天御6000用户使用手册V1001.doc

天御天御 60006000 单向安全隔离系单向安全隔离系 统用户使用手册统用户使用手册 北京和信网安科技有限公司北京和信网安科技有限公司 2007 年年 9 月月 2 版权声明版权声明 北京和信网安科技有限公司版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全 部，并不得以任何形式传播。 对于本手册中出现的其它商标，由各自的所有人拥有。 由于产品版本升级或其它原因，本手册内容会不定期进行更新。除非另有约定， 本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗 示的担保。 本手册之图片仅供参考，如有变动恕不另行通知。 3 前前 言言 感谢您使用北京和信网安科技有限公司的天御 6000 单向安全隔离系统，您能成为我们 的用户，是我们莫大的荣幸。为了使您尽快熟练地使用天御 6000 单向安全隔离系统，我们 随机配备了内容详细的用户使用手册。 天御 6000 单向安全隔离系统必须通过管理主机进行设置管理。这本手册能帮助您更好 地管理设置。希望用户在遇到设置问题的时候能在手册里得到帮助。 我们对用户使用手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步 骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。在第一次 安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。 这本手册的读者对象是天御 6000 单向安全隔离系统的管理员。在安装单向安全隔离系 统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手 册。 我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。 4 安全使用注意事项安全使用注意事项 本章列出的安全使用注意事项，请仔细阅读并在使用天御 6000 单向安全隔离系统过程 中严格执行。这将有助于更好地使用和维护您的单向安全隔离系统。 单向安全隔离系统应用环境为温度-5 45和湿度 40% 80%；存储环境为温度- 20 55，湿度 20% 95%。 采用交流 220V 电源。 必须使用三芯带接地保护的电源插头和插座。良好的接地是您的单向安全隔离系统正 常工作的重要保证。对于单向安全隔离系统来说，如果缺少接地保护线，在机箱的金 属背板上可能会出现感应电压。虽然不会对人体造成伤害，但在接触时，可能会产生 麻、痛等轻微触电的感觉。另外，如果您擅自更换标准电源线，可能会带来严重后果。 特别提示：特别提示： 遇到故障，请不要自行拆卸单向安全隔离系统，建议与我们的技术支持人员（电话：取得联系，以获得最佳解决方案。 SL-1000 安全隔离系统的搬运应注意： 本安全隔离系统的搬运最好使用出厂原包装。搬运之前请清点好所有部件和随机 附带的资料。 最好将各个部件和随机附带的资料按出厂时的包装还原。 SL-1000 安全隔离系统不可带电搬运，任何零部件不可带电插拔，否则可能损坏 单向安全隔离系统。 将安全隔离系统打包完成后，用胶带封箱，即可搬运。单向安全隔离系统搬运过 程中，请不要剧烈碰撞和跌摔，不可雨淋。搬运过程请远离强静电，强磁场环境。 正确规范的操作是安全的保证。 5 6 目目 录录 第一章天御 6000 单向安全隔离系统简介 6 1.系统概述6 2.技术特点6 3.技术参数7 第二章硬件安装 7 1.拆箱检查7 2.硬件安装8 3.设备接入拓扑图9 第三章系统配置 9 1.概述9 2.初始配置9 2.1超级终端配置9 2.2OUT CONSOLE口配置10 3.客户端配置软件的使用13 3.1客户端配置软件简介13 3.2登录客户端配置软件15 3.3系统管理15 3.4规则管理23 3.5日志管理31 3.6用户管理35 第四章应用拓扑介绍 41 1.两个网络在不同网段的应用41 2.两个网络在同一网段的应用42 3.