网神SecSIS_3600安全隔离与信息交换系统审计员手册_6.0.12.1

1、网神SecSIS 3600安全隔离与信息交换系统日志审计员手册声明本手册所含内容如有任何变动，恕不另行通知。在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。本手册的信息受到版权保护，本手册的任何部分未经网神信

2、息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。网神信息技术(北京)股份有限公司前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。这本手册能帮助您更好地管理设置。希望用户在遇到设置问题的时候能在手册里得到帮助。我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获

3、取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。 谢谢您的合作！ 网神信息技术(北京)股份有限公司安全使用注意事项本章列出的安全使用注意事项，请仔细阅读并在使用网神SecSIS 3600安全隔离与信息交换系统过程中严格执行。这将有助于更好地

4、使用和维护您的安全隔离与信息交换系统。 安全隔离与信息交换系统应用环境为温度10 35和湿度40% 80%；存储环境为温度0 70，湿度20% 95%。 采用交流220V电源。 必须使用三芯带接地保护的电源插头和插座。良好的接地是您的安全隔离与信息交换系统正常工作的重要保证。对于安全隔离与信息交换系统来说，如果缺少接地保护线，在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害，但在接触时，可能会产生麻、痛等轻微触电的感觉。另外，如果您擅自更换标准电源线，可能会带来严重后果。特别提示： 遇到故障，请不要自行拆卸安全隔离与信息交换系统，建议与我们的技术支持人员（免费咨询电话：400-61

5、0-8220）取得联系，以获得最佳解决方案。 安全隔离与信息交换系统的搬运应注意： 本安全隔离与信息交换系统的搬运最好使用出厂原包装。搬运之前请清点好所有部件和随机附带的资料。 最好将各个部件和随机附带的资料按出厂时的包装还原。 安全隔离与信息交换系统不可带电搬运，任何零部件不可带电插拔，否则可能损坏安全隔离与信息交换系统。 将安全隔离与信息交换系统打包完成后，用胶带封箱，即可搬运。安全隔离与信息交换系统搬运过程中，请不要剧烈碰撞和跌摔，不可雨淋。搬运过程请远离强静电，强磁场环境。 正确规范的操作是安全的保证。目 录第一章 概述71. 网神SecSIS 3600安全隔离与信息交换系统简介72.

6、 功能与特点7第二章 登陆界面10第三章 日志配置11第四章 日志服务器配置12第五章 日志审计135.1网闸管理日志审计135.2 文件交换日志审计155.3 数据库同步日志审计165.4 安全浏览的日志审计175.5 FTP访问日志审计185.6 数据库访问日志审计195.7 邮件访问日志审计205.8 TCP定制日志审计215.9 UDP定制日志审计225.10 高可用性日志审计235.11 设备状态日志审计245.12 入侵检测日志审计26第六章 日志下载27第七章 日志删除27第八章 工具箱278.1修改口令278.2调试工具28第九章 安全退出28第一章 概述随着Internet的

7、迅速发展，企业、军队或政府等对Internet的资源需求越来越大，但同时也受到了Internet对自身内部网非法访问和入侵的威胁。网神SecSIS 3600安全隔离与信息交换系统是对不同网络互相之间物理隔离的情况下，实现信息的安全流转而设计的整体解决方案，它在病毒过滤等方面都有着自身突出的优点。本章将向您介绍网神SecSIS 3600安全隔离与信息交换系统的功能和特点。1. 网神SecSIS 3600安全隔离与信息交换系统简介网神SecSIS 3600安全隔离与信息交换系统是网神利用自身的优势，结合国内用户的特点开发出来的具有自主版权的、符合我国安全政策的网络安全产品。网神SecSIS 360

8、0安全隔离与信息交换系统是网神研究院针对政府、企业等重要部门在多个网络之间相互交流信息的要求，提出的面向各种不同应用的网络间信息交流方案。特别是对不同网络互相之间物理隔离的情况下，开发出具有强大的信息内容过滤、日志审计功能、网络防病毒等多种安全策略综合应用的稳定可靠的网神SecSIS 3600安全隔离与信息交换系统，实现信息的安全流转而设计的整体解决方案。网神SecSIS 3600安全隔离与信息交换系统属于网络安全产品范畴，全部设置基于WEB界面，充分体现网神产品易用、好用的原则，可以为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地

