网神SecSIS 3600安全隔离与信息交换系统技术白皮书 V1.0
网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]
![网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]](https://img.taocdn.com/s3/m/7f60c153be23482fb4da4cc4.png)
●版权声明Copyright © 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。
未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (5)2产品功能说明 (7)2.1SSL 应用发布 (7)2.1.1B/S软件的应用 (7)2.1.2企业站点的应用 (7)2.1.3单点登录功能(SSO) (8)2.1.4C/S应用发布 (8)2.1.5TCP端口应用 (10)2.1.6SSL 隧道模式 (10)2.2LAN TO LAN 的解决方案 (11)2.3远程用户安全性检查 (11)2.4远程用户访问认证 (12)2.5用户访问策略 (12)2.6日志审计功能 (12)2.7防火墙功能 (13)2.8支持动态IP接入 (13)2.9完美的个性化定制 (14)3产品技术优势 (14)3.1将C/S应用转成B/S访问 (14)3.2Web应用功能 (15)3.3访问的安全性 (15)3.4稳定性及高可用性 (17)3.5低带宽运行特性 (17)3.6部署灵活,维护简单 (18)4典型应用 (18)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。
该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。
该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。
网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。
网神IPS3600安装手册
CE/FCC 相关资料说明 这个设备遵循 FCC part 15 的规章。可能不会引起有害人体的影响,设备必须避免接受任何干 扰的界面所进行的不必要的操作方式。
2
包装盒内容配件 请打开 SecIPS 3600 的包装盒,并且检查下列所述配件是否齐全: 1. SecIPS 3600 G10 设备 ---------------------------------------------------------- x 1 2. L 型固定铁片 (Bracket Mounting Kit) ----------------------------------------- x 2 3. 螺丝组 (Screws Sets) ------------------------------------------------------------ x 26 4. 电源线 (AC Power Cord) -------------------------------------------------------- x 1 5. 管理者工具光盘片 (CD-ROM) -------------------------------------------------- x 1 6. UTP Cross-over 线 (对线) ------------------------------------------------------- x 2 7. DB9 RS-232 线 --------------------------------------------------------------------- x 1
SECIPS 3600 系统功能介绍 .................................................................................................................. 9 硬件式 IPS 设备 .................................................................................................................................. 9 策略服务器 SECIPS 3600 管理系统 ................................................................................................. 10 SECIPS 3600 安装的五大步骤 .......................................................................................................... 11 第一章 安装 SECIPS 3600 设备 ......................................................................................................... 12 1.1 SECIPS 3600 G10 设备外观说明 ................................................................................................. 12 1.1.1 设备外观示意图 .................................................................................................................. 12 1.1.2 灯号说明 ............................................................................................................................... 13 1.2 硬件安装 ..................................................................................................................................... 