网御星云网闸培训[指南]

网御星云信息安全实验室及校企合作解决方案网御星云科技有限公司2011年5月目录第1 章摘要 (6)第2 章需求分析 (8)2.1建设网络安全实验室的意义 (8)2.1.1网络安全实验室的建设对提高学校网络科研水平意义重大 (8)2.1.2网络安全实验室的建设对提高网络教学水平意义重大 (9)2.1.3网络安全实验室的建设对学生就业意义重大 (10)2.1.4网络安全实验室的建设对学校品牌的树立具有重要促进作用 (10)2.1.5小结 (11)2.2网络安全实验室建设目的 (11)2.3实验教学内容 (12)第3 章建设网络安全实验室的目标和原则 (14)3.1建设网络安全实验室的目标 (14)3.2建设网络安全实验室的原则 (15)第4 章网御星云安全实验室建设方案 (17)4.1网御星云安全实验室方案概述 (17)4.2实验台介绍 (19)4.3网络安全实验室管理方案特点 (19)4.3.1分离式设计 (20)4.3.2管理统一 (20)4.4高级网络安全实验室 (21)4.4.1项目预算 (21)4.4.2实验设备 (21)4.5中级网络安全实验室 (22)4.5.1项目预算 (22)4.5.2实验设备 (22)4.6初级网络安全实验室 (23)4.6.1项目预算 (23)4.6.2实验设备 (23)4.7实验室人员编排 (24)4.8实验室设备组成 (24)第5 章校企合作模式 (25)5.1兼职教师 (25)5.2项目、教材合作 (25)5.3教师挂职锻炼 (26)5.4顶岗实习 (26)5.5学生就业 (26)5.6认证课程 (27)第6 章网御星云安全实验室解决方案的优势 (27)6.1专注于实验教学 (27)6.1.1实验内容完全满足本专科及研究生的教学需要 (27)6.1.2配有内容丰富的实验指导手册 (28)6.1.3师资培训 (28)6.1.4采用全面的主流设备，拓宽就业面 (28)6.2教学管理便捷安全 (29)6.2.1本方案做实验的方法的优势： (29)6.2.2安全管理的实验室 (29)6.2.3高效的实验管理 (29)6.3先进的科研平台 (30)6.4在实验室中可以培养学生的能力 (30)6.4.1网络安全系统部署实施能力 (30)6.4.2网络设备管理能力 (30)6.4.3网络故障管理能力 (31)6.4.4网络性能管理能力 (31)6.4.5网络安全防范能力 (31)第7 章课程体系 (32)7.1课程介绍 (32)7.2信息安全实验室理论课程安排 (32)7.3信息安全实验室实践课程安排 (33)第 1 章摘要近十年来，伴随信息时代的迅速到来，网络技术和应用的快速发展和空前繁荣，日益极大地影响着整个社会的方方面面，已经成为人们须臾不能离开的工作和生活方式。

网御安全网关Power V IPS 功能使用手册VERSION 2.0声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，北京网御星云信息技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，北京网御星云信息技术有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经北京网御星云信息技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

