网御网闸SIS-3000-Z2101技术参数
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:88893、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。
测试拓扑结构:192.168.20.2内:192.168.20.1外:192.168.10.1192.168.10.2FTP客户端网闸客户端网闸服务端FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要使用之一,根据外部使用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种使用模式具体的比较如下区别透明访问普通访问含义外部客户端,“无视”网闸的存在,直接访问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;原理区别两者相同两者相同配置区别1)只需配置网闸客户端任务,无需配置网闸服务端任务;2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;访问目的地址网闸另一侧的真实服务器地址和客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:◆登陆界面◆登陆首页◆更改密码(按需求修改)◆网口配置(按需求修改)◆配置网闸内侧任务,并启动服务(按需求修改)添加网闸内侧任务,如下图:若是【普通访问】,该地址为内侧网口地址【192.168.20.1】;若是【透明访问】,该地址为FTP 服务器地址对象【ftpsvr_192.168.10.2】。
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:88893、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。
测试拓扑结构:FTP客户端FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端,“无视”网闸的存在,直接访问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;原理区别两者相同两者相同配置区别1)只需配置网闸客户端任务,无需配置网闸服务端任务;2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:◆登陆界面◆登陆首页◆更改密码(按需求修改)◆网口配置(按需求修改)◆配置网闸内侧任务,并启动服务(按需求修改)添加网闸内侧任务,如下图:若是【普通访问】,该地址为内侧网口地址【192.168.20.1】;若是【透明访问】,该地址为FTP服务器地址对象【ftpsvr_192.168.10.2】。
联想网闸数据库同步用户手册
联想网御SIS安全隔离与信息交换系统数据库同步客户端操作手册声明♦本手册所含内容若有任何改动,恕不另行通知。
♦在法律法规的最大允许范围内,联想网御科技(北京)有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
♦在法律法规的最大允许范围内,联想网御科技(北京)有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。
♦本手册含受版权保护的信息,未经联想网御科技(北京)有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。
联想网御科技(北京)有限公司中国北京海淀区中关村南大街6号中电信息大厦8层章节目录章节目录 (3)第1章前言 (4)1.1 导言 (4)1.2 本书适用对象 (4)1.3 本书适合的产品 (4)1.4 相关参考手册 (4)第2章如何开始 (5)2.1 系统概述 (5)2.2 工作原理 (5)2.3 产品特点 (5)2.3.1 与数据库的连接方式 (5)2.3.2 支持的数据库类型 (6)2.3.3 支持的数据库表结构 (6)2.3.4 支持的数据库表字段类型 (6)2.3.5 其他特点 (8)2.4 运行环境 (8)2.5 安装步骤 (9)第3章系统设置 (10)3.1 系统位置 (10)3.2 证书管理 (10)3.3 本机地址设置 (11)3.4 通信模式设置 (12)第4章发送任务 (13)4.1 新建任务 (13)4.2 删除任务 (15)4.3 修改任务 (15)第5章接收任务 (17)5.1 新建任务 (17)5.2 删除任务 (20)5.3 修改任务 (20)第6章任务调度 (22)6.1 任务调度 (22)第7章查看日志 (24)7.1 日志查看 (24)第8章附录 (25)8.1 常见问题说明 (25)第1章前言1.1 导言《数据库同步客户端操作手册》是联想网御SIS安全隔离与信息交换系统管理员手册中的一本。
网神SecSIS 3600安全隔离与信息交换系统技术白皮书 V1.0
