天御6000单向安全隔离用户使用手册.docx

《天御6000单向安全隔离用户使用手册.docx》由会员分享，可在线阅读，更多相关《天御6000单向安全隔离用户使用手册.docx（52页珍藏版）》请在课桌文档上搜索。

1、天御6000单向安全隔离系统用户使用手册安全使用注意事项本章列出的安全使用注意事项，请仔细阅读并在使用天御6000单向安全隔离系统过程中严格执行。这将有助于更好地使用和维护您的单向安全隔离系统。单向安全隔离系统应用环境为温度-5C45C和湿度40%80%;存储环境为温度-20C55C,湿度20%95%。采用交流220V电源。必须使用三芯带接地保护的电源插头和插座。良好的接地是您的单向安全隔离系统正常工作的重要保证。对于单向安全隔离系统来说，如果缺少接地保护线，在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害，但在接触时，可能会产生麻、痛等轻微触电的感觉另外，如果您擅自更换标准电源线

2、，可能会带来严重后果特别提示：遇到故障，请不要自行拆卸单向安全隔离系统，建议与我们的技术支持人员(电话：010-82103002)取得联系，以获得最佳解决方案。SLTO(X)安全隔离系统的搬运应注意：(1)本安全隔寓系统的搬运最好使用出厂原包装。搬运之前请清点好所有部件和随机附带的资料。最好将各个部件和随机附带的资料按出厂时的包装还原。SL-100o安全隔离系统不可带电搬运，任何零部件不可带电插拔，否则可能损坏单向安全隔离系统。将安全隔寓系统打包完成后，用胶带封箱，即可搬运。单向安全隔离系统搬运过程中，请不要剧烈碰撞和跌摔，不可雨淋。搬运过程请远离强静电，强磁场环境。正确规范的操作是安全的保证

3、。目录第一章天御6000单向安全隔离系统简介4I.系统概述42.技术特点43.技术参数5第二章硬件安装51.拆箱检查52.硬件安装63.设备接入拓扑图7第三章系统配置71.概述72.初始配置72.7超级终端配置.82,2OUTCONSOLE配置S3.客户端配置软件的使用123.J客户端配置软件简介123.2置录客户端配置软件143/系统管理.143.4规姆管理.。223.5日志管理.303.6用户管理.34第四章应用拓扑介绍401.两个网络在不同网段的应用402.两个网络在同一网段的应用413.两个网络在混合模式下424.双机热备份典型应用43第一章天御6000单向安全隔离系统简介1.系统概述

4、天御6000单向安全隔离系统依照全国电力二次系统安全防护总体方案、国家经贸委22第30号令电网和电厂计算机监控系统及调度数据网络安全防护的规定和电力二次系统安全防护规定（电监会5号令）由我公司自主开发研制的，满足中国电力行业需求的网络安全产品。适用于电力安全I/11区与安全山/IV区之间的安全连接，可以文件单向传输、数据库单向同步、实时数据流单向广播等不同环境的应用。天御6000单向安全隔离系统获得产品资质证书如下：国家公安部销售许可证国家电力调度中心检测证书国家涉密信息系统产品检测证书国家信息安全认证证书防电磁辐射检测报告计算机软件著作权登记证书2.技术特点1）产品采用2+1结构设计，双主机

5、系统+硬件隔离控制器。2）采用非INTEL指令集的网络处理器；3）硬件隔离控制器采用专用数据处理芯片，无操作系统，延时小于1毫秒：4）中间硬件隔离控制器通过电子开关实现安全隔离和单向控制，使生产控制大区与管理信息大区之间的隔离强度接近物理隔离；5）安全、固化的操作系统，采用嵌入式LlNUX系统内核，内、外网关取消所有网络功能：6）内外网关TCP/IP协议栈被裁剪掉，内外网关之间采用私有通讯协议；7）应用层数据完全单向传输，TCP应答包禁止携带应用层数据；8）高可用性：支持双机容错，支持冗余电源，支持双链路。3.技术参数网络接口：4个RJ45（内网、外网、热备、管理）网络接口速率：IOMBASE

