中网物理隔离网闸X-Gap用户手册

公司隔离网闸X－GAP用户操作手册目录TOC\o"1-3"前言关于本手册 11.内容 12.使用对象 13.使用指南 14.使用约定 35.获得本手册 46.技术支持 4第一章公司隔离网闸X-GAP原理介绍 61.1隔离网闸GAP概述 61.1.1为什么需要隔离网闸 61.1.2何谓隔离网闸GAP 81.2公司隔离网闸X-GAP的技术原理 111.3产品组成、功能及特点 191.3.1X-GAP产品组成 191.3.2X-GAP产品主要功能 221.3.3X-GAP产品主要特点 25第二章产品及安装说明 262.1产品组成 262.2环境要求 262.2.1物理环境要求 262.2.2网络环境要求 272.2.3辅助设备要求 282.3拆箱检查 282.4安装准备 322.4.1安装前的准备工作 322.4.2安装前的测试工作 322.5网闸X-GAP硬件安装 332.5.1准备工作 332.5.2安装须知及注意事项 332.5.3安装步骤 342.6X-GAP管理软件的安装 352.7启动网闸及管理软件 382.7.1开启网闸设备 382.7.2修改管理主机IP地址 382.7.3启动“客户端管理软件”并登录网闸 40第三章X-GAP系统配置 423.1系统配置 423.2系统状态 443.3内部主机的配置 453.4外部主机的配置 483.5冗余备份的配置 503.5.1双机热备工作原理 503.5.2双机热备实现方法 513.5.3真地址与虚地址设置注意事项 513.5.4“冗余备份”的配置 523.6系统管理员 53第四章外出访问服务 564.1配置“浏览”服务 564.1.1浏览服务 574.1.2“HTTP请求”控制 614.1.3“HTTP内容”过滤 644.1.4高级选项 664.2FTP服务 674.2.1配置“FTP服务” 674.2.2“FTP命令”控制 704.2.3FTP文件内容过滤 714.3收邮件服务 724.3.1配置“收邮件”服务 724.3.2邮件内容过滤 774.4发邮件服务 784.4.1配置“发邮件”服务 784.4.2“SMTP命令”过滤 804.4.3邮件内容过滤 81第五章准出交换服务 825.1定制TCP 825.2FTP服务 845.3Oracle数据库 865.4定制UDP 88第六章准入交换服务 896.1定制TCP 906.2FTP服务 926.3Oracle数据库 936.4定制UDP 95第七章审计管理 977.1日志控制 977.2日志服务器的设置 987.3日志告警设置 997.4日志查看 100第八章主机安全 1028.1防扫描 1028.2防入侵 1048.3防攻击 105第九章认证管理 1079.1认证服务器的配置 1089.2认证规则的配置 1099.2.1如何添加一条认证规则 1109.2.2如何删除一条认证规则 1109.3认证用户管理 1119.3.1如何添加一个用户 1129.3.2如何删除一个用户 1139.4客户端的配置 1139.4.1安装“客户端认证管理”软件 1139.4.2设置“客户端认证管理”软件 115第十章数据库同步管理 11810.1功能特点 11810.2数据库要求 11910.2.1Oracle数据库 11910.2.2SQLServer数据库 12010.2.3Sybase数据库 12010.3配置管理 12010.3.1数据源管理 12210.3.2同步任务管理 12310.3.3数据库同步任务的运行与终止 125附录A常见故障原因及处理方法 126附录B产品硬件规格说明 127附录C隔离网闸常见问题及解答 128C.1网闸常见概念问题解答 128C.2网闸常见技术问题解答 132

1.2公司隔离网闸X-GAP的技术原理公司隔离网闸X-GAP是公司公司自主研制开发，具有自主知识产权的、新一代、高安全性的国产隔离防护设备，它是公司公司在网络安全领域多年耕耘的技术结晶，是公司公司奉献给业界的精品。下面我们对公司隔离网闸X-GAP的技术原理做一介绍。我们知道互联网是基于TCP/IP来实现的，而所有的攻击都可以归纳为基于对TCP/IP的OSI数据通信模型的某一层或多层的攻击，因此公司隔离网闸X-GAP首先就是要断开TCP/IP的OSI数据模型的所有层，由此消除目前TCP/IP网络存在的攻击，在此基础上再考虑如何安全地实现数据交换的问题。物理层的断开物理层是可以被攻击的。尤其物理层的逻辑表示是可以被攻击的。对网络层的逻辑表示的攻击方法主要是欺骗和伪造，因此可以利用认证和鉴别的方法来防止欺骗和伪造，这就是常用的IP和MAC地址绑定的办法。对MAC地址本身直接进行访问控制也是可行的，这就是MAC防火墙。最后的办法是把物理层完全断开，没有网络功能，因而也就没有来自网络的攻击。物理层的断开是一个复杂的概念。并不是没有人眼看得见的东西连接，就是物理层的断开，如无线通信，人眼是看不见的，但物理层是连接的。也不是人眼看得见的东西有接触就是物理层的连接，如用一个木头把两个计算机连着，尽管它是一个现实中的物理连接，却不能基于该连接建立一个OSI模型中的数据链路的连接，因此不是一个OSI模型意义上的物理层的连接。从这个意义上讲，要确定它是连接的也困难，要确定它不连接也是困难的。由于空气和真空的普遍性，还无法对任何两台计算机确认它们不存在某种现实中的连接，至少证明是困难的。而空气和真空是可以传播电磁波的。因此，不能简单地给物理层的断开下一个定义。从技术上来定义，一个物理层上的断开，应该是“不能基于一个物理层的连接，来完成一个OSI模型中的数据链路的建立”。我们来检查一下该定义的正确性。无线传输，基于电磁波这种人眼看不见的物理介质的连接，可以建立一个OSI模型中的数据链路的连接，因此不是物理层的断开。一个木头连接两个计算机，尽管它是一个现实中的连接，却不是严格意义上OSI模型中的物理连接，也无法建立一个OSI模型中的数据链路，因此是断开的。物理层的断开，可能导致OSI模型其他层的工作机制失效。因此可以减少其他层的攻击。但物理层的断开，只解决基于物理层的攻击，并不暗示可以解决对OSI模型其他层的攻击。我们确实发现存在一个基于开关的FTP断点续传的应用的例子，说明物理层断开并不保证可以消除对其他层的攻击。【解答】：这里所表述“物理层的断开”是一个技术概念，是强调OSI模型的物理层断开的必要性，而政府的各项规定中所指的“物理隔离”是一个政策性概念，是强调不存在网络通信，网络连接。数据链路层的断开数据链路是在物理层上建立一个可以进行数据通信的数据链路，是一个通信协议的概念。只要存在通信协议就可以被攻击。数据链路是可以被攻击的。例如，早期的电话公司如Bell公司就饱受通信黑客攻击之苦，现在的许多TCP/IPOverPPP拨号连接，可以通过字典攻击方法，不断的猜测用户的密码，让正常的用户无法建立合法的连接，形成拒绝服务攻击。所以，隔离网闸X-GAP也必须断开任何可能基于物理层建立的数据链路通信。数据链路的断开意味着什么？首先，必须消除可以建立通信链路的控制信号，因为这些信号是可以被攻击的、存在风险的。