网神SecSIS3600安全隔离与信息交换系统的数据库同步模块,独立自主开发完成,完全内置于网闸内部,所有的同步操作由网闸自己独立完成。不在用户数据库中安装任何客户端软件,不需要在用户网络中部署专用服务器,对用户数据库不作任何改变。该模块支持Oracle和Sql Server等流行数据库版本,同时预留开发接口,定制支持各种数据库系统。在高速运行的基础上解决了字段级数据同步、双向数据同步、大字段同步等技术难题,适合于各种数据库同步工作的需要。
COOKIE过滤
网闸可对COOKIE进行过滤。通过对COOKIE进行过滤,可以防止敏感信息的泄漏。同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。
文件类型检查
网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递。避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。
病毒及恶意代码检查
传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要,但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性。为保护重要内部系统的安全,2000年1月,国家保密局发布实施《计算机信息系统国际互联网保密管理规定》,明确要求:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离。”中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。”
由于是网闸自身发起的动作,所以网闸两侧不开放任何基于数据库访问或者定制TCP的网络服务端口,避免网络安全漏洞。
3.7
网神SecSIS 3600安全隔离与信息交换系统支持高可用方案,全面解决设备故障与链路故障造成的业务中断,保证系统7X24小时不间断服务。
最新联想网御网闸(SIS-3000)配置过程教学文稿
联想网御网闸(SIS-3000)设备测试报告一、设备管理、拓扑结构1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。
2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:88893、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。
4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。
测试拓扑结构:FTP客户端FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端,“无视”网闸的存在,直接访问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器;原理区别两者相同两者相同配置区别1)只需配置网闸客户端任务,无需配置网闸服务端任务;2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同;访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持◆硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:◆登陆界面◆登陆首页◆更改密码(按需求修改)◆网口配置(按需求修改)◆配置网闸内侧任务,并启动服务(按需求修改)添加网闸内侧任务,如下图:若是【普通访问】,该地址为内侧网口地址【192.168.20.1】;若是【透明访问】,该地址为FTP服务器地址对象【ftpsvr_192.168.10.2】。
联想网御网闸(SIS-3000)配置过程
联想⽹御⽹闸(SIS-3000)配置过程联想⽹御⽹闸(SIS-3000)设备测试报告⼀、设备管理、拓扑结构i 通过笔记本管理⽹闸,需要先在笔记本上导⼊管理证书(光盘⼀⼀管理证书⽂件夹下,密码:hhhhhh ),管理 IP:10.0.0.200,掩码:255.255.255.0。
2、登录内⽹:⽤⽹线连接内⽹专⽤管理⼝,在 IE 浏览器输⼊:3、输⼊⽤户名/密码:administrator/administrator (超级⽤户)或输⼊:admin/admin123(管理员⽤户)。
4、登录外⽹:⽤⽹线连接外⽹专⽤管理⼝,在IE 浏览器输⼊:或输⼊⽤户名/密码:administrator/administrator (超级⽤户)或输⼊:admin/admin123(管理员⽤户)。
测试拓扑结构:注:⽹闸的⼯作模式有两种,普通模式、透明模式。