9、构建自己的安全网络或安全通道。2. 功能与特点网神SecSIS 3600安全隔离与信息交换系统为了满足用户的复杂应用和多种需求，采用模块化设计，基本模块为文件交换模块。以下是对安全隔离与信息交换系统功能和特点的简要介绍： 物理层安全隔离本系统遵循严格物理隔离的原则，采用双主机加上专有隔离硬件的体系架构，确保两个网络之间无物理层的直接连接，实现物理隔离。 数据交换卡内外主机系统中安全检测与控制处理单元采用专有硬件交换电路设计的双通道高速数据交换卡。数据交换卡具有独立的硬件交换控制逻辑，无OS及任何“软”控制，自主完成数据的交换。 协议阻断在两个主机系统之间采用专有协议，阻断TCP/IP协议的连接

10、。这样基于操作系统的漏洞攻击和网络层协议的攻击基本被杜绝或者只发生在外网主机系统，从而实现一种隔离交换的安全。 信息单向或者双向流动本系统所解决的信息交互问题是指外网信息通过数据交换卡进入内网和内网信息通过数据交换卡发送到外网，因此信息是双向流动的。同时也可以通过设置屏蔽某个方向的信息流动，使之成为单向传输。 数字证书认证本系统支持第三方的数字证书认证系统。需要将第三方的根证书导入到网御神州安全隔离与信息交换系统内部，用户若通过安全隔离与信息交换系统进行信息交流必须通过数字证书的认证，有效保证了信息交流的安全性。 用户管理本系统建立有用户管理体系。网神SecSIS 3600安全隔离与信息交换系

11、统的管理员可以通过用户管理系统来管理安全隔离与信息交换系统的用户。 内容过滤采用数字签名、病毒查杀、访问控制和安全审计等多种安全技术，对传输数据类型、内容等进行检查和过滤，提供可信任的专用信息交换服务。 日志审计本系统带有日志审计功能。对于通过安全隔离与信息交换系统进行的信息交流，系统会自动记录日志，审计人员可随时查看和下载日志，方便管理。第二章 登陆界面 在管理计算机上启动Internet浏览器，本手册以IE6.0为例。在地址栏中输入安全隔离与信息交换系统相应子网主机模块的管理端口的IP地址。例如登录内网主机模块管理端口，输入默认设置IP地址“”，输入回车。出于

12、安全考虑，本链接采用SSL128位加密传输。 弹出对话框要求用户确认安全证书，点击“是(Y)”按钮。注意：此对话框只会在用户第一次登录时出现。浏览器中显示安全隔离与信息交换系统管理登录界面。输入用户名“auditor”和密码，密码缺省值为“auditor”，点击“确定”按钮。浏览器显示安全隔离与信息交换系统日志审计和管理的主界面，显示首页表示登录成功。第三章 日志配置配置在设备中显示以及发送给日志服务器的日志级别和内容。参数说明参数名称描述设备唯一标示号该设备在网络中的标示符，内外网要求区分本地日志级别配置在日志中显示的日志级别确定提交配置配置说明： 确定设备的唯一标示号，该标示将显示在日志记

13、录中，为了和其他设备日志相区别，该标识必须唯一 日志级别，为设备日志记录的级别，级别越高日志记录越详细，目前提供七个日志级别，紧急、警报、关键、错误、警告、通知、信息和调试第四章 日志服务器配置网神SecSIS 3600安全隔离与信息交换系统各功能模块提供标准日志记录。启用日志记录后，默认情况下日志存储在设备本地，设备重启后将不保存。安全隔离与信息交换系统也可以将日志发往第三方的日志服务器，日志服务器可以与安全隔离与信息交换系统的任意网口连接。需要管理员配置日志服务器 IP、安全隔离与信息交换系统与日志服务器通信的协议与端口。安全隔离与信息交换系统默认使用 syslog 方式向第三方发送日志，

14、端口 514 ， 协议 UDP。 参数说明参数名称描述日志服务器IP接受该日志信息的日志服务器地址模块发送到日志服务器的日志信息的模块类型日志级别发送到日志服务器的日志信息的级别删除删除该配置项增加增加新的配置项确定提交配置配置说明： 日志服务器应该连接在网闸设备的接口上，该服务器的IP地址要与连接接口的IP地址路由可达。 可选模块类型包括全模块、设备管理、安全浏览和FTP访问。如果要求该服务器接收其中的某几个模块的日志，可以点击增加按钮，添加其他配置项。 日志级别分为紧急、警报、关键、错误、通知、信息和调试八个级别，紧急程度逐渐降低。 选择删除，点击【确定】，即可删除该条配置项 点击【确定】

