二代隔离装置配置作业指导书[高等教育]

1、隔离装置配置作业指导书前言为进一步规范隔离装置接入配置，实现标准化配置流程，完善信息系统的作业标准化，确保设备及信息网络隔离装置的安全、可靠运行，特制订隔离装置配置作业指导书。目录1.适用范围12.信息安全网络隔离装置介绍12.1信息安全网络隔离装置的定义12.2信息安全网络隔离装置在网络中的位置22.3信息安全网络隔离装置访问控制策略23.作业准备33.1新设备准备工作33.2工器具33.3危险点分析及预控措施44.隔离装置配置工作流程图55.作业程序及作业标准6附件一：隔离装置安装手册91.环境装备92.操作系统安装102.1操作系统安装前装备102.1.1查看装置MAC地址，申请凝思操作

2、系统序列号102.1.2安装操作系统其它需求102.2操作系统安装103.Sql代理系统安装113.1Sql代理安装前准备113.2Sql代理系统安装124.IP、路由配置124.1IP地址配置124.11 IPV4地址124.12 IPV6地址134.2路由配置144.3修改ssh限制外网连接145.隔离装置配置155.1配置前信息准备155.2登录隔离装置155.3配置SQL代理服务165.4配置应用系统205.5 提供给外网应用信息配置216.应用系统配置226.1修改应用配置226.1.1添加jar包226.1.2修改环境变量226.2配置Weblogic数据源236.2.1创建JDB

3、C数据源236.2.2JDBC数据库驱动类型246.2.3其他属性配置246.2.4连接属性256.2.5测试数据库连接266.2.6连接池设置（默认下不需要配置）277.常见配置问题29辅导工具a隔离装置配置作业指导书1. 适用范围本作业指导书适用于第二代信息网络隔离装置配置工作。2. 信息安全网络隔离装置介绍2.1信息安全网络隔离装置的定义信息安全网络隔离装置是将可信任的信息内网和不可信任的信息外网进行隔离，因此必须保证信息内网和信息外网之间的SQL通信均通过信息安全网络隔离装置进行，同时还必须保证信息安全网络隔离装置自身的安全性。 2.2信息安全网络隔离装置在网络中的位置普通网络系统连接

4、示意图2.3信息安全网络隔离装置访问控制策略访问控制策略是信息安全网络隔离装置的基础，它可以按如下两种逻辑来制订：1、 默认禁止：访问控制规则没有明确允许的都禁止访问；2、 默认允许：访问控制规则没有明确禁止的都允许访问。对于网络通讯的控制，采用默认禁止的方式，即为配置相应通讯策略的协议，均无法通过装置。3. 作业准备3.1 新设备准备工作序号内容标准1机房环境1. 每台装置2U的机架位，插座（自带2根国标电源线）2. 每台装置信息内外网网线各1根;3. 部署隔离装置需要的内外网网线3. 显示器键盘2网络环境1. 每台装置需申请信息内网ip和信息外网ip各一个； 2. 隔离装置位于防火墙后并确

5、认防火墙支持长连接3. 开通18600(应用外网服务器到隔离装置外网),18750（信息内网机到隔离装置内网）,数据库端口如1521（隔离装置内网到数据库、根据数据库确定端口号）3应用外网服务器1.业务系统需使用隔离装置的模块部署完成 2.业务系统针对隔离装置进行过针对性测试和改造，通过最终兼容性测试3.业务系统在隔离装置安装期间可进行服务器配置，具备重启时间窗口4内网可用Oracle11g环境1.内网数据库服务能够正常提供2.明确数据库ip，端口，实例名，用户名、密码5内网隔离装置配置环境需提供一台内网电脑，可连接隔离装置。6人员需求业务系统配置人员1名，甲方IT管理人员一名3.2 工器具序

6、号名称规格/编号 单位数量1内网隔离装置配置环境要求安装SecureCRT终端仿真软件、JDK6.0及以上版本、隔离装置管理客户端台12其它工具材料网线、螺丝刀等套13.3 危险点分析及预控措施序号危险点防范措施1修改ssh配置使隔离装置只能在内网使用ssh服务修改/etc/ssh/sshd_config文件找到“ListenAddress 0.0.0.0”行，将其改为“ListenAddress 内网IP”。4. 隔离装置配置工作流程图5. 作业程序及作业标准序号工作内容操作方法及标准安全措施及注意事项开工1工作票许可工作票负责人会同工作票许可人检查工作票上所列安全措施是否正确完备，经现场核

