天御6000单向安全隔离系统7.0使用手册.doc

天御6000单向安全隔离系统使用手册版 权 声 明版权所有20052008，北京和信网安科技有限公司，保留所有权利。本文档所提供的资料如有变更，恕不另行通知。遵守所生效的版权法是用户的责任，在未经北京和信网安科技有限公司明确书面许可的情况下，不得对本文档的任何部分进行复制、将其保存于或引进检索系统；不得以任何形式或任何方式（电子、机械、影印、录制或其他可能的方式）进行商品传播或用于任何商业、赢利目的。北京和信网安科技有限公司拥有本文档所涉及主题的专利、专利申请、商标、商标申请、版权及其他知识产权。在未经北京和信网安科技有限公司明确书面许可的情况下，使用本文档资料并不表示您有使用有关专利、商标、版权及其他知识产权的特许。目 录第一章 产品概述41.1 概述41.2 主要特点41.3规格及技术指标4第二章 设备安装52.1 概述52.2 安装准备52.3 安装步骤5第三章 系统配置63.1 概述63.2 设备接入拓扑图63.3 内网关配置83.4 外网关配置93.5 规则删除113.6 密码设置123.7 系统退出12第一章 产品概述1.1 概述本章主要讲述天御6000网络安全隔离系统的主要特点和设备规格1.2 主要特点1) 产品采用双机系统结构；2) 采用非INTEL指令系统的双微处理器；3) 中间隔离部件通过电子开关实现安全隔离；4) 内外网关TCP/IP协议栈被裁剪掉；5) 内外网关之间采用私有通讯协议；6) 安全、固化的操作系统，采用嵌入式LINUX操作内核，内、外网关取消所有网络功能；7) 双工作模式：桥接模式和路由模式。8) 应用层数据完全单向传输，TCP回应字节数（04 byte）可自定义设置；9) 支持IP/MAC 绑定；10) 指定通信目标主机IP与端口1.3规格及技术指标1) 机箱尺寸长宽高：430 370 47 mm3（标准1U机箱）2) 后面板接口图一：后面板一个电源接口：输入电压：220V 20 输出功率：50W；两个RS-232串口提供初始化配置；三个RJ-45接口（10MBASE/100MBASE）：内网口是以太网输入接口；外网口是以太网输出接口。,热备口连接另一台同样的设备，供双机热备用。3) 平均无故障时间(MTBF)50000小时(100%负荷)第二章 设备安装2.1 概述本章主要讲述如何安装天御6000网络安全隔离系统2.2 安装准备1) 准备一根与电脑相连的串口线（随机附带）。2) 确保配置电脑能正常使用超级终端。2.3 安装步骤1) 选择安装地点选择一个适当的地方安装天御6000安全隔离系统，确保系统电源是关闭的。2） 连接天御6000安全隔离系统到局域网使用标准的网线把隔离系统连接在局域网中，确保内网口和外网口与相对应的局域网相连。3） 打开电源注意!连接电源前请确保电源供电、连接、接地正常。4） 检查系统指示灯 图二：前面板（面向操作者方向）指示灯启动时状态数据传输时状态DATA灭闪烁LINK/ACT常亮（网络连接正常时）闪烁RUN上电510秒后开始闪烁闪烁热备灭（如热备口启用，常亮）灭（如热备口启用，常亮）POWER常亮常亮表1 前面板指示灯状态第三章 系统配置3.1 概述使用隔离系统前，必须正确配置隔离系统，通过阅读本章，可以快速设置隔离系统正常运行的各参数3.2 设备接入拓扑图在进入系统配置前应该先了解当前的网络环境，本章系统配置都基于这样的网络环境：图1 桥接模式设备部署拓扑图首先将隔离系统的串口通过串口线连接电脑，打开超级终端（设置超级终端属性：波特率：19200、数据位：8、停止位：1、数据流控制：无、无校验），接下来就可以配置隔离系统。3.3 内网关配置第一步，登陆隔离系统内网关在登陆提示符下输入系统管理员的用户名和密码。（用户名的出厂设置为“utrust” ，密码的出厂设置为“utrust”）。成功登陆后，屏幕显示为第二步，配置隔离系统内网关如需要了解参数设置格式，请使用帮助命令help，如需查看当前配置情况，请使用查看命令info桥接模式：1） 设置系统工作模式在shell提示符下输入：set mode=bridge （桥接模式）或set mode=route （路由模式）2） 设置隔离系统内网关的IP和子网掩码。如果工作模式设置为桥接模式，请跳过此步。在shell提示符下输入：set ip=192.168.1.1,mask=255.255.255.03） 设置内网中被允许通过隔离系统的主机地址主机地址的匹配包括IP地址、MAC地址和IP/MAC绑定，所以此设置命令也有三种形式，但结果相同，区别在于隔离系统对数据包来源的地址检查方法不同。a. 如只对数据包来源的IP地址作检查，在shell提示符下输入：add ip=192.168.1.100b. 如只对数据包来源的MAC地址作检查，在shell提示符下输入：add mac=00:05:b7:01:82:82c. 如对检查数据包来源的IP、MAC地址都作检查，在shell提示符下输入：add mac=00:05:b7:01:82:82,ip=192.168.1.100注意！系统一旦在规则列表里找到一条匹配地址，不再往下匹配。第三步，重启隔离系统内网关在shell提示符下输入：reboot 或者关闭/开启电源3.4 外网关配置第一步，登陆隔离系统外网关在登陆提示符下输入系统管理员的用户名和密码。用户名的出厂设置为“utrust” ，密码的出厂设置为“utrust”）。成功登陆后，屏幕显示为第二步，配置隔离系统外网关，如需要了解参数设置格式，请使用帮助命令help，如需查看当前配置情况，请使用查看命令info桥接模式：路由模式：1） 置系统工作模式在shell提示符下输入：set mode=bridge （桥接模式）或set mode=route （路由模式）2） 设置隔离系统外网关的IP、子网掩码和网关。如果工作模式设置为桥接模式，请跳过此步。在shell提示符下输入：set ip=192.168.2.1,mask=255.255.255.0,gateway=192.168.2.254如gateway为空，则表示未设网关。如需增加或修改网关地址，在shell提示符下输入：set gateway=192.168.2.2543） 设置隔离系统的回应字节数回应字节数的有效范围04 ，在shell提示符下输入：set byte=44） 设置外网中被允许访问的主机IP地址和端口号在shell提示符下输入：add ip=192.168.1.98,port=80如不对目地主机的端口作限制，port为空，在shell提示符下输入：add ip=192.168.1.98第三步，重启隔离系统内网关在shell提示符下输入：reboot 或者关闭/开启电源3.5 规则删除每条规则前都标有序号，如不再需要规则2，在shell提示符下输入： del 2 以下是使用