1、天御 6000 单向安全隔离系统用户使用手册北京和信网安科技有限公司2007 年 9 月2版权声明 北京和信网安科技有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 对于本手册中出现的其它商标,由各自的所有人拥有。 由于产品版本升级或其它原因,本手册内容会不定期进行更新。除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。本手册之图片仅供参考,如有变动恕不另行通知。3前 言感谢您使用北京和信网安科技有限公司的天御 6000 单向安全隔离系统,您能成为我们的用户,是我们莫大
2、的荣幸。为了使您尽快熟练地使用天御 6000 单向安全隔离系统,我们随机配备了内容详细的用户使用手册。天御 6000 单向安全隔离系统必须通过管理主机进行设置管理。这本手册能帮助您更好地管理设置。希望用户在遇到设置问题的时候能在手册里得到帮助。我们对用户使用手册的编排力求内容全面而又简单易懂,从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。在第一次安装和使用之前,请务必仔细阅读所有资料,这会有助于您更好地使用本产品。这本手册的读者对象是天御 6000 单向安全隔离系统的管理员。在安装单向安全隔离系统之前及过程中,为更好地应用与配置,同时避免可能出现
3、的各类问题,请仔细阅读本手册。我们认为手册中所提供的信息是正确可靠的,请尽量避免人为的失误。4安全使用注意事项本章列出的安全使用注意事项,请仔细阅读并在使用天御 6000 单向安全隔离系统过程中严格执行。这将有助于更好地使用和维护您的单向安全隔离系统。 单向安全隔离系统应用环境为温度-5 45和湿度 40% 80%;存储环境为温度-20 55,湿度 20% 95%。 采用交流 220V 电源。 必须使用三芯带接地保护的电源插头和插座。良好的接地是您的单向安全隔离系统正常工作的重要保证。对于单向安全隔离系统来说,如果缺少接地保护线,在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害,但
4、在接触时,可能会产生麻、痛等轻微触电的感觉。另外,如果您擅自更换标准电源线,可能会带来严重后果。特别提示: 遇到故障,请不要自行拆卸单向安全隔离系统,建议与我们的技术支持人员(电话:010-82103002)取得联系,以获得最佳解决方案。 SL-1000 安全隔离系统的搬运应注意: 本安全隔离系统的搬运最好使用出厂原包装。搬运之前请清点好所有部件和随机附带的资料。 最好将各个部件和随机附带的资料按出厂时的包装还原。 SL-1000 安全隔离系统不可带电搬运,任何零部件不可带电插拔,否则可能损坏单向安全隔离系统。 将安全隔离系统打包完成后,用胶带封箱,即可搬运。单向安全隔离系统搬运过程中,请不要
5、剧烈碰撞和跌摔,不可雨淋。搬运过程请远离强静电,强磁场环境。 正确规范的操作是安全的保证。56目 录第一章 天御 6000 单向安全隔离系统简介 61. 系统概述 62. 技术特点 63. 技术参数 7第二章 硬件安装 71. 拆箱检查 72. 硬件安装 83. 设备接入拓扑图 9第三章 系统配置 91. 概述 92. 初始配置 92.1 超级终端配置 92.2 OUT CONSOLE 口配置 103. 客户端配置软件的使用 133.1 客户端配置软件简介 133.2 登录客户端配置软件 153.3 系统管理 153.4 规则管理 233.5 日志管理 313.6 用户管理 35第四章 应用拓
6、扑介绍 411. 两个网络在不同网段的应用 412. 两个网络在同一网段的应用 423. 两个网络在混合模式下 434. 双机热备份典型应用 447第一章 天御 6000 单向安全隔离系统简介1. 系统概述天御 6000 单向安全隔离系统依照全国电力二次系统安全防护总体方案 、国家经贸委【2002】第 30 号令电网和电厂计算机监控系统及调度数据网络安全防护的规定和电力二次系统安全防护规定 (电监会 5 号令)由我公司自主开发研制的,满足中国电力行业需求的网络安全产品。适用于电力安全/区与安全 / 区之间的安全连接,可以文件单向传输、数据库单向同步、实时数据流单向广播等不同环境的应用。天御 6
7、000 单向安全隔离系统获得产品资质证书如下: 国家公安部销售许可证 国家电力调度中心检测证书 国家涉密信息系统产品检测证书 国家信息安全认证证书 防电磁辐射检测报告 计算机软件著作权登记证书2. 技术特点1) 产品采用 2+1 结构设计,双主机系统+硬件隔离控制器。2) 采用非 INTEL 指令集的网络处理器;3) 硬件隔离控制器采用专用数据处理芯片,无操作系统,延时小于 1 毫秒;4) 中间硬件隔离控制器通过电子开关实现安全隔离和单向控制,使生产控制大区与管理信息大区之间的隔离强度接近物理隔离; 5) 安全、固化的操作系统,采用嵌入式 LINUX 系统内核,内、外网关取消所有网络功能;6)