其次，每一次的数据传输，是否能够到达或正确性方面是没有保证的。再次，不能建立一个会话机制。因此，用技术术语来定义，数据链路的断开是指上一次数据传输与下一次数据传输的相关性的概率为零。因此，没有数据链路的传输数据是没有可靠性保证的。数据链路的断开，破坏了通信的基础，也因此消除了基于数据链路的攻击。同上面的道理一样，看起来数据链路的断开大大降低了对其他层的攻击，但不能排除。我们可以想像一下，不可靠的数据广播和传输，不代表不能正确的传输一次正确的数据，因此还是存在基于上层攻击的可能性。【解答】：链路层的断开，就必须消除所有的通信链路协议。任何基于通信协议的数据交换技术，都无法消除数据链路的连接，如基于以太、串口通信或高速串口通信协议的USB和火线等均无法实现链路层断开，通过不可路由协议（如：IPX/SPX、NetBEUI等）的协议转换来实现数据交换，也没有实现链路层的断开。网络层的断开网络层的攻击是互联网最主要的攻击，如我们熟知的IP碎片攻击、源路由攻击、IP欺骗、IP伪造、PingFlooding、PingofDeath等大量的攻击，都是针对IP协议来进行攻击的。网络层的断开，就是要剥离所有的IP协议。因为剥离了IP，就不会基于IP包来暴露内部的网络结构，就没有真假IP地址之说，也没有IP碎片，就消除了所有基于IP协议的攻击。传输层的断开利用TCP的三次握手机制，是可以攻击TCP协议的，如目前流行的SYNFlooding攻击、ACKFlooding攻击等都是利用TCP的三次握手机制。对UDP协议的攻击，则可以通过流量攻击、强化UDP通信的不可靠性，达到拒绝服务的目的。传输层的断开，就是剥离TCP或UDP协议。由此，消除基于TCP或UDP的攻击。会话层的断开攻击者通过窃取合法用户的会话信息，然后冒充该用户，以达到非授权访问的目的，或窃取合法用户的权限和信息，这是一种典型的应用攻击，如基于Cookies或Token会话的攻击。在一些电子商务、电子政务或BBS的应用中，用户进行身份认证登陆后，有一套完整的用户权限控制机制，而这种机制很多是利用会话来实现的。一旦黑客成功地对会话进行攻击，就掌握了用户的权限。会话层的断开实际上是断开一个应用会话的连接，消除交互式的应用会话，从而避免基于会话的各种攻击。表现层的断开OSI的表现层是通过格式翻译，数据的压缩与解压缩，数据的加密与解密来提供标准的应用接口，保证不同的系统可以进行正常的应用通信。对表现层的攻击，当然是针对格式翻译和数据处理来进行攻击的如Unicode攻击、以及计算溢出攻击等。表现层的断开，就是剥离表现层的编码或协议，剥离了表现层就消除了跨平台应用的风险和攻击。应用层的断开对应用层的攻击是目前最为严重的攻击。对应用层的攻击包括的面非常宽，如对应用协议漏洞的攻击、对应用数据的攻击、对应用操作系统平台的攻击等。应用层的断开，就是消除或剥离了所有的应用协议。应用层的断开不完全是应用层的代理。有些应用层的代理只是检查应用协议是否符合规范，并不去实现剥离和重组的功能，因此，并没有真正实现应用层的断开，只是实现了应用层的检查。对OSI每一层的断开，尽管降低了其他层被攻击的概率，但并没有从理论上排除其他层的攻击。断开了某一层，照样存在对其他层攻击的风险。因此，公司隔离网闸X-GAP要求对OSI模型所有各层进行全面的断开。公司隔离网闸X-GAP把网络OSI各层断开了、不连接、不连通，但是隔离网闸X-GAP不是为了断开而断开，不是只考虑隔离，不讲交换，而是为了安全地交换数据才进行网络隔离、网络断开。因此，在网络隔离的环境下如何交换数据，才是X-GAP真正的目的。以下的组图可以给用户一个清晰的概念，X-GAP基于网络隔离的数据交换是如何实现的。以下所有的组图定义，外网是安全性不高的互联网，内网是安全性很高的内部专用网络。正常情况下，隔离设备的外部主机和外网相连，隔离设备的内部主机和内网相连，外网和内网是完全断开的。保证网络之间是完全断开的。隔离设备存在一个独立的纯粹的存储介质，和一个单纯的调度和控制电路。图1-1：内外网与固态存储介质都没有连接当外网需要有数据到达内网的时候，以电子邮件为例，隔离设备的外部主机先接受数据，并发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。根据不同的应用，可能有必要对数据进行完整性和安全性检查，如防病毒和恶意代码等。图1-2：外网主机向固态存储介质写操作一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。这个时候内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件。图1-3：内网主机向固态存储介质读操作在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接。图1-4：内外网与固态存储介质都没有连接如果这时，内网有电子邮件要发出，隔离设备的内部主机先接受内部的数据后，并建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP协议和应用协议，得到原始的数据，将数据写入隔离设备的存储介质，对其进行防病毒处理和防恶意代码检查，然后中断与内网的直接连接。图1-5：内网主机向固态存储介质写操作一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给系统。图1-6：外网主机向固态存储介质读操作控制台收到信息处理完毕后，立即中断隔离设备与外网的连接，恢复到完全隔离状态。图1-7：内外网与固态存储介质都没有连接每一次数据交换，隔离设备经历了数据的接收，存储和转发三个过程。网络隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。X-GAP的网络隔离好处是明显的，即使外网在最坏的情况下，内网都不会有任何破坏，修复外网系统也是非常容易的。因此，公司隔离网闸X-GAP至少是三模块架构，有两个是主机，一个是基于独立的控制电路控制的固体存储介质，我们通常称之为“2+1”架构。其中，双主机之间是永远网络断开的，以达到物理隔离的目的，双主机之间的信息交换是通过拷贝、镜像、反射等借助第三方非网络方式来完成，以物理隔离为目的的安全系统。公司隔离网闸X-GAP，中断了网络的直接和间接通信连接，剥离了TCP/IP协议，中断了应用的客户和服务器会话，还原应用数据，通过代理方式执行所有的应用协议检查和内容检查，达到“只有符合全部安全政策的数据才能通过，其他都拒绝”的安全策略。公司隔离网闸X-GAP建立了一个对网络攻击是免疫的安全系统，即消除了来自网络的威胁和风险。【建议】：需要对隔离网闸GAP技术有深入了解的用户，请参阅机械工业出版社出版发行的《网络隔离与网闸》一书，作者为万平国先生，该书是国家信息化安全教育认证ISEC系列教材之一。