 247.2時(shí)間模式 257.3時(shí)間模式設(shè)置說(shuō)明 257.3.1添加時(shí)間模式 267.3.2修改時(shí)間模式 267.3.3刪除時(shí)間模式 267.4系統(tǒng)模板 267.5系統(tǒng)模板設(shè)置說(shuō)明 277.5.1添加系統(tǒng)模板 287.5.2修改系統(tǒng)模板 287.5.3刪除系統(tǒng)模板 287.5.4導(dǎo)出系統(tǒng)模板 297.5.5導(dǎo)入系統(tǒng)模板 297.6系統(tǒng)規(guī)則 307.7系統(tǒng)規(guī)則設(shè)置說(shuō)明 317.7.1添加系統(tǒng)規(guī)則 317.7.2修改系統(tǒng)規(guī)則 317.7.3刪除系統(tǒng)規(guī)則 32八設(shè)備管理 328.1說(shuō)明 328.2基本屬性 328.3基本屬性設(shè)置說(shuō)明 348.3.1設(shè)備工作狀態(tài)設(shè)置 348.3.2日志設(shè)置 348.3.3時(shí)間設(shè)置 348.3.3設(shè)備密碼設(shè)置 348.3.4設(shè)備工作模式 348.4網(wǎng)絡(luò)接口 358.5網(wǎng)絡(luò)接口設(shè)置 368.5.1網(wǎng)絡(luò)接口IP設(shè)置 378.5.2代理對(duì)應(yīng)列表設(shè)置 378.5.3路由/網(wǎng)關(guān)設(shè)置 388.6設(shè)備狀態(tài) 398.7安全通道 408.7安全通道設(shè)置說(shuō)明 418.7.1添加安全通道 418.7.2修改安全通道 428.7.3刪除安全通道 428.8設(shè)備規(guī)則 428.9設(shè)備規(guī)則設(shè)置說(shuō)明 438.9.1讀取設(shè)備規(guī)則 438.9.2刪除設(shè)備規(guī)則 438.9.3應(yīng)用設(shè)備規(guī)則 448.10設(shè)備操作 44九事件管理 449.1系統(tǒng)事件 449.2系統(tǒng)事件操作說(shuō)明 459.2.1查詢系統(tǒng)事件 459.2.2導(dǎo)出系統(tǒng)事件 469.2.3刪除系統(tǒng)事件 469.3成功事件 469.4成功事件操作說(shuō)明 479.4.1查詢成功事件 479.4.2導(dǎo)出成功事件 489.4.3刪除成功事件 489.5報(bào)警事件 489.6報(bào)警事件操作說(shuō)明 499.6.1查詢報(bào)警事件 499.6.2導(dǎo)出報(bào)警事件 509.6.3刪除報(bào)警事件 509.7事件報(bào)告 509.8事件報(bào)告操作說(shuō)明 51十功能菜單說(shuō)明 51十一配置實(shí)例 52實(shí)例一透明代理模式下，HTTP訪問(wèn) 52實(shí)例二代理模式下，HTTP訪問(wèn) 61實(shí)例三代理模式下，多個(gè)HTTP訪問(wèn) 65實(shí)例四路由模式下，HTTP訪問(wèn) 68十二常用應(yīng)用協(xié)議內(nèi)部命令簡(jiǎn)介 70十三常見(jiàn)問(wèn)題解答 73關(guān)于本手冊(cè)首先感謝使用天融信安全隔離與信息交換系統(tǒng)！天融信安全隔離與信息交換系統(tǒng)是由北京天融信公司自主研發(fā)的、具有自主知識(shí)版權(quán)的隔離設(shè)備。該系統(tǒng)對(duì)網(wǎng)絡(luò)通信進(jìn)行完整采集、深層解析、應(yīng)用重建，在網(wǎng)絡(luò)間采用專用非TCP/IP協(xié)議進(jìn)行數(shù)據(jù)交換，同時(shí)，本系統(tǒng)對(duì)網(wǎng)絡(luò)通信的主體、客體進(jìn)行綜合的認(rèn)證，確保通信安全可靠，從而實(shí)現(xiàn)在保證內(nèi)外網(wǎng)絡(luò)相互隔離的基礎(chǔ)上進(jìn)行適度的、可靠的數(shù)據(jù)交換。此外，天融信安全隔離與信息交換系統(tǒng)能夠集成傳統(tǒng)安全技術(shù)，進(jìn)一步增強(qiáng)系統(tǒng)的防護(hù)能力。通過(guò)使用天融信安全隔離與信息交換系統(tǒng)，用戶可建立一套完整的、具有高精訪問(wèn)控制能力的、可防范各種安全風(fēng)險(xiǎn)的安全防護(hù)措施，確保用戶信息系統(tǒng)安全、可靠地運(yùn)行。本手冊(cè)以TR-71166為例，詳細(xì)介紹了天融信安全隔離與信息交換系統(tǒng)的使用方法，用戶可參考本手冊(cè)，對(duì)天融信安全隔離與信息交換系統(tǒng)進(jìn)行各種管理操作。注：本手冊(cè)僅適用于以下型號(hào)設(shè)備的管理操作：TR-7355、TR-8333、TR-8377、TR-71144、TR-71166、TR-71288、TR-81144、TR-81288、TR-81366。一安裝1.1隔離設(shè)備接口說(shuō)明天融信安全隔離與信息交換系統(tǒng)標(biāo)注EXT0、EXT1…的為外網(wǎng)接口，連接到外網(wǎng)；標(biāo)注INT0、INT1…的為內(nèi)網(wǎng)接口，連接到內(nèi)網(wǎng)；其中在內(nèi)網(wǎng)接口中標(biāo)記為MAN的接口為控制端口，在外網(wǎng)接口中標(biāo)記為HA的接口為熱備接口。1.2軟件安裝1.2.1控制臺(tái)安裝硬件環(huán)境586或更高型號(hào)的PC計(jì)算機(jī)或其兼容機(jī)；128M或更高容量的內(nèi)存；光盤(pán)驅(qū)動(dòng)器；100M以上剩余硬盤(pán)空間。1.2.2控制臺(tái)安裝軟件環(huán)境管理控制臺(tái)安裝包支持以下操作系統(tǒng)：WindowsXP、Windows2003Server、Windows7；推薦使用WindowsXP。1.2.3控制臺(tái)軟件安裝請(qǐng)運(yùn)行安裝光盤(pán)下的安裝包文件，依默認(rèn)配置即可安裝控制臺(tái)軟件。二開(kāi)始使用2.1啟動(dòng)在正確安裝天融信安全隔離與信息交換系統(tǒng)并確保各種線纜正確連接之后，您可開(kāi)始使用天融信安全隔離與信息交換系統(tǒng)。2.1.1啟動(dòng)打開(kāi)隔離設(shè)備背板上的電源開(kāi)關(guān)，隔離設(shè)備隨即啟動(dòng)，并加載上次關(guān)閉時(shí)的安全策略。如果您首次使用天融信安全隔離與信息交換系統(tǒng)，請(qǐng)參照本手冊(cè)運(yùn)行控制臺(tái)配置符合您需要的安全策略以保護(hù)您的信息系統(tǒng)。2.1.2關(guān)閉關(guān)閉隔離設(shè)備背板上的電源開(kāi)關(guān)，隔離設(shè)備隨即停止運(yùn)行。2.1.3運(yùn)行控制臺(tái)本系統(tǒng)的所有管理、配置、監(jiān)控工作均在控制臺(tái)完成，雙擊桌面“TopRules-控制臺(tái)”圖標(biāo)即可運(yùn)行控制臺(tái)程序，您也可通過(guò)點(diǎn)擊“開(kāi)始/程序/天融信安全隔離與信息交換系統(tǒng)控制臺(tái)/TopRules-控制臺(tái)”運(yùn)行控制臺(tái)程序。第一次運(yùn)行時(shí)需要選擇與隔離系統(tǒng)設(shè)備連接線的網(wǎng)卡，如下圖所示：選中通信的網(wǎng)卡后，按下“設(shè)置”按鈕，程序會(huì)關(guān)閉，再次運(yùn)行系統(tǒng)就會(huì)出現(xiàn)正常的登陸界面；注：當(dāng)程序與當(dāng)前計(jì)算機(jī)的驅(qū)動(dòng)沖突時(shí)，按下“設(shè)置”按鈕會(huì)報(bào)錯(cuò)，這時(shí)只需將程序安裝目錄下的補(bǔ)丁包文件“WinPcap_4_1_2.exe”安裝即可；2.2登錄/注銷/修改密碼2.2.1啟動(dòng)天融信安全隔離與信息交換系統(tǒng)是多用戶系統(tǒng)，用戶在對(duì)隔離設(shè)備進(jìn)行操作之前，必須使用正確的用戶憑據(jù)（用戶名、密碼）登錄控制臺(tái)，登錄界面及說(shuō)明如下：用戶名稱：本系統(tǒng)用于區(qū)分用戶身份的唯一標(biāo)識(shí)，由具備用戶管理權(quán)限的用戶（如superman、superlog等）創(chuàng)建并維護(hù)。superman為系統(tǒng)默認(rèn)配置管理員帳號(hào)，superlog為系統(tǒng)默認(rèn)日志審計(jì)管理員帳號(hào)。用戶密碼：系統(tǒng)用戶的訪問(wèn)口令，用戶在正確登錄之后可修改自身用戶的口令。登錄設(shè)備：天融信安全隔離與信息交換系統(tǒng)控制臺(tái)可管理多臺(tái)隔離設(shè)備，用戶可選擇被管理的設(shè)備。選擇通訊網(wǎng)卡：用戶選定管理控制臺(tái)與隔離設(shè)備通訊的網(wǎng)卡。設(shè)備名稱：用戶在選擇“登錄設(shè)備”復(fù)選框后，在“設(shè)備名稱”下拉框中出現(xiàn)網(wǎng)絡(luò)中可以的隔離設(shè)備名稱。設(shè)備密碼：每部隔離設(shè)備都設(shè)有訪問(wèn)密碼，只有輸入正確密碼才能夠?qū)υ摳綦x設(shè)備進(jìn)行操作。注：superman與superlog的初始密碼為“talent”，隔離設(shè)備初始密碼為“talent”。2.2.2退出用戶在完成管理工作后，可參照如下方法退出控制臺(tái)：點(diǎn)擊“系統(tǒng)”菜單，在下拉菜單中選擇“系統(tǒng)退出”命令，系統(tǒng)彈出對(duì)話框確認(rèn)退出，點(diǎn)擊“是”則退出，點(diǎn)擊“否”則返回；2.2.3修改密碼用戶可維護(hù)自己的訪問(wèn)密碼，方法如下：點(diǎn)擊“系統(tǒng)”菜單，在下拉菜單中選擇“修改密碼”命令，系統(tǒng)彈出如下密碼修改界面，輸入當(dāng)前密碼及新密碼，點(diǎn)擊”確定”按鈕即可完成用戶密碼修改。