7、查无误后，与工作票许可人办理工作票许可手续。2工作交底开工前工作负责人带领所有工作人员进入作业现场并在工作现场向所有工作人员详细交待作业任务、安全措施和安全注意事项、设备状态及人员分工，全体工作人员应明确作业范围、进度要求等内容，并在作业人员表格内分别签名。设备硬件安装及连线3硬件安装设备安装到机柜，固定稳妥。连接电源线，接地线，网线。连接线检查，有无脱落现象。检查时避免误碰线缆导致松脱注意双电源供电情况4设备上电运行检查设备应运行正常，无异常指示灯、无积尘、散热风扇运转正常。准备5获取配置信息获取隔离装置内网ip地址6登录设备配置内网机通过隔离装置管理客户端连接隔离装置进行配置可以使用笔记本

8、通过网线直连隔离装置进行配置Sql代理配置(详细配置参考附件一)7真实数据库真实数据库名称、真实数据库类型、最大连接数、IP、端口号、用户名、密码、数据库sid、数据库名称8虚拟数据库虚拟数据库名称、最大连接数、真实数据库名称、用户名、密码真实数据库名称：下拉框选择已录入的真实数据库名称9sql代理应用系统应用名称、工作模式工作模式：下拉框选择，默认学习模式 10Sql代理应用服务器 应用服务器名称、应用名称、应用服务器ip、虚拟数据库名称应用名称、虚拟数据库名称通过下拉框选择工作终结11保存配置，退出登录12拆除连接线拆除调试计算机与设备间连接线，包括控制线缆、网络线缆。13检查现场工作负责

9、人最后检查现场，是否有遗留的工具、材料。14工作票终结经值班员验收合格，并在操作记录卡上各方签字后，办理工作票终结手续。附件一：隔离装置安装手册1. 环境装备序号SQL代理隔离装置安装环境要求1机房环境每台装置2U的机架位，插座（自带2根国标电源线）2每台装置信息内外网网线各1根3显示器键盘4网络环境每台装置需申请信息内网ip和信息外网ip各一个5隔离装置置于防火墙后并确认防火墙支持长连接需开18600(应用服务器到隔离装置外网),18750（信息内网机到隔离装置内网）,1521（根据数据库确定端口号,隔离装置内网到数据库）端口6应用服务器环境业务系统需使用隔离装置的模块部署完成，7业务系统针

10、对隔离装置进行过针对性测试和改造，通过最终兼容性测试8业务系统在隔离装置安装期间可进行服务器配置，具备重启时间窗口9内网可用Oracle11g环境内网数据库服务能够正常提供，明确数据库ip，端口，实例名，用户名、密码10内网隔离装置配置环境需提供一台内网电脑，可连接隔离装置。11人员需求业务系统配置人员1名，甲方IT管理人员一名12加电测试验收单装置安装完成，且运行正常后，需接口人于加电测试单上盖章或签字。2. 操作系统安装2.1操作系统安装前装备2.1.1查看装置MAC地址，申请凝思操作系统序列号 1) 软件方法：用光盘引导进入凝思操作系统，系统用户为root，密码为rocky。输入命令：i

11、fconfig a（中间有空格），显示四个网卡信息，用eth2的MAC地址来申请序列号。2) 硬件方法：隔离装置有两块网卡，直接查看竖着的网卡，其上印制有硬件地址。2.1.2 安装操作系统其它需求1) 显示器、键盘、鼠标（特殊情况下使用） 2) 外接移动光驱3) Linx（凝思）系统安装盘2.2操作系统安装1) 在BIOS中设置光盘为第一启动盘，将凝思操作系统安装光盘放入光驱，引导进入操作系统，输入localhost name为root，password为rocky。2) 登录到光盘系统，执行setup命令，按Enter键启动安装程序。3) 对操作系统进行磁盘分区，分为两个分区：a) 分配交换