15、提交配置。第五章 日志审计通过界面审计本地存放的所有模块的日志信息，提供包括管理日志、安全浏览日志、ftp访问日志等。点击查阅可以单独查看某一个模块的日志信息。5.1网闸管理日志审计记录和审计安全隔离与信息交换系统管理员的登陆、配置等所有操作的日志信息。参数说明参数名称描述关键字选择日志审计的关键字类别运算选择日志审计的匹配方法内容填写日志审计的关键则内容删除删除该审计记录增加增加新的审计记录确定提交审计关键字包括日期时间、管理员、操作、结果和信息五个类别。关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01管理员该审计记录的管理员名称

16、，如：admin、auditor操作该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败信息该审计记录的提示信息，如：查看、操作等日志审计结果如下：图 管理员日志审计结果5.2 文件交换日志审计参数说明参数名称描述关键字选择日志审计的关键字类别运算选择日志审计的匹配方法内容填写日志审计的关键则内容删除删除该审计记录增加增加新的审计记录确定提交审计关键字包括日期时间、管理员、操作、结果和信息五个类别。关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01任务号文件交换的任务号操作

17、该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败信息该审计记录的提示信息，如：查看、操作等日志审计结果如下：5.3 数据库同步日志审计参数说明参数名称描述关键字选择日志审计的关键字类别运算选择日志审计的匹配方法内容填写日志审计的关键则内容删除删除该审计记录增加增加新的审计记录确定提交审计关键字包括日期时间、管理员、操作、结果和信息五个类别。关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01操作该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是

18、失败，“0”代表成功，“1”代表失败信息该审计记录的提示信息，如：查看、操作等日志审计结果如下：5.4 安全浏览的日志审计记录和审计用户通过安全浏览模块访问外部网络的所有请求和应答的日志信息。关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01操作该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败信息该审计记录的提示信息，如：查看、操作等用户名使用该模块的用户的用户名用户IP地址使用该模块的用户的IP地址，HTTP的方法通过该模块的HTTP方法，包括：GET、POST等HT

19、TP的URL用户通过该模块访问的URL信息，如：MIME类型用户通过该模块访问的页面中包含的MIME类型，如：image/jpeg、application/javascript日志审计结果如下：安全浏览日志审计结果5.5 FTP访问日志审计记录和审计用户通过安全浏览模块访问外部网络的FTP服务器的日志信息。安全FTP日志审计界面关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01操作该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败信息该审计记录的提示信息，如：查看、操作等

20、源IP地址通过该模块访问的源IP地址目的IP地址通过该模块访问的目的IP地址用户名通过该模块访问FTP服务的用户名日志审计结果如下：5.6 数据库访问日志审计关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01任务号数据库访问任务号客户端ip访问该任务的客户端地址客户端端口访问该任务的客户端源端口操作该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败信息该审计记录的提示信息，如：查看、操作等日志审计结果如下：5.7 邮件访问日志审计关键字类别说明关键字类别描述日期时间该审计

21、记录发生的时间和日期，格式如：2009/05/11 15:21:01任务号邮件访问任务号客户端ip访问该任务的客户端地址客户端端口访问该任务的客户端源端口操作该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败信息该审计记录的提示信息，如：查看、操作等日志审计结果如下：5.8 TCP定制日志审计关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01任务号Tcp任务号客户端ip访问该任务的客户端地址客户端端口访问该任务的客户端源端口操作该审计记录的操作内容，如：登陆页面、日志审计

22、等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败信息日志审计结果如下：5.9 UDP定制日志审计关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01任务号UDP任务号客户端ip访问该任务的客户端地址客户端端口访问该任务的客户端源端口操作该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败信息日志审计结果如下：5.10 高可用性日志审计关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01虚拟路由标识双集合负载配置的虚拟路由的表示符号操作该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败日志审计结果如下：5.11 设备状态日志审计关键字类别说明关键字类别描述日期时间该审计记录发生的时间和日期，格式如：2009/05/11 15:21:01操作该审计记录的操作内容，如：登陆页面、日志审计等结果该审计记录操作的结果成功还是失败，“0”代表成功，“1”代表失败信息日志记录的说明信息设备启动时间设备加电开机