您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > SysKeeper-2000网络安全隔离装置(反向)用户手册(v4.0)
NARI-2000网络安全隔离(反向)用户手册国电自动化研究院信息技术研究所1目录一、产品介绍........................................................................................................2二、产品的分发与安装........................................................................................3三、启动配置管理主界面....................................................................................5四、退出配置管理主界面....................................................................................8五、设备证书和私钥的生成................................................................................8六、规则配置......................................................................................................11七、用户管理......................................................................................................14八、系统调试......................................................................................................15九、链路状态监视..............................................................................................17十、反向文件传输软件说明(NT版本).........................................................1810.1简介......................................................................................................1810.2反向传输软件典型运行图.................................................................2010.3SysKeeper-2000反向文件传输软件操作FAQ................................242一、产品介绍SysKeeper-2000网络安全隔离产品的硬件结构框图如图1所示。本产品硬件采用Motorola的PowerPC8245嵌入式计算机芯片,双机之间通过高速FIFO芯片进行物理连接,底板上各有一个以太网接口用来连接要隔离的两个网络,主板上有两个串口可以用来连接配置终端,方便管理人员对网络安全隔离设备的控制,硬件看门狗时刻监视系统状态,保证隔离装置的稳定、可靠运行。图1SysKeeper-2000网络安全隔离产品硬件结构框图反向隔离设备的前面板图如图2所示,有三个指示灯分别是电源指示灯、内网灯和外网灯。图2SysKeeper-2000网络安全隔离设备(反向)前面板图后面板图如图3所示,隔离设备设计有双电源,有一个电源作为主电源供电,一个作为辅电源作备份,这种设计可以有效地提高电源工作的可靠性及延长整个电源内网灯外网灯3系统的平均无故障工作时间。最左边是电源开关1,然后是电源插座1,电源开关2,电源插座2,系统复位按钮。内网Console口用来对安全隔离设备的内网侧状态信息进行监控,内网网口用来连接内网,外网Console口用来对安全隔离设备的进行配置,外网网口用来连接外网。双机接口用做主、备机的双机热备份,告警接口通过专用协议输出报警信息。图3SysKeeper-2000网络安全隔离产品(反向)后面板图二、产品的分发与安装Syskeeper-2000安全隔离设备(反向)分为硬件和软件两大部分。用户在收到产品时,应先检查本产品的标志,看是否具有南瑞集团公司的NARI标志,出厂日期和序列号是否正确。此硬件设备具有一次性产品封条,请仔细检查封条的完好性和封条的序列号。如封条破损或者序列号不符的情况,请勿使用,并及时与我们取得联系,处理相关事宜。同样,为了产品的可靠稳定运行,请勿破坏封条,私自打开机箱设备。SysKeeper-2000安全隔离产品随机带有软件安装光盘,适用于Windows2000/XP/9x等操作系统的用户。首先,将光盘插入光驱,打开光盘目录,可以看到“配置软件”的目录,点击SysKeeper配置程序的安装软件包,安装安全隔离设备客户端配置工具。复位按钮电源1电源2双机接口告警接口内网Console口外网Console口内网网口外网网口滚轴风扇4安装过程如下所述:将安装盘插入光盘驱动器中,然后在Windows资源管理器中双击该盘中的/配置软件/setup.exe文件,即可自动安装客户端程序。屏幕出现SysKeeper-2000配置安装程序,点击“下一步”按钮。出现软件使用协议条款,选择“同意”接受条款,选择“拒绝”退出安装。出现安装目录窗口,提示用户输入安装目录,选择“浏览”按钮更改安装目录,点击“下一步”按钮继续。选择程序管理器组,点击“下一步”按钮继续。选择设置选项,点击“下一步”按钮继续。