12、区为：Newprimarysize：20480BeginningType：82b) 交换分区分配完成后，使用向下键选择到free space上，再利用左右键选择new，对/进行分区：Newprimarysize：剩余空间Type：83Bootable:bootc) 完成所有分区设置后，移动左右键到【Write】，并按【Enter】键。d) 提示：Are you sure you want write the partition table to disk？输入命令：yes(此步骤会出现“write protect is off”，忽略)e) 分区结果写入磁盘后，分区工作完成。移动左右键到【Qu

13、it】并按【Enter】键退出分区界面。4) 进入设置挂载点界面，执行：Edit /回车Accept。5) 设置分区文件系统类型：选择ext3输入序列号，之后一路执行【enter】下去，直到选择系统的安装模式。6) 选择系统安装模式， production或是Development，由具体要求决定。区别在于开发模式中包含开发工具和服务。在正式环境中安装“production”模式。7) 安装完成后，执行reboot。重启操作系统。3. Sql代理系统安装3.1 Sql代理安装前准备1) U盘2) Sql代理系统安装文件（new_deploy_6_30）3.2 Sql代理系统安装1) 将Sql代

14、理系统安装文件（new_deploy_6_30）拷贝到U盘内,并插到隔离装置上。2) 执行fdisk命令，查看优盘挂载的目录，并挂载优盘到mnt目录： #fdisk l #mount /dev/sdbx /mnt/3) 通过U盘将sql代理安装文件（new_deploy_6_30）拷贝到隔离装置系统a) 拷贝部署文件new_deploy_6_30到/root目录下： #cp rf new_deploy_6_30/ /rootb) 进入new_deploy _6_30/ 文件夹中执行”./setup”命令即可安装部署Sql代理服务，安装过程中会提示“do you want to bonding

15、network cardY/N?”如果是首次部署Sql代理系统需输入Y来绑定网卡。重新安装Sql代理系统不需要再次绑定网卡输入n即可。 c) 安装完成后重启操作系统，重启后通过”ps ef | grep sql”来查看安装情况，如果有下图红色标记进程表示安装成功。4. IP、路由配置4.1 IP地址配置4.11 IPV4地址每台SQL代理部署到网络环境中，需要内外网各提供一个IP地址。操作步骤：1) 打开/etc/bonding.conf文件。2) 修改内外网IP地址，bond0对应SQL代理隔离装置的内网IP地址，bond1对应SQL代理隔离装置的外网IP地址，并保存bonding文件。执行

16、命令： #vim /etc/bonding.conf对bonding.conf文件中的IP地址进行设置，根据具体部署单位提供的子网掩码对netmask进行设置。4.12 IPV6地址1） 在任意目录下，使用root权限运行脚本ipv6-bond-set.sh (注：这个脚本只适用四网卡进行双绑定的情况)./ipv6-bond-set.sh2) 对/etc/sysconfig/network-devices/下的ifcfg-bond0和ifcfg-bond1分别进行配置IP即可vi /etc/sysconfig/network-devices/ifcfg-bond0vi /etc/sysconf

17、ig/network-devices/ifcfg-bond13） 重启系统即可 (或执行 /etc/ini.d/network restart)注：如果要单配IPV4的话只需要在配置IP时，在IPV6ADDR172：16：0：124行前加#号注释掉即可例：#IPV6ADDR172：16：0：124同理单配IPV6的情况则注释掉IPADDR172.16.0.124行即可例：#IPADDR=172.16.0.1244) 修改ssh使其支持IPV6:修改/etc/ssh/sshd_config文件 找到#ListenAddress :将前边的#号去掉然后终端中/etc/init.d/sshd res

18、tart应该就可以了4.2 路由配置SQL代理隔离装置的内网IP地址与数据库的IP地址、或SQL代理的外网IP地址与业务系统服务器的IP地址可能不在一个网段。这种情况下，需要添加路由规则。添加路由规则如下：add net x.x.x.x(目的网段) mask x.x.x.x(子网掩码) gw x.x.x.x(网关)。具体操作：修改/sql_proxy/bin目录下的sp_route.sh脚本。1) 添加路由信息，每个网段对应一条信息。例如：内网网段为192.168.0.100，提供的子网掩码为255.255.255.0，网关为192.168.0.254，则添加的信息为：route add ne

