信息安全網(wǎng)絡隔離裝置培訓v13

1、信息安全網(wǎng)絡隔離裝置用戶培訓2008年10月熱烈歡迎電力信息網(wǎng)絡專家前來交流！主要內(nèi)容一、隔離裝置總體介紹二、隔離裝置相關(guān)知識及典型應用三、隔離裝置實施的要求四、隔離裝置的配置使用五、演示與交流2隔離裝置總體介紹目標實現(xiàn)總體情況隔離裝置的功能、特點隔離裝置的設計、組成雙網(wǎng)隔離的背景、架構(gòu)3信息網(wǎng)雙網(wǎng)隔離背景根據(jù)安全現(xiàn)狀提出信息內(nèi)網(wǎng)劃分將內(nèi)部員工的辦公終端與僅僅用于內(nèi)部辦公的應用系統(tǒng)全部劃歸在信息內(nèi)網(wǎng)信息外網(wǎng)劃分將純粹用于對外提供公眾服務、不含涉密信息的應用系統(tǒng)全部放在信息外網(wǎng)裝置研制背景存在部分應用既要對外面向公眾服務，同時含有一些內(nèi)部信息或是內(nèi)部辦公需要使用4雙網(wǎng)隔離總體結(jié)構(gòu)互聯(lián)網(wǎng)接入?yún)^(qū)生產(chǎn)

2、控制大區(qū) 信息內(nèi)網(wǎng)調(diào)度生產(chǎn)外網(wǎng)交互內(nèi)網(wǎng)應用內(nèi)網(wǎng)辦公終端外網(wǎng)上網(wǎng)終端管理信息大區(qū) 信息外網(wǎng)電力市場交易(內(nèi))招投標(內(nèi))電力營銷(內(nèi))其他業(yè)務（內(nèi)）電力市場交易(外)招投標(外)電力營銷(外)其他業(yè)務（外）正向隔離裝置反向隔離裝置公司互聯(lián)網(wǎng)出口外部網(wǎng)站 調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部門戶 邏輯強隔離設備互聯(lián)網(wǎng)防火墻單向隔離5安全防護效果綜述外網(wǎng)內(nèi)網(wǎng)外網(wǎng)內(nèi)網(wǎng)部署前部署后攻擊類型病毒、惡意代碼、人為人為攻擊層次鏈路、網(wǎng)絡、應用應用攻擊來源整個外網(wǎng)特定應用服務器攻擊目標整個外網(wǎng)特定數(shù)據(jù)庫服務器攻擊效果竊密完全控制數(shù)據(jù)庫內(nèi)容非法訪問目標實現(xiàn)總體情況7裝置定位及目標安全隔離裝置部署在信息內(nèi)外網(wǎng)之間實現(xiàn)雙網(wǎng)邏輯強隔離阻斷外

3、網(wǎng)對內(nèi)網(wǎng)的攻擊在滿足外網(wǎng)應用對內(nèi)網(wǎng)數(shù)據(jù)庫正常合法訪 問的同時，對數(shù)據(jù)庫服務器進行保護。總體情況可靠性安全性設計目標實現(xiàn)情況8設計目標 具體要求實現(xiàn) 網(wǎng)絡層訪問控制基于 MAC/IP/TCP/PORT的安全訪問控制 數(shù)據(jù)庫訪問控制對Oracle數(shù)據(jù)庫進行協(xié)議解析 應用層SQL訪問控制通過策略，對系統(tǒng)表、應用表惡意操作進行防護，對 SQL 攻擊進行防護 安全審計網(wǎng)絡層，傳輸層，應用層安全審計 設計目標實現(xiàn)情況總體情況可靠性安全性設計目標實現(xiàn)情況9設計目標 具體要求實現(xiàn) 自身安全性采用國產(chǎn)安全linux操作系統(tǒng)，有效抵御從網(wǎng)絡發(fā)起對裝置的攻擊行為，具備完善的安全審計功能 雙機熱備透明工作模式下雙機的

4、快速切換；硬件體系研祥工控機 電磁兼容性電科院、南自院、武高院EMC三級設計目標實現(xiàn)情況總體情況可靠性安全性設計目標實現(xiàn)情況10研發(fā)歷程總體情況可靠性安全性評審、測試、運行驗證、奧運保障時間點事件2007年10月研發(fā)項目啟動2007年12月原型實現(xiàn)2008年3月國網(wǎng)總部應用系統(tǒng)上線試運行奧運城市開始推廣部署2008年4月通過國網(wǎng)組織的專家評審2008年5月V3版本開始定型，進一步增強安全性、可靠性。組織測試組開始進行大量測試2008年9月通過國網(wǎng)信通公司組織的業(yè)務應用適應性測試通過總參安全性測試，V3.0版本正式定型功能安全性分析項目隔離裝置防火墻操作系統(tǒng)級安全性無TCP/IP協(xié)議棧無root