1.3产品组成、功能及特点1.3.1X-GAP产品组成硬件组成公司隔离网闸X-GAP硬件产品主要由以下设备组成：双主机系统，连接于外网的主机称为外网机，连接于内网的主机称为内网机；一个基于SCSI控制的开关系统，SCSI控制总线分别和网闸的内网机和外网机的SCSI控制器相连，这样内网机和外网机不仅拥有各自独立的系统和数据空间，又能通过开关系统的暂存设备进行数据交换。【解答】：通过SCSI控制系统来实现X-GAP网闸开关，能够真正实现OSI模型物理层和链路层的断开。SCSI控制系统作为网闸开关系统是国际公认的、领先的技术。【提示】：本手册是针对公司隔离网闸X-GAP8000系列产品的用户手册，X-GAP8000系列产品全部是采用SCSI控制系统来实现X-GAP网闸开关的。软件组成公司隔离网闸X-GAP产品的软件系统从逻辑上分为3个部分，外部单边代理、内部单边代理、开关控制软件。外部单边代理连接外部不可信网络，内部单边代理连接内部可信网络，它们通过开关控制软件进行信息和数据交换，开关控制隔断了网络的连接，实现纯数据驱动的交换，数据上没有加载控制协议。开关控制软件：用于快速的在外部单边代理、内部单边代理之间交换信息和数据。外部单边代理：接收外部的请求，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。内部单边代理：通过传输控制软件接收外网传入的请求和数据，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。【解答】：我们称应用协议的剥离和重建技术为单边代理技术，所谓的单边代理技术是相对双边而言的。双边代理技术，是指一台计算机有两个网卡，并且执行代理功能。数据包从一个网卡进，从另外一个网卡出。单边代理技术，只有一个网卡，这种情况下，应用协议必须还原成为原始数据，给用户查看，而不能是包，因此是一个完整的应用协议剥离和重建技术。功能模块X-GAP产品的软件系统从功能模块上，可以划分如下：专用的安全操作系统采用自主可控的、专用的安全操作系统NOS，是基于BSD系统改造的、最小化的安全内核，加固的、性能优化的安全操作系统。BSD比LINUX稳定、安全性高、性能更优越，最重要的是BSD的开放源码许可证，准许用户自己改造为商用，而不用公开自己的代码。网络隔离由外部主机、内部主机和开关系统组成。外部主机连接外网，内部主机连接内网，网闸的内外网主机在任何时候均是断开的、网络隔离的，从物理上来隔离和阻断潜在攻击的连接，其中包括一系列的阻断特征，如：没有通信连接、没有命令、没有协议、没有TCP/IP连接、没有应用连接、没有包转发等。数据摆渡网闸的外部主机包含外部单边代理、内部主机包含内部单边代理，内外网主机代理之间的文件交换均通过X-GAP的开关系统来摆渡。对没有提供单边代理服务应用的包将无法通过，只有提供相关的应用单边代理服务，在剥离TCP/IP基础之上，才能将应用协议“剥离”，屏蔽应用协议可能的漏洞，然后通过开关电路将纯粹的裸数据“摆渡”到对方，保证数据交换的安全性。协议中止X-GAP系统从网络第一层一直工作到网络第七层，X-GAP中止了所有的网络协议，数据包还原为文件。X-GAP不支持任何开放的通信协议，不支持任何开放的网络协议，也不采用私有协议，X-GAP摆渡的数据只有读写两个命令和文件，没有任何协议，远高于协议转换的安全性。内核防护X-GAP的内核是专有的、裁剪加固的高安全性内核。X-GAP系统采用了公司独有的宙斯盾抗攻击网关内核，为X-GAP本身提供了具有最高强度的抗DoS/DDoS攻击特性，还支持防扫描的功能（Anti-Scan）和嵌入式的入侵检测防御功能（IDP）。应用安全对不同的应用，第七层的协议不同，检查的机制和模块也不相同，检查的内容可以包括内容检测、防恶意代码、防泄密、文件类型控制等。X-GAP可方便的通过协议、域名、文件类型、关键词等条件设置安全策略，防止网络资源被非法使用。过滤VBScrpit、JavaScrpit、ActiveX等脚本，过滤内容包括协议命令、关键词、URL等。支持黑白名单。可以对浏览器中输入的各种关键词和敏感字符串进行限制，预防内网用户因访问外网网站时，在浏览器的访问请求中出现有意或无意泄密的可能；X-GAP支持禁止内部信息的外泄，支持单向传输和单向访问功能。访问控制X-GAP的外部主机和内部主机都支持访问控制功能。安全审计X-GAP日志审计模块能够记录和审计所有途径X-GAP的应用服务和用户信息。身份认证X-GAP身份认证管理是用于管理用户访问X-GAP服务端口的认证、授权、访问控制。

1.3.2X-GAP产品主要功能按照支持的应用或服务来划分，公司隔离网闸X-GAP产品主要支持如下应用或服务：文件交换服务文件交换是网闸最基本的一项服务。网闸将一个文件从外部主机摆渡到内部主机，或将一个文件从内部主机摆渡到外部主机，同时保证两个网络是网络隔离的。HTTP访问对一些内部网来讲，因为安全的原因，内部的用户是禁止外出访问的。通过网闸，内部用户可以在网络隔离的情况下，通过实时交换来访问外网的网站。Web服务对一些高安全性的内部网，是禁止外部的用户直接连接内部的服务器的，但又不愿意把WEB服务器放在外网上。在这种情况下，可以通过网闸来保证外部网络与内部网络在网络隔离的情况下，通过实时交换服务，准许内部的WEB服务器安全地向外提供服务。FTP访问对于一些行业应用，原来已经投资的软件很多采用了FTP协议。因此，要求支持客户对FTP的访问。网闸实现了在网络隔离的情况下，实现了FTP协议。FTP服务对一些高安全性的内网，是禁止外部的用户直接连接内部的服务器的，但又不愿意把FTP服务器放在外网上。在这种情况下，可以通过网闸来保证外部网络与内部网络在网络隔离的情况下，通过实时交换服务，准许内部的FTP服务器安全地向外提供服务。SMTP电子邮件服务网闸实现了内部的用户在网络隔离的情况下，使用外部的SMTP服务器。POP3服务网闸实现了内部的用户在网络隔离的情况下，使用外部的POP3服务器。数据库访问服务网闸实现了外部用户在网络隔离的情况下，可以查询内部的数据库，目前支持的应用数据库包括ORACLE、SYBASE、MSSQL、MYSQL、ODBC等。数据库同步服务网闸实现了外部的数据库在网络隔离的情况下，与内部数据库的同步，目前支持的应用数据库包括ORACLE、SYBASE、MSSQL、MYSQL、ODBC等。DNS服务网闸实现了内部网用户在网络隔离的情况下，使用外部的DNS服务器。定制服务网闸可以实现某些特定的协议的TCP或UDP的固定端口的服务和访问。X-GAP能够根据客户的实际应用需要，提供定制TCP/UDP代理服务，如对MessageQ，LDAP，RADIUS服务等。这包括为可信内网用户通过X-GAP访问不可信外网的基于TCP/UDP通信协议提供安全代理服务，也提供为不可信外网用户通过X-GAP访问可信内网的基于TCP/UDP通信协议提供的安全代理服务。

以下是公司隔离网闸X－GAP各型号产品的功能列表：序号功能X-GAP8100X-GAP8200X-GAP850001外出访问服务浏览FTP服务收邮件发邮件02准出交换服务定制TCPFTP服务Oracle数据库定制UDP03准入交换服务定制TCPFTP服务Oracle数据库定制UDP04审计管理05主机安全06认证服务07数据库同步