19、t 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.2542) 添加完之后，执行脚本，使设置的路由信息生效。 #./sp_route.sh4.3 修改ssh限制外网连接修改ssh配置使隔离装置只能在内网使用ssh服务。修改/etc/ssh/sshd_config文件找到“ListenAddress 0.0.0.0”行，将其改为“ListenAddress 内网IP”。 例如隔离装置的内网IP为“192.168.0.221”，则修改结果为“ListenAddress 192.168.0.221”5.隔离装置配置5.1配置前信息准备5.1.1 业务系统

20、向业务系统人员收集以下有关数据库信息：数据库ip地址、数据库类型、数据库端口、数据库用户名、数据库密码、数据库名称5.1.2 网络环境隔离装置内网到数据库之间如果有防火墙必须要在防火墙上开通数据库端口，并且支持长连接。否则隔离装置到数据库测试不通。5.2登录隔离装置打开“sgcc管理客户端”，并配置“SQL代理服务器”（windows系统，并安装JDK1.6以上版本，用户名/密码：admin/admin。）先添加服务器节点再配置负载均衡服务器地址（即隔离装置内网ip地址），端口填写“18750”，先保存再确定，通过下拉框选择配置的“SQL代理服务器“节点再点击”确定“，弹出的对话框”确定“即可

21、登录（无需配置”非结构化服务器“）如下图所示:(表示通过内网连接上了隔离装置服务器，可以通过管理客户端配置sql代理基本信息。)5.3配置SQL代理服务5.3.1配置真实数据库a) 配置“SQL代理服务”菜单下的“真实数据库”。配置如下信息，配置完成后点击“确认“再提交（点击红色按钮提交，以下所有添加信息后务必提交）b) 测试刚添加真实数据库信息是否连接数据库测试成功。先选择测试真实数据库记录信息再点击“（测试数据库连接按钮）“若出现“xxxx:数据库测试成功”则表示该数据库连接信息通过隔离装置可以正常访问数据库。部分常用配置项说明如下：真实数据库名称：真实数据库的名称，只允许字母与数字的组合

22、并以“18600_”开头。真实数据库类型：数据库的类型，分为三种：SQLSERVER,ORACLE和DB2。最大连接数：数据库的最大连接数，通常500IP：数据库的IP地址，如Oracle,DB2等。端口：数据库的连接端口，如Oracle默认的1521等。用户名：数据库的用户名。密码：数据库的密码。数据库SID：SID信息(ORACLE数据库才有此信息，其他数据库不填)。数据库名称：数据库的名称即service_name注：真实数据库名称推荐命名规则如下如果应用只用数据库一个用户（user）实例为orcl，真实数据库推荐用”18600_orcl”;如果应用要用数据库多个用户（user1,use

23、r2.）实例为orcl,真实数据库推荐用“18600_user1”、”18600_user2”便于区分。Ip1:orcl1;ip2:orcl25.3.2配置虚拟数据库部分常用配置项说明如下：虚拟数据库名称：虚拟数据库的名称，只允许字母与数字的组合。（提供给外网应用）真实数据库名称：虚拟数据库所对应的真实数据库的名称。最大连接数：虚拟数据库的最大连接数。用户名：连接虚拟数据库所需的用户名。（提供给外网应用）密码：连接虚拟数据库所需要的密码。（提供给外网应用）注：虚拟数据库名称推荐命名规则如下根据上面输入的真实数据库名称并在前加入”v_“就可以了，如”v_18600_orcl”或“v_18600_

24、user1”等。5.4配置应用系统5.4.1 配置SQL代理应用系统部分常用配置项说明如下：应用名称：应用系统的名称，只允许字母与数字的组合。（提供给外网应用）工作模式：分为学习和过滤模式。默认“学习”模式。注意：为了防止用户的误操作导致对工作模式不必要的修改，用户如想更改工作模式，需点击更改激活工作模式的选择栏。应用服务器列表：一个应用所对应的多个应用服务器。（系统自动显示，不需选择和填写）注：应用名称推荐命名规则如下以”app_“开头后面跟上系统名称拼音缩写，如电力交易推荐使用“app_dljy”，统一车辆推荐使用“app_tycl”5.4.2 配置SQL代理应用服务器部分常用配置项说明如