本手册使用于网御PowerV系列安全网关，在手册中称为安全网关。

北京网御星云信息技术有限公司中国北京海淀区中关村南大街6号中电信息大厦8层章节目录章节目录 (III)第1章前言 (1)1.1导言 (1)1.2本书适用对象 (1)1.3本书适合的产品 (1)1.4手册章节组织 (1)1.5相关参考手册 (2)第2章应用防护概念与配置方法 (3)2.1应用防护概述 (3)2.2入侵防护 (3)2.2.1 入侵防护策略 (3)2.2.2 入侵防护引擎 (4)2.3协议控制 (6)2.3.1 协议控制策略 (6)2.4反垃圾邮件 (7)第3章 VPN概念与配置方法 (8)3.1IPS EC VPN隧道 (8)3.2IKE密钥交换 (9)3.3VPN虚拟接口设备配置方法 (10)3.4局域网-局域网配置方法 (10)3.4.1 添加远程VPN (10)3.4.2 隧道配置方法 (11)3.5VPN客户端远程访问的配置方法 (11)3.6野蛮模式的应用 (13)3.7星形部署 (13)3.8VPN隧道与安全规则的关系 (13)3.9PPTP/L2TP远程访问VPN配置方法 (13)3.10动态域名配置方法 (17)3.11常见问题（FAQ） (18)3.12如何注册的动态域名 (19)3.13网御VPN CA中心的使用方法 (23)3.13.1 证书管理 (23)3.13.2 使用第三方CA证书管理中心 (24)3.13.3 CA中心自身的管理 (24)3.14GRE隧道中继 (25)3.14.1 需求描述 (25)3.14.2 配置步骤 (25)3.14.3 总结 (30)3.15SSLVPN (30)3.15.1 SSLVPN的使用方法 (31)3.15.2 SSLVPN的配置 (31)第4章 HA 概念与配置方法 (32)4.1HA和LFRP概述 (32)4.2LFRP (33)4.2.1 LFRP和网御安全网关的工作模式 (33)4.2.2 LFRP自身的HA工作模式 (33)4.2.3 LFRP集群的配置同步 (35)4.2.4 LFRP集群的心跳协议（HEARTBEAT PROTOCOL） (36)4. 2. 4. 1 心跳协议的基本参数 (36)4. 2. 4. 2 心跳协议的通讯方式 (36)4. 2. 4. 3 从节点离线 (36)4. 2. 4. 4 主节点离线 (36)4.2.5 LFRP集群的会话保护协议 (37)4.2.6 LFRP集群的路径监控 (37)4.2.7 LFRP集群的负载均衡技术 (37)4.3范例和配置 (38)4.3.1 范例一：单交换机节点下的主动-主动LFRP集群 (38)4. 3. 1. 1 网络拓扑结构 (38)4. 3. 1. 2 HA网口参数和基本参数配置 (39)4. 3. 1. 3 HA路径监控配置 (41)4.3.2 范例二：双交换机节点下的主动-主动LFRP集群 (43)4. 3. 2. 1 网络拓扑结构 (43)4. 3. 2. 2 HA网口参数和基本参数配置 (44)4. 3. 2. 3 HA路径监控配置 (44)4.3.3 范例三：双交换机双路由器（路由交换机）下的会话保护 (45)4. 3. 3. 1 网络拓扑图 (45)4.4注意事项 (46)第5章 VRRP概念和配置 (48)5.1功能概述 (48)5.2范例和配置 (49)5.2.1 网络拓扑结构 (49)5.2.2 VRRP配置 (49)5.2.3 VRRP同步配置 (51)5.2.4 注意事项 (52)第6章服务器负载均衡概念和配置 (53)6.1功能概 (53)6.2服务器负载均衡功能特点 (53)6.3虚拟服务器和真实服务器 (53)6.4负载均衡调度算法概述 (53)6.5探测设置 (55)6.6范例和配置 (55)6.6.1 网络拓扑图： (55)6.6.2 服务器和客户机上的配置 (55)6.6.3 虚拟服务器配置 (56)6.6.5 探测配置 (57)第7章冗余设备概念与配置方法 (58)7.1功能概述 (58)7.2典型应用 (58)7.2.1 范例1－负载轮询方式 (58)7.2.2 范例2－热备方式 (59)第8章典型应用环境 (61)8.1三网口透明模式 (61)8.1.1 需求描述 (61)8.1.2 配置步骤 (62)8.2三网口多VLAN环境 (63)8.2.1 需求描述 (63)8.2.2 配置步骤 (64)8.3多网口多DMZ (66)8.3.1 需求描述 (66)8.3.2 配置步骤 (67)8.4多网口多内网区段 (68)8.4.1 需求描述 (68)8.4.2 配置步骤 (69)8.5两组端口间连接状态同步一 (71)8.5.1 需求描述 (71)8.5.2 配置步骤 (71)8.6两组端口间连接状态同步二 (72)8.6.1 需求描述 (72)8.6.2 配置步骤 (72)第9章 FAQ与附录 (74)9.1安全设备常见问题解答 (74)9.1.1 如何登录到安全设备管理界面？ (74)9.1.2 配置安全设备POWER V IPS的基本过程是怎样的？ (75)9.1.3 哪些应用可以和用户认证结合使用？ (75)9.1.4 “物理设备”，“别名设备”，“VLAN设备”，“桥接设备”，“冗余设备”，“VPN设备”和“拨号设备”的定义是怎样的，之间有什么区别与联系？ (75)9.1.5 为什么有些需要输入时间、地址、网络接口和服务的下拉框为空？ (76)9.1.6 资源定义>>地址资源>>地址池列表中定义的地址池资源是如何生效的？ (77)9.1.7 为什么选择了按网口探测网络上的MAC 地址会探测不到内容？ (77)9.1.8 如何配置安全网关特征升级服务器 (77)9.1.9 为什么系统启动后会听到“嘟嘟嘟”三声？ (77)9.2附录：网络基本知识 (77)9.2.1 OSI参考模型概述 (77)9.2.2 网络 (79)9.2.3 协议 (80)9.2.4 IP地址 (86)9.2.5 路由 (89)9.2.7 包过滤 (93)9.3附录：常用端口列表 (97)9.4附录：IP协议号列表 (115)9.5附录：安全设备选配电缆说明 (118)9.6附录：术语解释（按英文名称字母顺序） (119)第1章前言1.1 导言《功能使用手册》是网御安全网关 Power V管理员手册中的一本。