1.3.3X-GAP产品主要特点真正的物理隔离X-GAP断开了两个网络，断开了OSI模型的所有七层网络协议，中止了所有的通信，在网络的第七层将包还原为原始数据或文件，然后以“摆渡文件”的形式来传递和交换数据，没有任何包、命令和TCP/IP协议（包括UDP和ICMP）可以穿透X-GAP，真正实现了“拷盘原理”。基于SCSI的开关系统X-GAP开关系统是通过SCSI控制系统来实现的。SCSI控制系统作为网闸的开关系统是国际公认的、领先的技术。X-GAP将SCSI开关功能在系统的内核中实现，远远优于其它常见的开关技术。遵循RFC的互联网国际标准X-GAP在剥离第七层的应用协议的时候，完全遵守相关的RFC国际标准。因此对应用的兼容性支持好。具有可定制的特性X-GAP采用模块化结构，具有灵活的定制特性。X-GAP可以满足为特殊行业定制具体的业务需求，如支持IPSEC的VPN等。易于管理和配置X-GAP的系统设计充分考虑到用户的使用和配置，为用户提供的GUI图形配置界面和管理接口简单易用，安全管理员可以直观方便地配置系统和安全策略。

第二章产品及安装说明本章包括公司隔离网闸X-GAP产品的说明及要求，及随机附带的部件资料检查和硬件安装，这有助于您更好地维护公司隔离网闸X-GAP的硬件。在安装公司隔离网闸X-GAP之前，应当安排必要的时间，为准备事项作好预期的准备工作。这里为用户提供必要的X-GAP安装准备的建议，主要包括网络规划、确定X-GAP安装位置、部署、准备安装的管理软件等，另外在这里还对公司隔离网闸X-GAP的硬件安装进行说明，供用户参考，目的就是为了通过合理的操作来支持和实现用户的安全目标。2.1产品组成公司X-GAP物理隔离网闸主要由以下几部分组成：一台X-GAP网闸硬件产品：通常安装于需要隔离的内外网络之间，它由双主机系统和一个基于SCSI的开关控制系统组成；X-GAP客户端管理软件：安装在内部网选定的管理主机上，用于在内部网通过内部主机对网闸进行配置和管理；客户端身份认证软件：安装于内部或外部网络用户的客户机上，用于内部网或外部网的用户身份认证，通过认证的请求才能使用网闸X-GAP，该模块的安装是可选的；日志接收服务器软件：安装于专用的日志服务器上，及时接收网闸X-GAP传递过来的日志信息，实现X-GAP日志的查询和审计管理。2.2环境要求2.2.1物理环境要求X-GAP网闸产品的物理环境应符合如下要求：输入电压：AC220V；输入频率：50Hz；电源功耗：200W；工作温度：0～60摄氏度；存储温度：－20～80摄氏度；工作湿度：5～95％，非冷凝；存储湿度：5～95％，非冷凝。2.2.2网络环境要求安装使用X-GAP网闸产品之前，首先需要了解现有网络环境，以判断是否符合X-GAP网闸的使用要求。X-GAP网闸适用的网络环境为：在两个封闭的、没有连接的网络之间。除网闸之外，这两个网络是完全断开、不联网的。与网闸相连接的设备可以是这两个网络中的交换机、路由器、服务器等设备。与网闸内端机相连是可信的“内网”，与网闸外端机相连的是不可信的“外网”；用户在使用网闸的时候，一般已经完成了网络的建设。在这种情况下，有两种可能性，一是两个完全断开的网络，现在需要交换数据，必须在网络隔离的情况下进行数据交换，因此要用网闸；二是已经连接的网络，根据安全策略要求，必须进行分开，但分开后必须要进行交换数据，因此要用网闸。由于X-GAP网闸产品是一个网络隔离设备，网络隔离后，两个网络是断开的，因此没有IP地址上的特殊要求，两个网络是完全不相关的。这个地方有时候理解起来有点困难。有一个用户，把一个网络分为两个，用网闸进行了网络隔离。用户原来的IP地址和网络结构都没有变化。由于使用了网闸，尽管地址是原来的，但现在是两个网络，完全断开，没有关系。但用户经常被IP地址搞混淆，费了好大的力气，才搞明白，原来连着的一个网段，现在被隔离断开了，尽管地址还是原来的，但现在还是被断开了。【建议】：建议部署网闸的用户，无论在任何情况下，无论网络是多么简单，最好把拓扑结构在纸上画一下。如果你不能画清楚，你绝对无法把它搞安全。这是一个非常好的方法来帮助你回避错误。2.2.3辅助设备要求为了便于用户配置和管理公司隔离网闸X－GAP，建议配备如下辅助设备：一台管理主机：一台可以与公司隔离网闸X-GAP的“内部主机”通讯的主机，安装Win98或Win2000操作系统，用来安装网闸的客户端“配置管理软件”，便于用户对网闸进行配置和管理。一台日志服务器：一台可以与公司隔离网闸X-GAP的“内部主机”通讯的主机，安装Win98或Win2000操作系统，用来安装“日志接收系统”，以便接收从网闸发送出来的日志信息，并对日志信息进行分析和审核。如果需要使用Console口对“公司隔离网闸X-GAP”进行管理，则需要一根9针对9针Console线。【提示1】：用于配置和管理隔离网闸X-GAP的“管理主机”应当放在网闸内端机一侧，而不是网闸外端机的一侧。【提示2】：目前公司隔离网闸Console口的管理还没有对用户开放，需要公司X-GAP技术工程师操作。2.3拆箱检查在打开包装之后，请您先对照产品清单，检查随机附带的电源线、专用SCSI数据线等附件是否齐全，如有缺损请及时和销售人员联系。序列号名称数量1装箱清单1张2公司隔离网闸X-GAP产品1台3电源线2根4专用SCSI数据线2根4用户使用手册光盘1张5客户管理软件安装光盘1张6产品合格证1张7服务卡1张【建议】：取出设备后，不要将外包装丢弃，在需要搬运时，请务必使用原包装，它是为您的公司隔离网闸X-GAP专门设计的包装，具备良好的防震功能。每当您需要维修服务时也最好用原包装将隔离网闸X-GAP设备返回到公司公司的维修服务部门。公司隔离网闸X-GAP前面板外观见图2-1：图2-1：X-GAP网闸产品外观图公司隔离网闸X－GAP用户操作手册网闸内端机网闸外端机电源风扇电源插座键盘接口网卡1网卡0网闸内端机网闸外端机电源风扇电源插座键盘接口网卡1网卡0显示器接口SCSI接口SCSI接口电源风扇电源风扇电源插座键盘接口网卡1网卡0显示器接口SCSI接口SCSI接口图2-2：X-GAP网闸产品背面外观图2.4安装准备在安装网闸X-GAP产品之前，应当安排必要的时间，为准备事项作好预期的准备工作。这里为用户提供必要的X-GAP安装准备的建议，主要包括安装前的准备工作、安装前的测试工作、准备书面的安装信息及步骤，供用户参考。对于具有安装网闸X-GAP经验的工程师，可以跳过该节内容。【提示】：网闸X-GAP的安装本身并不复杂，但特别强调在安装网闸产品之前的准备工作尤其是书面的准备十分必要。2.4.1安装前的准备工作不要急于安装设备。坐下来，拿出纸和笔，写一个详细的书面安装计划。内容至少包括如下信息：网络的拓扑结构图；网络IP地址分配，掩码，网关和路由信息；网闸的IP地址，掩码，网关和路由信息；网闸的安全管理员，用户和主机的访问策略；网闸的备份；网闸的电力保证与备份；网闸的位置与物理安全。