5、用戶，采用四權(quán)分立國產(chǎn)安全加固Linux操作系統(tǒng)多級專用安全機制控制有TCP/IP協(xié)議棧有root用戶內(nèi)部裁剪Linux網(wǎng)絡層訪問控制基于 MAC/IP/協(xié)議/端口的安全訪問控制基于 MAC/IP/協(xié)議/端口的安全訪問控制數(shù)據(jù)庫TNS訪問控制TNS協(xié)議解析SQL語句還原X對比目前防火墻產(chǎn)品總體情況可靠性安全性功能安全性分析對比目前防火墻產(chǎn)品項目隔離裝置防火墻應用層SQL訪問控制對系統(tǒng)表的保護； 對應用表惡意操作的防護；對 SQL 注入等攻擊的防護； X安全審計網(wǎng)絡層，傳輸層，應用層網(wǎng)絡層，傳輸層功能實現(xiàn)網(wǎng)絡及傳輸層的報文過濾，以及數(shù)據(jù)庫訪問的應用層協(xié)議解析，對應用層數(shù)據(jù)內(nèi)容SQL語句進行分析、

6、檢測與過濾，阻斷惡意SQL訪問，保護數(shù)據(jù)庫及數(shù)據(jù)內(nèi)容的安全。實現(xiàn)網(wǎng)絡及傳輸層的報文過濾，無法實現(xiàn)數(shù)據(jù)庫訪問的應用層協(xié)議解析；總體情況可靠性安全性操作系統(tǒng)安全性分析操作系統(tǒng)安全性安全隔離裝置OS通用防火墻OS通過總參測評中心測試的安全級別達到B1級的國產(chǎn)安全Linux系統(tǒng)通用Linux已穩(wěn)定運行在調(diào)度中心、軍隊等場合裁剪掉TCP/IP協(xié)議棧，無IP地址具有IP地址無ROOT用戶，四權(quán)分立，無法提升權(quán)限有ROOT用戶具備強制運行控制，強制能力控制，訪問控制列表等專有特性X總體情況可靠性安全性硬件可靠性分析14通過對選定的研祥工控機分別到電科院、南自院、武高所作EMC測試，選定安全隔離裝置的硬件達到

7、EMC的三級要求;硬件平均無故障時間（MTBF）達到行業(yè)最高級3級30000小時；四個千兆網(wǎng)絡接口;支持watchdog;采用冗余電源支持熱插拔;電源故障蜂鳴報警;BIOS可編程控制，保證網(wǎng)絡資源優(yōu)先； 加裝風扇，增強散熱。總體情況可靠性安全性硬件可靠性操作系統(tǒng)可靠性分析15在國調(diào)中心穩(wěn)定應用。在軍隊及政府穩(wěn)定應用。軟關(guān)機功能，確保系統(tǒng)能長期穩(wěn)定運行；支持軟件watchdog功能?？傮w情況可靠性安全性操作系統(tǒng)可靠性設備整體可靠性分析16總體情況可靠性安全性容錯程序不可用硬件看門狗操作系統(tǒng)不可用雙機單臺裝置不可用整體可靠性裝置介紹裝置名稱：SGI-NDS100信息安全網(wǎng)絡隔離裝置裝置外觀和布置位

8、置：17隔離裝置外觀、接口面板指示燈LCD顯示屏背板（網(wǎng)口、電源）裝置外觀介紹隔離裝置的特點雙機熱備安全軟硬件結(jié)構(gòu)安全綜合防護應用層協(xié)議解析SQL過濾功能采用經(jīng)過安全部門認證的國產(chǎn)安全操作系統(tǒng)和國產(chǎn)工業(yè)級千兆硬件，系統(tǒng)整體的安全性和處理性能強。日志審計系統(tǒng)支持對數(shù)據(jù)報文的源、目的地址、協(xié)議及相應的源、目的端口、MAC地址等屬性進行組合隔離裝置支持雙機熱備功能，一旦當主用設備出現(xiàn)故障時，備機可以以承擔起主機的工作，以避免重要業(yè)務數(shù)據(jù)的中斷。對常用的Oralce數(shù)據(jù)庫協(xié)議進行解析與數(shù)據(jù)流還原，只容許特定的TNS協(xié)議報文穿透裝置，進一步從應用協(xié)議保證內(nèi)網(wǎng)數(shù)據(jù)庫安全對SQL語言的操作指令進行細粒度控制