两个网络在混合模式下43 4.双机热备份典型应用44 7 第一章第一章 天御天御 6000 单向安全隔离系统单向安全隔离系统简介简介 1. 系统概述系统概述 天御 6000 单向安全隔离系统依照全国电力二次系统安全防护总体方案 、国家经贸 委【2002】第 30 号令电网和电厂计算机监控系统及调度数据网络安全防护的规定和 电力二次系统安全防护规定 （电监会 5 号令）由我公司自主开发研制的，满足中国电力 行业需求的网络安全产品。适用于电力安全/区与安全/区之间的安全连接，可以 文件单向传输、数据库单向同步、实时数据流单向广播等不同环境的应用。 天御 6000 单向安全隔离系统获得产品资质证书如下： 国家公安部销售许可证 国家电力调度中心检测证书 国家涉密信息系统产品检测证书 国家信息安全认证证书 防电磁辐射检测报告 计算机软件著作权登记证书 2. 技术特点技术特点 1)产品采用 2+1 结构设计，双主机系统+硬件隔离控制器。 2)采用非 INTEL 指令集的网络处理器； 3)硬件隔离控制器采用专用数据处理芯片，无操作系统，延时小于 1 毫秒； 4)中间硬件隔离控制器通过电子开关实现安全隔离和单向控制，使生产控制大区与 管理信息大区之间的隔离强度接近物理隔离； 5)安全、固化的操作系统，采用嵌入式 LINUX 系统内核，内、外网关取消所有网络 功能； 6)内外网关 TCP/IP 协议栈被裁剪掉，内外网关之间采用私有通讯协议； 7)应用层数据完全单向传输，TCP 应答包禁止携带应用层数据； 8)高可用性：支持双机容错，支持冗余电源，支持双链路。 8 3. 技术参数技术参数 网络接口： 4 个 RJ45（内网、外网、热备、管理） 网络接口速率：10MBASE/100MBASE 串行通信接口：2 个 RS-232（RJ45 接口） 贮存温度：-20+55 工作温度：-5+45 供电电源：220V15%，50Hz，连续工作 功 耗：50W 体 积：标准 19 英寸，可上机柜； 带 宽：85M bps 平均无故障时间(MTBF)：50000 小时(100%负荷) 延 时：小于 1 毫秒 第二章第二章 硬件安装硬件安装 本章包括天御 6000 单向安全隔离系统及随机附带的部件资料检查和硬件安装，这有助 于您更好地维护天御 6000 单向安全隔离系统的硬件。关于硬件使用的其它注意事项请参考 本手册目录之前的“安全使用注意事项”部分。 1. 拆箱检查拆箱检查 在打开包装之后，请您先检查随机附带的电源线、用户使用手册等物品是否齐全，所 有部件请对照装箱单进行检查，如有缺损请及时和销售人员联系。 注：取出设备后，不要将外包装丢弃，在需要搬运时，请务必使用原包装，它是为您注：取出设备后，不要将外包装丢弃，在需要搬运时，请务必使用原包装，它是为您 的单向安全隔离系统专门设计的包装，具备良好的防震功能。每当您需要维修服务时也最的单向安全隔离系统专门设计的包装，具备良好的防震功能。每当您需要维修服务时也最 好用原包装将单好用原包装将单 向安全隔离系统设备返回到北京和信网安科技有限公司的维修服务部门。向安全隔离系统设备返回到北京和信网安科技有限公司的维修服务部门。 9 物 品 名 称数量 天御 6000 单向安全隔离系统 1 天御 6000 单向安全隔离系统的电源线 1 天御 6000 单向安全隔离系统的串口线 1 天御 6000 单向安全隔离系统用户使用手册 1 2. 硬件安装硬件安装 天御 6000 单向安全隔离系统机箱符合工业机柜的标准，它的高度为 1U，可以顺利 的安装到标准机柜中去。设备共由 4 个 RJ45（内网、外网、热备、管理） ，2 个 RS- 232（RJ45 接口）构成。 准备工作 准备两条交叉网线和两台用于连接天御 6000 单向安全隔离系统的带网卡的计算机 （PC 机） 。 连接天御 6000 单向安全隔离系统和内、外网计算机（天御（天御 60006000 单向安全隔离系单向安全隔离系 统统 ININ、OUTOUT 口相当于口相当于 PCPC 机的网卡，与交换机连接用直连线；与机的网卡，与交换机连接用直连线；与 PCPC 或防火墙连接或防火墙连接 用交叉线）用交叉线） 。 