2.4.2安装前的测试工作安装前的测试，有两个内容，一是指网闸X-GAP设备本身安装前的测试，二是网络在网闸安装前的断开测试。网闸设备本身的测试，主要是开箱检查和开机检查。用户根据厂商提供的资料进行一一检查就可以。遇到问题，用户不应该自己动手处理，而应该立即同厂商联系，由厂商来解决存在的问题。网闸X-GAP是一个网络隔离设备，但并不能保证两个网络的其他地方不存在连接。如内网的用户存在拨号上网的，或存在其它的连接通道。图2－3是一个典型的存在潜通道的网络。在这种情况下，尽管安装了网络隔离设备，内网和外网还有其他的连接链路。网闸网闸X-GAP隔离内外网络内网外网私自拨号连接外网图2-3：旁路连接示意图网络隔离断开的检查是保证网络隔离断开的基本保障措施。通过物理确认的检查办法，定期的进行检查。也可以采用防外联的专业软件检查工具，也可以向厂商单独购买一个隔离断开的检查软件。2.5网闸X-GAP硬件安装公司隔离网闸X-GAP机箱符合工业机柜的标准，它的标准高度为2U，可以顺利的安装到19”标准机柜中去，该机箱是以固定方式安装，避免在机柜中抽拉。2.5.1准备工作准备一条直连或交叉网线和一台用于管理公司隔离网闸X-GAP的带网卡的计算机（PC机），做为X-GAP的管理主机。2.5.2安装须知及注意事项为了避免由于环境原因而导致的机器故障，请您在安装公司隔离网闸X-GAP时，注意遵循如下安全指导方针：建议公司X-GAP工作于标准的机房环境中；请不要把公司X-GAP堆放在其它设备上，建议安装于标准的19英寸机架上。封闭机架必须有足够的通风条件，确保机架不是过分拥挤，设备机架的外侧应该具有百叶窗板，并且有风扇以冷却空气。在开放机架上安装机箱时，确保机架的构架不会挡住进气口或排气口。如果机箱是滑动安装的，当沿滑槽把它固定到机架上时，注意检查其位置。在连接电源线之前请仔细检查公司X-GAP的电源开关是否处于关闭的状态。通电之前再检查工作区域可能存在的危险。例如，地面潮湿，电线没有接地，接地是否可靠，线包皮磨损等。请不要将X-GAP放置在有水的地方，也不要让液体进入X-GAP，同样将X-GAP放置在远离热源的地方。请将X-GAP放置在平坦、干净的固定平台，应当尽量使用UPS不间断电源。【提示】：用户在安装X-GAP的过程中，最好佩带防静电手环。2.5.3安装步骤公司X-GAP设备可以放置在桌面上，也可以安装在一个标准的19英寸机架上。如果是安装在19英寸机架上时，则需要一个十字螺丝刀、设备架安装工具和四个与设备架相匹配的螺丝。用X-GAP产品包中提供的电源线连接公司X-GAP网闸和电源插座（确保公司X-GAP产品的电源供应是AC220V，同时连接电源线之前确认公司X-GAP产品电源开关处于关闭状态）。按下表所示的连线方式连接网闸与其它网络设备：X-GAP接口连接网段交换机/集线器连接路由器/连接主机外网口连接外网直接连接交叉连接内网口连接内网直接连接交叉连接打开连接公司X-GAP的电源，如果线路连接正确，则电源指示灯会变亮。按照上述安装步骤安装好硬件后，就可以配置公司X-GAP设备了。【警告】：请不要带电插拔电缆，注意操作电源的安全。如果电源指示灯未变亮并发现不出问题，请与销售商联系。如果把新设备连接到局域网上时，请查阅相关设备的用户手册，以了解设备电源是否需要被切断。在公司X-GAP断电前需使用软件关机，否则将延长下次开机的启动时间，并可能丢失数据。请勿随意拆卸机箱，网闸X-GAP设备如出现故障请与销售商联系，否则公司公司将不予赔偿，并不予提供售后服务。2.6X-GAP管理软件的安装网闸X-GAP是通过X-GAP的“客户端管理软件”进行管理的，将X-GAP“客户端管理软件（该软件在随机的光盘中）”安装到准备好的管理主机上，即可实现对X-GAP的安全管理。“客户端管理软件”的应用平台为Windows操作系统。只有网闸的安全管理员才可以使用该软件。【注意1】：X-GAP的“客户端软件”必须安装在网闸内端机一侧，不能安装在网闸外端机即外部代理服务器一侧。【注意2】：不能在外网配置和管理公司X-GAP网闸，这是由该网闸产品的安全设计原则所决定的，只有这样才能有效的确保X-GAP的安全策略不被外网黑客篡改，确保内网安全。将安装光盘插入管理主机的光驱双击Gapconf-setup，屏幕弹出如图2-4所示的“欢迎使用”对话框；图2-4：管理软件安装示意图一单击“下一步”屏幕弹出如图2-5所示的“安装目录提示”对话框，在此可修改客户端管理软件的安装目录；图2-5：管理软件安装示意图二单击“下一步”弹出如图2－6所录的确认安装对话框；图2-6：管理软件安装示意图三单击“下一步”系统开始自动安装“客户端管理”软件，安装完成后弹出如图2－7所示的“安装完成提示”对话框，图2-7：管理软件安装示意图四单击“完成”按钮，X-GAP“客户端管理”软件安装成功。2.7启动网闸及管理软件2.7.1开启网闸设备打开网闸X-GAP电源开关后，大约90秒后网闸启动完成。2.7.2修改管理主机IP地址若“管理主机”与“网闸”之间通过“交换机”相连，则“管理主机”必须同X-GAP网闸的“内端机”处于同一网段才可登录网闸对其进行配置管理，所以首次通过管理主机登录X-GAP网闸之前，必须先修改“管理主机”的IP地址使其与网闸的“内端机”处于同一网段。公司X-GAP网闸出厂时默认“内端机”的IP地址为，用户可将“管理主机”的IP地址修改为/24网段中的任一地址，如：修改为00。下面我们以Windows2000Professional为例，介绍如何修改“管理主机”的IP地址：在“管理主机”桌面上的“网络邻居”图标上单击鼠标右键打开右键菜单，然后单击“属性”命令打开“网络邻居”窗口，再双击“本地连接”可打开如图2－8所示的对话框；图2-8：WINDOWS本地连接状态示意图单击“属性”按钮屏幕弹出如图2－9所示的对话框；图2-9：本地连接属性示意图点击“Internet协议(TCP/IP)”选中它，然后单击“属性”按钮屏幕弹出如图2－10所示的对话框；图2-10：TCP/IP协议配置示意图在“使用下面的IP地址”的“IP地址”框内修改“管理主机”的IP地址为“00”，掩码“”，然后单击“确定”按钮即可；2.7.3启动“客户端管理软件”并登录网闸修改完“管理主机”的IP地址后即可启动“客户端管理软件”登录X-GAP网闸，修改网闸的默认设置，重新配置网闸内、外端主机的IP地址及其它参数，使其符合本单位的实际网络环境。配置完毕后，需退出“客户端管理软件”再次修改“管理主机”的IP地址使其与网闸“内端机”新的IP地址处于同一网段。如何重新配置网闸内、外端主机的IP地址及其它各项参数详见本手册第三章的介绍，本小节只介绍如何登录网闸。下面我们介绍如何启动网闸“客户端管理软件”并登录网闸：启动X-GAP网闸“客户端管理软件”屏幕将弹出如图2－11所示的登录界面。网闸IP地址：首次启动显示网闸出厂时缺省的IP地址，首次登录不需要修改。只有用户将网闸“内部主机”的IP地址修改后再次登录时才需要修改该地址。管理员名称：首次启动显示X-GAP出厂时缺省的系统管理员“admin”，首次登录不需要更改。管理员口令：首次登录可直接输入admin的缺省口令“test111”。图2-11：管理软件登录窗口点击“确定”按钮即可进入如图2－12所示的网闸配置管理主界面，具体的配置方法请参见第三章X-GAP系统配置。点击“Demo进入”按钮则进入演示页面。图2-12：X-GAP管理软件主界面【提示1】：建议用户首次登录网闸后，立即按照第三章第四节有关“系统管理员”部分的介绍，修改“admin”的密码为只有系统管理员知道的密码，以免非法用户登录。【提示2】：X-GAP管理配置界面，如果持续5分钟没有操作，则X-GAP的“客户端管理软件”将自动切断与网闸的通信，用户需要重新启动X-GAP“客户端管理软件”。