2.3功能區(qū)域介紹系統(tǒng)所有的業(yè)務(wù)功能均通過(guò)左側(cè)的功能列表進(jìn)行選擇，然后在右側(cè)的主功能操作區(qū)域進(jìn)行相應(yīng)的操作。針對(duì)系統(tǒng)的數(shù)據(jù)操作可以通過(guò)系統(tǒng)功能菜單來(lái)進(jìn)行。系統(tǒng)的基本信息狀態(tài)，可以通過(guò)控制臺(tái)下方的狀態(tài)欄查看。三用戶管理3.1說(shuō)明天融信安全隔離與信息交換系統(tǒng)是多用戶系統(tǒng)。具備用戶管理權(quán)限的用戶可完成系統(tǒng)用戶的維護(hù)工作。用戶管理界面如下：如圖，具備用戶管理權(quán)限的用戶可在用戶管理界面中完成系統(tǒng)用戶的添加、刪除及修改操作。下表為天融信安全隔離與信息交換系統(tǒng)用戶的相關(guān)說(shuō)明：屬性說(shuō)明用戶名系統(tǒng)用戶的登錄名稱。密碼系統(tǒng)用戶的登錄密碼。用戶描述該用戶的描述（如所屬部門(mén)、職責(zé)等）。起用時(shí)間天融信安全隔離與信息交換系統(tǒng)可自動(dòng)起用系統(tǒng)用戶，具備用戶管理權(quán)限的用戶（如superman等）可創(chuàng)建系統(tǒng)用戶并設(shè)置該用戶何時(shí)起用，沒(méi)有起用的用戶無(wú)法登錄本系統(tǒng)。結(jié)束時(shí)間天融信安全隔離與信息交換系統(tǒng)可自動(dòng)停用系統(tǒng)用戶，具備用戶管理權(quán)限的用戶（如superman等）可創(chuàng)建系統(tǒng)用戶并設(shè)置該用戶何時(shí)停用，已停用的用戶無(wú)法登錄本系統(tǒng)。用戶期限用戶能夠登錄的時(shí)間區(qū)間，用戶期限=停用日期-起用日期，單位為（天）。權(quán)限用戶權(quán)限用于描述用戶在天融信安全隔離與信息交換系統(tǒng)內(nèi)能夠執(zhí)行的管理行為及操作，具備用戶管理權(quán)限的用戶（如superman等）能夠修改某用戶的權(quán)限。下表為天融信安全隔離與信息交換系統(tǒng)用戶權(quán)限相關(guān)說(shuō)明：權(quán)限說(shuō)明系統(tǒng)用戶管理系統(tǒng)用戶的權(quán)限，具備該權(quán)限的用戶可添加、刪除、修改用戶。分組管理組對(duì)象的權(quán)限，擁有此權(quán)限的用戶可添加、刪除管理對(duì)象組。對(duì)象管理單對(duì)象的權(quán)限，擁有此權(quán)限的用戶可添加、刪除修改單對(duì)象。服務(wù)配置管理服務(wù)的權(quán)限，擁有此權(quán)限的用戶可添加、刪除、修改某網(wǎng)絡(luò)服務(wù)。應(yīng)用配置管理應(yīng)用的權(quán)限，擁有此權(quán)限的用戶可添加、刪除、管理某應(yīng)用。系統(tǒng)模板管理規(guī)則模板的權(quán)限，規(guī)則模板使用戶便于定制規(guī)則。系統(tǒng)規(guī)則定制規(guī)則的權(quán)限，規(guī)則決定天融信安全隔離與信息交換系統(tǒng)如何控制網(wǎng)絡(luò)中的通信。安全通道可以為設(shè)備通信設(shè)置相應(yīng)的網(wǎng)絡(luò)接口和通信的方向控制。基本屬性設(shè)置隔離設(shè)備屬性（如設(shè)備名稱、日志服務(wù)器、設(shè)備密碼）的權(quán)限。系統(tǒng)狀態(tài)可以顯示該設(shè)備當(dāng)前的系統(tǒng)資源使用情況。網(wǎng)絡(luò)接口為網(wǎng)絡(luò)接口設(shè)置IP、路由等信息。設(shè)備規(guī)則向特定設(shè)備加載規(guī)則的權(quán)限。時(shí)間模式管理時(shí)間模式的權(quán)限，天融信安全隔離與信息交換系統(tǒng)能夠在不同的時(shí)間自動(dòng)加載不同的規(guī)則。URl組管理URL分組的權(quán)限，擁有此權(quán)限的用戶可維護(hù)URL列表。內(nèi)容過(guò)濾設(shè)置內(nèi)容過(guò)濾的權(quán)限，擁有此權(quán)限的用戶的設(shè)置服務(wù)的內(nèi)容過(guò)濾類型。重啟設(shè)備通過(guò)控制臺(tái)重新啟動(dòng)隔離設(shè)備的權(quán)限。關(guān)閉設(shè)備通過(guò)控制臺(tái)關(guān)閉隔離設(shè)備的權(quán)限。系統(tǒng)事件查看系統(tǒng)事件的權(quán)限。成功事件查看成功事件的權(quán)限。報(bào)警事件查看報(bào)警事件的權(quán)限。事件報(bào)告對(duì)設(shè)備事件信息生成報(bào)告的權(quán)限3.2用戶分級(jí)天融信安全隔離與信息交換系統(tǒng)采用分級(jí)管理的用戶組織方法，即具備用戶管理權(quán)限的用戶可添加子用戶（或下級(jí)用戶），子用戶（或下級(jí)用戶）所擁有的權(quán)限不大于父用戶（或上級(jí)用戶）所擁有的權(quán)限，且子用戶（或下級(jí)用戶）無(wú)法管理父用戶（或上級(jí)用戶）。3.3權(quán)限分立天融信安全隔離與信息交換系統(tǒng)采用權(quán)限分立的用戶組織方法，即本系統(tǒng)并不存在超級(jí)用戶，系統(tǒng)內(nèi)置兩個(gè)用戶：superman與superlog，superman能夠?qū)M(jìn)行對(duì)象、應(yīng)用、設(shè)備等進(jìn)行操作，但是無(wú)法查看日志，superlog僅能查看日志，而無(wú)法進(jìn)行管理操作，superman與superlog均能進(jìn)行用戶管理操作，但只能管理各自的子用戶（下級(jí)用戶）。3.3設(shè)置說(shuō)明3.3.1添加用戶以具備用戶管理權(quán)限的用戶（如superman與superlog）登錄，選擇“系統(tǒng)用戶”，并在控制臺(tái)右側(cè)區(qū)域內(nèi)錄入“用戶名”、“密碼”、“起用日期”、“凍結(jié)日期”、“用戶期限”、“描述”信息，并使用“<<<<”、“<<”、“>>”、“>>>>”設(shè)置新用戶所具備的權(quán)限，完成后點(diǎn)擊“添加”按鈕，彈出消息框確認(rèn)用戶添加成功，點(diǎn)擊“確定”按鈕返回用戶管理界面，完成添加用戶工作。3.3.2修改用戶在用戶管理界面，在“用戶列表”中選中所要修改的用戶，并在右側(cè)區(qū)域內(nèi)對(duì)用戶“密碼”、“起用日期”、“凍結(jié)日期”、“用戶期限”、“描述”信息進(jìn)行修改，也可使用“<<<<”、“<<”、“>>”、“>>>>”修改用戶權(quán)限，修改完成后，點(diǎn)擊“確定”按鈕，彈出消息框確認(rèn)用戶保存成功，點(diǎn)擊“確定”按鈕返回用戶管理界面，完成修改用戶工作。3.3.2刪除用戶在用戶管理界面，在“用戶列表”中選中所要?jiǎng)h除的用戶，點(diǎn)擊“刪除”按鈕，彈出消息框確認(rèn)刪除，點(diǎn)擊“否”取消刪除，點(diǎn)擊“是”則刪除該用戶。四對(duì)象管理4.1說(shuō)明天融信安全隔離與信息交換系統(tǒng)采用對(duì)象的方法進(jìn)行通信控制。具備對(duì)象管理權(quán)限的用戶可通過(guò)控制臺(tái)進(jìn)行對(duì)象維護(hù)（添加、刪除、修改對(duì)象）的操作，以供定制訪問(wèn)策略之用。4.2對(duì)象一個(gè)對(duì)象可以是任何一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)（如主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）。對(duì)象管理界面如下：如圖，具備“對(duì)象”管理權(quán)限的用戶可在對(duì)象管理界面中完成對(duì)象的添加、刪除及修改操作。下表為網(wǎng)絡(luò)對(duì)象信息說(shuō)明：屬性說(shuō)明對(duì)象名稱該網(wǎng)絡(luò)節(jié)點(diǎn)在本系統(tǒng)中的標(biāo)識(shí)，可由具備單對(duì)象管理權(quán)限的用戶（如superman）隨意命名（如張明）。注意：命名及備注不可以采用系統(tǒng)內(nèi)部關(guān)鍵字IP\MAC\MASK等對(duì)象IP地址該網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址，可以是一臺(tái)主機(jī)（如2）、一個(gè)IP范圍（如-10）。注：為特殊IP對(duì)象，代表所有IP地址。對(duì)象MAC地址該網(wǎng)絡(luò)節(jié)點(diǎn)的MAC地址。注：00:00:00:00:00:00為特殊MAC地址，代表所有MAC地址。子網(wǎng)掩碼該網(wǎng)絡(luò)節(jié)點(diǎn)的子網(wǎng)掩碼。對(duì)象描述關(guān)于該網(wǎng)絡(luò)節(jié)點(diǎn)的描述（如位置、廠家、編號(hào)、用途、類型等）。注：該項(xiàng)不是必須填寫(xiě)項(xiàng)。4.2對(duì)象設(shè)置說(shuō)明4.2.1添加對(duì)象以具備對(duì)象管理權(quán)限的用戶（如superman）登錄，選擇“對(duì)象”，并在控制臺(tái)右側(cè)區(qū)域內(nèi)錄入“對(duì)象名稱”、“對(duì)象IP地址”、“對(duì)象MAC地址”、“子網(wǎng)掩碼”、“對(duì)象描述”信息，完成后點(diǎn)擊“添加”按鈕，彈出消息框確認(rèn)對(duì)象添加成功，點(diǎn)擊“確定”按鈕返回對(duì)象管理界面，完成添加對(duì)象工作。4.2.2修改對(duì)象在對(duì)象管理界面，在“對(duì)象列表”中選中所要修改的對(duì)象，并在右側(cè)區(qū)域內(nèi)對(duì)“對(duì)象IP地址”、“對(duì)象MAC地址”、“子網(wǎng)掩碼”、“對(duì)象描述”信息進(jìn)行修改操作，完成后點(diǎn)擊“確定”按鈕，彈出消息框確認(rèn)對(duì)象保存成功，點(diǎn)擊“確定”按鈕返回對(duì)象管理界面，完成修改對(duì)象工作。