.
处,通过内网接口和外网接口,分别与内网和外网相连。内网和外网的数据交换必须通过隔离装置,以便保护安全的内部网络,安装拓扑图如下图5所示。
图5 隔离装置安装网络拓扑图
'.
.
3 正向隔离装置配置管理
3.1 安全策略配置
1) 用随机附带的配置串口线连接到安全隔离装置的内外网配置串口(console)。 2) 启动安全隔离装置的配置软件,然后点击‘串口配置’菜单,在点击‘串口配置’选项,选择相应的串口,一般配置软件会自动识别本机串口,界面如下图6所示,接着设置好波特率,数据位,超时等(串口配置按默认界面即可)。
图6 安全隔离装置配置软件启动界面
3) 点击‘连接’选项。如果连接成功,系统将会提示成功连接串口(图7),点击OK即可;如果连接失败,系统也会提示连接串口失败(图8)。程序会反复重连5 次,5 次都失败后,程序会自动退出。用户请参考《附录 5.1 串口故障诊断》一节仔细检查串口设置。排除故障后,再次重试连接。
'.
.
图7
图8
4) 点击主界面‘规则配置’菜单下的‘配置规则’选项,系统会提示输入用户名和口令(图9)进行权限认证。隔离装置默认的系统管理员用户名为root,密码为root。用户在第一次使用隔离装置后,请立刻修改系统管理员口令。
图9
5) 用户登录成功后,隔离装置会自动导出本地已存在的配置规则(此规则为模板规则,用户安装此规则规范配置也可自行配置),导出成功后进入‘配置系统规则主界面’(图10)配置用户规则。(注意:界面导出的规则是本地的默认规则文件rule.buf,在配置程序的rule文件夹下)
'.
.
图10
数据综合过滤功能能够为隔离装置提供基本的安全保障,装置根据系统管理 员预先设定的规则检查数据包以决定哪些数据容许通过,哪些数据不能通过,保 护内部安全网络免受外部攻击。 数据过滤依据:
★ 数据包的传输协议类型,容许TCP和UDP。 ★ 数据包的源端地址,目的端地址。 ★ 数据包的源MAC地址,目的端MAC地址。
综合过滤规则提供网络安全隔离装置允许还是拒绝IP 包的依据,隔离装置
'.
.
对收到的每一个数据包进行检查,从它们的包头中提取出所需要的信息,如源MAC 址、目的MAC 地址、源IP 地址、目的IP 地址、协议类型等,再与已建立的规则逐条进行比较,并执行所匹配规则的策略,或执行默认策略。
规则配置中,IP 地址的形式为X.X.X.X的范围取0-255,MAC 地址的形式为XX-XX-XX-XX-XX-XX,其中X 为十二位十六进制数,延时是指本条链路数据包的发送间隔时间,单位是毫秒,默认设置是10ms,在无特殊情况下请勿更改。 常用操作步骤说明 ★添加
增加新的规则。当用户要增加了新的规则后,首先点击‘添加’按钮即可将规则添加到配置软件的规则队列中,然后在界面填写相应的配置,填写完后点“修改”按钮,如果需要保存则点击“保存配置”按钮保存到本地默认文件中。 ★ 修改
对已有的规则进行编辑修改。选择要修改的规则,修改规则中的参数后, 点击‘修改’按钮,确认修改;否则不会保存修改过的参数。 ★ 删除
删除一条已有的规则。选择要删除的规则,点击‘删除’按钮,则选定 的规则将被删除;如果需要删除全部规则,点击‘删除全部’按钮即可。 ★ 复制
根据一条已有的规则复制出一条新的规则。选择要复制的规则,点击‘复 制’按钮,会复制出一条与原规则相似的规则,在复制规则中修改相应的各项内容。修改完毕后,点击‘修改’按钮确认修改。 ★ 保存
'.
先一正向型隔离装置配置