第三章X-GAP系统配置系统配置管理，就是对网闸设备本身进行管理，包括系统控制和对系统License、内部主机、外部主机、冗余备份、系统管理员的配置和管理。X-GAP网闸在工作之前，必须先对该系统的各项参数进行正确的配置，否则X-GAP将无法完成任何请求和数据文件交换。本章将主要介绍如何配置X-GAP系统的各项参数，为了便于用户更好的理解本章内容，我们将以如图3－1所示的网络环境为例进行介绍，内容包括：如何更换License；如何配置“内部主机”的各项参数如何配置“外部主机”的各项参数如何配置“冗余备份”的各项参数如何添加或删除“管理员”等【实例】：假定某单位的内网段“/24”需通过交换机与X－GAP网闸的“内端机”相连，实现与不可信外网的信息交换，网络拓扑图如下：IAOA内网1：/24管理主机：00日志服务器：00WWW服务器1：01WWW服务器2：02DNS服务器：3Oracle数据库服务器1：0Oracle数据库服务器2：1IA:54/24OA:00/24交换机路由器Internet图3－1：网络拓扑图543.1系统配置IAOA内网1：/24管理主机：00日志服务器：00WWW服务器1：01WWW服务器2：02DNS服务器：3Oracle数据库服务器1：0Oracle数据库服务器2：1IA:54/24OA:00/24交换机路由器Internet图3－1：网络拓扑图54图3-2：系统配置主界面启动网闸“客户端管理软件”并按照2.7.3小节的介绍登录网闸后即可进入如图3-2所示的“系统配置”界面，该界面分左右两部分，左边显示导航菜单，右边显示系统信息。图3-2：系统配置主界面版本信息该框内显示网闸“服务器系统”及“客户端管理软件”的版本信息。如图3-2所示“服务器系统”的版本号为“V1.0”，发布日期是2004年8月3日。“客户端管理软件”的版本号为“V3.3”，发布日期是2004年8月3日。许可证（License）该框内显示X-GAP网闸的产品名称、产品序号、功能模块及License有效期限。公司隔离网闸X-GAP的License分“临时License”和“永久License”，它们在形式上没有区别，但功能和作用是不一样的。“临时License”是有一定期限的，超过预定期限，临时License过期，网闸X-GAP将无法继续正常工作，需要更换License；“永久License”是永久有效的，没有期限限制，网闸X-GAP不会因为License而影响工作。X-GAP网闸出厂时缺省的License有效期是三个月，当您订购了公司隔离网闸X-GAP产品之后，需要尽快完成购买的商务事宜，以便获得永久License，使您的工作不会因为License问题而受到影响。如何更换License当您获得延长期限或永久的License以后，可以更换License。方法是：在如图3－2所示的页面上单击License框右边的【输入】按钮（此时【输入】按钮同时变为【确定】），将原来的license删除，拷贝新的license到该框，然后单击【确定】按钮即可。更换license后需要重新启动“客户管理软件”，新的license才有效。系统服务该区域内有【系统停止】、【系统重启】和【默认设置】三个按钮。【系统停止】：点击该按钮将关闭网闸，终止网闸的各项功能，网络处于完全断开状态。系统管理员应该谨慎使用该功能，在确认需要关闭网闸时，才使用该操作；【系统重启】：点击该按钮将重新启动网闸的软件系统，使X－GAP网闸处于激活状态，启动网闸的各项安全功能。该功能通常在修改系统参数后或系统处于关闭状态时才使用，用户可以根据网络环境的具体要求进行操作。【默认设置】：点击该按钮，系统将恢复机器出厂时的默认配置。用户应当谨慎使用该操作，确认确实需要恢复系统默认设置才可点击该按钮。3.2系统状态点击导航菜单“系统配置”左边的“＋”，可打开其配置子菜单，点击“系统配置>>系统状态”菜单可打开如图3-3所示的“系统配置>>系统状态”界面，显示X-GAP内、外主机的运行总时长、CPU占用、磁盘占用、活动会话数等系统状态信息，便于系统管理员对X-GAP的监视和管理。自动刷新：该选项被选中后，系统将每隔10秒钟自动刷新一次界面的状态信息。自动刷新只对当前页面有效，进入其它配置界面后“自动刷新”将立即停止，返回此界面后欲想启用自动刷新功能需再次选中“自动刷新”。刷新按钮：X－GAP网闸含有内、外两台主机，通过选择“内端机”然后点击“刷新”按钮可查看内端机的最新系统状态。通过选择“外端机”然后点击“刷新”按钮，图3-3图3-3：系统配置>>系统状态运行时长：显示内端机或外端机系统运行的总时长，是静态信息，无需用户更改。CPU占用：显示内端机或外端机系统占用CPU资源的情况，是静态信息，无需用户更改。磁盘占用：显示内端机或外端机系统占用磁盘空间的情况，是静态信息，无需用户更改。活动会话数：显示X-GAP当前各类会话的数量，是静态信息，无需用户更改。3.3内部主机的配置公司X-GAP的“内部主机”位于可信的内网，“内部主机”就是X-GAP网闸的内部单边代理服务器，任何想通过X-GAP网闸的请求或数据传递和信息服务，都必须经过内部代理来实现。所以，X-GAP网闸在工作之前，必须要对“内部主机”的各项参数进行正确的配置，否则将无法完成任何请求和数据文件交换。因此，“系统管理员”或“配置管理员”必须根据本单位网络环境的具体要求细心配置。任何不正确的网络参数配置，均可能造成网闸设备的不通畅，这是由网闸的安全原则确定的。图3-4：系统配置>>内部主机X－GAP“内部主机”需要配置的参数包括主机名称、域名、DNS、网关、主IP地址、从IP地址等内容。选择导航菜单“系统配置>>内部主机”即可打开如图3-4所示的“系统配置>>内部主机”页面，对“内部主机图3-4：系统配置>>内部主机基本参数的配置“内部主机”需要配置的基本参数包括：主机名称、域名、DNS、网关等。以图3－1所示的网络结构为例，“内部主机”基本参数的配置方法如下：主机名称：即网闸X-GAP“内部主机”的名称，系统默认为IA。用户可将其修改为其它认为合适的名称。域名：即网闸X-GAP“内部主机”的域名。DNS：即网闸X-GAP“内部主机”需要的DNS服务器的IP地址，如果“内部主机”不需要DNS服务器则可不填，或填写为“”。网关：即网闸X-GAP“内部主机”需要的网关的IP地址，如果“内部主机”处于网关位置，则可不填。