网络单向物理隔离系统

1、网络单向物理隔离系统NetHawk SG-100B Ver3用户使用手册北京赛博兴安科技有限公司Beijing Cyberxingan Technologies Co., LTD.出版说明欢迎您使用本手册！本手册版权属北京赛博兴安科技有限公司，在没有得到本公司书面许可的情况下，任何单位或个人不得擅自摘抄或复制本手册的内容。在设备附件所带光盘上有本手册的电子版，由于印刷版本与电子版本更新周期上的差异，两者略微不同。通常对电子版内容的更新要快一些，因此某些最新功能的使用参照电子版上的说明。本手册力求及时反映网络单向物理隔离系统 NetHawk SG-100B Ver3的最新技术发展情况及改进信息，

2、不作为项目验收的依据。敬告和注意事项为了你的设备能更好的运行，请您仔细阅读以下内容，并且按照上面所说的进行操作。1 严禁带电拔插各种插件，包括主机内部的插件。2 严禁带电拔插各种信号线插头（网线插头除外，特别是RS-232，如果带电拔插非常容易烧毁插头。3 严禁机器带电运行时进行拆卸或进行其他物理操作。北京赛博兴安科技有限公司2009年6月阅读对象内容简介本手册是北京赛博兴安电子科技有限公司的网络安全产品网络单向物理隔离系统 NetHawk SG-100B Ver3的用户使用手册，它详细的介绍了NetHawk SG-100B Ver3的原理，功能以及配置方法，使用环境等。通过阅读本手册，用户可

3、以掌握 NetHawk SG-100B Ver3的使用方法。阅读对象本手册是专为购买网络单向物理隔离系统NetHawk SG-100B Ver3的用户编写的 。用户在安装本系统之前请仔细阅读，以免因操作失误而造成不必要的损失。手册构成本手册主要由以下几个部分构成：第1章“产品简介”，介绍了NetHawk SG-100B Ver3的产生背景，软硬件基本结构。第2章“硬件说明”，详细介绍了NetHawk SG-100B Ver3的外观、配件和典型的网络配置。第3章“基本知识”，介绍了NetHawk SG-100B Ver3的管理方式，需要设置的内容以及不同级别的用户的不同权限。第4章“图形界面配置

4、方式”，详细的介绍了图形界面的安装、卸载，通讯，登录，配置，上传，下载，日志浏览等用户常用的功能。第5章“错误排查”，帮助用户尽快解决使用产品过程中遇到的问题。第6章“技术支持”，提供技术支持信息。目录1 产品简介52 硬件说明62.1结构组成62.2产品外形7前视图72.2.2 后视图72.3 配件说明82.4典型网络配置93.基本知识93.1 管理方式93.2 设置内容104.图形界面设置方式124.1安装与卸载124.1.1 安装配置程序124.1.2 卸载配置程序164.2配置流程174.3通讯部分184.3.1 设置串口参数194.3.2 建立通讯194.3.3 断开通讯204.4管

5、理员登录204.4.1 管理员登录204.5 设置源MACIP表214.5.1 注册新的主机224.5.2 删除主机234.5.3 修改主机属性234.6 设置目的MACIP表244.7 设置规则表254.7.1 添加规则264.7.2 移动规则274.7.3 删除规则274.7.4 修改规则284.8 读取/上传配置信息28读取配置28上传配置284.8.3 规则生效294.9 配置信息本地管理294.9.1 新建配置文件294.9.2 打开本地保存的配置294.9.3 本地保存304.9.4 本地另存为305.错误排查305.1查看网关的电源指示灯305.2查看网关的内外网运行指示灯。30