4.2.3刪除對(duì)象在對(duì)象管理界面，在“對(duì)象列表”中選中所要?jiǎng)h除的對(duì)象，點(diǎn)擊“刪除”按鈕，彈出消息框確認(rèn)刪除該對(duì)象，點(diǎn)擊“否”取消刪除，點(diǎn)擊“是”則刪除該對(duì)象。4.3分組分組是多個(gè)對(duì)象的集合。下圖為分組對(duì)象管理界面：如圖，具備分組管理權(quán)限的用戶可在分組管理界面中完成分組的添加、刪除及修改操作。下表為分組對(duì)象信息說(shuō)明：屬性說(shuō)明對(duì)象組名稱單個(gè)或多個(gè)單對(duì)象的集合在本系統(tǒng)中的標(biāo)識(shí)，可由具備組對(duì)象管理權(quán)限的用戶（如superman）隨意命名（如外網(wǎng)、內(nèi)網(wǎng)等）。對(duì)象組描述關(guān)于該組的描述（如服務(wù)器、網(wǎng)絡(luò)設(shè)備、所屬部門(mén)等）。注：該項(xiàng)不是必須填寫(xiě)項(xiàng)。包含對(duì)象該對(duì)象組包含的對(duì)象，將單對(duì)象前的復(fù)選框選中即為分組包含此對(duì)象，反之不包含該對(duì)象。4.4分組設(shè)置說(shuō)明4.4.1添加分組以具備分組管理權(quán)限的用戶（如superman）登錄，選擇“分組”，并在控制臺(tái)右側(cè)區(qū)域內(nèi)錄入“分組名稱”、“分組描述”，選擇“包含對(duì)象”等信息，完成后點(diǎn)擊“添加”按鈕，系統(tǒng)彈出消息礦框提示分組添加成功，點(diǎn)擊“確定”按鈕返回分組管理界面，完成添加分組工作。4.4.2修改分組在分組管理界面，在“分組列表”中選中所要修改的組對(duì)象，并在右側(cè)區(qū)域內(nèi)對(duì)“分組描述”，“包含對(duì)象”信息進(jìn)行修改操作，完成后點(diǎn)擊“確定”按鈕，系統(tǒng)彈出消息框提示保存成功，點(diǎn)擊“確定”按鈕返回分組管理界面，完成修改。4.4.3刪除分組在分組管理界面，在“分組列表”中選中所要?jiǎng)h除的分組，點(diǎn)擊“刪除”按鈕，系統(tǒng)彈出消息框確認(rèn)刪除該分組，點(diǎn)擊“否”取消刪除，點(diǎn)擊“是”則刪除該分組。五應(yīng)用管理5.1說(shuō)明天融信安全隔離與信息交換系統(tǒng)采用層次化的應(yīng)用組織方法，準(zhǔn)確表述客戶網(wǎng)絡(luò)中發(fā)生的各種網(wǎng)絡(luò)通信，以供定制訪問(wèn)策略之用。5.2服務(wù)服務(wù)為某種特定形式的網(wǎng)絡(luò)通信，如DNS、HTTP、FTP、SMTP、POP3、Oracle、SqlServer、DCS-OPC、MEDIA、MYSQL等，下圖為服務(wù)管理界面：如圖，具備相應(yīng)權(quán)限的用戶可在服務(wù)配置管理界面中完成服務(wù)的添加、刪除及修改操作。下表為服務(wù)信息說(shuō)明：屬性說(shuō)明服務(wù)名稱某種網(wǎng)絡(luò)通信在本系統(tǒng)中的標(biāo)識(shí)，可由具備服務(wù)配置管理權(quán)限的用戶（如superman）任意命名（如FTP、HTTP、TELNET等）。采用協(xié)議該網(wǎng)絡(luò)通信使用的協(xié)議，選擇IP協(xié)議時(shí)，可選擇TCP、UDP、ICMP協(xié)議中的一種。源端口該輸入框在僅在選擇TCP或UDP協(xié)議后有效，表示該網(wǎng)絡(luò)服務(wù)的源端口，源端口可是一個(gè)通信端口（如1378），也可是一個(gè)端口范圍（如1024-65535）。服務(wù)端口該輸入框在僅在選擇TCP或UDP協(xié)議后有效，表示該網(wǎng)絡(luò)服務(wù)的目標(biāo)端口，目標(biāo)端口可是一個(gè)通信端口（如80），也可是一個(gè)端口范圍（如20-40）。映射端口映射端口指向用戶提供的服務(wù)端口的映射，比如把服務(wù)器的80端口映射為8080端口，用戶訪問(wèn)8080端口即可；處理模塊系統(tǒng)內(nèi)置的通用的服務(wù)處理模塊，選中某處理模塊代表該服務(wù)符合內(nèi)置服務(wù)處理單元特性。不選擇處理模塊表示該服務(wù)屬于自定義服務(wù)類型。命令列表用于定制該網(wǎng)絡(luò)通信的數(shù)據(jù)內(nèi)容控制。用戶可添加一個(gè)或多個(gè)通信內(nèi)容段的命令，并分別定制對(duì)該命令的處理方法。注：在命令列表上點(diǎn)擊右鍵出現(xiàn)命令列表管理菜單，命令列表不是必填項(xiàng)。命令列表包含如下內(nèi)容：起始位置用于確定該命令在網(wǎng)絡(luò)包中開(kāi)始的位置，從通信協(xié)議包頭結(jié)束開(kāi)始計(jì)位，位置不確定填寫(xiě)-1。命令用于定義該段內(nèi)容的名稱。以0x或0X開(kāi)頭代表16進(jìn)制數(shù)據(jù)相隔符號(hào)用于標(biāo)識(shí)該段命令的結(jié)束。以0x或0X開(kāi)頭代表16進(jìn)制數(shù)據(jù)參數(shù)用于定義該命令的參數(shù)。以0x或0X開(kāi)頭代表16進(jìn)制數(shù)據(jù)動(dòng)作用于定制設(shè)備對(duì)含有該命令的網(wǎng)絡(luò)通信的處理方法，可選”允許”或“拒絕”。此應(yīng)用中未定制的命令允許執(zhí)行定制是否允許該服務(wù)中未定制的命令的執(zhí)行，復(fù)選該選項(xiàng)則允許該應(yīng)用中未定制的命令執(zhí)行。5.2服務(wù)設(shè)置說(shuō)明5.2.1添加服務(wù)以具備“服務(wù)配置”管理權(quán)限的用戶（如superman）登錄，選擇“服務(wù)配置”，并在控制臺(tái)右側(cè)區(qū)域內(nèi)錄入“服務(wù)名稱”、“采用協(xié)議”、“源端口”、“目標(biāo)端口”、“處理模塊”及應(yīng)用命令信息，點(diǎn)擊“添加”按鈕，彈出消息框確認(rèn)服務(wù)添加成功，點(diǎn)擊“確定”按鈕返回服務(wù)配置管理界面，完成添加服務(wù)工作。注：用戶可選擇隔離設(shè)備內(nèi)置的處理模塊進(jìn)行網(wǎng)絡(luò)服務(wù)的處理，選擇處理模塊后，服務(wù)端口會(huì)被默認(rèn)為該應(yīng)用的常用知名端口，用戶可以進(jìn)行修改。處理模塊內(nèi)嵌完整的應(yīng)用命令；用戶亦可不選擇任何處理模塊，自行添加應(yīng)用命令，具體方法如下：在命令列表內(nèi)點(diǎn)擊鼠標(biāo)右鍵，在彈出的快捷菜單選擇“添加命令”，在應(yīng)用命令的對(duì)話框中輸入“起始位置”、“命令”、“相隔符號(hào)”、“參數(shù)”、“動(dòng)作”信息，點(diǎn)擊“確定”按鈕即可完成應(yīng)用命令添加工作。5.2.2修改服務(wù)在服務(wù)配置管理界面，在“服務(wù)列表”中選中所要修改的服務(wù)，并在右側(cè)區(qū)域內(nèi)對(duì)“采用協(xié)議”、“源端口”、“目標(biāo)端口”、“處理模塊”、“命令列表”進(jìn)行修改，完成后點(diǎn)擊“確定”按鈕，系統(tǒng)彈出消息框提示保存成功，點(diǎn)擊“確定”按鈕返回服務(wù)配置管理界面，完成修改工作。注：用戶可右鍵命令列表中的某條命令進(jìn)行命令的添加、修改、刪除工作。5.2.3刪除服務(wù)在服務(wù)配置管理界面，在“服務(wù)列表”中選中所要?jiǎng)h除的服務(wù)，點(diǎn)擊“刪除”按鈕，彈出消息框確認(rèn)刪除該服務(wù)，點(diǎn)擊“否”取消刪除，點(diǎn)擊“是”則刪除該服務(wù)。5.3應(yīng)用天融信安全隔離與信息交換系統(tǒng)能夠?qū)⒍喾N網(wǎng)絡(luò)服務(wù)組成一種業(yè)務(wù)應(yīng)用，統(tǒng)一對(duì)該應(yīng)用定制訪問(wèn)規(guī)則。應(yīng)用具備導(dǎo)出、導(dǎo)入功能，為多個(gè)設(shè)備之間的相同應(yīng)用遷移提供便利。下圖為應(yīng)用管理界面：如圖，具備相應(yīng)權(quán)限的用戶可在應(yīng)用配置管理界面中完成應(yīng)用的添加、刪除、修改、導(dǎo)出及導(dǎo)入操作。下表為應(yīng)用信息說(shuō)明：屬性說(shuō)明應(yīng)用名稱某種業(yè)務(wù)應(yīng)用在本系統(tǒng)中的標(biāo)識(shí)，可由具備應(yīng)用配置管理權(quán)限的用戶（如superman）隨意命名（如上網(wǎng)應(yīng)用、數(shù)據(jù)庫(kù)應(yīng)用等）。應(yīng)用描述有關(guān)該種應(yīng)用的描述。包含服務(wù)該種應(yīng)用所包含的服務(wù)。通常，某種應(yīng)用由一種或幾種服務(wù)構(gòu)成（如:上網(wǎng)應(yīng)用包含http服務(wù)、dns服務(wù)、smtp服務(wù)、pop3服務(wù)、ftp服務(wù)等）。5.4應(yīng)用設(shè)置說(shuō)明5.4.1添加應(yīng)用以具備應(yīng)用配置管理權(quán)限的用戶（如superman）登錄，選擇“應(yīng)用配置”，并在控制臺(tái)右側(cè)區(qū)域內(nèi)錄入“應(yīng)用名稱”、“應(yīng)用描述”，選擇“包含服務(wù)”等信息，完成后點(diǎn)擊“添加”按鈕，系統(tǒng)彈出消息框提示應(yīng)用添加成功，點(diǎn)擊“確定”按鈕返回應(yīng)用管理界面，完成添加應(yīng)用工作。5.4.2修改應(yīng)用在“應(yīng)用列表”中選中所要修改的應(yīng)用，并在其右側(cè)區(qū)域內(nèi)對(duì)“應(yīng)用描述”，“包含應(yīng)用”信息進(jìn)行修改，完成后點(diǎn)擊“確定”按鈕，系統(tǒng)彈出消息框提示保存成功，點(diǎn)擊“確定”按鈕返回應(yīng)用管理界面，完成修改工作。