13 1.2.1 固定 SecIPS 3600 于标准 19’’机架上 ................................................................................. 13 1.2.2 插上电源 .............................................................................................................................. 14 第二章 设定 SECIPS 3600 参数 ......................................................................................................... 15 2.1 超级终端机模式 (HYPER TERMINAL) ......................................................................................... 15 2.2 远程联机模式 (REMOTE CONNECTED) ....................................................................................... 16 2.3 登入命令行操作模式.................................................................................................................. 16 2.3 设定 SECIPS 3600 地址及相关参数 ........................................................................................... 17 第三章 安装 SECIPS 3600 管理系统 ................................................................................................ 21 3.1 软件安装步骤.............................................................................................................................. 21 3.1.1 下载并安装 JRE (Java Runtime Environment) .................................................................... 22 3.1.2: 下载并安装数据库程序 (如 MySQL)。 ........................................................................... 22 3.1.3: 安装 SecIPS 3600 管理系统主程序................................................................................... 23 3.2 启动 SECIPS 3600 管理系统程序 ............................................................................................... 31 3.3 安装 SECIPS 3600 PLUG-IN ......................................................................................................... 32 3.3.1 登入 SecIPS 3600 管理系统 Admin Console...................................................................... 32 3.3.2 下载 IPS Plug-in .................................................................................................................. 33 3.3.2 新增 SecIPS 3600 设备到管理系统 .................................................................................... 34 第四章 连接网络系统 .......................................................................................................................... 36 4.1 连接 SECIPS 3600 到网络........................................................................................................... 36 4.1.1 无防火墙架构 ...................................................................................................................... 36 4.1.2 具防火墙架构 ...................................................................................................................... 36
网神SecGate 3600 系列VPN 安全网关