6、5.3查看网关启动情况305.4检查网络通路是否正常315.5检查MAC/IP绑定316.技术支持321 产品简介网络单向物理隔离系统 NetHawk SG-100B Ver3是在包过滤的基础上，通过采用特殊的硬件设备来实现主机与主机之间、主机与网络之间、网络与网络之间的隔离。本装置采取了单向连接、单向数据传输、数据分阶段非网络方式传送等技术，因此有效地实现了网络的安全隔离。NetHawk SG-100B Ver3具备软、硬结合的数据流向控制、连接方向控制、多级访问的立体控制功能、具备高强度的防御功能、采用无IP地址透明监听的工作模式，具有网络地址转换功能。同时，提供了灵活的GUI方式的管理和

7、丰富的监控工具，可以方便的对装置进行安全策略配置，用户管理，实时监控，采集日志等操作。2 硬件说明2.1结构组成NetHawk SG-100B Ver3的内部结构如图2.1所示。NetHawk SG-100B Ver3由内网机、外网机、隔离通道构成。内网机和外网机之间采用非网连接方式，通过隔离通道进行数据传输。内网机和外网机上各配有三个10/100M-base标准以太网接口（网口0, 网口1, 网口2），NetHawk SG-100B Ver3通过网口1，网口2连接两个网络。此外，内外网机上各配有一个Console口，用户通过Console口对NetHawk SG-100B Ver3的工作模式

8、和参数进行设置。图2.1 NetHawk SG-100B Ver3系统构成示意图在实际产品的外形上，内网机标识为A端，连接高安全级别的网络（内网），外网机标识为B端，连接低安全级别的网络（外网）。2.2产品外形前视图NetHawk SG-100B Ver3主机的前面板如图2.2所示，图2.2 NetHawk SG-100B Ver3主机前视图NetHawk SG-100B Ver3的硬件基于标准机架设计，高度为1U，可以放置在机房的机架上。如果需要把NetHawk SG-100B Ver3安装在机架上，首先确定NetHawk SG-100B Ver3在机架上的安装位置，用螺丝把NetHawk

9、SG-100B Ver3的耳片和机架上的螺孔连接，固定在机架上。1为双电源报警按钮，报告双电源工作状态。当只有一个工作时，隔离网关会蜂鸣报警，按下此钮报警停止。2为NetHawk SG-100B Ver3内网运行状态指示灯，标识NetHawk SG-100B Ver3的内网运行状态和数据传输状态。3为 NetHawk SG-100B Ver3外网运行状态指示灯，标识NetHawk SG-100B Ver3的外网运行状态和数据传输状态。4为 NetHawk SG-100B Ver3电源指示灯。单电源工作时为橙色，双电源工作时为黄绿色。 后视图NetHawk SG-100B Ver3主机的后面板如

10、图2.3所示，图2.3 NetHawk SG-100B Ver3主机后视图图2.3中各个部件说明如下：【1】开关部分2，4为电源插座,双电源输入。用于接入220V交流电源。1，3为电源开关。【2】接口部分5为B端Console口，用来对NetHawk SG-100B Ver3 B端进行配置管理以及用来查看B端外网机的运行状态。6为B端网口1，RJ45以太网10/100M-base自适应网络接口，通道1出口。7为B端网口2，RJ45以太网10/100M-base自适应网络接口，通道2出口。8为B端网口0，RJ45以太网10/100M-base自适应网络接口，备用。10为A端Console口，用来

11、对NetHawk SG-100B Ver3A端进行配置管理以及用来查看A端内网机的运行状态。11为A端网口1，RJ45以太网10/100M-base自适应网络接口，通道1入口。12为A端网口2，RJ45以太网10/100M-base自适应网络接口，通道2入口。13为A端网口0，RJ45以太网10/100M-base自适应网络接口，备用。【3】其他部分9为机箱固定螺丝,如需接地也可以从螺丝连一条地线到机柜。2.3 配件说明随NetHawk SG-100B Ver3系统附带的物品还包括：l 资料光盘一张，光盘中内容为赛博网络单向物理隔离系统NetHawk SG-100B Ver3用户使用手册，赛博