9、，阻斷所有注入、攻擊等非法行為，保護關(guān)鍵的庫和數(shù)據(jù)表等隔離裝置能依據(jù)系統(tǒng)要求記錄敏感通信事件和管理事件。支持采用網(wǎng)絡方式將日志發(fā)送到綜合告警平臺。信息安全隔離裝置19裝置其他特點20采用Intel P4 CPU,主頻2.8G,能夠滿足大流量下的高性能的需求;采用CF卡固化的操作系統(tǒng)和文件系統(tǒng),增加系統(tǒng)的物理可靠性;整個系統(tǒng)硬件結(jié)構(gòu)滿足電磁兼容特性 三級要求;安全操作系統(tǒng)剔除不可靠的通用TCP/IP協(xié)議棧；安全隔離裝置本身無需網(wǎng)絡地址即可工作；本身能在一定程度上防御常見的網(wǎng)絡攻擊行為，因此設備本身能對來自外部網(wǎng)絡的攻擊有一定免疫能力。安全隔離裝置核心程序直接對網(wǎng)卡進行操作,系統(tǒng)無協(xié)議棧,無須配置

10、任何地址, 對用戶完全透明,無須對用戶網(wǎng)絡拓撲做任何改動裝置防護設計思想綜合數(shù)據(jù)防護體系鏈路層IP 層 TCP 層 TNS/TDS應用層SQL 語法 SQL 語義 SQL 行為 21程序功能模塊22裝置內(nèi)主要文件介紹類型文件名說明程序文件/sg186/dbkeeper隔離裝置主程序/sg186/config配置文件接收端/sg186/rule_checkSQL安全策略檢查工具/sg186/msgSender消息發(fā)送程序/sg186/statPumper主程序狀態(tài)查看/sg186/daemonDbkeeper主程序的監(jiān)控程序/sg186/daemonConfig配置程序的監(jiān)控程序配置文件/etc

11、/policy.conf通信策略配置文件/etc/default.polSQL安全策略/etc/dbkeeper.ini功能配置文件23主要內(nèi)容一、隔離裝置總體介紹二、隔離裝置相關(guān)知識及典型應用三、隔離裝置實施的要求四、隔離裝置的配置使用五、演示與交流24裝置相關(guān)知識和典型應用信息內(nèi)外網(wǎng)數(shù)據(jù)交互的原則和方法單向隔離裝置的配合使用數(shù)據(jù)庫版本、驅(qū)動、協(xié)議25典型業(yè)務系統(tǒng)的改造方案常見數(shù)據(jù)庫的網(wǎng)絡傳輸協(xié)議26常見數(shù)據(jù)庫及其協(xié)議Oracle：TNSSybase、SQLServer：TDSDB2：DADR目前國家電網(wǎng)各級部門主要采用Oracle10gOracle9iOracle數(shù)據(jù)庫相關(guān)本裝置支持的版本

12、號：9i、10g支持的連接驅(qū)動Thin數(shù)據(jù)庫的維護工具軟件一般用OCI，這些軟件無法通過裝置維護內(nèi)網(wǎng)數(shù)據(jù)庫。常用工具（采用的是Thin驅(qū)動）：SquirreL SQL V2.6.1SQLdeveloper V1.2.127Oracle數(shù)據(jù)庫的兩種驅(qū)動對比28OCI1、通過客戶端的Net8驅(qū)動連接數(shù)據(jù)庫，采用平臺獨立二進制代碼；2、安全上，Net8協(xié)議Oracle公司自己掌握，不公開；3、性能上，Oracle公司對其進行優(yōu)化，效率較高。OCI和Thin驅(qū)動對比THIN1、socket直接連接數(shù)據(jù)庫，便于解析；2、安全上，Thin驅(qū)動可解析，對其傳輸?shù)臄?shù)據(jù)內(nèi)容可以掌握，可保證其傳輸數(shù)據(jù)的安全；3、

13、在營銷、招投標等高流量和高壓力環(huán)境下測試能夠完成需求。SQL基本語句創(chuàng)建表格：create table tablename(column1 data type,column2 data type,column3 data type);數(shù)據(jù)查詢：select column1 , column2,etc from tablename where condition;添加、更新、刪除記錄：insert into tablename (first_column,.last_column) values (first_value,.last_value);update tablename set col