网神SecGate 3600系列VPN安全网关一、 产品概述网御神州凭借在V P N领域的深厚技术功底,成为国家密码管理局I P S e c V P N国家标准的制定单位!秉承S e c O S的技术优势,网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的S e c G a t e3600(S J W79-A/B)系列V P N安全网关产品。
该系列V P N安全网关采用国家密码管理局指定的加密算法,支持国家I P S e c V P N标准协议,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。
网御神州目前推出了百兆和千兆两大系列多款I P S e c V P N产品,可全部覆盖高中低端网络应用,涉及通用领域和县乡通信专用领域,同时还提供自主研发的V P N客户端软件。
二、 产品亮点1.强大的组网能力网神V P N安全网关本身可支持各种组网模式,不仅支持网关-网关模式,还支持网状网模式和星型组网,支持基于路由的V P N应用,可十分方便进行纵向组网,这对于具有三级以上网络的行业专网非常合适;网神V P N安全网关可形成从高端、中端到低端再到客户端的全面的V P N解决方案,形成自主组网。
2.灵活的网络适应性网神V P N安全网关在提供传统静态I P的V P N网关功能的同时,也支持基于动态I P地址的V P N 网关,方便使用A D S L接入方式的用户构建自己的V P N网络;可以实现基于策略和基于路由的V P N,大小网络环境都可适应;网神V P N安全网关可与支持国家标准I P S e c、P P T P、L2T P的网关设备和客户端进行互联互通, 同时支持S S L V P N网关功能,支持标准的B/S、C/S连接。
3.全面的V P N功能网神V P N安全网关的功能涵盖了I P S e c、S S L、P P T P、L2T P和G R E多种V P N方式,以及基于这些方式的V P N应用,如N A T的穿越等;支持网关到客户端、客户端到网关多种移动用户上网方式;产品支持全面的防火墙访问控制功能,支持N A T、动态协议解析和带宽控制,支持V P N的实时S A隧道信息同步,实现全冗余的H A部署。
网神SecGate3600防火墙用户手册解析
声明服务修订:●本公司保留不预先通知客户而修改本文档所含内容的权利。
有限责任:●本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。
版权信息:●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。
网神信息技术(北京)股份有限公司网神信息技术(北京)股份有限公司目录导言、概述 (10)第一章、基于web管理界面 (10)1.web管理界面页面 (12)2.Web管理界面主菜单 (13)3.使用web管理界面列表 (14)4.在web管理界面列表中增加过滤器 (14)4.1 包含数字栏的滤波器 (16)4.2 包含文本串的滤波器 (16)5.在web管理界面列表中使用页面控制 (17)5.1 使用栏设置来控制显示栏 (18)5.2 使用带有栏设置的过滤器 (19)6.常用web管理界面任务 (19)6.1 连接到web管理界面 (20)6.2 连接到web管理界面 (21)7.修改当前设定 (21)7.1 修改您SecGate管理员密码 (22)7.2 改变web管理界面语言 (23)7.3 改变您SecGate设备管理路径 (23)7.4 改变web管理界面空闲运行时间 (24)7.5 切换VDOMs (24)8.联系客户支持 (24)9.退出 (25)第二章、系统管理 (25)网神信息技术(北京)股份有限公司1. 系统仪表板 (25)1.1 仪表板概述 (26)1.2 添加仪表板 (26)1.3 系统信息 (29)1.4 设备操作 (34)1.5 系统资源 (36)1.6 最多的会话 (37)1.7 固件管理条例 (40)1.8 备份您的配置 (42)1.9 在升级前测试固件 (44)1.10 升级您的SecGate设备 (46)1.11 恢复到以前的固件镜像 (49)1.12 存储您的配置 (54)使用虚拟域 (56)2. 系统网络 (60)2.1 配置接口 (63)2.2 配置区域 (72)2.3 配置网络选项 (74)2.4 配置SecGateDNS服务 (75)2.5 配置显式网络代理 (81)3. 系统动态主机设置协议服务器(DHCP) (89)3.1 SecGate DHCP服务器和中继 (90)3.2 配置DHCP服务 (91)3.3查看地址租借 (95)4.系统配置 (96)网神信息技术(北京)股份有限公司4.1 HA (97)4.2 简单网络管理协议(SNMP) (107)4.3 替换信息 (120)4.4 操作模式和虚拟域管理入口 (127)5.系统管理 (130)5.1 管理员 (131)5.2 管理资料 (145)5.3 设置 (149)5.4 SecGateIPv6支持 (153)6. 系统认证 (158)6.1 本地证书 (159)6.2 CA证书 (166)第三章、路由 (168)1. 路由静态 (168)1.1 路由概念 (169)1.2 如何建立路由表 (170)1.3 如何做出路由判定 (170)1.4 多路径路由以及决定最佳路线 (171)1.5 路线优先 (172)1.6 黑洞路由 (173)2. 静态路由 (174)2.1 使用静态路由 (174)2.2 默认路由和默认网关 (178)2.3 添加静态路由至路由表 (179)网神信息技术(北京)股份有限公司3. 等值多路径路由协议(ECMP)路由失败备援及负载均衡 (181)3.1 ECMP路由同步会话至相同目标IP地址 (184)3.2 配置溢出或基于使用ECMP (184)3.3 从CLI中添加权重至静态路由 (192)4. 策略路由 (194)5. 路由信息协议(RIP) (200)5.1 RIP页面 (200)5.2 RIP网页网络部分 (201)5.3 RIP网页的接口部分 (202)5.4 高级RIP选项 (202)5.5 RIP-启用接口 (205)6. 开放式最短路径优先(OSPF) (207)6.1 定义OSPF自主系统—概览 (207)6.2 基本OSPF设置 (208)6.3 OSPF页面 (208)6.4 OSPF页面的区域部分 (209)6.5 OSPF页面网络部分 (210)6.6 OSPF页面的接口部分 (210)6.7 高级OSPF选项 (211)6.8 OSPF页面高级选项 (211)6.9 定义OSPF区域 (213)6.10 OSPF网络 (215)6.11 OSPF接口的运行参数 (216)7. 