1）用交叉网线将内网计算机的 RJ45 端口连接天御 6000 单向安全隔离系统 IN 口。 2）用交叉网线将外网计算机的 RJ45 端口连接天御 6000 单向安全隔离系统 OUT 口。 3）用随机的串口配置线一端连接天御 6000 单向安全隔离系统 Out Console 口， 另一端连接管理计算机的串口，用交叉网线将管理计算机的 RJ45 端口连接天 御 6000 单向安全隔离系统 MNG 口。 4）用随机附送的电源线将天御 6000 单向安全隔离系统同 220V 电源连接起来。 安装过程完毕 10 3. 设备接入拓扑图设备接入拓扑图 天天御御6000单单向向 安安全全隔隔离离系系统统 生生产产控控制制大大区区管管理理信信息息大大区区 192.168.0.2 192.168.0.1 172.16.1.2 172.16.1.1 第三章第三章 系统配置系统配置 1.1. 概述概述 配置天御 6000 单向安全隔离系统共由两部分组成，一是通过一是通过 OUTOUT CONSOLECONSOLE 口进行初始口进行初始 化配置（设置管理化配置（设置管理 IPIP） ，二是通过，二是通过 MNGMNG 口进行网络管理（设置安全策略）口进行网络管理（设置安全策略） 。使用隔离系统前， 必须正确配置隔离系统，通过阅读本章，可以快速配置及管理天御 6000 单向安全隔离系统。 注意事项：禁止天御注意事项：禁止天御 60006000 单向安全隔离系统管理单向安全隔离系统管理 IPIP 与内网或外网地址在同一个网段。与内网或外网地址在同一个网段。 2.初始初始配置配置 天御 6000 安全隔离系统的配置首先通过串口命令行进行初始化配置（串口命令行可以 配置内容为：管理接口地址、用户认证方式等） 。串口配置时需串口线插入 OUT CONSOLE 口， 进行配置，完成初始配置后，可通过客户端管理软件，进行策略配置。具体串口配置过程 如下： 11 注：用户进行串口配置时只需连接到注：用户进行串口配置时只需连接到 OUTOUT CONSOLECONSOLE 口，即可完成全部初始化配置；口，即可完成全部初始化配置；ININ CONSOLECONSOLE 口为系统调试口，用户无需配置。口为系统调试口，用户无需配置。 2.1 超级终端配置超级终端配置 打开管理机，开始程序附件通讯超级终端，打开后首先还原为默认值，每秒 位数设为 115200，如下图所示： 2.2 OUT CONSOLE 口配置口配置 第一步，登陆隔离系统 OUT CONSOLE 在提示符下输入系统管理员的用户名和密码，默认管理员/密码为：admin/111111。成 功登陆后，屏幕显示为 12 注：注： 1.1.管理接口是隔离设备的管理地址，当用户需要用客户端管理软件管理和配置隔离设备管理接口是隔离设备的管理地址，当用户需要用客户端管理软件管理和配置隔离设备 时，需要在自己的电脑上安装客户端管理软件并将电脑的时，需要在自己的电脑上安装客户端管理软件并将电脑的 IPIP 地址与管理接口配置到相地址与管理接口配置到相 同的网段。同的网段。 2.2.认证方式是用户通过客户端管理软件登录到隔离设备上时需要的认证步骤认证方式是用户通过客户端管理软件登录到隔离设备上时需要的认证步骤 3.3.管理主机列表指定那些用户可以对隔离设备进行管理和配置。管理主机列表指定那些用户可以对隔离设备进行管理和配置。 第二步，配置隔离系统 如需要配置只需要在选择后面输入相应命令， 如需要配置管理接口首先在选择后面输入M随即显示管理接口的 IP 地址 如果需要配置新的管理地址在选择输入 S 后输入新的 IP 地址及掩码 13 注：如果不是跨越三层交换或路由器等设备，默认网关可以不设。注：如果不是跨越三层交换或路由器等设备，默认网关可以不设。 如需配置新的认证方式，请先输入 K 然后输入 S 最后输入 0 或 1 选择认证方式 如需恢复默认主机列表，请先输入 L 然后输入 S 14 如需看设备版本信息，请输入 V 如需要修改密码，请输入 P（建议不要修改密码）然后输入一遍原来的密码在输入两遍新 设的密码。 如需要重启系统，请输入 R。如需要退出登录界面，请输入 Q 15 3. 