14、umnname = newvalue , nextcolumn = newvalue2. where columnname OPERATOR value and|or column OPERATOR value;delete from tablename where columnname OPERATOR value and|or column OPERATOR value;刪除表格：drop table tablename;29內(nèi)外網(wǎng)數(shù)據(jù)交互原則和方法由外向內(nèi)（反向）傳輸數(shù)據(jù)信息安全網(wǎng)絡隔離裝置手工拷貝專用存儲介質(zhì)采用反向隔離裝置國網(wǎng)公司要求所有電力公司的信息網(wǎng)內(nèi)外網(wǎng)要隔離，若要數(shù)據(jù)交互必須

15、采用隔離裝置（正反向、信息安全隔離裝置）內(nèi)外網(wǎng)數(shù)據(jù)交互原則和方法由內(nèi)向外（正向）傳輸數(shù)據(jù)信息安全網(wǎng)絡隔離裝置手工拷貝專用存儲介質(zhì)采用正向隔離裝置國網(wǎng)公司要求所有電力公司的信息網(wǎng)內(nèi)外網(wǎng)要隔離，若要數(shù)據(jù)交互必須采用隔離裝置（正反向、信息安全隔離裝置）單向隔離裝置的配合使用32信息網(wǎng)絡安全隔離裝置的限制數(shù)據(jù)庫僅限Oracle的9i和10g驅(qū)動僅支持JDBC連接應用層僅能通過TNS協(xié)議，不能傳輸文件SG186業(yè)務系統(tǒng)的需求招投標的技術(shù)規(guī)范書文件傳輸電力交易系統(tǒng)文件傳輸自有系統(tǒng)的文件傳輸配合使用原因 單向隔離裝置的配合使用33單向隔離裝置的部署方式部署位置在信息內(nèi)外網(wǎng)的邊界正向文件傳輸需要配合傳輸軟件通

16、過隔離裝置進行數(shù)據(jù)庫同步需要相應業(yè)務改造單向隔離裝置的傳輸要求正、反向傳輸只能返回1bit的應答反向傳輸只能采用電力“e語言”格式配合使用說明 某網(wǎng)省招投標改造方案簡圖34網(wǎng)省與總部改造后總體框圖35某網(wǎng)省電力交易改造方案簡圖36電力交易系統(tǒng)的業(yè)務改造37將數(shù)據(jù)申報和信息發(fā)布服務遷移到Web服務器中；外網(wǎng)中的Web服務器不直接與后臺數(shù)據(jù)庫連接，數(shù)據(jù)通過內(nèi)網(wǎng)的應用服務器與數(shù)據(jù)庫交互；在內(nèi)網(wǎng)中保留改造前的Web服務器，為內(nèi)網(wǎng)提供數(shù)據(jù)申報和信息發(fā)布服務；外網(wǎng)應用與Web服務的部署策略，根據(jù)各單位市場成員接入數(shù)目以及電力市場具體業(yè)務開展情況進行。信息網(wǎng)改造后的網(wǎng)絡拓撲38主要內(nèi)容一、隔離裝置總體介紹二

17、、隔離裝置相關(guān)知識及典型應用三、隔離裝置實施的要求四、隔離裝置的配置使用五、演示與交流39隔離裝置實施的要求隔離裝置對業(yè)務系統(tǒng)的要求實施的網(wǎng)絡和配合要求雙網(wǎng)隔離實施流程隔離裝置實施計劃40隔離裝置實施網(wǎng)絡環(huán)境配置簡例實施時間安排第一批次2008年6月完成華東、西北、北京、天津、上海、寧夏第二批次2008年9月完成山西、江蘇、浙江、青海、陜西第三批次2008年12月完成其他網(wǎng)省及所有有部署需求的地市41 實施分工中國電科院華北、東北、北京、天津、浙江、安徽、湖北、湖南、遼寧、吉林、黑龍江、陜西、甘肅、新疆國網(wǎng)電科院華東、華中、西北、河北、山西、山東、上海、江蘇、福建、河南、江西、四川、重慶、青海