边界网关协议(BGP) (219)7.1 BGP页面 (220)网神信息技术(北京)股份有限公司7.2 BGP页面领域部分 (220)7.3 BGP页面网络部分 (221)8. 多路广播 (221)8.1 覆盖接口多路广播设置 (223)8.2 多路广播目标NAT (225)9. 双向转发检测(BFD) (225)9.1 配置BFD (226)10. 路由器监控 (229)10.1 查看路由信息 (230)10.2 查找SecGate路由表 (233)第四章、防火墙 (234)1. 策略 (234)1.1 身份识别防火墙策略 (247)1.2 中心网络地址转换(NAT)表 (254)1.3 互联网协议第六版(IPv6)策略 (256)1.4 拒绝服务(DoS)策略 (256)2. 地址 (259)2.1 地址列表 (260)2.2 地址组 (262)3. 服务 (264)3.1 预定义服务器列表 (265)3.2 定制服务 (273)3.3 定制化服务组 (274)4. 时间表 (276)网神信息技术(北京)股份有限公司4.1 循环时间表列表 (276)4.2 一次性时间表列表 (278)4.3 时间表组 (279)5. 流量整形器 (281)5.1 共享流量整形器 (281)5.2 Per-IP模式流量整形 (284)6. 虚拟IP地址 (285)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (286)6.2 虚拟IP地址 (286)6.3 虚拟域IP地址(VIP)组 (290)6.4 IP地址池 (292)7. 负载均衡功能 (293)7.1 虚拟服务器 (294)7.2 有效服务器 (301)7.3 健康检查监控器 (302)7.4 监控服务器 (305)第五章、UTM (306)1.拒绝服务(DoS)感应器 (306)2.SYN代理 (309)3.SYN界限(使用一个DoS感应器防止SYN泛滥) (310)4.了解异常状况 (310)第六章、虚拟专用网(IPsec VPN) (312)1.IPSec VPN概述 (313)2.策略性对路由型虚拟专用网络(VPN) (314)网神信息技术(北京)股份有限公司3.自动交换密钥(IKE) (317)3.1 第一阶段配置 (318)3.2 第一阶段高级配置设定 (322)3.3 第二阶段配置 (328)3.4 第二阶段高级配置设定 (328)4.人工密钥 (333)4.1 新人工密钥配置 (334)5.集中器 (339)6.监控虚拟专用网络(VPN) (340)7.安全套接层虚拟专用网络(SSL VPN) (343)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (343)7.2 基本配置步骤 (344)7.3 配置(Config) (346)7.4 界面 (348)7.5 界面设定 (351)7.6 界面小部件 (351)7.7 安全套接层虚拟专用网络(SSL VPN)监控器列表 (353)第七章、用户 (354)1.用户 (355)1.1 本地用户账户 (355)1.2 身份认证设置 (357)2.用户组 (359)2.1 防火墙型用户组 (362)2.2 安全套接层虚拟专用网络(SSL VPN)型用户组 (363)网神信息技术(北京)股份有限公司3.远程 (364)3.1 RADIUS (365)3.2 轻量级目录访问协议(LDAP) (368)3.3 TACACS+ (372)4.监控 (374)4.1 防火墙用户监控表 (374)第八章、日志与报告 (377)1.日志与报告概述 (378)2.什么是日志? (379)2.1 日志类型和分类型 (380)3.示例 (383)日志信息 (383)4.SecGate如何储存日志 (384)4.1 远程存储到系统日志服务器 (385)4.2 本地存储到内存 (387)4.3 本地存储到硬盘 (388)5.事件日志 (389)5.1 告警电子邮件 (390)6.接入并查看日志信息 (392)网神信息技术(北京)股份有限公司导言、概述SecGate 3600防火墙缺省支持两种管理方式:(1)通过CONSOLE口的命令行管理方式(2)通过网口的WEB(https)管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。
网神SecIPS3600系列入侵防御系统
网神S e c I P S3600系列入侵防御系统一、 产品介绍网神S e c I P S3600系列入侵防御系统基于先进的体系架构和深度协议分析技术,结合协议异常检测、状态检测、关联分析等手段,针对蠕虫、间谍软件、病毒、垃圾邮件、D O S攻击、网络资源滥用等危害网络安全的行为,采取主动防御措施,实时阻断网络流量中的恶意攻击,确保信息网络的运行安全。
二、产品亮点1.深度检测,多种技术融合融合多种检测技术,有效检测并阻止多种已知的和未知的攻击;应用层上的数据包重组、检测分析,以阻挡越来越多的应用层攻击行为;S e c I P S3600的攻击检测模块与内置访问控制模块的完美集成使得产品具有更安全可靠的防护能力。
2.A S E引擎实现准确的检测与防护S e c I P S3600基于独有的应用检测引擎A S E,实现了的协议状态分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术,结合基于特征匹配的检测技术,极大地提高检测的准确性,降低误报率。
S e c I P S3600特有的协议识别技术能够识别近100种包括后门、木马、I M、网络游戏在内的应用层协议,不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵,并且能更好的提高检测效率和准确率。
S e c I P S3600出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击,达到接近100%的检测准确率和几乎为零的误报率。
3.优异的产品性能S e c I P S3600专门设计了安全、可靠、高效的硬件运行平台。
硬件平台采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大大提升了处理能力、吞吐量;操作系统经过优化和安全性处理,保证系统的安全性和抗毁性。
S e c I P S3600依赖先进的体系架构、高性能专用硬件,在实际网络环境部署中性能表现优异,具有线速的分析与处理能力。