12、网络单向物理隔离系统NetHawk SG-100B Ver3图形界面安装包，工具包。l 电源线两条。l Console线一对。l 螺丝若干，用来把耳片安装在NetHawk SG-100B Ver3的主机上（如果耳片没有装）。l 产品的各种资质证书。2.4典型网络配置图2.4 物理隔离网络配置图图2.4是NetHawk SG-100B Ver3接入到网络中的一个典型网络拓扑图。以上图为例说明310的连接和配置。详细接线法如下：由内网R_A，R_B分别接入隔离网关A端的网口1，网口2，隔离网关的网口1，网口2接入外网R_A，R_B。注意：A端网口1和B端网口1组成通道1， A端网口2和B端网口2组

13、成通道2。通道1和通道2是独立的。3.基本知识3.1 管理方式图3.1 NetHawk SG-100B Ver3 设置方式由于NetHawk SG-100B Ver3操作系统内核中不包含TCP/IP协议栈，因此对NetHawk SG-100B Ver3的管理配置不支持远程操作，对NetHawk SG-100B Ver3的配置管理通过串口来设置。在进行NetHawk SG-100B Ver3设置之前，用串口线把NetHawk SG-100B Ver3和设置机连接起来，如图3.1所示。设置机可以是任何安装有Windows 98、Windows 2000、Windows XP、Linux操作系统的P

14、C机。在Windows系统下支持图形界面GUI方式配置。 3.2 设置内容NetHawk SG-100B Ver3包含两个独立的通道：A端网口1和B端网口1组成通道1，A端网口2和B端网口2组成通道2。对于每个通道，A端连接内网，B端连接外网，只允许内网中主机向外网中主机发起连接。要使每个通道两边的网络进行通讯，需要对每个通道的A端和B端设置三个表：源MACIP表、目的MACIP表、规则表。源MACIP表 的内容为与A端连接的网络中主机的MAC、IP地址（MAC地址与IP地址绑定）和设置经过NAT后的虚拟IP，MAC/IP绑定必须进行设置，虚拟IP可根据需要设置。目的MACIP表 的内容为与B

15、端连接的网络中主机的MAC、IP地址（MAC地址与IP地址绑定）和设置经过NAT后的虚拟IP，MAC/IP绑定必须进行设置，虚拟IP可根据需要设置。规则表 中的规则控制内网中主机与外网中主机的数据传输。如果规则表不为空，进行规则匹配，按照匹配规则的动作来决定数据是否通过，如果没有匹配的规则，则不允许数据通过。说明：在源MACIP表和目的MACIP表中无需注册网络中所有主机，只需注册参与通信的主机的MACIP地址即可。如图3.2是NetHawk SG-100B Ver3的一个应用网络拓扑图，NetHawk SG-100B Ver3位于内网和外网之间，内网包含网络A和网络C，其中网络A与NetHa

16、wk SG-100B Ver3的A端直接相连，网络A与网络C通过路由器R1相连。外网包含网络B和网络D，其中网络B与NetHawk SG-100B Ver3的B端直接相连，网络B与网络D通过路由器R2相连。网络A和网络B的IP地址处于一个子网之中。在该网络结构中，假设内外网之间通过NetHawk SG-100B Ver3的通道1进行通讯，则该通道的各个表的设置如下：NetHawk-SGAP V3网络A网络BR1网络CR2网络DB端A端图3.2 NetHawk SG-100B Ver3 应用源MACIP表源MACIP表 的内容为网络A中的主机和网络C中的主机。对于网络A，由于NetHawk SG

17、-100B Ver3的A端与其在一个网络中，所以在NetHawk SG-100B Ver3的源MACIP表注册网络A中的主机时，各主机的源MAC/IP地址即是主机网卡MAC/IP地址。对于网络C，由于网络C中主机发出的数据包通过路由器R1之后，数据的源MAC地址变为路由器R1与网络A连接的接口MAC地址，所以在NetHawk SG-100B Ver3的源MACIP表注册网络C中的主机时，各主机的源MAC地址是路由器R1与网络A连接的接口的MAC地址，IP地址不变，为C网中的IP地址。目的MACIP表目的MACIP表 的内容为网络B中的主机和网络D中的主机。对于网络B，由于NetHawk SG-