5.4.3刪除應(yīng)用在“應(yīng)用列表”中選中所要?jiǎng)h除的應(yīng)用，點(diǎn)擊“刪除”按鈕，系統(tǒng)彈出消息框確認(rèn)刪除該應(yīng)用，點(diǎn)擊“否”取消刪除，點(diǎn)擊“是”則刪除該應(yīng)用。5.4.4導(dǎo)出應(yīng)用在“應(yīng)用列表”中選中所要導(dǎo)出的應(yīng)用，點(diǎn)擊“導(dǎo)出”按鈕，系統(tǒng)彈出另存為文件消息框，輸入導(dǎo)出應(yīng)用文件名稱點(diǎn)擊“Save”按鈕完成導(dǎo)出應(yīng)用操作。5.4.5導(dǎo)入應(yīng)用點(diǎn)擊“導(dǎo)入”按鈕，彈出打開(kāi)文件消息框，選擇應(yīng)用文件名稱點(diǎn)擊“Open”按鈕完成導(dǎo)入應(yīng)用操作。六內(nèi)容管理6.1說(shuō)明天融信安全隔離與信息交換系統(tǒng)作為一種高精度的網(wǎng)絡(luò)控制設(shè)備，能夠?qū)M(jìn)出網(wǎng)絡(luò)的通信進(jìn)行深層的內(nèi)容控制，用戶可通過(guò)內(nèi)容管理界面針對(duì)某一應(yīng)用或服務(wù)實(shí)現(xiàn)URL控制、文件類型控制、關(guān)鍵字過(guò)濾等。下圖為內(nèi)容管理界面：內(nèi)容過(guò)濾說(shuō)明：屬性說(shuō)明內(nèi)容名稱某種內(nèi)容過(guò)濾方式的標(biāo)識(shí)，可由具備應(yīng)用管理權(quán)限的用戶（如superman）隨意命名，如上網(wǎng)應(yīng)用、數(shù)據(jù)庫(kù)應(yīng)用等。所屬應(yīng)用/所屬服務(wù)應(yīng)用該項(xiàng)內(nèi)容過(guò)濾的應(yīng)用或服務(wù)。過(guò)濾URL定義是否進(jìn)行URL過(guò)濾，可供選擇的URL來(lái)自URL組列表。過(guò)濾關(guān)鍵字用戶可定義過(guò)濾某個(gè)關(guān)鍵字或關(guān)鍵詞（如：法輪功、絕密等），關(guān)鍵字的樣本可從文件選取。過(guò)濾文件類型定義該內(nèi)容過(guò)濾方式是否進(jìn)行文件過(guò)濾，可過(guò)濾的文件類型有EXE、DLL、RAR、ZIP等。內(nèi)容描述有關(guān)該種內(nèi)容過(guò)濾的描述。6.2URL組URL組用于定制URL列表，該列表出現(xiàn)在內(nèi)容管理界面中的“過(guò)濾URL”選項(xiàng)，用戶可在URL組管理界面實(shí)現(xiàn)URL組的添加、修改、刪除、導(dǎo)入及導(dǎo)出操作：URL組說(shuō)明：屬性說(shuō)明URL組名稱單個(gè)或多個(gè)URL的集合在本系統(tǒng)中的標(biāo)識(shí)，可由具備應(yīng)用管理權(quán)限的用戶（如superman）隨意命名URL組描述對(duì)該組的描述URL在URL列表中右擊鼠標(biāo)添加本組包含的URL列表說(shuō)明在URL列表中右擊鼠標(biāo)添加本組包含的URL列表的說(shuō)明6.2.1添加URL組在URL組界面中錄入U(xiǎn)RL組名、URL組描述、URL列表，點(diǎn)擊“添加”按鈕，系統(tǒng)彈出消息框提示應(yīng)用添加成功，點(diǎn)擊“確定”按鈕返回URL組管理界面，完成URL組添加工作。添加URL：在URL列表框中單擊鼠標(biāo)右鍵，在彈出的右鍵菜單中的“添加”命令，出現(xiàn)URL內(nèi)容窗口，如下圖：填寫(xiě)完成后，點(diǎn)擊“確定”按鈕則添加URL，點(diǎn)擊“取消”按鈕則取消添加。修改URL：雙擊URL列表中需要修改的項(xiàng)目或以鼠標(biāo)右鍵單擊該項(xiàng)目并選擇“修改”命令，出現(xiàn)URL內(nèi)容窗口（同上圖）并作修改，點(diǎn)擊“確定”按鈕則保存修改，點(diǎn)擊“取消”按鈕則取消修改。刪除URL：以鼠標(biāo)右鍵單擊需要?jiǎng)h除的URL并選擇“刪除”或“刪除所有”命令。注：“刪除所有”將會(huì)刪除當(dāng)前URL組中URL列表的所有項(xiàng)目。6.2.2修改URL組在URL組列表框中選中要修改的URL組，修改所需要修改的內(nèi)容，點(diǎn)擊“確定”按鈕，系統(tǒng)彈出消息框提示保存成功，點(diǎn)擊“確定”按鈕返回URL組管理界面，完成修改工作。6.2.2刪除URL組在URL組列表框中選取要?jiǎng)h除的URL組，點(diǎn)擊“刪除”按鈕，系統(tǒng)彈出消息框確認(rèn)刪除該URL組，點(diǎn)擊“否”按鈕取消刪除，點(diǎn)擊“是”按鈕則刪除該URL組。6.3內(nèi)容過(guò)濾內(nèi)容過(guò)濾是與服務(wù)關(guān)聯(lián)的一種安全策略，其可實(shí)現(xiàn)多種類型的內(nèi)容審查。6.4內(nèi)容過(guò)濾設(shè)置說(shuō)明內(nèi)容過(guò)濾包括所屬服務(wù)、URL過(guò)濾、文件類型過(guò)濾、關(guān)鍵字過(guò)濾幾個(gè)方面。所屬服務(wù)指該內(nèi)容過(guò)濾的策略將會(huì)在所屬服務(wù)列表中已選中的服務(wù)中生效，在其他服務(wù)中將不會(huì)生效。界面中“所屬應(yīng)用”是用來(lái)輔助選擇輸入服務(wù)的項(xiàng)目，其并不具有策略意義。過(guò)濾URL指該內(nèi)容過(guò)濾策略所屬服務(wù)中需要過(guò)濾的URL組。過(guò)濾文件類型指該內(nèi)容過(guò)濾策略所屬服務(wù)中需要過(guò)濾的文件類型。過(guò)濾關(guān)鍵字該內(nèi)容過(guò)濾策略所屬服務(wù)中需要過(guò)濾的關(guān)鍵字，關(guān)鍵字以文件形式存儲(chǔ)，以換行符為分隔。6.4.1添加內(nèi)容過(guò)濾填寫(xiě)內(nèi)容過(guò)濾的具體內(nèi)容，包括選擇所屬服務(wù)、選擇過(guò)濾URL、選擇過(guò)濾文件類型、選擇過(guò)濾關(guān)鍵字文件、內(nèi)容過(guò)濾策略描述等信息，點(diǎn)擊“添加”按鈕，系統(tǒng)彈出消息框提示添加成功，點(diǎn)擊“確定”按鈕返回內(nèi)容過(guò)濾管理界面。6.4.2修改內(nèi)容過(guò)濾在內(nèi)容過(guò)濾策略列表中選取要修改的內(nèi)容過(guò)濾策略，并修改其內(nèi)容，點(diǎn)擊“確定”按鈕，系統(tǒng)彈出消息框提示保存成功，點(diǎn)擊“確定”按鈕返回內(nèi)容過(guò)濾管理界面，完成修改工作。6.4.2刪除內(nèi)容過(guò)濾在內(nèi)容過(guò)濾策略列表中選擇要?jiǎng)h除的內(nèi)容過(guò)濾策略，點(diǎn)擊“刪除”按鈕，系統(tǒng)彈出消息框確認(rèn)刪除，點(diǎn)擊“否”按鈕取消刪除，點(diǎn)擊“是”按鈕則刪除該內(nèi)容過(guò)濾。七策略管理7.1說(shuō)明天融信安全隔離與信息交換系統(tǒng)是一種高精度訪問(wèn)控制設(shè)備，能夠通過(guò)策略管理界面定制符合客戶實(shí)際需求的安全策略。安全策略包含時(shí)間模式、系統(tǒng)模板及系統(tǒng)規(guī)則等元素。系統(tǒng)默認(rèn)存在一個(gè)名為“24”的24小時(shí)時(shí)間模式；7.2時(shí)間模式天融信安全隔離與信息交換系統(tǒng)支持依據(jù)時(shí)間模式自動(dòng)加載或停用某條規(guī)則。下圖為時(shí)間模式定制界面：時(shí)間模式說(shuō)明：屬性說(shuō)明模式名稱某種時(shí)間模式在本系統(tǒng)中的標(biāo)識(shí)，可由具備應(yīng)用管理權(quán)限的用戶（如superman）隨意命名，如Weekend、Work_time等。開(kāi)始時(shí)間該時(shí)間模式的起始點(diǎn)。結(jié)束時(shí)間該時(shí)間模式的終結(jié)點(diǎn)。模式描述有關(guān)該種時(shí)間模式的描述。7.3時(shí)間模式設(shè)置說(shuō)明時(shí)間模式包含“模式名稱”、“開(kāi)始時(shí)間”、“結(jié)束時(shí)間”、“模式描述”等要素。系統(tǒng)安全策略是運(yùn)行在某時(shí)間模式所確定的時(shí)間段內(nèi)。7.3.1添加時(shí)間模式填寫(xiě)“模式名稱”、“起始時(shí)間”、“結(jié)束時(shí)間”、“模式描述”信息，點(diǎn)擊“添加”按鈕，系統(tǒng)彈出消息框提示添加成功，點(diǎn)擊“確定”按鈕返回時(shí)間模式管理界面，完成添加工作。注：時(shí)間格式為HH:MM:SS。7.3.2修改時(shí)間模式在時(shí)間模式列表中選擇要修改的時(shí)間模式，并修改其內(nèi)容，點(diǎn)擊“確定”按鈕，系統(tǒng)彈出消息框提示保存成功，點(diǎn)擊“確定”按鈕返回時(shí)間模式管理界面，完成修改工作。7.3.3刪除時(shí)間模式在時(shí)間模式列表中選擇要?jiǎng)h除的時(shí)間模式，點(diǎn)擊“刪除”按鈕，系統(tǒng)彈出消息框確認(rèn)刪除，點(diǎn)擊“否”按鈕取消刪除，點(diǎn)擊“是”按鈕則刪除該時(shí)間模式。7.4系統(tǒng)模板天融信安全隔離與信息交換系統(tǒng)允許用戶定制模板，模版是為隔離設(shè)備定制安全策略所必須的一個(gè)要素。系統(tǒng)模板包含對(duì)象組、應(yīng)用、時(shí)間模式及動(dòng)作四種要素，通過(guò)該四種要素的不同組合，可明確定制“誰(shuí)”（對(duì)象組）“在什么時(shí)候”（時(shí)間模式）“能否”（動(dòng)作）“做什么”（應(yīng)用），下圖為系統(tǒng)模板管理界面：系統(tǒng)模板說(shuō)明：屬性說(shuō)明模板名稱某種模板在本系統(tǒng)中的標(biāo)識(shí)，可由具備模板管理權(quán)限的用戶（如superman）隨意命名。