4.高可靠、可扩展S e c I P S3600支持失效开放(F a i l b y p a s s)机制,当出现软件故障、硬件故障、电源故障时,系统自动切换到直通状态以保障网络可用性,避免单点故障。
360网神网络安全准入系统 NACV6.0_视频专网引擎产品白皮书_V1.0
奇安信视频终端安全准入系统产品白皮书文档版本:v2.0■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。
对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
1.产品概述 02.产品特点 03.产品功能...............................................................................错误!未定义书签。
4.产品型号与指标...................................................................错误!未定义书签。
5.产品资质...............................................................................错误!未定义书签。
1.产品概述随着“平安城市”工程、“雪亮”工程、“天网”工程的逐步推进,社会上视频监控资源正在以飞快的速度不断丰富和发展。
视频监控系统因其能提供实时、直观的视频信息,被广泛应用与社区监控、交警卡点监控等各类业务中。
随着视频专网规模迅速扩大并广泛应用于公共安全建设,视频监控网络的安全问题也日益凸显。
视频终端的安全问题将直接影响其业务的连续性,设备的共性会导致一点突破进而引发整个网络被突破,而参与安全处置协同的人员比较少,病毒传播的速度、攻击沦陷的速度比传统办公网络的终端更快速,留给我们在检测、响应、处置的时间窗口更短暂。
奇安信视频终端安全准入系统是奇安信集团为解决视频专网安全管理难题而推出的产品,能够轻松实现视频专网的资产发现和识别、前端摄像头的接入控制、仿冒检测和处置、前端摄像头的安全基线检查和状态监控、视频专网的IP地址管理与监测、一体化的视频专网终端安全防护与管理等功能。
网神SecGate 3600安全网关WEB界面手册[V9.7.1]
![网神SecGate 3600安全网关WEB界面手册[V9.7.1]](https://img.taocdn.com/s3/m/f253863d31126edb6f1a106e.png)
声明服务修订:●本公司保留不预先通知客户而修改本文档所含内容的权利,如果配置截图与实际产品界面有差异,以实际产品配置界面为准。
有限责任:●本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。
版权信息:●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。
网神信息技术(北京)股份有限公司网神信息技术(北京)股份有限公司目录1导言 (13)1.1.本书适用对象 (13)1.2.手册章节组织 (13)1.3.相关参考手册 (15)2登录安全网关WEB界面 (16)2.1管理员必读 (16)2.1.2.管理员电子钥匙 (16)2.1.2.管理员证书 (17)2.1.3.管理员配置管理 (17)2.2.管理员首次登录 (18)2.2.1. 登录WEB界面 (19)2.3.管理员再次登录 (21)3首页 (22)4系统配置 (25)4.1.系统配置>>系统时钟 (25)4.2.管理配置>>管理方式 (27)4.3.管理配置>>管理主机 (28)4.4.管理配置>>管理员帐号 (29)4.5.管理配置>>管理员证书 (33)网神信息技术(北京)股份有限公司4.6.管理配置>>集中管理 (35)4.7.系统配置>>导入导出 (39)4.8.系统配置>>升级许可 (42)4.9.系统配置>>日志服务器 (45)4.10.系统配置>>域名服务器 (46)4.11.系统配置>>报警邮箱 (47)5网络配置 (49)5.1.网络配置>> 网络接口 (49)5.1.1网络接口>>基本配置 (49)5.1.2网络接口>>接口IP (52)5.1.3.网络接口>>子接口 (55)5.1.4.网络接口>>桥接口 (57)5.1.5.网络接口>>channel (60)5.1.6.网络接口>>Vlan配置 (63)5.2.网络配置>>静态路由 (64)5.2.1.静态路由>>目的路由 (64)5.2.2.静态路由>>智能选路 (65)5.3 网络配置>>动态路由 (68)5.3.1 动态路由>>RIP设置 (69)5.3.2 动态路由>>OSPF设置 (73)5.3.3 动态路由>>BGP设置 (77)5.3.4 动态路由>>DEBUG设置 (79)5.4 网络配置>>多播路由 (80)5.4.1 多播路由>>多播配置 (80)网神信息技术(北京)股份有限公司5.4.2 多播路由>>多播监控 (82)5.4.3 多播路由>>PIM信息 (82)5.5网络配置>>DHCP配置 (83)5.5.1DHCP配置>>DHCP服务器 (83)5.5.2DHCP配置>>DHCP中继 (87)5.5.3 DHCP配置>>DHCP客户端 (88)5.6网络配置>>虚拟系统 (89)5.6.1虚拟系统>>虚拟系统管理 (90)5.6.2虚拟系统>>虚拟系统切换 (93)5.7网络配置>>ADSL拨号 (93)5.8网络配置>>DNS中继 (95)5.9网络配置>>WIRELESS_3G配置 (96)5.10网络配置>>链路探测 (98)5.11网络配置>>网口联动 (99)5.12网络配置>>静态ARP (100)5.13 网络配置>>静态桥转发表 (101)5.14 网络配置>>端口镜像 (103)6对象定义 (104)6.1对象定义通用功能介绍 (104)6.1.1分页显示 (105)6.1.2 查找 (106)6.1.3排序 (106)6.1.4添加 (107)61.5编辑(修改) (108)网神信息技术(北京)股份有限公司6.1.6删除 (109)6.1.7名称和备注 (110)6.2地址 (111)6.2.1地址>>地址列表 (111)6.2.2地址>>地址组 (113)6.2.3地址>>服务器地址 (114)6.2.4地址>>虚拟服务器地址 (117)6.2.5地址>>NAT地址池 (120)6.2.6地址>>域名列表 (121)6.2.7地址>>isp地址表 (122)6.3服务 (124)6.3.1服务>>服务列表 (124)6.3.2服务>>服务组 (136)6.4时间 (138)6.4.1时间>>时间列表 (138)6.4.2 时间>>时间组 (140)6.5保护内容列表 (141)6.6连接限制配置 (144)7防火墙 (145)7.1 安全规则 (145)7.1.1 包过滤规则 (155)7.1.2NAT规则 (159)7.1.3IP/端口映射规则 (163)7.2抗攻击 (167)网神信息技术(北京)股份有限公司7.3IDS联动 (175)7.4 IP/MAC绑定 (177)7.5 URL重定向 (184)8Ipv6 配置......................................................................................... 错误!未定义书签。