18、、寧夏、西藏42對外網(wǎng)提供WEB服務的涉密業(yè)務業(yè)務需要對外網(wǎng)提供服務被查詢業(yè)務中含有涉密信息的業(yè)務采用Oracle數(shù)據(jù)庫的業(yè)務系統(tǒng)系統(tǒng)數(shù)據(jù)可采用Oracle 9i或Oracle10g 版本采用Oracle 標準JDBC的THIN驅(qū)動，暫不支持OCI驅(qū)動從外向內(nèi)的單向訪問只允許信息外網(wǎng)的應用服務器訪問的信息內(nèi)網(wǎng)的數(shù)據(jù)庫服務器43隔離裝置對業(yè)務系統(tǒng)的要求44隔離裝置對業(yè)務系統(tǒng)的要求注意事項：隔離裝置初始默認情況下對含有以下特征的SQL語句采取阻斷處理：11 ，22 等；11, 22等；1 2等； AA 等；含有對數(shù)據(jù)庫系統(tǒng)表操作的SQL語句將被視為越權(quán)訪問，默認情況下被裝置阻斷。對所有表的DROP

19、、CREATE、TRUNCATE等操作的SQL語句將被視為非法訪問，默認情況下被裝置阻斷45隔離裝置對業(yè)務系統(tǒng)的要求已通過上線測試的SG186系統(tǒng)招投標系統(tǒng)（普華）電力市場交易系統(tǒng)（南瑞、科東）營銷系統(tǒng)（朗新、東軟、普華）46隔離裝置對網(wǎng)絡環(huán)境的要求提供信息內(nèi)外網(wǎng)互聯(lián)接口（實施前斷開連接）接口需為電口，如采用雙機模式部署需預留2個接口內(nèi)外網(wǎng)互聯(lián)接口保證在同一網(wǎng)段在信息內(nèi)外網(wǎng)設置靜態(tài)路由互指上線業(yè)務系統(tǒng)采用靜態(tài)路由隔離裝置類似于透明的防火墻，不具備路由功能。所以通過裝置的業(yè)務系統(tǒng)需使用靜態(tài)路由協(xié)議47隔離裝置對網(wǎng)絡環(huán)境的要求注意事項：信息內(nèi)外網(wǎng)互聯(lián)交換機，接隔離裝置接口需在同一網(wǎng)段之內(nèi)。在信息內(nèi)

20、外網(wǎng)交換機中定義靜態(tài)路由且保證從應用服務器發(fā)起的請求和從數(shù)據(jù)庫返回的數(shù)據(jù)路由一致。48隔離裝置的實施流程前期準備項目立項確定人員了解現(xiàn)狀制定方案制定業(yè)務改造方案制定相關(guān)預案制定實施計劃裝置上線網(wǎng)絡改造業(yè)務改造裝置設置業(yè)務系統(tǒng)測試收尾工作編寫上線報告收集相關(guān)文檔備份配置49隔離裝置的實施流程項目立項被實施單位：確定需要實施的系統(tǒng)，確立項目，簽訂實施合同。確定項目人員實施單位：實施人員被實施單位：協(xié)調(diào)人員，網(wǎng)絡配合人員，個業(yè)務系統(tǒng)配合人員。了解現(xiàn)狀實施單位：確定需要改造的業(yè)務系統(tǒng)；實施單位：了解業(yè)務系統(tǒng)現(xiàn)狀、業(yè)務系統(tǒng)服務器情況（型號、操作系統(tǒng)、IP、MAC），業(yè)務系統(tǒng)訪問關(guān)系圖，業(yè)務系統(tǒng)采用Ora

21、cle情況（版本、驅(qū)動、訪問方式）各個業(yè)務系統(tǒng)的內(nèi)外網(wǎng)訪問需求，是否有除數(shù)據(jù)庫訪問外的其它方式等；實施單位：了解網(wǎng)絡拓撲圖、互聯(lián)交換機配置情況等。前期準備50隔離裝置的實施流程項目立項確定人員了解現(xiàn)狀業(yè)務系統(tǒng)調(diào)研表前期準備51隔離裝置的實施流程制定業(yè)務系統(tǒng)改造方案隔離裝置實施單位+業(yè)務實施單位：根據(jù)業(yè)務現(xiàn)狀制定業(yè)務改造方案。寫明業(yè)務系統(tǒng)詳細情況和改造簡圖，確定是否需添加設備。（業(yè)務實施單位自行制定業(yè)務遷移方案，并做好備份等相關(guān)工作）制定相關(guān)預案隔離裝置實施單位：制定實施過程預案和隔離裝置運行預案確保隔離裝置順利上線和今后穩(wěn)定運行。制定實施計劃確定負責項目實施的具體人員（實施單位和被實施單位），