18、100B Ver3的B端与其在一个网络中，所以在NetHawk SG-100B Ver3的目的MACIP表 注册网络B中的主机时，各主机的目的MAC/IP地址即是该主机网卡MAC/IP地址。对于网络D，所有发往网络D的数据包必须通过路由器R2来转发，所以在NetHawk SG-100B Ver3的目的MACIP表 注册网络D中的主机时，各主机的目的MAC地址是路由器R2与网络B连接的接口的MAC地址，IP地址不变，为D网中的IP地址。规则表规则表进行数据访问控制，比如要求网络A中主机A1不能访问网络B中主机B2的端口服务5555，则在规则表中添加规则“从A1到B2，对于端口服务5555，禁止”

19、。如要求网络A中主机A3可以访问网络B中主机B5的端口为8888服务，则在规则表中添加规则“从A3到B5，对于端口8888，允许”。规则表中的源IP和目的IP必须相应属于源MACIP表和目的MACIP表，使用源MACIP表和目的MACIP表之外的地址没有意义SNAT转换如果要隐藏内网中的IP地址，可以进行SNAT静态地址转换。如图2.4中，内网一主机IP地址为，转换后IP地址设为，则通过配置界面在源MACIP表中添入SNAT IP：193.1.1.100。这样当此主机与外网中机器通讯时，外网中看到其IP地址是，从而隐藏了它的真实IP地址。外网中的主机向内网做NAT时，方法同上。4.图形界面设置

20、方式目前图形界面的主要功能为：规则配置及上传和读取，规则配置文件的本地保存。4.1安装与卸载 安装配置程序在设置机上安装NetHawk SG-100B Ver3配置程序，将NetHawk SG-100B Ver3附带的资料光盘插入设置机的CDROM，打开光盘，选择“隔离规则配置程序/Setup.exe”并双击，即可进入NetHawk SG-100B Ver3配置程序的安装过程。如图4.1所示。点击“下一步”。图4.1 欢迎界面进入客户信息界面，如图4.2所示。图4.2 客户信息输入用户名和公司名称，点击“下一步”，进入选择安装类型界面，如同4.3。图4.3 选择程序组选择“完全”安装类型后，点

21、击“下一步”，开始安装。如图4.4所示。图4.4 开始安装等待安装完毕，点击“完成”，退出安装过程，如图4.5所示。图4.5 完成安装此时，NetHawk SG-100B Ver3的配置程序已经被成功的安装到了您的计算机中，打开“开始->程序-> 赛博兴安单向隔离规则配置->规则配置界面”，如图4.6所示。图4.6 程序组位置双击“规则配置界面”，启动NetHawk SG-100B Ver3的配置程序，界面显示如图4.7所示。图4.7 启动配置程序接下来，就可以用此配置程序对NetHawk SG-100B Ver3系统进行配置了。 卸载配置程序要从设置机上卸载NetHawk

22、SG-100B Ver3配置程序，在控制面板下选中“赛博兴安单向隔离规则配置界面”，点击“删除”，接下来根据向导即可完成卸载操作。图4.8 卸载配置程序4.2配置流程使用图形界面配置程序对NetHawk SG-100B Ver3进行配置的流程如图4.9所示。从网关读取配置打开本地配置文件建立通讯管理员登录管理员注销断开通讯新建配置文件编辑配置信息上传配置本地保存配置另存本地配置打开manage关闭manage图4.9 NetHawk SG-100B Ver3图形界面配置流程4.3通讯部分在开始配置之前需要建立NetHawk SG-100B Ver3与设置机之间的通讯，实时隔离网关和设置机的连接