如果内网用户访问网闸“内部主机”时，中间隔有防火墙或路由器等设备，则需要在此处填入防火墙或路由器等设备的IP地址，如图3－1所示，内网用户是通过交换机与网闸“内网机”相连，所以此处可以不填或填写为“”。网络接口的配置此处主要是用来配置“内部主机”各网络接口的主IP地址，公司X－GAP网闸“内部主机”的标准配置是两个接口。接口名：显示“内部主机”各网络接口的名称，如fxp0(或em0)和fxp1(或em1)，静态信息，无需更改。状态：显示“内部主机”各网络接口的状态，“Act”表示激活状态，“InAct”表示非激活状态，静态信息，无需更改。主IP地址：“内部主机”各网络接口的主IP地址，内部主机“fxp0(或em0)”接口出厂时缺省的主IP地址为“”，用户需根据本单位的实际网络环境修改“内部主机”各接口的主IP地址，使其符合本单位的实际网络环境。如图3－1所示，可将“fxp0(或em0)”的主IP地址修改为“54”，“fxp1(或em1)”接口为非激活状态，可以保留缺省设置，需要激活该接口时，用同样的方法将分配给该接口的主IP地址填入即可。子网掩码：“内部主机”各网络接口主IP地址的子网掩码，各网络接口出厂时缺省的子网掩码均为“”，一般不需要修改。从地址的配置当内网的多个应用需要使用同一个端口访问外网的多个服务时，网闸的“内部主机”需要配置“从地址”以满足该需求。每个网络接口可以设置多个从IP地址，数量没有限制。【例如】：如图3－1所示，外网有“0”和“1”两台Oracle数据库服务器，内网用户需使用同一个端口1521访问这两台服务器。为了满足该需求，我们可以为“内部主机”的fxp0(或em0)接口配置一个从IP地址“53/24”，以便内网用户可以通过网闸“内端机”的“54：1521”端口访问Oracle数据库服务器1“0”，通过网闸“内端机”的“53：1521”端口访问Oracle数据库服务器2“1”。从地址的配置方法如下：点击图3－4所示页面上的【配置从地址>>】按钮，可弹出如图3-5所示页面，在该页面上可以对“内部主机”各网络接口的从地址进行配置。在“接口”框内可选择一个网络接口，如“fxp0(或em0)”；在“从地址”框内输入与该接口对应的从地址，如“53”；在“子网掩码”框内输入与该从地址对应的子网掩码，如“”；单击“添加”按钮即可将该从地址添加到下面的列表中；若想删除某一从地址，则在列表中选中该地址后单击“删除”按钮即可。图3-5：系统配置>>内部主机（从地址配置）添加或删除完从地址后，必须点击“确定”按钮才可保存这些设置，并返回图3－4所示的页面，若点击“图3-5：系统配置>>内部主机（从地址配置）【注意】：对网闸各网络接口的主IP地址或从IP地址进行了更改操作后，必须重启网闸方可生效！！3.4外部主机的配置公司X-GAP网闸的“外部主机”位于不可信的外网，“外部主机”就是X-GAP网闸的外部单边代理服务器，任何想通过X-GAP网闸的请求或传递数据和信息服务，都必须经过外部单边代理来实现。所以，X-GAP网闸在工作之前，必须要对“外部主机”的各项参数进行正确的配置，否则X-GAP将无法完成任何请求和数据文件交换。因此，“系统管理员”或“配置管理员”必须根据本单位网络环境的具体要求细心配置。任何不正确的网络参数配置，均可能造成网闸设备的不通畅，这是由网闸的安全原则确定的。图3-6：系统配置>>外部主机与X－GAP网闸的“内部主机”一样，“外部主机”需要配置的参数也包括主机名称、域名、DNS、网关、主IP地址、从IP地址等内容。点击导航菜单“系统配置>>外部主机”即可打开如图3-6所示的“系统配置>>外部主机”页面，对“外部主机”的参数进行修改或配置操作。配置方法与“内部主机图3-6：系统配置>>外部主机主机名称：给网闸X-GAP“外部主机”取的名称，系统缺省为“OA”。域名：即“外部主机”的域名，如：。DNS：“外部主机”需要的DNS服务器，这里需要填写DNS服务器的IP地址，如图3－1所示“外部主机”的DNS服务器的IP地址为“3”。网关：“外部主机”需要的网关地址，如图3－1所示“外部主机”的网关地址为路由器的IP地址“54”。网络接口管理：配置方法与“内部主机”相同，如图3－1所示“外部主机－fxp0”(或em0)的主IP地址为“00”，掩码为“”。配置从地址：与“内部主机”的从地址意义相同。如图3-1所示，假设某单位内网有两台WWW服务器，外网用户需通过80端口访问这两台WWW服务器，则网闸“外部主机”需要配置一个从地址，如：9来满足该需求，以便外网用户可以通过网闸“外端机”主地址00的80端口访问内网WWW服务器1“01”，通过网闸“外端机”从地址9的80端口访问内网WWW服务器2“02”。配置方法与“内部主机”相同，这里不再赘述。3.5冗余备份的配置在网闸的应用中，为了保证网络能够7*24小时不间断的正常通信，通常需要采用两台网闸并联使用的方法，称为双机热备份功能。当使用双机热备份时，任何时刻都只有一台网闸在工作(称为主冗余网闸)，另一台网闸则监视主冗余网闸的工作状态(称为从冗余网闸)，当主冗余网闸处于热备的网口出现故障时，从冗余网闸可被自动唤醒接替主冗余网闸的工作。3.5.1双机热备工作原理图3－7：双机热备原理图主冗余外端机真IP:00/24从冗余外端机真IP:01/24路由器Internet54图3－7：双机热备原理图主冗余外端机真IP:00/24从冗余外端机真IP:01/24路由器Internet54主冗余内端机真IP:54/24从冗余内端机真IP:53/24内网：/24交换机主冗余内端机外端机从冗余内端机外端机内端机虚IP52/32外端机虚IP9/32主冗余网闸与从冗余网闸必须具有完全相同的配置，正常情况下主冗余网闸处理所有进出数据，从冗余网闸处于后备状态。当主冗余网闸失效时，从冗余网闸自动接替主冗余网闸的全部工作，从而保证了网络的畅通。当主冗余网闸恢复后，从冗余网闸将把所有的工作交还给主冗余网闸，退避为后备份状态。3.5.2双机热备实现方法为了实现双机热备，主冗余网闸和从冗余网闸的内端机和外端机除了要设置如图3-7所示的真IP地址外，还必须为主冗余网闸和从冗余网闸内端机的热备份网口设置一个相同的虚IP地址，外网口同样如此，如图3-7所示。启动双机热备后，主冗余网闸添加虚IP为其相应网口的别名，从冗余网闸不作处理。如果主冗余网闸失效，从冗余网闸将添加虚IP为其相应网口的别名。主冗余网闸恢复后，从冗余网闸取消IP别名的设置，主冗余网闸再次添加虚IP为其相应网口的别名。这样网络中始终只有一个有效的外网口虚IP和内网口虚IP。3.5.3真地址与虚地址设置注意事项真地址设置注意事项如图3-7所示，双机热备方式下，主冗余网闸和从冗余网闸的内端机和外端机，其处于热备份的网口都有一个真实的IP地址，这四个真实的IP地址可以根据实际网络环境随意设置，只要能够满足管理员可以通过管理主机登录到网闸，对网闸进行配置管理的需求即可。