网神SecSIS3600安全隔离和信息交换系统管理员手册V6.0.12.2
网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动,恕不另行通知。
在法律法规允许的最大范围内,网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其他任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
在法律法规的最大允许范围内,网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失),不负任何赔偿责任。
本手册的信息受到版权保护,本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可,任何单位与个人不得以任何方式影印或复印。
网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统,您能成为我们的用户,是我们莫大的荣幸。
为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统,我们随机配备了内容详细的管理员手册。
网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。
这本手册能帮助您更好地管理设置。
希望用户在遇到设置问题的时候能在手册里得到帮助。
我们对管理员手册的编排力求内容全面而又简单易懂,从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。
在第一次安装和使用之前,请务必仔细阅读所有资料,这会有助于您更好地使用本产品。
这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。
在安装安全隔离与信息交换系统之前及过程中,为更好地应用与配置,同时避免可能出现的各类问题,请仔细阅读本手册。
我们认为手册中所提供的信息是正确可靠的,请尽量避免人为的失误。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技(北京)有限公司网御神州科技(北京)有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技(北京)有限公司1 概述随着网络技术的不断应用和完善,Internet正在越来越多地渗透到社会的各个方面。
一方面,企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展,人们的日常生活与网络的关系日益密切;另一方面,网络用户组成越来越多样化,出于各种目的的网络入侵和攻击越来越频繁。
人们在享受互联网所带来的丰富、便捷的信息同时,也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。
传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要,但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性。
为保护重要内部系统的安全,2000年1月,国家保密局发布实施《计算机信息系统国际互联网保密管理规定》,明确要求:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离。
” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。
”在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施,可切断信息泄漏的途径。
最初的解决方案很简单,即通过人工的操作来实现。
如下图所示:在不同安全等级的网络中进行信息交换的时候,由指定人员将需要转移的数据拷贝到软盘等移动存储介质上,经过查病毒、内容检查等安全处理后,再复制到目标网络中。
这种解决方案可实现网络的安全隔离,但数据的交换通过人来实现,工作效率低;安全性完全依赖于人的因素,可靠性无法保证。
在数据量不大,交换不频繁的情况下,通过人工交换数据的确简单可行。
然而,随着电子政务的开展,内外网交换数据的数量和频率呈几何量级上升,这种解决方案已经越来越无法满足用户的需要。
如何保证信息在不同安全等级的网络间安全交换成为制约电子政务发展的瓶颈。
网神SecSIS 3600安全隔离与信息交换系统(简称:网闸)是新一代网络安全隔离产品。
该产品采用专用硬件和模块化的工作组件设计,集成安全隔离、实时信息交换、协议分析、内容检测、访问控制,安全决策等多种安全功能为一体,适合部署于不同安全等级的网络间,在实现多个网络安全隔离的同时,实现高速的、安全的数据交换,提供可靠的信息交换服务。
网御神州科技(北京)有限公司1网神SecSIS 3600网闸可广泛应用于各级政府机关、军队、公安、科研院校及民航、电力、石油、金融、证券、交通等网络环境,实现信息的安全交换。
尤其适合于电子政务、网上工商、网上报税、网上报关、电子审批、政府信息系统管理等需要严格内外网隔离的应用环境。
2 产品简介2.1 工作原理网神SecSIS 3600安全隔离与信息交换系统的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。
在此前提下,通过专有硬件实现网络间信息的实时交换。
这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。
信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。