8、 内外网关 TCP/IP 协议栈被裁剪掉,内外网关之间采用私有通讯协议;7) 应用层数据完全单向传输,TCP 应答包禁止携带应用层数据;8) 高可用性:支持双机容错,支持冗余电源,支持双链路。83. 技术参数网络接口: 4 个 RJ45(内网、外网、热备、管理)网络接口速率:10MBASE/100MBASE串行通信接口:2 个 RS-232(RJ45 接口)贮存温度:-20+55 工作温度:-5+45 供电电源:220V15%,50Hz,连续工作功 耗:50W体 积:标准 19 英寸,可上机柜;带 宽:85M bps平均无故障时间(MTBF):50000 小时(100%负荷)延 时:小于 1
9、毫秒第二章 硬件安装本章包括天御 6000 单向安全隔离系统及随机附带的部件资料检查和硬件安装,这有助于您更好地维护天御 6000 单向安全隔离系统的硬件。关于硬件使用的其它注意事项请参考本手册目录之前的“安全使用注意事项”部分。1. 拆箱检查在打开包装之后,请您先检查随机附带的电源线、用户使用手册等物品是否齐全,所有部件请对照装箱单进行检查,如有缺损请及时和销售人员联系。注:取出设备后,不要将外包装丢弃,在需要搬运时,请务必使用原包装,它是为您的单向安全隔离系统专门设计的包装,具备良好的防震功能。每当您需要维修服务时也最好用原包装将单向安全隔离系统设备返回到北京和信网安科技有限公司的维修服务
10、部门。9物 品 名 称 数量天御 6000 单向安全隔离系统 1天御 6000 单向安全隔离系统的电源线 1天御 6000 单向安全隔离系统的串口线 1天御 6000 单向安全隔离系统用户使用手册 12. 硬件安装天御 6000 单向安全隔离系统机箱符合工业机柜的标准,它的高度为 1U,可以顺利的安装到标准机柜中去。设备共由 4 个 RJ45(内网、外网、热备、管理) ,2 个 RS-232(RJ45 接口)构成。 准备工作准备两条交叉网线和两台用于连接天御 6000 单向安全隔离系统的带网卡的计算机(PC 机) 。 连接天御 6000 单向安全隔离系统和内、外网计算机(天御 6000 单向安
11、全隔离系统 IN、OUT 口相当于 PC 机的网卡,与交换机连接用直连线;与 PC 或防火墙连接用交叉线) 。1)用交叉网线将内网计算机的 RJ45 端口连接天御 6000 单向安全隔离系统 IN 口。2)用交叉网线将外网计算机的 RJ45 端口连接天御 6000 单向安全隔离系统 OUT口。3)用随机的串口配置线一端连接天御 6000 单向安全隔离系统 Out Console 口,另一端连接管理计算机的串口,用交叉网线将管理计算机的 RJ45 端口连接天御 6000 单向安全隔离系统 MNG 口。4)用随机附送的电源线将天御 6000 单向安全隔离系统同 220V 电源连接起来。 安装过程完
12、毕103. 设备接入拓扑图天 御 6 0 0 0 单 向安 全 隔 离 系 统生 产 控 制 大 区 管 理 信 息 大 区1 9 2 . 1 6 8 . 0 . 21 9 2 . 1 6 8 . 0 . 11 7 2 . 1 6 . 1 . 21 7 2 . 1 6 . 1 . 1第三章 系统配置1. 概述配置天御 6000 单向安全隔离系统共由两部分组成,一是通过 OUT CONSOLE 口进行初始化配置(设置管理 IP) ,二是通过 MNG 口进行网络管理(设置安全策略) 。使用隔离系统前,必须正确配置隔离系统,通过阅读本章,可以快速配置及管理天御 6000 单向安全隔离系统。注意事项:
13、禁止天御 6000 单向安全隔离系统管理 IP 与内网或外网地址在同一个网段。2. 初始配置天御 6000 安全隔离系统的配置首先通过串口命令行进行初始化配置(串口命令行可以配置内容为:管理接口地址、用户认证方式等) 。串口配置时需串口线插入 OUT CONSOLE 口,进行配置,完成初始配置后,可通过客户端管理软件,进行策略配置。具体串口配置过程如下:11注:用户进行串口配置时只需连接到 OUT CONSOLE 口,即可完成全部初始化配置;IN CONSOLE 口为系统调试口,用户无需配置。2.1 超级终端配置打开管理机,开始程序附件通讯超级终端,打开后首先还原为默认值,每秒位数设为 115