模板描述有關(guān)該種模板的描述，通常為該模板所實(shí)現(xiàn)的控制能力的描述，如“允許財(cái)務(wù)部上網(wǎng)”等。模板內(nèi)容該模板的內(nèi)容，通常為格式化了的網(wǎng)絡(luò)控制方法，模板內(nèi)容可有多個(gè)網(wǎng)絡(luò)行為控制方法，每個(gè)控制方法必須包含源對(duì)象組、目標(biāo)對(duì)象組、應(yīng)用、時(shí)間模式和動(dòng)作。用戶可在系統(tǒng)模板管理界面中實(shí)現(xiàn)對(duì)系統(tǒng)模板的添加、修改、刪除、導(dǎo)入、導(dǎo)出操作。7.5系統(tǒng)模板設(shè)置說(shuō)明系統(tǒng)模板內(nèi)容包括“模板名稱”與“模板規(guī)則”、“模板描述”三部分，其中模板規(guī)則是該模板中所包含的安全策略信息，由源對(duì)象組、目標(biāo)對(duì)象組、應(yīng)用、時(shí)間模式、動(dòng)作等要素，如下圖：7.5.1添加系統(tǒng)模板填寫(xiě)“模板名稱”、“模板描述”、“模板規(guī)則”信息，點(diǎn)擊“添加”按鈕，系統(tǒng)彈出消息框提示添加成功，點(diǎn)擊“確定”按鈕返回系統(tǒng)模版界面，完成添加工作。添加模板規(guī)則：在模板規(guī)則列表框中點(diǎn)擊鼠標(biāo)右鍵，在彈出的右鍵菜單中選擇“添加”命令，系統(tǒng)彈出模版規(guī)則界面（如上圖），分別在“源對(duì)象組”、“目標(biāo)對(duì)象組”、“應(yīng)用”、“時(shí)間模式”、“動(dòng)作”下拉菜單中選取相應(yīng)的要素，點(diǎn)擊“確定”按鈕則添加模版規(guī)則，點(diǎn)擊“取消”按鈕則取消添加。修改模板規(guī)則：在模板規(guī)則列表框中以鼠標(biāo)左鍵雙擊要修改的模板規(guī)則或以鼠標(biāo)右鍵單擊該項(xiàng)目并選擇“修改”命令，系統(tǒng)彈出系統(tǒng)模板規(guī)則的內(nèi)容界面，修改其內(nèi)容，點(diǎn)擊“確定”按鈕則修改模版規(guī)則，點(diǎn)擊“取消”按鈕則取消修改。刪除模板規(guī)則：以鼠標(biāo)右鍵單擊模板規(guī)則列表框中要?jiǎng)h除的模板規(guī)則并選擇“刪除”或“刪除所有”命令，完成刪除工作。注：刪除所有表示將該模板中的所有模板規(guī)則刪除。7.5.2修改系統(tǒng)模板在模板列表中選擇要修改的模板，修改該模板的內(nèi)容（描述、模板規(guī)則），點(diǎn)擊“確定”按鈕，系統(tǒng)彈出消息框提示保存成功，點(diǎn)擊“確定”按鈕返回系統(tǒng)模板管理界面，修改系統(tǒng)模版完成。7.5.3刪除系統(tǒng)模板在模板列表中選擇要?jiǎng)h除的模板，點(diǎn)擊“刪除”按鈕，系統(tǒng)彈出消息框確認(rèn)刪除，點(diǎn)擊“否”按鈕取消刪除，點(diǎn)擊“是”按鈕則刪除該系統(tǒng)模版。7.5.4導(dǎo)出系統(tǒng)模板在中在“模板列表”中選中所要導(dǎo)出的模板，點(diǎn)擊“導(dǎo)出”按鈕，系統(tǒng)彈出另存為文件對(duì)話框，輸入導(dǎo)出模板文件名稱點(diǎn)擊“Save”按鈕完成導(dǎo)出模板操作。7.5.5導(dǎo)入系統(tǒng)模板在系統(tǒng)名模板界面中，點(diǎn)擊“導(dǎo)入”按鈕，系統(tǒng)彈出打開(kāi)文件對(duì)話框，找到要導(dǎo)入的模板文件名稱點(diǎn)擊“Open”按鈕完成導(dǎo)入模板操作。7.6系統(tǒng)規(guī)則用戶可利用預(yù)先定制安全通道（詳見(jiàn)8.4節(jié)）、模版信息定制系統(tǒng)規(guī)則，系統(tǒng)規(guī)則是隔離設(shè)備能夠直接讀取與調(diào)用的安全策略，下圖為系統(tǒng)規(guī)則定制界面：系統(tǒng)規(guī)則說(shuō)明如下：屬性說(shuō)明規(guī)則名稱該規(guī)則的名稱，可由具備規(guī)則管理權(quán)限的用戶（如superman等）隨意命名。安全通道該規(guī)則使用的網(wǎng)絡(luò)通道。包含模板該規(guī)則采用的模板。7.7系統(tǒng)規(guī)則設(shè)置說(shuō)明7.7.1添加系統(tǒng)規(guī)則填寫(xiě)“規(guī)則名稱”、“安全通道”、“規(guī)則描述”“包含模板”信息，點(diǎn)擊“添加”按鈕，系統(tǒng)彈出消息框提示添加成功，點(diǎn)擊“確定”按鈕返回系統(tǒng)規(guī)則管理界面，完成添加工作。7.7.2修改系統(tǒng)規(guī)則在規(guī)則列表中選擇要修改的規(guī)則，修改該規(guī)則的內(nèi)容（安全通道、規(guī)則描述和包含模板），點(diǎn)擊“確定”按鈕，系統(tǒng)彈出消息框提示保存成功，點(diǎn)擊“確定”按鈕返回系統(tǒng)規(guī)則管理界面，修改系統(tǒng)規(guī)則完成。7.7.3刪除系統(tǒng)規(guī)則在規(guī)則列表中選擇要?jiǎng)h除的規(guī)則，點(diǎn)擊“刪除”按鈕，系統(tǒng)彈出消息框確認(rèn)刪除，點(diǎn)擊“否”按鈕取消刪除，點(diǎn)擊“是”按鈕則刪除該系統(tǒng)規(guī)則。八設(shè)備管理8.1說(shuō)明用戶可用控制臺(tái)讀取、修改隔離設(shè)備的各種設(shè)置信息及相關(guān)的設(shè)備操作，設(shè)備管理依據(jù)內(nèi)容的不同分為網(wǎng)絡(luò)接口、安全通道、基本屬性、設(shè)備規(guī)則、設(shè)備狀態(tài)和設(shè)備操作等部分。8.2基本屬性設(shè)備基本屬性包含設(shè)備名稱、設(shè)備時(shí)間以及日志設(shè)置等信息。下圖為基本屬性設(shè)置界面：詳細(xì)說(shuō)明如下：屬性說(shuō)明設(shè)備名稱隔離設(shè)備的名稱，可由具備設(shè)備管理權(quán)限的用戶（如superman等）修改，該名稱可用于用戶登錄。工作模式系統(tǒng)支持三種工作模式，分別為透明模式，代理模式，路由模式；透明模式：系統(tǒng)無(wú)IP方式運(yùn)行，不影響現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；代理模式：為設(shè)備內(nèi)外網(wǎng)分別設(shè)置一個(gè)IP，內(nèi)外網(wǎng)兩端IP地址互不可見(jiàn)，完全由隔離設(shè)備產(chǎn)品來(lái)代理；路由模式：將隔離設(shè)備作為路由網(wǎng)關(guān)來(lái)使用，內(nèi)外網(wǎng)分別可以設(shè)置多個(gè)IP;設(shè)備時(shí)間隔離設(shè)備的硬件時(shí)鐘。具備設(shè)備管理權(quán)限的用戶（如superman等）可通過(guò)“讀取時(shí)間”從隔離設(shè)備讀取設(shè)備硬件時(shí)鐘，可通過(guò)“校時(shí)”修改隔離設(shè)備的硬件時(shí)鐘。設(shè)備密碼隔離設(shè)備的硬件密碼，當(dāng)用戶需要登錄控制臺(tái)并對(duì)該設(shè)備進(jìn)行操作時(shí)，需要輸入設(shè)備密碼。已登錄該設(shè)備且具有設(shè)備管理權(quán)限的用戶可通過(guò)“修改設(shè)備密碼”維護(hù)設(shè)備密碼。日志設(shè)置設(shè)置隔離設(shè)備通過(guò)網(wǎng)絡(luò)儲(chǔ)存日志?？蛇x擇是利用系統(tǒng)提供的數(shù)據(jù)報(bào)形式接收日志還是以標(biāo)準(zhǔn)SYSLOG形式接收日志，日志服務(wù)器的IP和端口需要填寫(xiě)正確。主/從設(shè)備設(shè)置隔離設(shè)備在雙機(jī)熱備工作模式下的工作狀態(tài)。登錄最大允許嘗試次數(shù)設(shè)置允許登錄最大嘗試次數(shù)，當(dāng)嘗試達(dá)到設(shè)置值之后，系統(tǒng)會(huì)鎖定該用戶并退出。登錄超時(shí)時(shí)間設(shè)置管理界面超時(shí)值，在設(shè)置的時(shí)間范圍內(nèi)控制臺(tái)無(wú)管理動(dòng)作時(shí)，管理控制臺(tái)系統(tǒng)會(huì)自動(dòng)退出。開(kāi)啟入侵檢測(cè)功能復(fù)選框?yàn)榇蚬礌顟B(tài)，即啟用該功能，反之則不啟用；開(kāi)啟抗DDOS功能復(fù)選框?yàn)榇蚬礌顟B(tài)，即啟用該功能，反之則不啟用；開(kāi)啟SNMP支持功能復(fù)選框?yàn)榇蚬礌顟B(tài)，即啟用該功能，反之則不啟用；8.3基本屬性設(shè)置說(shuō)明8.3.1設(shè)備工作狀態(tài)設(shè)置在基本屬性界面中，可設(shè)置當(dāng)前設(shè)備的工作狀態(tài)。在“設(shè)備名稱”后的下拉框中選擇“主設(shè)備”，點(diǎn)擊“設(shè)置”按鈕即可將當(dāng)前設(shè)備設(shè)置為熱備機(jī)組中的主設(shè)備；在“設(shè)備名稱”后的下拉菜單中選擇“從設(shè)備”，并在“主設(shè)備”下拉菜單中選擇一臺(tái)正在運(yùn)行的設(shè)備，點(diǎn)擊“設(shè)置”按鈕即可將當(dāng)前設(shè)備設(shè)置為指定設(shè)備的從設(shè)備，從而組成熱備機(jī)組。8.3.2日志設(shè)置用戶可通過(guò)更改日志設(shè)置來(lái)決定當(dāng)前設(shè)備是否記錄各種日志信息。復(fù)選“記錄日志”復(fù)選框，并在“服務(wù)器名稱”中輸入接收日志的日志服務(wù)器名稱，點(diǎn)擊“保存設(shè)置”按鈕，而后再點(diǎn)擊“應(yīng)用設(shè)置”按鈕，即可設(shè)置當(dāng)前設(shè)備將日志信息保存至相應(yīng)日志服務(wù)器；清除“記錄日志”復(fù)選框，點(diǎn)擊“保存設(shè)置”按鈕，而后再點(diǎn)擊“應(yīng)用設(shè)置”按鈕即設(shè)置隔離設(shè)備不保存日志。