网御网络审计系统V运维安全管控型管理员使用手册系列v更新Prepared on 22 November 2020网御网络审计系统（运维安全管控型）管理员使用手册北京网御星云信息技术有限公司文档修订记录目录1概述1.1关于本手册网御网络审计系统（运维安全管控型）（以下简称网御LA-OS），是网御星云综合内控系列产品之一。

网御LA-OS是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。

它通过对自然人身份以及资源、资源账号的集中管理建立“自然人—资源—资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。

本手册详细介绍了网御LA-OS包括初始化配置、用户管理、资源管理、策略管理、审计管理、密码管理、系统管理各功能模块的使用方法，用户可参考本手册，对网御LA-OS进行各种运维管理和审计管理。

1.2格式约定●本文中所有图例均为实际拍摄或屏幕截取●菜单名称和按钮名称的表示方法：【菜单名称】，【按钮名称】图标表示的含义：：系统管理、配置的重要说明、提示信息。

：相关功能配置的举例说明信息；2初始化配置网御LA-OS系统通过Web浏览器登录进行管理（默认地址为，初始化时需手动设置一个超级管理员账号、密码（自行设定），网御LA-OS目前支持的浏览器包括Internet Explorer8以上的版本和火狐浏览器。

2.1完成配置向导首次登录后，系统自动进入初始化的配置向导界面。

全过程操作说明：1、密码策略的配置；2、超级管理员账号及密码的配置；3、主机网络的配置；4、导入授权文件；5、确认配置信息；6、向导配置完成。

2.1.1设置密码策略设置密码策略，如图所示：图设置密码策略操作说明：1、认证方式的选择；2、设置最小密码长度；3、配置密码复杂度；4、配置密码周期；5、配置历史对比；6、配置自动锁定；7、配置自动解锁；填写完成后点击“下一步”。