14、200,如下图所示:2.2 OUT CONSOLE 口配置第一步,登陆隔离系统 OUT CONSOLE在提示符下输入系统管理员的用户名和密码,默认管理员/密码为:admin/111111。成功登陆后,屏幕显示为12注:1. 管理接口是隔离设备的管理地址,当用户需要用客户端管理软件管理和配置隔离设备时,需要在自己的电脑上安装客户端管理软件并将电脑的 IP 地址与管理接口配置到相同的网段。2. 认证方式是用户通过客户端管理软件登录到隔离设备上时需要的认证步骤3. 管理主机列表指定那些用户可以对隔离设备进行管理和配置。第二步,配置隔离系统如需要配置只需要在选择后面输入相应命令,如需要配置管理接口首先
15、在选择后面输入 M 随即显示管理接口的 IP 地址如果需要配置新的管理地址在选择输入 S 后输入新的 IP 地址及掩码13注:如果不是跨越三层交换或路由器等设备,默认网关可以不设。如需配置新的认证方式,请先输入 K 然后输入 S 最后输入 0 或 1 选择认证方式如需恢复默认主机列表,请先输入 L 然后输入 S14如需看设备版本信息,请输入 V如需要修改密码,请输入 P(建议不要修改密码)然后输入一遍原来的密码在输入两遍新设的密码。如需要重启系统,请输入 R。如需要退出登录界面,请输入 Q153. 客户端配置软件的使用3.1 客户端配置软件简介管理软件可以同时管理、配置及监控一台或多台隔离设备
16、,对于多台隔离设备可以进行分组管理,每台设备名称前面用不同颜色的灯显示设备状态, 绿灯:设备正常运行(网线正确连接) ; 红灯:设备异常运行(内、外网口网线接触不实或没有接) ;黄灯:设备正常待机(两台设备采用双机热备连接时,待机设备状态显示灯) 。红灯状态时会有声音报警。16当点击某个设备名时,即为选中某个隔离设备然后在右框中输入用户名、密码后进入该隔离设备管理配置界面。后退 前进隐藏/显示左边框打开/关闭声音报警173.2 登录客户端配置软件首先在用户管理机通过网线连接到设备管理口 MNG,管理机上安装配置管理软件,安装完成后,打开配置管理软件选择要配置的隔离设备,在登录页面输入默认用户名
17、“admin”、密码“111111” 。3.3 系统管理 系统状态信息登录后进入设备的配置管理界面,首先看到系统状态页面具体显示该设备的系统状态信息。系统状态主要分两大部分:系统信息主要介绍单向隔离系统的系统信息包括:设备序列号(每个设备唯一的) 、单向隔离系统版本号、授权状态(如果是试用设备该状态显示为试用版) 、设备名称(可更改)、工作组名称(可更改) 、运行时间。系统资源通过查看 CPU、内存、外存使用率,可以看到设备硬件的实际使用情况。18 设备及工作组的名称设置为了对隔离设备的设备名称和工作组进行设置。需要进入名称设置页面中输入新的设备名称和工作组名称之后点击保存设置按钮生效。生效后
18、可以进入系统状态页面观看更改后的效果。19 用户登录认证设置如果需要对认证方式进行更改需要进入认证设置页面,在认证方式框中选择需要的认证方式当认证方式选择用户名/密码时在登录界面用户只需输入用户名/密码。20当认证方式选择用户名/密码+U 盾时,在登录界面用户需要输入用户名/密码/PIN 码。用户还可以在密码设置页面上的 PIN 码设置页面中更改 PIN 码。21 添加和删除管理主机管理主机可以在认证设置页面中设置,当需要添加新的管理主机时点击添加主机按钮,在主机设置页面中选择管理主机的范围可以是单个的、网段的、范围或所有的主机。2223选择好管理主机的范围后点击保存配置新添的主机就添加完成。
19、24注:选择管理主机范围时请注意看后面的例如当需要删除某些已添加了的管理主机时在该管理主机列表条目后面点击删除,在删除主机页面点击确定。253.4 规则管理 规则设置规则设置是整个配置管理界面中最重要功能,用来设置隔离设备两端的访问控制列表。注:对于源 IP、虚拟源 IP、目的 IP、虚拟目的 IP 进行以下详细说明,天御 6000 单向隔离系统采用的是双向地址映射的工作机制,源 IP、目的 IP 为隔离设备两端实际存在的设备的 IP 地址;虚拟源 IP、虚拟目的 IP 分别为源 IP、目的 IP 的虚拟地址。源 IP 地址发送数据到虚拟目的 IP 地址,经过隔离设备后,源 IP 转换为虚拟源
20、 IP,虚拟目的 IP 装换为真实的目的 IP。26当需要添加新的规则时点击添加规则按钮进入规则添加页面。27规则添加页面中的传输方向、传输协议、源 IP/端口、虚拟源 IP/端口、目的 IP/端口、虚拟目的 IP/端口、是否需要记录日志、规则状态等根据实际情况需要填写。28设置完毕后点击保存设置按钮,进入规则设置页面点击应用使新规则生效。添加/编辑完规则后,必须应用29规则设置页面中的规则列表中状态栏中打勾的规则条目是生效的规则,如果需要观看规则的具体信息时可以点击查看进入规则属性页面如果需要更改规则就在该规则条目后面点击编辑进入规则添加页面更改规则。30如果需要删除规则就在该规则条目后面点击删除,进入规则删除页面点击确定按钮删除相对的规则。在规则设置页面点击应用使删除生效。