“访问类别”功能是⽹闸的主要应⽤之⼀,根据外部应⽤客户端跨⽹闸访问“⽬的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应⽤模式具体的⽐较如下区别透明访问普通访问含义外部客户端,“⽆视”⽹闸的存在,直接访外部客户端通过访问相连⽹闸地址,再由问⽹闸另⼀侧的真实服务器地址;⽹闸连接真实服务器;原理区别两者相同两者相同配置区别1)只需配置⽹闸客户端任务,⽆需配置⽹必须同时配置⽹闸客户端、服务端任务,闸服务端任务;且对应任务之间的任务号必须相同;2)客户端添加⼀条路由,指向⽹闸;访问⽬的地址⽹闸另⼀侧的真实服务器地址与客户端相连⼀侧的⽹闸地址⽹闸两侧⽹络⽀持⽀持地址同⽹段FTP 客户端FTP 服务端⽹闸客户端 I ⽹闸服务端⽹闸两侧⽹络⽀持⽀持地址不同⽹段双机热备⽀持⽀持负载均衡不⽀持⽀持硬件架构原理图如下⼆、⽹闸主要配置抓图2.1、内⽹配置抓图:内⽹陽离交换填坟交换芯⽚交换芯⽚I叫信⽹络仝抉⼦累统卄艾松剳r jfttr⼫笑控制⼦茶统Leadsec AS I C 芯⽚内⽹主机系统〕外⽹隔涌交揀模块联韻⽹御安全隔需⽹闸⾮⼝ j 信⽹络登陆界⾯;*rti碎曲⽇-nsew* -p卫#卫挺0 3Etti* 叮u"时i导11且际刁E送闾带崎⽤〈?',巧:4P-勺訓抽灯P V JL A JL r勺咖⼠*■ -勺孚处托ifiCJTH^wtrri 丽—3Ma内IF魁和迥⽿E理轴1納垃⽦号■^-3flLjfl-£E!K犊忡嗾⾐寻j.0.200.6fed?璋nan jifCfU料⽤3旳科n柑印?4QaV£H⽤?KMna??ew iriMb⽇创冬誓u^W9?B■Mil 更改密码(按需求修改) BTT 7⿏碗.亏^T?3ft⼸jjfljwi?号+ ⼝IJLBHSiBQ产上呷功任''i H'hrs +"砒只?■*幻扳⿐i m⼯H>抚**+$ 3|EiS4 '⿐厚睥⼭闻t 1?TS晖诃歼+刁左±海査+ j "4Sfts.li;-暉理■ a ^r?昂啟号号i ^XTErilrr sy^Qj? 4&neha?i ⼘⽣茹* 辺起+a switB MLT4L>MTr a^iia*4iT i a JR-L/廿F------------------------------------------------------------------------ / J ' iiisintrnt)□IP^RD*?ar(I ^r?ra?i卞?■认⼝卒!*?*< ■?■■■/ ifc^sa⽥HKWffiI-E⽈妬计H"⽹⼝配置(按需求修改)-i E?⼆j j^-.wa a tinitf-l*、爵电礙■ q瑕戢?o⽤⼾。
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告一、设备管理、拓扑结构i 通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘一一管理证书文件夹下,密码:hhhhhh ),管理 IP:10.0.0.200 ,掩码:255.255.255.0。
2、 登录内网:用网线连接内网专用管理口,在 IE 浏览器输入:3、 输入用户名/密码:administrator/administrator (超级用户)或输入:admin/admin123(管理员 用户)。
4、 登录外网:用网线连接外网专用管理口,在IE 浏览器输入:或输入用户名/密码:administrator/administrator (超级用户)或输入:admin/admin123(管理员用户)。
测试拓扑结构:注:网闸的工作模式有两种,普通模式、透明模式。
“访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。
两种应用模式具体的比较如下区别透明访问普通访问含义外部客户端,“无视”网闸的存在,直接访 外部客户端通过访问相连网闸地址,再由问网闸另一侧的真实服务器地址;网闸连接真实服务器; 原理区别 两者相同两者相同配置区别1)只需配置网闸客户端任务,无需配置网必须同时配置网闸客户端、服务端任务, 闸服务端任务;且对应任务之间的任务号必须相同;2)客户端添加一条路由,指向网闸;访问目的地址 网闸另一侧的真实服务器地址 与客户端相连一侧的网闸地址 网闸两侧网络 支持支持地址同网段FTP 客户端FTP 服务端网闸客户端 I 网闸服务端网闸两侧网络支持支持地址不同网段双机热备 支持 支持 负载均衡不支持支持硬件架构原理图如下二、网闸主要配置抓图2.1、内网配置抓图:内网陽离交换填坟交换芯片交换芯片I叫信网络仝抉子累统卄艾松剳r jfttr尸笑控制子茶统Leadsec AS I C 芯片内网主机系统〕外网隔涌交揀模块联韻网御安全隔需网闸非口 j 信网络登陆界面登陆首页;*rti碎曲日-n sew* -p卫#卫挺0 3Etti* 叮u"时i导11且际刁E送闾带崎用〈•',巧:4P-勺訓抽灯P V JL A JL r勺咖士*■ -勺孚处托© ifiCJTH^wtrri 丽—3»Ma内IF魁和迥耳E理轴1納垃疋号■^-3flLjfl-£E!K犊忡嗾衣寻j.0.200.6fed?璋nan jifCfU料用3旳科n柑印•4QaV£H用・KMna««ew iriMb日创冬誓u^W9«B■Mil更改密码(按需求修改)© BTT 7鼠碗.a anm^-北屣舷鼻亏^T«3ft弓jjfljwi•号+ 口IJLBHSiBQ产上呷功任''i H'hrs +"砒只•■*幻扳鼻i m工H>抚**+$ 3|EiS4 '鼻厚睥山闻t 1・TS晖诃歼+刁左±海査+ j "4Sfts.li;-暉理■ a ^r«昂啟号•号i ^XTErilrr sy^Qj? 4&neha?i 卜生茹* 辺起+a switBMLT 4L>MTr a^iia*4iT i a JR-L/廿F------------------------------------------------------------------------ /J ' iiisintrnt)□IP^RD*«ar(I ^r®ra?i卞•■认口卒!*»*< ■•■■■/ ifc^sa田HKWffiI-E曰妬计H"网口配置(按需求修改)-i E?二j j^-.wa a tinitf-l*、爵电礙T ?)««■■ q瑕戢・o用戶。