25、下：应用服务器名称：应用服务器的名称（一条真实数据库信息对应一个虚拟数据库信息对应一个应用服务器名称。）应用名称：选择应用服务器所对应的应用系统的名称，多个应用服务器可以选择同一个应用。应用服务器IP：应用服务器(如weblogic)的IP地址，默认填写“127.0.0.1”虚拟数据库名称：选择应用系统所对应的虚拟数据库名称。注：应用服务器名称推荐命名规则如下以“appSvr_“后面跟上系统名称拼音缩写，如电力交易推荐使用“appSvr_dljy”，统一车辆推荐使用“appSvr_tycl”5.5 提供给外网应用信息配置需要提供给外网应用配置的文件有：隔离装置外网ip，隔离装置端口（18600

26、），虚拟数据库名称（v_18600_xxx），虚拟数据库用户名，虚拟数据库密码，应用名称(app_xxx)由以上信息拼成url为：jdbc:nds:/隔离装置ip1:18600,隔离装置2:18600/虚拟数据库名称?appname=应用名称如果有2台或多台ip都要填写在url中，中间用逗号隔开即可。6.应用系统配置6.1修改应用配置6.1.1添加jar包将驱动jar包存放到weblogic安装的要目录。如该目录下“OracleMiddlewareuser_projectsdomainsbase_domainlib”注：要根据自己系统具体weblogic安装路径存放jar包6.1.2修改环境变

27、量到以下目录中“OracleMiddlewareuser_projectsdomainsbase_domainbin”找到“startWebLogic.cmd（startWebLogic.sh）”,在set CLASSPATH后添加驱动jar包路径，windows系统修改如下：Linux系统修改如下：（注意”$DOMAIN_HOME”路径，如没有配置该路径可将驱动jar包绝对路径添加到后面）6.2配置Weblogic数据源6.2.1创建JDBC数据源a) JNDI Name：应用程序访问weblogic的数据源名称b) 数据库类型(Database Type)：oracle类型。6.2.2JD

28、BC数据库驱动类型c) 数据库驱动程序(Database Driver)：选择倒数第四个“Oracles Driver(Thin) for Service connections; Versions9.0.1and later”6.2.3其他属性配置默认下一步6.2.4连接属性d) 数据库名称(Database Name)：管理客户端配置的虚拟数据库名称e) 主机名(Host Name)：隔离装置外网ip地址f) 端口(Port)：18600g) 数据库用户名(Database User Name)：管理客户端配置虚拟数据库的用户名h) 口令(Password)：管理客户端配置虚拟数据库的密码

29、6.2.5测试数据库连接a) 驱动程序名称：sgcc.nds.jdbc.driver.NdsDriverb) URL：“jdbc:nds:/隔离装置外网ip1:18600,隔离装置ip2:18600/虚拟数据库名称?appname=应用系统名称”如下:c) jdbc:nds:/170.20.8.223:18600,170.20.8.224:18600/v_18600_tjuvmp?appname=uvmp6.2.6连接池设置（默认下不需要配置）a) 初始容量(Initial capacity)：30b) 最大容量(Maximum capacity)：2147483647c) Capacity

30、increment：连接池增长的幅度d) Inactive connection timeout：不活动连接的超时时间（若连接在设置的时间内没有活动，则系统将其放入连接池）通过以上Weblogic步骤的配置，可以通过Weblogic数据源测试配置是否成功，如果提示数据源配置成功则表示外网应用到隔离装置，隔离装置到数据库之间是互通的。配置完毕。7.常见配置问题a) 应用服务器异常错误信息：IP address or application name is invalid, please check it。解决方法： 需要将url中的应用名称替换为实际配置的应用程序名称。b) 网络异常错误信息：java.sql.SQLException: 网络通信异常。解决方法：使用正确的ip地址或端口号。c) 虚拟数据库名称不正确错误信息：java.sql.SQLException: Database name is invalid,please check it.解决方法：在URL连接字符串中，使用正确的虚拟数据库名称。d) 真实数据库名称不正确错误信息：Could not connect to th