当访问请求到达内外网主机模块时,首先由网闸实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;然后,内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。
一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。
这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。
如下图所示:网神SecSIS 3600安全隔离与信息交换系统通过专有的隔离交换卡实现内外网主机模网御神州科技(北京)有限公司2块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换。
隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达2Gbps,完全可以满足高速数据交换的需要。
隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。
隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。
当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。
经检验合格,则进行逆向转换,将格式化数据转换成符合RFC标准的TCP/IP数据包,将数据包发送到目的计算机,完成数据的安全交换。
2.2 产品组成网神SecSIS 3600安全隔离与信息交换系统为2U的专用网络设备,其内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。
内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。
隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。
内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。
隔离交换模块是内外网主机模块间数据交换的唯一通道,本身没有操作系统和应用编程接口,所有的控制逻辑和传输逻辑固化在安全芯片中,自主实现内外网数据的交换和验证。
在极端情况下,即使黑客攻破了外网主机模块,但由于无从了解隔离交换模块的工作机制,因此无法进行渗透,内网系统的安全仍然可以保障。
3 系统功能详述3.1 丰富的应用模块网神SecSIS 3600安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求,主要包括:⏹文件交换模块:实现不同安全等级网络间文件的安全交换。
⏹数据库同步模块:通过灵活的同步机制,保证安全等级不同的网络中的数据库系统实现数据同步更新。
⏹邮件交换模块:保证在内外网隔离的环境下实现安全的邮件收发。
⏹安全浏览模块:保证在内外网隔离的环境下,内网用户安全浏览外网资源。
⏹通用模块:保证内外网隔离的同时实现FTP、DNS、TNS等协议及其他通用TCP/IP协议的定制交换。
⏹其它定制用户专有应用模块。
3.2 访问控制系统支持强大的访问控制策略,支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略。
网御神州科技(北京)有限公司33.3 地址绑定提供IP与MAC地址绑定功能,可对指定接口所连接的网络中的主机的IP 和MAC 地址进行绑定,防止内部用户盗用IP和内网地址资源分配的混乱,方便网络IP资源管理。
3.4 内容检查网神SecSIS 3600安全隔离与信息交换系统提供多种内容安全过滤与内容访问控制功能,既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。
网神SecSIS 3600安全隔离与信息交换系统的内容检查机制主要针对HTTP、FTP、邮件及文件交换等应用,包括URL过滤、关键字过滤、Cookie过滤、文件类型检查及病毒查杀等操作。
⏹URL/域名过滤网闸可对用户访问的Web站点的域名及URL等进行基于正则表达式的过滤,禁止用户访问暴力、色情、反动的主页或站点中的特定目录或文件。
⏹黑/白名单关键字过滤网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤,进行单词及短句的智能匹配,禁止包含特定关键字的敏感信息泄漏,或只允许包含相应关键字的文件通过网闸传递。
⏹COOKIE过滤网闸可对COOKIE进行过滤。
通过对COOKIE进行过滤,可以防止敏感信息的泄漏。
同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。
⏹文件类型检查网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递。
避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。
⏹病毒及恶意代码检查系统可内嵌杀病毒引擎,对允许传输的文件进行病毒的检查,确保进入可信网络的文件不包含病毒及Java/JavaScript/Active-X等恶意代码。
3.5 高安全的文件交换网神SecSIS3600安全隔离与信息交换系统提供基于纯文件的交换方式,内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发。
不借助任何第三方软件,完全通过文件的拷贝、粘贴方式实现,为了避免网络漏洞,网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。
3.6 内置的数据库同步模块网神SecSIS3600安全隔离与信息交换系统的数据库同步模块,独立自主开发完成,完全内置于网闸内部,所有的同步操作由网闸自己独立完成。
不在用户数据库中安装任何客户端软件,不需要在用户网络中部署专用服务器,对用户数据库不作任何改变。
该模块支持网御神州科技(北京)有限公司4Oracle和Sql Server等流行数据库版本,同时预留开发接口,定制支持各种数据库系统。
在高速运行的基础上解决了字段级数据同步、双向数据同步、大字段同步等技术难题,适合于各种数据库同步工作的需要。
由于是网闸自身发起的动作,所以网闸两侧不开放任何基于数据库访问或者定制TCP 的网络服务端口,避免网络安全漏洞。