8.3.3時(shí)間設(shè)置點(diǎn)擊“讀取時(shí)間”按鈕可獲得隔離設(shè)備的當(dāng)前日期與時(shí)間，用戶可在時(shí)間輸入框內(nèi)錄入新的日期與時(shí)間，并點(diǎn)擊“設(shè)置時(shí)間”按鈕修改隔離設(shè)備的日期與時(shí)間。注：情景模式的時(shí)間以隔離設(shè)備時(shí)間為參照。8.3.3設(shè)備密碼設(shè)置點(diǎn)擊“修改設(shè)備密碼”按鈕，系統(tǒng)彈出修改設(shè)備密碼窗口，用戶在輸入“當(dāng)前設(shè)備密碼”、“新密碼”及“新密碼確認(rèn)”后，可點(diǎn)擊“確定”按鈕即可修改當(dāng)前設(shè)備密碼。8.3.4設(shè)備工作模式由下拉框中選擇設(shè)備的工作模式。其中，三種工作模式的基本特點(diǎn)如下所述。透明模式：設(shè)備工作為透明模式時(shí)，在外部網(wǎng)絡(luò)看來(lái)，設(shè)備就是一條透明的網(wǎng)絡(luò)，不存在網(wǎng)絡(luò)拓?fù)渲?，但是設(shè)備一樣有安全作用，是因?yàn)楦綦x設(shè)備的工作機(jī)制是白名單工作機(jī)制，即只允許明確指出允許通信的內(nèi)容才可以通信，除此之外的一律丟棄。比如允許內(nèi)網(wǎng)客戶端訪問(wèn)內(nèi)網(wǎng)服務(wù)器54的WEB應(yīng)用，這時(shí)加上透明模式的隔離設(shè)備后，不影響原有的拓?fù)浜驮O(shè)置，客戶端還采用原先的方式進(jìn)行訪問(wèn)即可，只不過(guò)它這時(shí)只能訪問(wèn)允許的WEB應(yīng)用和動(dòng)作，其他的應(yīng)用一律無(wú)法訪問(wèn)。代理模式：當(dāng)設(shè)備工作為代理模式時(shí)，客戶端比較容易理解隔離設(shè)備的工作原理，即代理。這時(shí)的客戶端需要將與服務(wù)器通信的內(nèi)容全部改由隔離設(shè)備的IP來(lái)進(jìn)行通信，在客戶端看來(lái)，服務(wù)器的IP已經(jīng)不可見(jiàn)，客戶端只需要把隔離設(shè)備的內(nèi)、外端機(jī)的IP作為其目標(biāo)服務(wù)器即可。比如，允許內(nèi)網(wǎng)客戶端訪問(wèn)外網(wǎng)服務(wù)器，這時(shí)需要給隔離設(shè)備分配兩個(gè)可以與該網(wǎng)段通信的IP，如在內(nèi)端機(jī)分配，外端機(jī)分配。這時(shí)內(nèi)網(wǎng)客戶端需要訪問(wèn)外網(wǎng)服務(wù)器的WEB應(yīng)用時(shí)，只需要訪問(wèn)，即可。因?yàn)樵诖砟Ｊ綍r(shí)，隔離設(shè)備會(huì)非常形象的代理客戶端與服務(wù)器進(jìn)行會(huì)話。路由模式：當(dāng)設(shè)備工作為路由模式時(shí)，客戶只需要將隔離設(shè)備理解為一個(gè)路由器或網(wǎng)關(guān)即可，客戶機(jī)的網(wǎng)關(guān)設(shè)置為隔離設(shè)備的IP，或到目標(biāo)段的靜態(tài)路由設(shè)置為隔離設(shè)備的IP，或其網(wǎng)關(guān)上做了路由設(shè)置可以到達(dá)隔離設(shè)備端時(shí)，客戶端訪問(wèn)目標(biāo)服務(wù)器的IP進(jìn)行相應(yīng)的訪問(wèn)即可，這時(shí)它一樣只能訪問(wèn)隔離設(shè)備允許的通信內(nèi)容，除此之外的一律無(wú)法訪問(wèn)。比如，內(nèi)網(wǎng)客戶端需要訪問(wèn)外網(wǎng)服務(wù)器的WEB應(yīng)用，這時(shí)需要給隔離設(shè)備分配兩個(gè)可以與該網(wǎng)段通信的IP，如在內(nèi)網(wǎng)端分配為，外網(wǎng)端分配為。客戶端需要將網(wǎng)關(guān)設(shè)置為，在瀏覽器中輸入，客戶端就可以訪問(wèn)到目標(biāo)服務(wù)器的真實(shí)IP（需要在外網(wǎng)端做出接口的隱藏源地址，該配置在網(wǎng)絡(luò)接口一章進(jìn)行說(shuō)明）。8.4網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口界面可以設(shè)置隔離設(shè)備的各個(gè)網(wǎng)絡(luò)接口的IP信息以及路由信息，并且在多IP的情況下，可以針對(duì)多個(gè)IP做對(duì)應(yīng)的設(shè)置。8.5網(wǎng)絡(luò)接口設(shè)置網(wǎng)絡(luò)接口設(shè)置界面中，分內(nèi)端機(jī)和外端機(jī)兩個(gè)標(biāo)簽，分別針對(duì)內(nèi)端機(jī)的網(wǎng)絡(luò)接口和外端機(jī)的網(wǎng)絡(luò)接口進(jìn)行設(shè)置。8.5.1網(wǎng)絡(luò)接口IP設(shè)置接口列表中，左側(cè)為序號(hào)，中間為接口名稱，該名稱對(duì)應(yīng)著設(shè)備外觀的網(wǎng)絡(luò)接口名稱。雙擊接口列表，出現(xiàn)網(wǎng)絡(luò)接口設(shè)置界面，如下圖：需要添加IP時(shí)，選擇相應(yīng)的接口，輸入IP及子網(wǎng)掩碼，按下“添加”按鈕，需要修改IP時(shí)，在IP列表中，選擇相應(yīng)的IP，修改內(nèi)容后，再按下“保存”按鈕，即可修改成功。在所有的IP設(shè)置完成后，按下“確定”按鈕，需要設(shè)備生效時(shí)，按下網(wǎng)絡(luò)接口界面下方的“應(yīng)用設(shè)置”按鈕，即可生效。8.5.2代理對(duì)應(yīng)列表設(shè)置當(dāng)設(shè)備工作為代理模式或路由模式時(shí)，設(shè)備的內(nèi)端機(jī)或外端機(jī)設(shè)置了多個(gè)IP，并且針對(duì)不同的IP需要訪問(wèn)不同的服務(wù)器的相同服務(wù)時(shí)，需要進(jìn)行代理對(duì)應(yīng)設(shè)置，比如：訪問(wèn)INT0接口的的WEB服務(wù)時(shí)，隔離設(shè)備代理其訪問(wèn)的WEB服務(wù)。訪問(wèn)INT0接口的的WEB服務(wù)時(shí)，隔離設(shè)備代理其訪問(wèn)的WEB服務(wù)。這種情況下需要對(duì)隔離設(shè)備內(nèi)網(wǎng)/外端機(jī)的多個(gè)IP（和）進(jìn)行對(duì)應(yīng)設(shè)置，否則設(shè)備將默認(rèn)按照第一個(gè)IP進(jìn)行對(duì)應(yīng)。在網(wǎng)絡(luò)接口界面中，按下“代理對(duì)應(yīng)>>>”出現(xiàn)如下界面：需要添加IP對(duì)應(yīng)時(shí)，選擇相應(yīng)的接口IP、服務(wù)和對(duì)應(yīng)的服務(wù)器的名稱和服務(wù)，按下“添加”按鈕，需要修改IP對(duì)應(yīng)時(shí)，在IP對(duì)應(yīng)列表中，選擇相應(yīng)的IP對(duì)應(yīng)項(xiàng)目，修改內(nèi)容后，再按下“保存”按鈕，即可修改成功。在所有的IP對(duì)應(yīng)設(shè)置完成后，按下“確定”按鈕，需要設(shè)備生效時(shí)，按下網(wǎng)絡(luò)接口界面下方的“應(yīng)用設(shè)置”按鈕，即可生效。8.5.3路由/網(wǎng)關(guān)設(shè)置在網(wǎng)絡(luò)接口界面下方的路由列表中，管理員可以針對(duì)內(nèi)外端機(jī)所處的網(wǎng)絡(luò)為之設(shè)置相應(yīng)的路由。路由指令在列表中會(huì)有提示，例如：內(nèi)端機(jī)到目標(biāo)段為子網(wǎng)掩碼為的路由，下一跳為可以設(shè)置為：routeadd–netnetmaskgw內(nèi)端機(jī)到目標(biāo)地址為58的路由，下一跳為可以設(shè)置為：routeadd–host58gw內(nèi)端機(jī)到所有未知目標(biāo)地址的路由，下一跳為可以設(shè)置為：routeadddefaultgw如下圖所示：注意：當(dāng)隔離設(shè)備工作為路由模式時(shí)，在路由列表上方會(huì)有一個(gè)復(fù)選框【將源地址自動(dòng)隱藏】，該復(fù)選框打勾即表示，由該處理單元發(fā)出的會(huì)話，其源地址要自動(dòng)封裝成其出口地址。管理員也可以手動(dòng)在路由列表中輸入【HIDESRCIP】的條目，表示自動(dòng)隱藏源IP地址。該功能的主要作用是為了方便客戶在將隔離設(shè)備作為路由設(shè)置時(shí)，對(duì)端不需要知曉客戶端的源地址。其類似防火墻的SNAT功能。外端機(jī)的設(shè)置與內(nèi)端機(jī)是對(duì)等的，管理員可依據(jù)實(shí)際情況進(jìn)行設(shè)置。8.6設(shè)備狀態(tài)管理員可以在功能選擇區(qū)選擇查看設(shè)備狀態(tài)，包括系統(tǒng)的CPU使用率、內(nèi)存使用率、以及系統(tǒng)當(dāng)前吞吐量【單位為比特】。右鍵鼠標(biāo)，可以在快捷菜單中選擇設(shè)置設(shè)備狀態(tài)的更新頻率。8.7安全通道設(shè)備的安全通道管理是用來(lái)設(shè)置哪兩個(gè)網(wǎng)絡(luò)區(qū)域進(jìn)行數(shù)據(jù)交換的，隔離設(shè)備的內(nèi)端機(jī)和外端機(jī)的任意兩個(gè)網(wǎng)絡(luò)接口都可組成一個(gè)安全通道，如下圖：詳細(xì)說(shuō)明如下：屬性說(shuō)明通道名稱安全通道在本系統(tǒng)的唯一標(biāo)識(shí)源區(qū)域通道的源端口，一般情況下為內(nèi)網(wǎng)用戶所在的網(wǎng)絡(luò)區(qū)域，接口為該通道的內(nèi)網(wǎng)通信接口；目標(biāo)區(qū)域通道的目標(biāo)端口，一般情況下為外網(wǎng)用戶所在的網(wǎng)絡(luò)區(qū)域，接口為該通道的外網(wǎng)通信接口；規(guī)則組描述對(duì)該通道的描述，如市場(chǎng)部訪問(wèn)公網(wǎng)通道8.7安全通道設(shè)置說(shuō)明8.7.1添加安全通道在安全通道管理界面中，分別輸入“通道名稱”、“源區(qū)域”、“目標(biāo)區(qū)域”、“安全通道描述”信息，點(diǎn)擊“添加”按鈕，系統(tǒng)彈出消息框提示添加成功，點(diǎn)擊“確定”按鈕返回安全通道管理界面，完成添加工作。