23、图示如图4.10所示。图4.10 配置环境示意图其中，设置机为任意一台装有Windows系列操作系统的PC机。设置机和隔离网关之间连接线为串口线。隔离网关使用A端和B端Console口，即图2.3中的所示部件5，10。依据上图所示建立配置相关硬件环境后，首先要使配置程序和隔离网关建立通讯，按以下步骤使配置程序与NetHawk SG-100B Ver3建立通讯。（以下以A端Console口配置为例。B端配置方法与A端相同，仅将串口线连至B端Console口） 设置串口参数在配置程序主界面中，点击“通讯”->“串口参数”，弹出图4.11所示的串口参数设置对话框，对串口参数进行设置。通常根据设

24、置机与NetHawk SG-100B Ver3串口连接的实际情况正确选择“串口”，其他参数一般无需改动。注：参数的默认值必须是：波特率为115200、数据位为8、停止位为1、奇偶校验为无。图4.11 设置串口参数点击“确定”，以完成参数设置。 建立通讯选择“通讯”->“建立通讯”，完成通讯建立过程，此时在Manager程序界面的右下方状态条内显示配置机与NetHawk SG-100B Ver3之间的串口设备已打开，如图4.12所示：图4.12 建立通讯 断开通讯如果完成对NetHawk SG-100B Ver3的配置，不需要和网关通讯，或者其他原因需要断开通讯，则点击“通讯”->“

25、断开通讯”即可。此时在Manage程序界面的右下方状态条内显示配置机与NetHawk SG-100B Ver3未建立通讯。如果有管理员已经登录，则断开通讯后，自动注销所登录的管理员。4.4管理员登录设置机和NetHawk SG-100B Ver3建立通讯之后，可以进行管理员登录，登录之后可以进行配置的读取和上传。 管理员登录点击“管理员”->“登录”，即出现如图4.13所示登录界面，输入管理员用户名和密码，点击“确定”。(系统提供的配置管理员为root，密码为root)图4.13 管理员登录登录成功后，在Manage程序界面的下方状态条的中部显示所登录的用户名的登录状态以及用户权限级别，

26、如图4.14所示：图4.14 登录成功界面4.5 设置源MACIP表在配置程序主界面的左面选择要设置的通道，选择其下面的源MACIP表，在右面出现源MACIP表，如图4.15所示。下面对表中各列进行一下说明。【1】 序号：分配给注册主机MACIP地址的编号。由程序自动产生。【2】 主机名：注册的主机MACIP地址的别名（Alias），由字母、数字或下划线组成的字符串。主机名不允许有空格，不允许重复。注意：主机名在用户配置规则时根据需要填写，与实际的计算机名没有关系。【3】 IP地址：注册主机的IP地址。【4】 子网掩码：注册主机已设置的子网掩码。【5】 静态NAT地址：注册主机经过NAT转换后

27、的IP【6】 网关：对于跨路由等网络设备的情况，需要添加网关【7】 注释：对主机的简要说明，由字母、数字或下划线组成的字符串。注释不允许有空格，不支持中文。图4.15 设置源MACIP表 注册新的主机点击“网关配置”->“添加”，或者工具栏上的图标弹出对话框，如图4.16所示，在表中注册新的主机。【1】 手工添加主机在图4.16的左面部分，依次输入主机名、IP地址、子网掩码、MAC地址、注释，如有需要，输入NAT IP,然后点击确定，即把主机注册到选定的表中。【2】 根据所添加IP是否是网关来确定是否要勾选网关项。图4.16 源MACIP表中新增主机 删除主机选中表中的某个主机，点击“网

28、关配置”->“删除”，或者工具栏上的图标，将把该主机从表中删除。 修改主机属性选中表中的某个主机，点击“网关配置”->“修改”，或者工具栏上的图标，弹出对话框，如图4.17所示，可以修改该主机的属性。图4.17 修改主机属性4.6 设置目的MACIP表在配置程序主界面的左面选择要设置的通道，选择其下面的目的MACIP表，在右面出现目的MACIP表，如图4.18所示。表中的“序号”、“主机名”、“IP地址”、“子网掩码”、“MAC地址”、“静态NAT地址”、“网关”、“注释”等列的意义同源MACIP表中相应列的意义。图4.18 设置目的MACIP表对目的MACIP表的添加/删除/修改