22、商定項目實施具體時間。按照商定內(nèi)容制定具體實施計劃。方案編寫52隔離裝置的實施流程業(yè)務改造方案相關(guān)預案實施計劃隔離裝置實施方案方案編寫53隔離裝置的實施流程網(wǎng)絡改造網(wǎng)絡運維部門+隔離裝置實施單位：根據(jù)被實施單位網(wǎng)絡具體情況，確定隔離裝置最終部署位置，并按照隔離裝置對網(wǎng)絡環(huán)境的相關(guān)要求對網(wǎng)絡進行改造。業(yè)務系統(tǒng)遷移、改造業(yè)務系統(tǒng)實施單位：業(yè)務實施單位按照業(yè)務系統(tǒng)改造方案對業(yè)務系統(tǒng)進行遷移改造。隔離裝置配置隔離裝置實單位：根據(jù)實際網(wǎng)絡環(huán)境和業(yè)務系統(tǒng)最終環(huán)境配置隔離裝置相關(guān)參數(shù)。業(yè)務系統(tǒng)測試業(yè)務部門：對上線業(yè)務進行功能測試確保隔離裝置上線后業(yè)務功能正常運行。裝置上線54隔離裝置的實施流程網(wǎng)絡、業(yè)務改造

23、隔離裝置配置業(yè)務測試業(yè)務測試報告裝置上線55隔離裝置的實施流程編寫上線報告隔離裝置實施單位：根據(jù)業(yè)務系統(tǒng)上線情況編寫業(yè)務系統(tǒng)上線報告，并經(jīng)三方確認簽字（隔離裝置實施方、被實施單位、被實施系統(tǒng)負責人員）各方各留存一份，并電發(fā)信息部。收集相關(guān)文檔被實施單位：收集實施過程中相關(guān)文檔，留存?zhèn)浒浮浞菖渲酶綦x裝置實單位：將隔離裝置配置備份留存，并交被實施單位保存，以便日后恢復。收尾工作資料業(yè)務系統(tǒng)現(xiàn)狀、業(yè)務系統(tǒng)服務器情況（型號、操作系統(tǒng)、IP、MAC），業(yè)務系統(tǒng)訪問關(guān)系圖，業(yè)務系統(tǒng)采用Oracle情況（版本、驅(qū)動、訪問方式）各個業(yè)務系統(tǒng)的內(nèi)外網(wǎng)訪問需求，是否有除數(shù)據(jù)庫訪問外的其它方式等；網(wǎng)絡拓撲圖、互聯(lián)

24、交換機配置情況等。56隔離裝置的實施配合要求人員組織人員一名、網(wǎng)絡管理員一名、各業(yè)務系統(tǒng)實施單位配合人員一名。設備系統(tǒng)改造所需設備環(huán)境隔離裝置接入所需環(huán)境57隔離裝置的實施配合要求隔離裝置實施網(wǎng)絡配置簡例5859圖示IP均為實驗室測試環(huán)境隔離裝置交換機配置上聯(lián)交換機（信息外網(wǎng)交換機相關(guān)配置）ip route 10.1.0.10 255.255.255.255 172.16.1.253下聯(lián)交換機（信息內(nèi)網(wǎng)交換機相關(guān)配置）ip route 172.16.0.20 255.255.255.255 172.16.1.25460 NAME IP NIC# root 169.254.200.200 ETH

25、2 ID SID USER PASSWORD IP MAC# dbroute webroot root root 192.168.207.254 00:00:00:00:00:00# dbserver webdb1 root root 192.168.207.1 00:00:00:00:00:00 ID HOSTNAME IP PROTOCOL PORT MAC# webroute epm01 192.168.200.1 off 1521 00:00:00:00:00:00# webapp epm02 192.168.207.242 off 1521 00:00:00:00:00:00 ID

26、RULE SERVICE APPLICATION# R_policy test01 dbroute webroute# policy test01 dbserver webapp RULE_NAME MODE PROLTOCOL SRC_IP SRC_PORT DIR DES_IP DES_PORT CONTENT_MSG_SID61隔離裝置配置主要內(nèi)容一、隔離裝置總體介紹二、隔離裝置相關(guān)知識及典型應用三、隔離裝置實施的要求四、隔離裝置的配置使用五、演示與交流62隔離裝置基本配置 隔離裝置日志管理 隔離裝置物理連接隔離裝置的配置使用隔離裝置操作系統(tǒng)隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GU