客户端配置软件的客户端配置软件的使用使用 3.1 客户端配置软件简介客户端配置软件简介 管理软件可以同时管理、配置及监控一台或多台隔离设备，对于多台隔离设备可以 进行分组管理，每台设备名称前面用不同颜色的灯显示设备状态，绿灯：设备正常运 行（网线正确连接） ；红灯：设备异常运行（内、外网口网线接触不实或没有接） ； 黄灯：设备正常待机（两台设备采用双机热备连接时，待机设备状态显示灯） 。红灯状 态时会有声音报警。 16 当点击某个设备名时，即为选中某个隔离设备然后在右框中输入用户名、密码后进入 该隔离设备管理配置界面。 后退前进 隐藏/显示 左边框 打开/关闭 声音报警 17 3.2 登录客户端登录客户端配置软件配置软件 首先在用户管理机通过网线连接到设备管理口 MNG，管理机上安装配置管理软件，安 装完成后，打开配置管理软件选择要配置的隔离设备，在登录页面输入默认用户名 “admin” 、密码“111111” 。 3.3 系统管理系统管理 系统状态信息系统状态信息 登录后进入设备的配置管理界面，首先看到系统状态页面具体显示该设备的系统状态 信息。系统状态主要分两大部分： 系统信息主要介绍单向隔离系统的系统信息包括：设备序列号(每个设备唯一的)、单 向隔离系统版本号、授权状态（如果是试用设备该状态显示为试用版） 、设备名称（可更改） 、工作组名称（可更改） 、运行时间。 系统资源通过查看 CPU、内存、外存使用率，可以看到设备硬件的实际使用情况。 18 设备及工作组的名称设置设备及工作组的名称设置 为了对隔离设备的设备名称和工作组进行设置。需要进入名称设置页面中输入新的设 备名称和工作组名称之后点击保存设置按钮生效。生效后可以进入系统状态页面观看更改 后的效果。 19 用户登录认证设置用户登录认证设置 如果需要对认证方式进行更改需要进入认证设置页面，在认证方式框中选择需要的认 证方式当认证方式选择用户名/密码时在登录界面用户只需输入用户名/密码。 20 当认证方式选择用户名/密码+U 盾时，在登录界面用户需要输入用户名/密码/PIN 码。 用户还可以在密码设置页面上的 PIN 码设置页面中更改 PIN 码。 21 添加和删除管理主机添加和删除管理主机 管理主机可以在认证设置页面中设置，当需要添加新的管理主机时点击添加主机按钮， 在主机设置页面中选择管理主机的范围可以是单个的、网段的、范围或所有的主机。 22 23 选择好管理主机的范围后点击保存配置新添的主机就添加完成。 24 注：选择管理主机范围时请注意看后面的例如注：选择管理主机范围时请注意看后面的例如 当需要删除某些已添加了的管理主机时在该管理主机列表条目后面点击删除，在删除 主机页面点击确定。 25 3.4 规则管理规则管理 规则设置规则设置 规则设置是整个配置管理界面中最重要功能，用来设置隔离设备两端的访问控制列表。 注注:对于源对于源 IP、虚拟源、虚拟源 IP、目的、目的 IP、虚拟目的、虚拟目的 IP 进行以下详细说明，天御进行以下详细说明，天御 6000 单向单向 隔离系统采用的是双向地址映射的工作机制，源隔离系统采用的是双向地址映射的工作机制，源 IP、目的、目的 IP 为隔离设备两端实际存在的为隔离设备两端实际存在的 设备的设备的 IP 地址；虚拟源地址；虚拟源 IP、虚拟目的、虚拟目的 IP 分别为源分别为源 IP、目的、目的 IP 的虚拟地址。的虚拟地址。源源 IP 地址发地址发 送数据到虚拟目的送数据到虚拟目的 IP 地址，经过隔离设备后，源地址，经过隔离设备后，源 IP 转换为虚拟源转换为虚拟源 IP，虚拟目的，虚拟目的 IP 装换装换 为真实的目的为真实的目的 IP。 26 当需要添加新的规则时点击添加规则按钮进入规则添加页面。 27 规则添加页面中的传输方向、传输协议、源 IP/端口、虚拟源 IP/端口、目的 IP/端口、 虚拟目的 IP/端口、是否需要记录日志、规则状态等根据实际情况需要填写。 28 设置完毕后点击保存设置按钮，进入规则设置页面点击应用使新规则生效。 