接着是确认安装信息,点击“下一步”按钮开始安装。安装完成,点击“完成”按钮。SysKeeper-2000网络安全隔离设备从用户角度考虑,旨在保护安全的内部网络,网络安全隔离设备的安装和部署非常简单如图4所示。系统部署在网络的出口处,有一个内网接口和一个外网接口,分别与内网和外网相连。图4安装网络拓扑图5三、启动配置管理主界面1)隔离设备的客户端安装结束后,在Windows的桌面上产生名称为SysKeeper2000-反向的快捷方式,双击此快捷方式,启动配置管理主界面,如图5所示。图5SysKeeper-2000网络安全隔离设备(反向)配置管理界面2)启动应用程序后,由于配置是通过串行口与隔离设备进行通讯的,所以首先必须配置串行口,将配置机的串行口与隔离装置的外网Console口连接,然后点击串口配置菜单,选择正确的串口,如果配置机使用的是串口1,端口选择COM1,如果是串口2,端口选择COM2,如图6所示(注:如果使用的是usb转串口线,请选择配置菜单下面的非标准串口)。6图6配置串口界面3)点击连接菜单,如果串口连接正常,系统将会提示成功连接串口,如图7所示。如果没有提示信息,用户可以检查客户端与隔离设备的串口连接是否正确,确定正确的连接端口后,再次连接即可。图7串口连接成功提示框4)点击规则配置菜单中的配置规则按钮,系统提示输入用户名及相应的口令。注意:这里输入的用户名及口令必须是一一对应的,否则系统将会提示错误信息,如图8所示。系统默认管理员用户名和密码是root,root,用户在收到安全隔离产品后,请立刻更改口令。7图8口令错误提示框5)在输入用户口令后,会出现导出规则进度条(注:从安全角度考虑,本地不保留配置规则,每次启动时从隔离装置导出),导出成功后进入配置规则主界面,如图9所示。图9SysKeeper-2000网络安全隔离设备(反向)规则配置界面6)下面就是编辑规则文件,具体的规则配置参见“配置规则”一节。7)所有的规则配置完成后,选择保存配置按钮,然后点击导入装置按钮将规则导入到装置以完成规则配置。如果导入成功,系统会提示已成功导入,请重新启动,请点击重新启动装置按钮重新启动SysKeeper-2000安全隔离装置。(注意:只需对外网侧进行规则配置即可,为了使配置规则生效,必须重新启动安全隔离设备,可以通过配置规则中的重新启动装置按钮进行启动或者直接使用隔离设备的开关进行装置启动,建议在导入设备证书后进行装置重新启动)。8)选择证书管理菜单中的导入证书按钮,选择III区网关机的设备证8书,证书的生成参见”证书生成”一节。如果导入证书成功,系统会提示已成功导入x.509标准证书,如图10所示。图10证书导入成功提示框四、退出配置管理主界面用户如果正确配置了安全隔离设备后,可以先退出配置规则主界面,再继续进行其他操作。单击主界面右上角的关闭按钮,即可退出安全隔离设备配置规则主界面。五、设备证书和私钥的生成1.将openssl目录拷贝到信任主机的C盘根目录下,openssl目录里包含openssl.exe﹑libeay32.dll﹑libssl32.dll.2﹑openssl.conf和ca.bat脚本文件,如下图所示:图112.CA证书生成。利用ca.bat这个批处理文件来产生CA密匙对和证书。在openssl目录下执行命令cagenca生成CA证书,具体的过程如图11所示:9图12CA证书生成因为CA私人密匙是证书执行过程中最重要的基础之一,所以密匙被赋予一个通行码(passphrase),是用来保护私匙的密码。当系统提示EnterPEMpassphrase:用户可以自由选择一个安全的口令,在下面签署设备证书的时候也需要输入此口令。10CountryName(2lettercode)[AU]:86(国家代号)StateorProvinceName(fullname)[Some-State]:jiangsu(省份名称)LocalityName(eg,city)[]:nanjing(城市名称)OrganizationName(eg,company)[InternetWidgitsPtyLtd]:nari(公司名称)OrganizationalUnitName(eg,section)[]:xxs(部门名称)CommonName(eg,YOURname)[]:CA(姓名)EmailAddress[]:ca@nari-china.com(Email地址)其它的选项如上所示。完成以上步骤之后,CA证书将存储在c:\ca\cacert.pem文件中,密匙对存储在C:\CA\private\CAkey.pem文件中。3.III区网关机设备证书和密钥对生成在openssl目录下执行命令caclient生成III区网关机的设备证书,具体过程如图13所示,其它选项如下图所示。CountryName(2lettercode)[AU]:86(国家代号)StateorProvinceName(fullname)[Some-State]:jiangsu(省份名称)LocalityName(eg,city)[]:nanjing(城市名称)OrganizationName(eg,company)[InternetWidgitsPtyLtd]:jsepc(公司名称)OrganizationalUnitName(eg,section)[]:diaodu(部门名称)CommonName(eg,YOURname)[]:2.0.7.4(网关机IP地址)EmailAddress[]:shebei@jsepc.com.cn(Email地址)完成以上步骤之后,在C:\CA\temp\client生成如下文件:client.key(网关机设备私钥),client.crt(网关机设备证书,将证书名称改为网关机IP地址.crt)。11图13设备证书生成六、规则配置综合过滤能够为安全隔离设备提供基本的
本文标题:SysKeeper-2000网络安全隔离装置(反向)用户手册(v4.0)
链接地址:https://www.777doc.com/doc-1750284 .html