27、I管理器 運行環(huán)境硬件要求：Pentium 200、64M內(nèi)存、硬盤4GB以上的自由空間、網(wǎng)口。軟件要求：SGI-NDS100信息安全網(wǎng)絡隔離裝置管理系統(tǒng)各部件可以運行在簡體中文Windows xp（Service Pack 2或以上版本，并安裝Internet Explorer 6.0或以上版本）、Windows2003之上。隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 安裝 雙擊管理工具安裝程序，安裝界面如圖示 隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 連線 使用網(wǎng)線一端連接臺式計算機的網(wǎng)口（或筆記本電腦的網(wǎng)口），另一端連接本信息安全網(wǎng)絡隔離裝置eth2的網(wǎng)口。隔離

28、裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 登錄 sg186為默認的超級用戶，口令為111111設備設置ip為與管理工具通訊的設備ip地址。（設備出廠默認ip=169.254.200.200）隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 主界面 左邊為信息項，點擊后右邊為對應的項內(nèi)容輸入對應的值時，用鼠標點擊對應得網(wǎng)格，在網(wǎng)格里輸入內(nèi)容在網(wǎng)格上鼠標右鍵會出現(xiàn) 新建、復制、刪除兩項功能， 隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 點擊請求，或恢復按鈕 這兩項功能分別為從設備或本地電腦里讀出配置信息，在網(wǎng)格里顯現(xiàn)。要修改的話，只要點擊該項內(nèi)容，在焦點上輸入數(shù)據(jù)就可。

29、點擊設置或備份按鈕 這兩項功能分別為從管理工具里把配置信息寫入設備或備份到本地的電腦里。點擊rule恢復或rule備份這兩項功能分別是把rule數(shù)據(jù)寫入設備或備份設備rule數(shù)據(jù)到本地電腦。 隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 設備信息 設備名： 此隔離設備的名稱標識。設備管理ip： 分配給設備管理網(wǎng)口的ip設備管理網(wǎng)口：與管理工具通訊時設備連接的網(wǎng)口，默認是eth2 （背 面板標識eth2的網(wǎng)口）。隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 數(shù)據(jù)庫信息 Id： 數(shù)據(jù)庫的名稱標識，用于策略關(guān)聯(lián)。Ip： 該數(shù)據(jù)庫服務器網(wǎng)卡的ip地址，必須填真實數(shù)據(jù)庫的ip。Mac

30、：根據(jù)實際部署網(wǎng)絡情況，配置數(shù)據(jù)庫服務器網(wǎng)卡的mac地址， 或三層交換機的mac地址，默認00：00：00：00：00：00：為 此mac地址和ip地址不綁定，需綁定就填真實mac地址。Port：通訊時的網(wǎng)絡端口另： Sid、User、Pass為擴展接口，目前沒用 。隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 應用介紹 Id ：運行應用服務器的名稱標識，用于策略關(guān)聯(lián)。Hostname：服務器的機器名，此為擴展接口，目前沒用。Protocol：SQL安全標簽檢查功能，on為開啟此功能，其他默認關(guān)閉。Ip ：該應用服務器網(wǎng)卡的ip地址，必須填真實應用服務器的ip。Mac ：根據(jù)實際部署

31、網(wǎng)絡情況，配置應用服務器網(wǎng)卡的mac地址或三 層交換機的mac地址，默認00：00：00：00：00：00：為此 mac地址和ip地址不綁定，需綁定就填真實mac地址。隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 規(guī)則管理 只填寫規(guī)則過濾信息在 ip地址輸入時，雙擊時，出現(xiàn)ip地址控件， 輸入ip地址，單擊時可以輸入文本，長度20。隔離裝置基本配置配置項意義 名稱、模式、協(xié)議、數(shù)據(jù)流方向、源ip、源端口、目的ip、目的端口、規(guī)則內(nèi)容規(guī)則范例#zhaotoubiao1 pass /alert tcp 1.1.1.1 any - 2.2.2.2 any (content:1 = 1;si

32、d:4001;rev:1;)范例作用對源主機1.1.1.1流向目的主機2.2.2.2所有源、目的端口的含有1 = 1內(nèi)容的數(shù)據(jù)包采取放過策略。規(guī)則配置詳解隔離裝置基本配置RULE_NAME：規(guī)則名稱目前不支持中文MODE：規(guī)則模式alert-檢測到符合規(guī)則內(nèi)容所對應的數(shù)據(jù)包時，對該包執(zhí)行丟棄操作pass-檢測到符合規(guī)則內(nèi)容所對應的數(shù)據(jù)包時，對該包執(zhí)行放過操作PROLTOCOL：協(xié)議應用服務器到后臺數(shù)據(jù)庫通信所采用的協(xié)議，目前采用TCP各個配置項注意內(nèi)容隔離裝置基本配置SRC_IP：源IP地址SRC_PORT：源端口DIR：要檢測的數(shù)據(jù)流方向（ “-” ）DES_PORT：目的端口（“any”）

