StoneWall-2000网络安全隔离设备(正向型)使用指南

版权声明StoneWall-2000网络安全隔离设备(正向型)Ver1.0版权归中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司所有，任何侵犯版权的行为将被追究法律责任。未经版权所有者的书面准许，不得将本手册的任何部分以任何形式、采用任何手段（电子的或机械的，包括照相复制或录制）、或为任何目的，进行复制或扩散。Copyright©2001-2002中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司。版权所有，复制必究。中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司不对因为使用该软件、用户手册或由于该软件、用户手册中的缺陷所造成的任何损失负责。前言互联网从无到有以飞快的速度发展着，它的开放性在给人们带来巨大便利的同时，也带来了系统入侵、信息泄密等网络安全问题。网络的存在使得信息能达到高度共享和迅速传递，但是也要清楚认识到，网络安全问题作为一个十分重要的问题是一直存在着的。目前，有很多网络安全工具，比如防火墙、IDS等等，网络安全隔离作为近几年来国内研究开发的网络安全技术也飞速发展起来，相信在不久的将来网络安全隔离在信息安全领域将扮演着越来越重要的角色。StoneWall-2000网络安全隔离设备(正向型)是在包过滤的基础上，通过采用特殊的硬件设备来实现主机与主机之间、主机与网络之间、网络与网络之间的隔离。本系统采取了单向链接、单向数据传输、数据分阶段非网络递交等措施因此有效的实现了网络的物理隔离。本系统的总体结构按照国家有关信息安全的昀近标准设计，具备软、硬结合的数据流向控制、连接方向控制、多级访问的立体控制的功能、具备高强度的防御功能、支持包括无IP地址监听、网络地址转换等多种工作模式。同时，提供了丰富的GUI方式的管理和监控工具，可以方便的对设备进行安全策略配置、用户管理、实时监控、日志查询等操作。因此StoneWall-2000网络安全隔离设备(正向型)是实施网络物理安全隔离的昀佳装置。阅读指南〖手册目标〗本手册是中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司的产品StoneWall-2000网络安全隔离设备(正向型)的用户指南，它详细地介绍了设备功能和操作。通过阅读本手册，用户可以掌握StoneWall-2000网络安全隔离设备(正向型)的使用方法。〖阅读对象〗本手册是专为购买StoneWall-2000网络安全隔离设备(正向型)的用户编写的。用户在使用隔离设备之前请仔细阅读本手册，以免误操作，造成不必要的损失。〖手册构成〗本手册主要由以下几个部分组成：1．第一部分：背景，包括第1章“网络安全隔离设备介绍”和第2章“StoneWall-2000网络安全隔离设备(正向型)简介”，介绍了与网络安全隔离技术有关的背景知识以及StoneWall-2000网络安全隔离设备(正向型)的功能。2．第二部分：安装篇，包括第3章“StoneWall-2000网络安全隔离设备(正向型)连接网络说明”，介绍StoneWall-2000在网络中的安装位置和安装方法。3．第三部分：管理篇，包括第4章“StoneWall-2000网络安全隔离设备(正向型)管理”，介绍了StoneWall-2000网络安全隔离设备(正向型)CLI管理器和GUI管理器的使用方法。4．第四部分：实例篇，包括第5章“设定范例和问题排解”，以实际的例子来详细介绍配置安全策略的过程。〖手册约定〗【注意】、【提示】的意思是请读者注意那些需要注意的事项。I目录背景篇第1章网络安全隔离设备介绍......................................0§1.1网络安全隔离设备的定义....................................0§1.2网络安全隔离设备在网络中的位置............................0§1.3网络安全隔离设备访问控制策略..............................1第2章STONEWALL-2000网络安全隔离设备(正向型)简介...............1§2.1工作原理..................................................1§2.2功能和特性................................................2管理篇第3章STONEWALL-2000网络安全隔离设备(正向型)管理...............4§3.1网络安全隔离设备软件名称及存储位置........................4§3.2相关文件说明及存储位置...................................4§3.3网络安全隔离设备管理工具.................................4§3.3.1、访问控制规则结构......................................4§3.3.2、选项解释..............................................4§3.3.3、CLI管理器使用说明....................................5§3.3.4、GUI管理器使用说明...................................10§3.4网络地址转换原理及具体实例...............................17§3.5停止和重新激活网络安全隔离设备...........................18实例篇第4章设定范例...............................................19§4.1通过HUB连接的网络结构拓扑图..............................19§4.2接路由器的网络结构拓扑图..................................20§4.3内外网侧均为路由器，且一侧使用NAT环境的配置..............23§4.4隔离设备用作简单的路由器..................................24§4.5隔离设备并联..............................................26背景篇第1章网络安全隔离设备介绍§1.1网络安全隔离设备的定义网络安全隔离设备是一种通过专用的硬件使两个网络在不连通的情况下进行网络间的安全数据传输和资源共享的网络设备。