8.7.2修改安全通道在安全通道列表中選中所要修改的安全通道，修改其內(nèi)容，點(diǎn)擊“確定”按鈕，系統(tǒng)彈出消息框提示保存成功，點(diǎn)擊“確定”按鈕返回安全通道管理界面，完成安全通道修改。8.7.3刪除安全通道在安全通道列表中選擇要?jiǎng)h除的安全通道，點(diǎn)擊“刪除”按鈕，系統(tǒng)彈出消息框確認(rèn)刪除，點(diǎn)擊“否”按鈕取消刪除，點(diǎn)擊“是”按鈕則刪除該安全通道。8.8設(shè)備規(guī)則用戶可在設(shè)備規(guī)則管理界面讀取隔離設(shè)備當(dāng)前正在運(yùn)行的規(guī)則及向隔離設(shè)備加載已經(jīng)定制好的系統(tǒng)規(guī)則，管理界面如下：該界面包含兩個(gè)規(guī)則列表，上方的列表為當(dāng)前運(yùn)行規(guī)則列表，列出當(dāng)前設(shè)備正在運(yùn)行的所有規(guī)則信息，下方的列表為當(dāng)前系統(tǒng)規(guī)則列表，列出所有在控制臺(tái)定制完成的規(guī)則信息。在設(shè)備規(guī)則界面中，用戶通過(guò)可雙擊該規(guī)則了解某規(guī)則的詳細(xì)信息，系統(tǒng)則以樹(shù)形方式顯示該規(guī)則的詳細(xì)信息，如模板、源/目的組、應(yīng)用/服務(wù)、時(shí)間模式、動(dòng)作等，如下圖：在當(dāng)前運(yùn)行規(guī)則的詳細(xì)信息顯示框中，用戶可點(diǎn)擊“添加到本地系統(tǒng)規(guī)則”按鈕將該規(guī)則添加到控制臺(tái)中。8.9設(shè)備規(guī)則設(shè)置說(shuō)明8.9.1讀取設(shè)備規(guī)則在當(dāng)前運(yùn)行規(guī)則列表中，點(diǎn)擊鼠標(biāo)右鍵，并在彈出的右鍵菜單中選擇“讀取當(dāng)前運(yùn)行規(guī)則”命令。8.9.2刪除設(shè)備規(guī)則在當(dāng)前運(yùn)行規(guī)則列表中，右鍵點(diǎn)擊所要?jiǎng)h除的設(shè)備規(guī)則，在右鍵菜單中選擇“刪除指定規(guī)則”命令，完成設(shè)備規(guī)則刪除操作。注：如果用戶刪除某條設(shè)備規(guī)則，僅使隔離設(shè)備不執(zhí)行該條規(guī)則，該規(guī)則并不從控制臺(tái)刪除，用戶如果需要將規(guī)則從控制臺(tái)刪除，見(jiàn)7.7.3節(jié)內(nèi)容。8.9.3應(yīng)用設(shè)備規(guī)則在當(dāng)前系統(tǒng)規(guī)則中，右鍵點(diǎn)擊所要應(yīng)用系統(tǒng)規(guī)則，在右鍵菜單中選擇“應(yīng)用指定系統(tǒng)規(guī)則”命令，可使隔離設(shè)備即刻運(yùn)行該規(guī)則。如果需要應(yīng)用所有系統(tǒng)規(guī)則，只需右鍵點(diǎn)擊當(dāng)前系統(tǒng)規(guī)則列表中的任意位置，在彈出的右鍵菜單中選擇“應(yīng)用所有系統(tǒng)規(guī)則”命令，可使隔離設(shè)備即刻運(yùn)行所有系統(tǒng)規(guī)則。8.10設(shè)備操作用戶可在控制臺(tái)重新啟動(dòng)或者關(guān)閉隔離設(shè)備。具備設(shè)備操作權(quán)限的用戶（如superman等）可通過(guò)點(diǎn)擊相應(yīng)的按鈕，并在確認(rèn)之后完成相應(yīng)的設(shè)備操作。九事件管理天融信安全隔離與信息交換系統(tǒng)具有完備的日志查詢及審計(jì)能力，具備事件查詢權(quán)限的用戶（如superlog等）可在日志管理界面完成各種條件的事件查詢操作。9.1系統(tǒng)事件系統(tǒng)事件記錄用戶針對(duì)天融信安全隔離與信息交換系統(tǒng)的管理行為，如添加用戶、修改系統(tǒng)時(shí)間、修改規(guī)則、用戶登錄/退出等。系統(tǒng)事件管理界面如下：詳細(xì)說(shuō)明如下：屬性說(shuō)明起始時(shí)間所要查詢的系統(tǒng)事件的開(kāi)始時(shí)間終止時(shí)間所要查詢的系統(tǒng)事件的終止時(shí)間用戶按照用戶查詢系統(tǒng)事件設(shè)備名稱按照隔離設(shè)備名稱查詢系統(tǒng)事件導(dǎo)出將查到的符合條件的事件導(dǎo)出刪除刪除當(dāng)前的事件9.2系統(tǒng)事件操作說(shuō)明9.2.1查詢系統(tǒng)事件以具備系統(tǒng)事件查詢權(quán)限的用戶（如：superlog）登錄，輸入查詢條件信息，如時(shí)間范圍、用戶名、設(shè)備名，點(diǎn)擊“查詢”按鈕即可查詢相應(yīng)的系統(tǒng)事件信息。注：如果在查詢條件內(nèi)不輸入“用戶名”信息，則查詢所有用戶在指定時(shí)間范圍內(nèi)對(duì)指定隔離設(shè)備的操作事件；如果在查詢條件內(nèi)不輸入“設(shè)備名稱”信息，則查詢指定用戶在指定時(shí)間范圍內(nèi)對(duì)所有隔離設(shè)備的操作事件。9.2.2導(dǎo)出系統(tǒng)事件以特定條件進(jìn)行系統(tǒng)事件查詢后，點(diǎn)擊“導(dǎo)出”按鈕，在彈出的消息框內(nèi)選擇保存系統(tǒng)事件的路徑與文件，點(diǎn)擊“Save”按鈕，彈出如下消息框：點(diǎn)擊“是”按鈕則刪除已查詢到的系統(tǒng)事件，點(diǎn)擊“否”按鈕則不刪除。9.2.3刪除系統(tǒng)事件以特定條件進(jìn)行系統(tǒng)事件查詢后，點(diǎn)擊“刪除”按鈕，在彈出的消息框內(nèi)點(diǎn)擊“是”按鈕則確認(rèn)刪除。9.3成功事件成功事件記錄符合天融信安全隔離與信息交換系統(tǒng)規(guī)則的各種網(wǎng)絡(luò)行為，即被隔離設(shè)備成功處理的各種網(wǎng)絡(luò)訪問(wèn)，如符合規(guī)則的郵件傳輸、文件下載等。成功事件管理界面如下：詳細(xì)說(shuō)明如下：屬性說(shuō)明起始時(shí)間所要查詢的成功事件的開(kāi)始時(shí)間終止時(shí)間所要查詢的成功事件的終止時(shí)間IP地址按照IP地址查詢成功事件設(shè)備名稱按照隔離設(shè)備名稱查詢成功事件導(dǎo)出將查到的符合條件的事件導(dǎo)出刪除刪除當(dāng)前的事件9.4成功事件操作說(shuō)明9.4.1查詢成功事件以具備成功事件查詢權(quán)限的用戶（如：superlog）登錄，輸入查詢條件信息，如時(shí)間范圍、IP地址、設(shè)備名，點(diǎn)擊“查詢”按鈕即可查詢相應(yīng)的成功事件信息。9.4.2導(dǎo)出成功事件以特定條件進(jìn)行成功事件查詢后，點(diǎn)擊“導(dǎo)出”按鈕，在彈出的對(duì)話框內(nèi)選擇保存成功事件的路徑與文件，點(diǎn)擊“Save”按鈕，彈出如下對(duì)話框：點(diǎn)擊“是”按鈕則刪除已查詢到的系統(tǒng)事件，點(diǎn)擊“否”按鈕則不刪除。9.4.3刪除成功事件以特定條件進(jìn)行成功事件查詢后，點(diǎn)擊“刪除”按鈕，在彈出的對(duì)話框內(nèi)點(diǎn)擊“是”按鈕則確認(rèn)刪除。9.5報(bào)警事件報(bào)警事件記錄不符合天融信安全隔離與信息交換系統(tǒng)規(guī)則的各種網(wǎng)絡(luò)行為，即被隔離設(shè)備拒絕的各種網(wǎng)絡(luò)訪問(wèn)，如不符合規(guī)則的郵件傳輸、文件下載等。報(bào)警事件管理界面如下：詳細(xì)說(shuō)明如下：屬性說(shuō)明起始時(shí)間所要查詢的報(bào)警事件的開(kāi)始時(shí)間終止時(shí)間所要查詢的報(bào)警事件的終止時(shí)間IP地址按照IP地址查詢報(bào)警事件設(shè)備名稱按照隔離設(shè)備名稱查詢報(bào)警事件導(dǎo)出將查到的符合條件的事件導(dǎo)出刪除刪除當(dāng)前的事件9.6報(bào)警事件操作說(shuō)明9.6.1查詢報(bào)警事件以具備報(bào)警事件查詢權(quán)限的用戶（如：superlog）登錄，輸入查詢條件信息，如時(shí)間范圍、IP地址、設(shè)備名，點(diǎn)擊“查詢”按鈕即可查詢相應(yīng)的報(bào)警事件信息。9.6.2導(dǎo)出報(bào)警事件以特定條件進(jìn)行報(bào)警事件查詢后，點(diǎn)擊“查詢”按鈕，在彈出的對(duì)話框內(nèi)選擇保存報(bào)警事件的路徑與文件，點(diǎn)擊“Save”按鈕，彈出如下對(duì)話框：點(diǎn)擊“是”按鈕則刪除已查詢到的報(bào)警事件，點(diǎn)擊“否”按鈕則不刪除。9.6.3刪除報(bào)警事件以特定條件進(jìn)行報(bào)警事件查詢后，點(diǎn)擊“刪除”按鈕，在彈出的對(duì)話框內(nèi)點(diǎn)擊“是”按鈕則確認(rèn)刪除。9.7事件報(bào)告事件報(bào)告依據(jù)日志服務(wù)器所存儲(chǔ)的各種事件信息生成Html格式的報(bào)表。下圖為事件報(bào)告界面詳細(xì)說(shuō)明如下：屬性說(shuō)明起始時(shí)間所要?jiǎng)?chuàng)建報(bào)告中事件的開(kāi)始時(shí)間終止時(shí)間所要?jiǎng)?chuàng)建報(bào)告中事件的終止時(shí)間設(shè)備是否按照隔離設(shè)備名稱創(chuàng)建報(bào)告輸出路徑報(bào)告文件的保存位置9.8事件報(bào)告操作說(shuō)明在事件報(bào)告界面中，輸入“起始時(shí)間”、“終止時(shí)間”、“設(shè)備”、“輸出路徑”信息，點(diǎn)擊“創(chuàng)建報(bào)告”按鈕，系統(tǒng)自動(dòng)創(chuàng)建相應(yīng)的事件報(bào)告。