33、CONTENT_MSG_SID:過濾規(guī)則內(nèi)容content:過濾的內(nèi)容sid：該條規(guī)則的id號,從4001后遞增，每條規(guī)則的id號不同rev:規(guī)則處理模塊的版本號，當前為值1各個配置項注意內(nèi)容隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 策略介紹Id： 策略的名稱標識。Rule： 該名稱用來指示本條規(guī)則是否支持oci方式的驅(qū)動。本字段 內(nèi)容為“OCI”的情況下將支持OCI驅(qū)動，否則為不支持。 Server:對應數(shù)據(jù)庫信息中的id名稱，大小寫要一致。Application ：對應應用信息中的id名稱，大小寫要一致。隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 策略介紹雙機默認

34、不配置的情況下，將默認為主機。雙機可以通過如下方式進行配置：在策略關(guān)聯(lián)中，將用于互聯(lián)地址間通訊的關(guān)聯(lián)的id名稱更改為router，在其通過其rule屬性進行配置。如果rule配置為backup，則為備機。如果配置為single，則為單機模式。如果以上兩者皆不是，則為默認的主機模式。 隔離裝置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 用戶與口令管理 添加用戶：點擊添加用戶按鈕，彈出圖2 窗體 輸入必要的信息后， 點擊確定按鈕，新的用戶就會出現(xiàn)在用戶窗體里了。刪除用戶：在用戶姓名里 點擊要刪除的名稱， 在點擊刪除用戶按 鈕，此用戶就被刪除掉了。注意： 只有sg186 用戶有管理的權(quán)限。隔離裝

35、置基本配置 網(wǎng)絡安全隔離設備管理工具GUI管理器 用戶與口令管理 只允許更改當前登錄的用戶的口令，更改前需正確輸入原口令，在輸入兩次新設定的口令。點擊確定后推出就可以。隔離裝置基本配置 隔離裝置日志管理 隔離裝置物理連接主要內(nèi)容隔離裝置操作系統(tǒng)隔離裝置日志管理 通過管理工具日志管理 日志瀏覽界面 隔離裝置日志管理 通過管理工具日志管理 支持的相關(guān)操作 讀取日志： 可對日志db.log、errors kernel、db.log.1、errors.1 及kernel.1進行讀取操作日志范圍查詢：可對選中日志進行相關(guān)條數(shù)范圍限定后查詢備份相關(guān)日志：可對選中日志以txt格式導出到本地電腦中隔離裝置日志

36、管理 通過CRT等軟件日志管理 以dbkeeper用戶身份登陸設備以命令行形式對/var/log下日志文件進行讀取操作以sysadmin用戶身份對日志進行導出操作隔離裝置基本配置 隔離裝置日志管理 隔離裝置物理連接主要內(nèi)容隔離裝置操作系統(tǒng)隔離裝置物理連接信息安全隔離裝置典型拓撲結(jié)構(gòu) 隔離裝置外觀、接口面板指示燈LCD顯示屏背板（網(wǎng)口、電源）裝置外觀介紹隔離裝置物理連接面板指示燈說明 名稱說明POWER 電源指示燈 HDD磁盤指示燈 Eth0 Link燈亮表明內(nèi)部網(wǎng)絡是連通的閃爍表明有數(shù)據(jù)接收或發(fā)送 ,speed燈表示網(wǎng)卡的連接速度Eth1Link燈亮表明外部網(wǎng)絡是連通的閃爍表明有數(shù)據(jù)接收或發(fā)送， speed燈表示網(wǎng)卡的連接速度。Eth2 Link燈亮表明配置網(wǎng)絡是連通的閃爍表明有數(shù)據(jù)接收或發(fā)送， speed燈表示網(wǎng)卡的連接速度。 Eth3Link燈亮表明高可用網(wǎng)絡是連通的閃爍表明有數(shù)據(jù)接收或發(fā)送，speed燈表示網(wǎng)卡的連接速度。隔離裝置物理連接背板說明 名稱說明I/O 電源開關(guān)Console 串口，用來連接管理終端 ETH0 連接內(nèi)部網(wǎng)絡的以太網(wǎng)口 ETH1 連接外部網(wǎng)絡的以太網(wǎng)口 ETH2 連接配置網(wǎng)絡的以太網(wǎng)口 ETH3 連接高可用