因此，它有广阔的应用前景。在国外已被美国、以色列等国家的军政、航天、金融等要害部门广泛应用。作为国际上昀新的网络安全技术，网络安全隔离设备独特的硬件设计使它能够提供比防火墙更高的安全性能，可大大提高政府、金融、军队等高端用户的整体网络安全强度。网络安全隔离设备将可信任的内网和不可信任的外网进行隔离，因此必须保证内部网和外部网之间的通信均通过网络安全隔离设备进行，同时还必须保证网络安全隔离设备自身的安全性；网络安全隔离设备是实施内部网安全策略的一部分，保证了内部网的正常运行而不受外部的干扰。§1.2网络安全隔离设备在网络中的位置图1-1普通网络系统连接示意图图1-2网络安全隔离设备连接示意图StoneWall-2000网络安全隔离设备（正向型）使用指南1§1.3网络安全隔离设备访问控制策略访问控制策略是网络安全隔离设备的基础，它可以按如下两种逻辑来制订：1、默认禁止：访问控制规则没有明确允许的都禁止访问；2、默认允许：访问控制规则没有明确禁止的都允许访问。可以看出，前一种逻辑限制性大，后一种逻辑则比较宽松。基于安全性考虑，StoneWall-2000网络安全隔离设备(正向型)采用的是“默认禁止”访问控制策略。第2章StoneWall-2000网络安全隔离设备(正向型)简介§2.1工作原理StoneWall-2000网络安全隔离设备(正向型)采用软、硬结合的安全措施，在硬件上使用双机结构通过安全岛装置进行通信来实现物理上的隔离，及单向数据流向控制；在软件上，采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时，实现了对非法信息的隔离。StoneWall-2000网络安全隔离设备(正向型)通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通，在某个时刻网络安全隔离设备只能连接到一个网络，而数据流经网络安全隔离设备时TCP/IP协议被终止，因此可以有效地防护利用网络进行的外部攻击。StoneWall-2000网络安全隔离设备(正向型)作为代理从内网的网络访问包中抽取出数据然后通过数据缓冲设施转入外网，完成数据中转。在中转过程中，网络安全隔离设备会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施过滤控制；由于网络安全隔离设备采用了独特的开关切StoneWall-2000网络安全隔离设备(正向型)接口机B网络安非实时网络（外网）以太网以太网隔离设备的硬件结构及网络连接通断开关接口机A实时网络（内网）StoneWall-2000网络安全隔离设备（正向型）使用指南2换机制，因此，在进行过滤检查时网络实际上处于断开状态；通过严格检查只有符合安全策略的特定数据才能进入内网，因此即使黑客强行攻击了网络安全隔离设备，由于攻击发生时内外网始终处于物理断开状态，黑客也无法进入内网。StoneWall-2000网络安全隔离设备(正向型)在实现物理隔断的同时允许可信的内部网络和不可信的外部网络之间的数据和信息进行安全交换。由于网络安全隔离设备仅抽取特定的合法数据进入内网，因此，内网不会受到网络层的攻击，这就在物理隔离的同时实现了数据的安全交换。§2.2功能和特性StoneWall-2000网络安全隔离设备(正向型)具备以下功能和特性：具有物理隔离能力的硬件结构由两个嵌入式计算机及辅助装置形成安全岛系统，并由安全半岛调度引擎实现安全轮渡，保证了内部网络和外部网络的物理隔离；硬件数据流向控制经过安全隔离设备的数据流向控制是通过特定的硬件实现，极大地保证了内部系统的安全；连接方向的控制可对TCP连接进行方向控制，TCP连接只能由内网主机建立连接，以保证内网主机不向外网提供网络服务；多级过滤的立体访问控制多级过滤形成了立体的全面的访问控制机制。它可以在链路层根据MAC地址进行分组过滤，在IP层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP、UDP端口进行过滤；在应用层通过应用代理提供对应用协议的命令、访问路径、内容等的过滤；同时还提供用户级的鉴别和过滤控制。保证了系统的安全性，提高了了防护能力，增强控制的灵活性；更强的防御功能采用非INTEL系列的RISC处理器，减少被病毒攻击的概率，采用专门裁剪的LINUX内核，取消所有系统网络功能。这不但提高了安全性，而且保证了高性能；支持实时报警支持多种工作模式，包括无IP地址透明监听、网络地址转换、混合工作模式、双向网络地址转换（NAT）可以支持无IP地址透明监听、网络地址转换、混合工作模式。隔离设备没有IP地址，非法用户无法对隔离设备本身进行网络攻击。同时双向NAT，隐藏内部网络主机IP地址。不但便于实施，又提高了安全性能；真正实现了透明接入StoneWall-2000网络安全隔离设备(正向型)真正做到了透明接入；即：StoneWall-2000网络安全隔离设备（正向型）使用指南3在接入网络安全隔离设备后，不影响现有的网络应用的数据传输，正常使用网络的合法用户来对本设备是不可感知的。安全方便的维护管理StoneWall-2000网络安全隔离设备(正向型)配置非常简便，对它的操作及设置基本上只需使用规则配置管理工具就可以实现。StoneWall-2000网络安全隔离设备(正向型)提供了两种不同的规则配置管理工具：GUI管理工具、CLI管理工具。规则管理工具（GUI）是本产品的专用配套程序。该管理器具有界面友好、直观、功能齐全、