网御安全隔离与信息交换系统技术白皮书V4.5北京网御星云信息技术有限公司网御安全隔离与信息交换系统技术白皮书目录引言 (1)1产品概述 (2)1.1产品定位 (2)1.2工作原理 (2)1.3技术特性 (3)2系统架构 (5)2.1硬件架构 (5)2.2软件架构 (7)3产品特色 (8)3.1高安全的架构设计 (8)3.2高速隔离交换性能 (8)3.3专家级的数据安全 (8)3.4广泛的应用适用性 (9)3.5业内领先高可靠性 (9)4技术优势 (10)4.1安全性技术优势 (10)4.1.1安全的隔离硬件 (10)4.1.2安全的操作系统 (10)4.1.3应用协议内容安全 (10)4.1.4网络层安全 (11)4.1.5强的抗攻击能力 (12)4.1.6防IP地址盗用 (12)4.2高性能技术优势 (12)4.2.1并行处理技术 (12)4.2.2协议自动处理技术 (12)4.2.3双摆渡传输技术 (12)4.2.4链路聚合技术 (13)4.3适用性技术优势 (13)4.3.1灵活的多网隔离 (13)4.3.2灵活的安装部署 (13)4.4可靠性技术优势 (13)4.4.1端口冗余 (13)4.4.2双机热备 (13)网御安全隔离与信息交换系统技术白皮书4.4.3动态负载均衡 (14)4.5易管理技术优势 (14)4.5.1强大、多样的管理方式 (14)4.5.2高效的集中式管理系统 (14)4.5.3完善的日志和审计 (15)4.5.4友好的管理界面 (15)4.6核心技术优势 (15)4.6.1领先的多网隔离 (16)4.6.2独创的硬件架构 (16)4.6.3超强的抗攻击能力 (17)5基本功能 (18)6运行环境 (20)7典型应用 (21)7.1数据同步 (21)7.1.1数据库同步 (21)7.1.2文件同步 (21)7.2代理访问 (22)图片索引图1网御网闸工作原理图 (3)图2网御网闸硬件架构原理图 (6)图3网御网闸系统软件架构图 (7)图5网御网闸数据库同步功能示意图 (21)图6网御网闸文件同步功能示意图 (22)图7网御网闸代理访问功能示意图 (23)网御安全隔离与信息交换系统技术白皮书引言Michael Bobbin（《计算机安全杂志》主编）说，“保证一个系统真正安全的途径只有一个：断开网络，这也许正在成为一个真正的解决方案。

网御星云安全隔离网闸行业应用典型案例网御星云安全隔离与信息交换系统(以下简称“安全隔离网闸”)基于“2+1”系统架构、LeasASIC专用芯片、USE统一安全引擎、MRP多重冗余协议，将安全性、高效性、智能性、可靠性完美结合，具有数据同步型和数据访问型两种工作模式。

对数据在应用层细粒度安全过滤后，以自有协议方式在安全隔离网闸内摆渡，彻底切断了不同安全级别网络间的任何连接，实现了高安全的隔离和实时的信息交换。

网御星云现已成为国内安全隔离网闸业内技术最优、产品线最全、市场占有率最好的领导厂商。

以下案例是网御星云安全隔离网闸众多行业应用典型案例中的很少一部分，旨在为大家提供一些安全隔离网闸行业应用案例借鉴，也希望通过本文与读者进行更加深入的探讨。

网御星云安全隔离网闸特色描述：n 高安全性的“2+1”系统架构系统硬件平台由内网主机系统、外网主机系统、隔离交换矩阵三部分组成;主机系统采用VSP通用安全平台，隔离交换矩阵实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议。

n 强大的数据交换能力和多业务应用支持技术网御星云安全隔离网闸拥有强大的数据交换能力，以数据库同步为例，安全隔离网闸支持Oracle、SQLServer、DB2、Sybase等主流数据库间的同构、异构同步，支持单向、双向同步，支持一到多、多到一的同步，支持灵活多样的数据冲突处理机制，采用先进的数据容错技术，保障数据同步的可靠性、稳定性。

网御星云安全隔离网闸有数据库同步、文件同步、安全浏览、邮件传输、定制访问、消息传输等多种功能模块为用户多种业务提供了丰富的应用支持。

n 高智能性的全文内容过滤、高效病毒检测技术以USE(Uniform Security Engine)统一安全引擎为基础，对隔离交换报文进行全文数据还原，对用户登录、命令请求、文本信息、协议格式等实施全文深度检测，并支持特定应用层协议标签的检测控制，实现了对特定信息交换多重内容安全管理，为网络间数据交换提供了“绿色通道”。