添加/编辑完规 则后，必须应 用 29 规则设置页面中的规则列表中状态栏中打勾的规则条目是生效的规则，如果需要观看 规则的具体信息时可以点击查看进入规则属性页面 如果需要更改规则就在该规则条目后面点击编辑进入规则添加页面更改规则。 30 如果需要删除规则就在该规则条目后面点击删除，进入规则删除页面点击确定确定按钮删 除相对的规则。在规则设置页面点击应用使删除生效。 31 流经隔离设备的数据包会依据规则设置列表中的规则优先级，由高到低依次检查每条 策略。当有一条规则匹配时，就不会在检查其它规则了。当所有规则均不匹配时，执行默 认规则。其中序号越小，优先级越高。当需要调整规则优先级时可以点击排序升降按钮， 然后点击应用生效。 回应字节设置回应字节设置 当用户需要调整回应字节时，进入回应字节设置页面选择回应字节数后点击保存设置 按钮生效。 32 33 3.5 日志管理日志管理 选择要查看的日志选择要查看的日志 用户可以在日志设置页面上根据需要选择需要自己所需要的日志，还可以设置该日志 的大小（大于 1K 小于 5000K） 34 查看及下载日志内容查看及下载日志内容 选择好需要记录的日志后，可以在日志查询页面中查看相应日志信息。在日志查询页 35 面中可以选择要查看的日志并且可以选择要查看那段时间的日志信息 如果日志比较重要还可以选择日志导出，将选定的日志信息导到用户的电脑上。 36 37 3.6 用户管理用户管理 添加或删除用户添加或删除用户 管理配置软件默认的用户名/密码：admin/111111（不能删除） ，为了方便管理，用户 可以在用户设置页面上为每一个需要使用的人员设置一个用户名/密码通过管理员日志可以 看到谁在什么时间对系统作了哪些修改。也可以为了提高安全性添加一个安全等级高的用 户名/密码。默认的用户名/密码最好作为超级用户，只在必要的情况下使用。 添加新用户需要进入到用户添加页面中，填写新用户的用户名/用户真实姓名（可以 任意填写，只是作为一个标示）/密码等信息。填写完毕后点击保存设置保存设置按钮生效。 38 39 当需要改变某用户的密码时在用户列表中点击该用户的编辑编辑按钮，进入用户编辑页面 更改用户的真实姓名和密码。改完后点击保存设置保存设置按钮生效。 40 当用户需要删除某个用户名时在用户列表中的用户条目上点击删除进入用户删除页面， 点击确定确定按钮删除生效。 41 只有用 admin 用户登录时才可以添加用户，如果使用添加的用户登录只能修改该用户 的密码。 42 修改用户密码、修改用户密码、PIN 码码 在密码设置页面上可以更改登录用户的密码 在密码设置页面上可以更改 U 盾的 Pin 码 43 第四章第四章 应用拓扑介绍应用拓扑介绍 1. 两个网络在不同网段的应用两个网络在不同网段的应用 天天御御6000单单向向 安安全全隔隔离离系系统统 生生产产控控制制大大区区管管理理信信息息大大区区 主主机机B：192.168.0.2 主主机机A：192.168.0.1 主主机机D：172.16.1.2 主主机机C：172.16.1.1 虚虚拟拟目目的的IP：192.168.0.5 虚虚拟拟源源IP：172.16.1.5 主机 A 通过隔离设备访问主机 C 的数据流程： 主机 A 上抓包显示： 源 IP：192.168.0.1 目的 IP：192.168.0.5 主机 C 上抓包显示： 源 IP：172.16.1.5 目的 IP：172.16.1.1 44 2. 两个网络在同一网段的应用两个网络在同一网段的应用 天天御御6000单单向向 安安全全隔隔离离系系统统 生生产产控控制制大大区区管管理理信信息息大大区区 主主机机B：192.168.0.2 主主机机A：192.168.0.1 主主机机D：192.168.0.12 主主机机C：192.168.0.11 虚虚拟拟目目的的IP：192.168.0.5 虚虚拟拟源源IP：192.168.0.6 主机 A 通过隔离设备访问主机 C 的数据流程： 主机 A 上抓包显示： 源 IP：192.168.0.1 目的 IP：192.168.0.5 主机 C 上抓包显示： 源 IP：192.168.0.6 目的 IP：192.168.0.11 45 3. 两个网络在混合模式下两个网络在混合模式下 天天御御6