网御网闸
★国家信息安全测评信息技术产品安全测评证书EAL3+
★从事网闸产品研发生产时间超过10年
★生产厂家具有安全服务一级资质和《一级风险评估服务资质》
支持文件传输方向可控,实现单向或双向传输;支持按任务进行分策略过滤
支持Windows、Linux/Unix等系统平台;支持NFS、SMBFS、SAMBA等文件系统
支持文件格式特征过滤,并且不依赖于文件扩展名;支持文件类型可扩展模式,方便用户自主增加特定文件类型,并提供工具帮助用户识别不常见文件类型;
支持情景模式,能够设置OPC工控应用允许通信的时间;
支持端口访问控制;
强制访问控制
★提供专用客户端,与网闸进行认证,支持本地用户名口令认证,支持对在线用户进行踢除、中断、查看等管理方式
★支持基于动态令牌的双因子认证方式
★支持对接入客户端的系统版本号和进程名进行控制
病毒检测
★采用专用国产知名病毒库;
★采用自有知识产权的病毒防护引擎
主机系统具有自主知识产权的多核多线程ASIC并行操作系统平台;
接口
12个10/100/1000M自适应电口内外网主机系统分别具有独立的网络口、管理口、HA口(热备口);4个USB口;内外网主机系统分别具有1个RJ45串口
性能
系统吞吐量不小于350Mbps;并发连接数不小于4万;延时小于1ms
设备状态自检要求
支持一对多,多对一,多对多同步方式;支持重名策略;
支持断点续传;支持对文件名关键字过滤,支持文件大小限制,支持时间策略;
支持身份认证及加密传输;支持增量传输、发送后删除、发送后转移等发送策略;支持文件格式特征过滤,支持文件类型检查可扩展模式,方便用户自主增加特定文件类型
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
技术指标
指标要求
基本要求
★2U标准机架式机箱;单电源;必须采用“2+1”系统架构,即由两个主机系统和一个隔离交换专用硬件组成;
安全系统
★主机系统具有自主知识产权的VSP或LOS或Unimas操作系统平台(提供原厂证明文件)
接口性能Βιβλιοθήκη 不少于6个10/100/1000M自适应电口,内外网主机系统分别具有独立的网络口、管理口、HA口(热备口);4个USB口;最大可扩展至12个电口;内外网主机系统分别具有1个RJ45串口;
★出于对整个网络安全性和漏洞的考虑,要求厂商具备《一级风险评估服务资质》;
★要求厂商提供针对本次项目的授权。
★双机热备支持配置同步(提供功能界面截图);支持负载均衡;
★双机热备支持抢占模式,支持主、备设备状态图表实时显示(提供功能界面截图);
★产品资质
具备公安部《计算机信息系统安全专用产品销售许可证》;
具备《军用信息安全产品认证证书》军B级
具备《中国国家信息安全产品认证证书》(3C)二级;
具有《北京市自主创新产品证书》;
从事网闸产品研发生产时间超过10年,提供公安部销售许可证书影印件证明;
具备IPv6 Ready认证证书;
通过国家下代互联网信息安全专项(高性能安全隔离与信息交换系统)测试,并提供相关测试报告;
国家信息安全测评信息技术产品安全测评证书EAL3+
应急服务能力要求
★要求设备生产商具有信息安全应急处理服务一级资质;
★具有抗DoS、DDoS攻击功能(提供功能界面截图);
管理审计
管理方式采用B/S架构的Web方式管理,基于数字证书管理;支持内外网分别采用专用管理口管理,支持专用管理主机管理;
支持全中文日志显示;支持FTP方式远程存储日志;支持日志按模块查询;
支持图表实时显示网口流量、CPU状态、内存状态信息;
可靠性
强制访问控制
1)提供专用客户端,与网闸进行认证,支持本地用户名口令认证,支持对在线用户进行踢除、中断、查看等管理方式(提供功能界面截图);
2)支持基于动态令牌的双因子认证方式(提供功能证明文件);
3)支持对接入客户端的系统版本号和进程名进行控制(提供功能界面截图);
攻击防御
★具有实时入侵检测机制,实时阻断入侵(提供功能界面截图);
系统吞吐量不小于300Mbps;并发连接数不小于4万;
IPV6/IPV4双栈接入
支持IPV6、IPV4双栈接入(提供功能界面截图);
设备功能
支持文件交换、数据库同步、数据库访问、安全浏览、FTP访问、邮件传输、定制访问、二次开发、流媒体传输等基本功能;支持DCS/SCADA网络与管理网络之间的OPC应用数据的传输;支持双机热备、负载均衡功能;支持日志审计,支持SYSLOG;支持病毒检测专用模块,支持自动/手动两种升级模式(提供功能界面截图);采用自有知识产权的病毒防护引擎,包括病毒检测引擎和病毒分析引擎(提供相关专利证明);支持实时入侵检测功能(提供功能界面截图);