29、操作同源MACIP表。如果NetHawk SG-100B Ver3的B端串口连接到设置机，可以自动搜索目的MACIP表中的主机。提示：目的MACIP表中的内容即是连接NetHawk SG-100B Ver3外网B端的主机的MACIP地址。4.7 设置规则表在配置程序主界面的左面选择要设置的通道，选择其下面的规则表，在右面出现规则表的内容，如图4.19所示。图4.19 设置规则表规则表包括序号、源、目的、协议、端口、操作等列，以下是对各列的说明。【1】 序号：系统分配给每条规则的编号【2】 源：数据包的发送方。通常为源MACIP表中的主机。【3】 目的：数据包的目的地。通常为目的MACIP表中的

30、主机。【4】 协议：数据包所用的协议，可以为ALL、TCP、UDP。【5】 端口：如果协议为TCP或UDP，该列指明数据包的目的端口。端口为0表示所有端口。 添加规则点击“网关配置”->“添加”，或者工具栏上的图标弹出添加规则对话框，如图4.20所示。“来源”右面的下拉列表中为“源MACIP表”中注册的主机，“目的”右面的下拉列表中为“目的MACIP表”中注册的主机，“协议”右面的下拉列表中为允许的协议，并填入使用端口。图4.20 添加规则输入各项之后，点击“确定”，在表中添加一条新的规则。 移动规则.1规则匹配准则【1】 进行规则匹配时，对数据包的源IP，目的IP，协议，目的端口进行比

31、较。【2】 如果规则表为空，所有数据包不允许通过。【3】 如果规则表不为空，在进行规则匹配时，在规则表中按从上到下的顺序来匹配，如果找到一条匹配成功的规则，则执行规则对应的操作，如果没有找到匹配的规则，则禁止该数据包通过。所以匹配的结果与规则在表中的顺序有关。.2移动规则在规则表中选中要移动的规则，点击工具栏上的图标 来移动规则在表中的位置。按钮把当前选中规则向上移动一行，按钮把当前选中规则移动向下移动一行。移动操作也可以使用菜单“网关配置”下面的 “上移一位”、“下移一位”来实现。 删除规则选中表中的某条规则，点击“网关配置”->“删除”，或者工具栏上的图标，将把该规则从表中删除。 修

32、改规则选中规则表中的某条规则，点击“网关配置”->“修改”，或者工具栏上的图标，弹出修改规则对话框，如图4.21所示，可以修改该规则的属性。图4.21 修改规则4.8 读取/上传配置信息如果已经建立通讯，并且已有管理员登录NetHawk SG-100B Ver3，可以重新读取NetHawk SG-100B Ver3原有配置；设置完成后，可以把配置上传到NetHawk SG-100B Ver3。新的配置只有上传到NetHawk SG-100B Ver3不需要重启，就能生效。4.8.1读取配置在配置程序主界面中选择“网关配置”->“读取配置”或者点击工具栏上的图标，从NetHawk SG-100B Ver3读取配置。4.8.2上传配置设置好各个通道的相应表的内容，需要上传给隔离网关NetHawk SG-100B Ver3。选择菜单“网关配置”->“上传配置”或点击工具栏上的图标，把当前配置上传到NetHawk SG-100B Ver3。上传配置成功后会弹出“成功上传配置文件”对话框。图4.22 规则配置完成4.8.3 规则生效上传配置信息完成后，不需要重启网关，就使新规则生效。Ø 注意：A、B端都要做规则配置上传操作，规则内容相同。 4.9 配置信息本地管理4.9.1 新建配置文件要新建一配置文件，在主界面中选择菜单“文件”-&g