虚地址设置注意事项如图3-7所示，双机热备方式下，主冗余网闸和从冗余网闸的内端机和外端机处于热备份的网口，均有一个相同的虚IP地址，本系统对虚IP地址的设置有如下一些限制：虚地址不能与网闸任一网口的真实地址处于同一网段，否则虚地址设置不会成功。例如，网闸内网口的真实IP地址为54/24，则不可将/24网段的任何地址设为内网口的虚IP地址。如果非要以网闸作为内网/24的网关，则可以采取以下两种方案：将虚地址设为一个拥有32位掩码的地址，如图3-7所示的52/32，真地址不变将真地址改为其它网段的地址，如/24，虚地址设为/24网段内的某一地址。内网口的虚IP地址必须能与内网通讯，外网口的虚IP地址必须能与Internet通讯。【注意】：双机热备工作模式下，网闸在内端机的虚IP上提供外出访问服务，在外端机的虚IP上提供准入访问服务！3.5.4“冗余备份”的配置图3-8冗余备份配置界面启动双机热备前，首先要正确设置两台网闸中关于“冗余备份”的各项参数，需要设置的参数包括：内端机的虚IP地址、外端机的虚IP地址、冗余级别(即主从地位)等，配置界面如图3-8所示。图3-8冗余备份配置界面“冗余备份”的配置内网机的“网口”框内用来输入内网机用于热备的网口的名称，如em0或fxp0等；在内网机的“虚IP地址/掩码”框内可以输入内网口的虚IP地址及掩码，如：52/32；在外网机的“网口”框内用来输入外网机用于热备的网口的名称，如em0或fxp0等；在外网机的“虚IP地址/掩码”框内可以输入外网口的虚IP地址及掩码，如：9/32；选择冗余级别，在两台机器均正常工作的情况下，设为“主冗余”的网闸处于运行状态，设为“从冗余”的网闸处于后备份状态。【注意】：主冗余网闸和从冗余网闸内网口的虚IP地址必须相同，外网口的虚IP地址也必须相同！！“冗余备份”的状态控制配置好“冗余备份”的各项参数后，必须启动“冗余备份”服务，使其状态处于“服务运行中…”，双机热备功能才有效。若“冗余备份”当前状态为“停止服务”状态，则可通过单击“开启”按钮开启该服务。配置或修改完“冗余备份”的任一参数后，必须重新启动“冗余备份”服务，否则新配置不起作用。3.6系统管理员X－GAP的管理员分“系统管理员”、“配置管理员”和“日志管理员”三种类型。出厂时只有一个缺省的“系统管理员”，管理员名称为“admin”，密码为“test111”。“系统管理员”拥有超级权限，可以添加或删除其它“管理员”。系统管理员：是X－GAP网闸的超级管理员，能够执行客户端管理软件导航菜单开放的各种配置和操作。例如X-GAP系统缺省的admin就是拥有超级权限的“系统管理员”。配置管理员：是X－GAP网闸的配置管理员，除导航菜单中“系统管理”和“审计管理”对应的功能不能操作外，其它菜单所对应的配置管理功能均有权操作。日志管理员：是X－GAP网闸的日志管理员，只能执行导航菜单中“审计管理”菜单对应的功能。图3-9：系统配置>>系统管理员点击导航菜单“系统配置－系统管理员”可打开如图3-9所示的“系统配置－系统管理员”配置页面，进行添加、删除管理员等操作。图3-9：系统配置>>系统管理员如何添加管理员【提示】：只有“系统管理员”拥有添加、删除管理员的权限，所以添加或删除管理员必须首先以“系统管理员”的身分登录网闸！！以“系统管理员”的身份登录网闸后，点击导航菜单“系统配置>>系统管理员”打开如图3－9所示的配置页面；在“管理员类型”框内选择管理员的类型；在“帐号”栏内输入管理员名称，只能是数字、字母或汉字，最短不得少于2个字符，最长不得多于16个字符；在“密码”栏内输入管理员的密码，只能是字母、数字或下划线，最短不得少于6位，最长不得超过16位。在“密码确认”框内重新输入密码；最后单击“添加”按钮即可将该管理员添加到下面的列表中；如何删除一位管理员以“系统管理员”的身份登录网闸后，在管理员列表中选中要删除的管理员，然后单击“删除”按钮即可删除该管理员。

第四章外出访问服务“外出访问服务”就是在允许可信的内网访问不可信的外网时，X-GAP网闸所提供的各种应用代理服务，使可信内网的用户能够通过这些应用代理访问不可信外网的各种资源和应用服务。“外出访问服务”准许内部用户外出访问，但禁止外部用户访问内部。公司X-GAP网闸的“外出访问服务”支持HTTP、FTP、POP3、SMPT等代理服务。通过对各代理服务的配置，不仅可使内网用户自由的进行WWW浏览、FTP文件传输、收邮件和发邮件等，而且还可以对这些服务进行内容过滤和访问控制。本章主要介绍如何配置各类“外出访问服务”，如何根据内部安全需要对各类“外出访问”进行内容过滤和访问控制。【提示】：公司隔离网闸X-GAP8500型号支持外出访问服务，购买X-GAP8500型号的用户应当阅读该章节的内容。X-GAP8100和X-GAP8200型号不支持外出访问服务，购买这些型号的用户可以跳过该章节的内容。4.1配置“浏览”服务“浏览服务”即“HTTP信息交换服务”，为可信内网用户通过X－GAP网闸访问不可信外网的目标地址或目标地址域提供信息交换服务。具体的工作过程如下：如果“配置管理员”进行“HTTP代理配置”，允许X－GAP网闸进行HTTP代理服务通信，以提供隔离网络环境下访问WWW的应用服务。网闸中的HTTP代理就会根据配置检查所需的请求，对于不符合连接要求的请求则中断该请求，对于符合要求的请求则由HTTP代理通过网闸的开关系统把请求传递给网闸的外部代理服务器，并对非信任网络的服务器发送请求。因此，任何一次连接需要两个请求，也就是需要两个B/S结构。网闸的外部代理服务器把请求回来的数据经过内容过滤等匹配检查后，剥离出“裸数据”通过网闸的开关系统把请求回来的信息传递给网闸的内部代理服务器（前提是网闸的开关系统已经切换到外部代理服务器，否则处于等待状态）。网闸的开关系统进行了切换，与外部代理服务器断开，并和内部代理服务器建立了连接，由HTTP代理服务负责对请求回来的数据进行内容检查和过滤。HTTP代理对请求回来的数据进行安全性检查，如果不符合要求，则拒绝该数据，并断开连接，如果符合要求，就会根据最初由“配置管理员”设定的安全策略，对数据源进行重新打包，将数据传送至目的地，同时对开关系统存储介质上的数据进行清除。总之，任何一次内、外网的数据交换均是通过双向的HTTP代理的方式实现的，即进行了两次B/S请求和应答。在每一次请求或应答之前均完全剥离TCP/IP协议，进行彻底的安全检查，通过了检查的才进行下一次的请求或应答，未能通过在会话过程中的任何一次检查的，则中断通信，阻止连接，并进行严格的日志记录。本节主要介绍如何配置“浏览服务”（即HTTP代理服务），如何根据内部安全需要对“浏览服务”进行内容过滤和访问控制。4.1.1浏览服务要想使可信内网的用户能够通过网闸X-GAP访问不可信外网的“WWW服务器”，实现外出浏览服务，除了要正确配置网闸端的“外出访问服务－浏览”服务外，还必须正确配置客户端的应用程序即“浏览器”。下面我们以图3－1所示的网络环境为例，介绍如何配置网闸端的“外出访问服务－浏览”服务和客户端的应用程序，如“InternetExplorer”，才能使可信内网的用户能够通过网闸访问不可信外网的“WWW服务器”，实现外出浏览服务。配