十功能菜單說(shuō)明控制臺(tái)界面的頂端為設(shè)備操作的系統(tǒng)功能菜單界面，主要的菜單及功能如下表所示：菜單項(xiàng)目功能說(shuō)明系統(tǒng)修改密碼該修改密碼功能是修改當(dāng)前登錄用戶的管理密碼功能，與設(shè)備基本屬性的修改密碼不同；只有系統(tǒng)做了保存，密碼修改才會(huì)生效。系統(tǒng)退出管理控制臺(tái)系統(tǒng)退出；控制臺(tái)退出時(shí)，會(huì)自動(dòng)保存管理員所做的所有操作；數(shù)據(jù)操作保存數(shù)據(jù)為了防止系統(tǒng)意外錯(cuò)誤或斷電，管理員可以利用此菜單將所做的管理配置進(jìn)行保存。注：這里的保存只是保存在了本地控制臺(tái)的策略庫(kù)中，并未發(fā)送到設(shè)備端進(jìn)行生效。初始化系統(tǒng)使用該菜單時(shí)，系統(tǒng)會(huì)彈出對(duì)話框詢問(wèn)是否要初始化系統(tǒng)【如下圖所示】，在管理員確認(rèn)之后，系統(tǒng)會(huì)將系統(tǒng)控制臺(tái)以及隔離設(shè)備中的配置進(jìn)行初始化操作，并且系統(tǒng)會(huì)重新啟動(dòng)。幫助幫助主題該功能將會(huì)提供給用戶相應(yīng)的操作幫助以及提示，類似于安裝使用手冊(cè)。關(guān)于…關(guān)于本系統(tǒng)的版本、版權(quán)以及本公司的部分信息。十一配置實(shí)例實(shí)例一透明代理模式下，HTTP訪問(wèn)客戶端是8，服務(wù)端為01，當(dāng)源地址與目標(biāo)地址處于同一網(wǎng)絡(luò)時(shí)，為了保證客戶端在不改變?cè)L問(wèn)方式和系統(tǒng)配置的情況下，采用透明工作模式為最好的解決方案。定制訪問(wèn)策略，步驟如下：以superman登錄，在對(duì)象管理界面中添加對(duì)象“測(cè)試工程師”及“WEB服務(wù)器”分別輸入相應(yīng)的IP等信息；如下圖所示：添加對(duì)象組“測(cè)試組”與“服務(wù)器”，并設(shè)置“測(cè)試組”對(duì)象組包含對(duì)象“測(cè)試工程師”，“服務(wù)器”對(duì)象組包含對(duì)象“WEB服務(wù)器”；在服務(wù)配置界面中，添加服務(wù)HTTP，綁定相應(yīng)的HTTP處理模塊，信息如下：web服務(wù)名稱web處理模塊HTTP采用協(xié)議IP->TCP源端口1024-65535服務(wù)端口80映射端口80其中，HTTP服務(wù)配置如下命令：起始位置命令相隔符號(hào)參數(shù)動(dòng)作命令1GET允許命令2PUT允許命令3POST允許命令4HEAD允許….其它所有拒絕在應(yīng)用配置界面中，添加應(yīng)用“瀏覽網(wǎng)頁(yè)”，該應(yīng)用包含“web”服務(wù)；在內(nèi)容過(guò)濾中，添加內(nèi)容過(guò)濾“我的內(nèi)容過(guò)濾”選取應(yīng)用“網(wǎng)頁(yè)瀏覽”，復(fù)選“過(guò)濾文件類型”為“DLL、EXE”；在時(shí)間模式中，添加時(shí)間模式“Work_time”開(kāi)始時(shí)間為“09:00:00”，結(jié)束時(shí)間為“17:30:00”；在系統(tǒng)模板中，添加系統(tǒng)模板“測(cè)試WEB服務(wù)訪問(wèn)”，其中，源對(duì)象組為“測(cè)試組”，目標(biāo)對(duì)象為“服務(wù)器”，應(yīng)用為“網(wǎng)頁(yè)瀏覽”，時(shí)間為“Work_time”，動(dòng)作為“允許”；在設(shè)備管理界面中，選取源區(qū)域?yàn)椤皟?nèi)網(wǎng)”和“INT0”，目標(biāo)區(qū)域?yàn)椤巴饩W(wǎng)”和“EXT0”，建立通道“內(nèi)到外”，在規(guī)則管理界面中，添加規(guī)則“內(nèi)網(wǎng)工程師測(cè)試外網(wǎng)WEB服務(wù)器”，選擇通道為“內(nèi)到外”,包含模板為“測(cè)試WEB服務(wù)訪問(wèn)”；在設(shè)備規(guī)則界面中，刪除正在運(yùn)行的規(guī)則并將規(guī)則“內(nèi)網(wǎng)工程師測(cè)試外網(wǎng)WEB服務(wù)器”應(yīng)用到隔離設(shè)備。設(shè)置設(shè)備工作模式，在設(shè)備基本屬性頁(yè)面，選擇工作模式為透明模式，并且按下“應(yīng)用設(shè)置”按鈕。至此，隔離設(shè)備規(guī)則設(shè)置完成，此時(shí)隔離設(shè)備僅允許“測(cè)試工程師”在9：00-17：30訪問(wèn)“WEB服務(wù)器”的TCP80端口的HTTP服務(wù)，且在HTTP協(xié)議內(nèi)容上僅允許GET、PUT、POST、HEAD動(dòng)作發(fā)生，同時(shí)過(guò)濾DLL、EXE文件?？蛻舳嗽L問(wèn)方式為Http://01實(shí)例二代理模式下，HTTP訪問(wèn)客戶端是8，服務(wù)端為01，當(dāng)源地址與目標(biāo)地址處于不同段網(wǎng)絡(luò)時(shí)，之前客戶端與服務(wù)端從未進(jìn)行過(guò)通信或數(shù)據(jù)交換時(shí)，將設(shè)備設(shè)置為代理模式，以更好表現(xiàn)形式來(lái)完成網(wǎng)絡(luò)的隔離性。定制訪問(wèn)策略，步驟如下：其他步驟與上一案例一致，除了以下幾個(gè)步驟。修改WEB服務(wù)器地址為01。修改WEB服務(wù)代理端口為8080。設(shè)置設(shè)備工作模式，在設(shè)備基本屬性頁(yè)面，選擇工作模式為代理模式，并且按下“應(yīng)用設(shè)置”按鈕。為設(shè)備分配IP地址在網(wǎng)絡(luò)接口界面中，分別為內(nèi)端機(jī)的INT0接口和外端機(jī)的EXT0接口設(shè)置可以與測(cè)試對(duì)象能夠通信的IP，這里我們舉例為9和9；由于此時(shí)的服務(wù)器只有一個(gè)，且隔離設(shè)備的內(nèi)、外端機(jī)只有一個(gè)IP，因此不需要做代理對(duì)應(yīng)設(shè)置。按下網(wǎng)絡(luò)接口界面中的“應(yīng)用設(shè)置按鈕”，IP設(shè)置生效。在設(shè)備規(guī)則中，刪除所有系統(tǒng)規(guī)則，再應(yīng)用當(dāng)前所有系統(tǒng)規(guī)則或指定規(guī)則。至此，隔離設(shè)備規(guī)則設(shè)置完成，此時(shí)隔離設(shè)備僅允許“測(cè)試工程師”在9：00-17：30訪問(wèn)“WEB服務(wù)器”的TCP80端口的HTTP服務(wù)，且在HTTP協(xié)議內(nèi)容上僅允許GET動(dòng)作發(fā)生，同時(shí)過(guò)濾DLL、EXE文件。訪問(wèn)方式為Http://9:8080該訪問(wèn)方式很清楚的表明了，客戶端訪問(wèn)隔離設(shè)備的內(nèi)網(wǎng)端的【9】的映射端口【8080】，隔離設(shè)備會(huì)代替客戶端訪問(wèn)到目標(biāo)服務(wù)器【01】的【80】端口的WEB服務(wù)。實(shí)例三代理模式下，多個(gè)HTTP訪問(wèn)客戶端是8，服務(wù)端有兩個(gè)，分別為00和01，兩個(gè)服務(wù)器均提供WEB服務(wù)，并且端口均為80。當(dāng)源地址與目標(biāo)地址處于不同段網(wǎng)絡(luò)時(shí)，之前客戶端與服務(wù)端從未進(jìn)行過(guò)通信或數(shù)據(jù)交換，將設(shè)備設(shè)置為代理模式，以更好表現(xiàn)形式來(lái)完成網(wǎng)絡(luò)的隔離性。定制訪問(wèn)策略，步驟如下：其他步驟與上一案例一致，除了以下幾個(gè)步驟。增加對(duì)象“WEB服務(wù)器100”，地址為00。將新增的服務(wù)器歸到服務(wù)器組。將服務(wù)中的WEB服務(wù)的映射端口修改為80。刪除當(dāng)前所有系統(tǒng)規(guī)則，再應(yīng)用所有系統(tǒng)規(guī)則。為設(shè)備分配IP地址由于要求客戶端訪問(wèn)兩個(gè)服務(wù)器時(shí)都要用80端口進(jìn)行訪問(wèn)，并且不允許訪問(wèn)直接的真實(shí)IP，因此需要在網(wǎng)絡(luò)接口界面中，分別為內(nèi)端機(jī)的INT0接口設(shè)置兩個(gè)IP用來(lái)對(duì)應(yīng)兩個(gè)服務(wù)器的真實(shí)IP。這里我們舉例為9對(duì)應(yīng)00和0對(duì)應(yīng)01；按下網(wǎng)絡(luò)接口界面的“應(yīng)用設(shè)置”按鈕，配置生效。至此，隔離設(shè)備規(guī)則設(shè)置完成，此時(shí)隔離設(shè)備僅允許“測(cè)試工程師”在9：00-17：30訪問(wèn)“WEB服務(wù)器”和“WEB服務(wù)器100”的TCP80端口的HTTP服務(wù)，且在HTTP協(xié)議內(nèi)容上僅允許GET動(dòng)作發(fā)生，同時(shí)過(guò)濾DLL、EXE文件。訪問(wèn)00的方式為Http://99會(huì)自動(dòng)對(duì)應(yīng)到服務(wù)器00。訪問(wèn)01的方式為Http://00會(huì)自動(dòng)對(duì)應(yīng)到服務(wù)器01。實(shí)例四路由模式下，HTTP訪問(wèn)客戶端IP是8，服務(wù)端IP是00和01，當(dāng)源地址與目標(biāo)地址不在同一網(wǎng)絡(luò)時(shí)，為了保證客戶端訪問(wèn)服務(wù)端真實(shí)IP和端口的情況下，采用路由工作模式為最好的解決方案。定制訪問(wèn)策略，步驟如下：其他步驟與上一案例一致，除了以下幾個(gè)步驟。修改工作模式為路由模式，并應(yīng)用設(shè)置。在網(wǎng)絡(luò)接口中設(shè)置內(nèi)端機(jī)的INT0