6、/100MBASE串行通信接口：2个RS-232（RJ45接口）贮存温度：-2OC+55C工作温度：-5C+45C供电电源：22OV15%,50Hz,连续工作功耗：W50W体积：标准19英寸，可上机柜:带宽：85Mbps平均无故障时间（MTBF）：250000小时（Kx）%负荷）延时：小于1毫秒第二章硬件安装本章包括天御6000单向安全隔离系统及随机附带的部件资料检杳和硬件安装，这有助于您更好地维护天御6000单向安全隔离系统的硬件。关于硬件使用的其它注意事项请参考本手册目录之前的安全使用注意事项部分。1.拆箱检查在打开包装之后，请您先检查随机附带的电源线、用户使用手册等物品是否齐全，所有部件

7、请对照装箱单进行检查，如有缺撮请及时和销售人员联系。注：取出设备后，不要将外包装丢弃，在需要搬运时，请务必使用原包装，它是为您的单向安全隔离系统专门设计的包装，具备良好的防震功能。每当您需要维修服务时也最好用原包装将单向安全隔离系统设备返回到北京和信网安科技有限公司的维修服务部门。物品名称数量天御6000单向安全隔离系统1f天御6000单向安全隔离系统的电源线1天御6000单向安全隔离系统的串口线F1天御6000单向安全隔离系统用户使用手册O12.硬件安装天御6000单向安全隔离系统机箱符合工业机柜的标准，它的高度为1U,可以顺利的安装到标准机柜中去。设备共由4个RJ45（内网、外网、热备、管

8、理），2个RS-232（RJ45接口）构成。准备工作准备两条交叉网线和两台用于连接天御6000单向安全隔离系统的带网卡的计算机（PC机）。连接天御6000单向安全隔离系统和内、外网计算机（天御6000单向安全隔离系统IN、OUT口相当于PC机的网卡，与交换机连接用宜连线:与PC或防火墙连接用交叉线）.1）用交叉网线将内网计算机的RJ45端口连接天御6000单向安全隔离系统IN口。2）用交叉网线将外网计算机的RJ45端口连接天御6000单向安全隔离系统OUT口。3）用随机的串口配置线-端连接天御6000单向安全隔离系统OUtConsole口，另一端连接管理计算机的串口，用交叉网线将管理计算机的R

9、J45端口连接天御6000单向安全隔离系统MNG口。4）用随机附送的电源线将天御6000单向安全隔离系统同220V电源连接起来。安装过程完毕3.设备接入拓扑图生产控制大区管理信息大区第三章系统配置1.概述配置天御6000单向安全隔离系统共由两部分组成，一是通过OUTCONSOLE口进行初始化配置（设置管理IP）,二是通过MNG口进行网络管理（设置安全策略）.使用隔离系统前，必须正确配置隔离系统，通过阅读本章，可以快速配置及管理大御6000单向安全隔离系统。注意事项：禁止天御6000单向安全隔离系统管理IP与内网或外网地址在同一个网段。2.初始配置天御6000安全隔离系统的配置首先通过串口命令行

10、进行初始化配置（串口命令行可以配置内容为：管理接口地址、用户认证方式等）。串口配置时需串口线插入OUTCONSOLE口，进行配置，完成初始配置后，可通过客户端管理软件，进行策略配置具体串口配置过程如下：注：用户进行串口配置时只需连接到OUTCoNSOLE口，即可完成全部初始化配置；INCoNSoLE口为系统调试口，用户无需配置。2.1超级终端配置打开管理机，开始一程序一附件一通讯一超级终端，打开后首先还原为默认值，每秒位数设为115200,如下图所示:2.2OUTCONSOLE口配置第一步，登陆隔离系统OUTCONSoLE在提示符下输入系统管理员的用户名和密码，默认管理员/密码为：admin/

11、IullL成功登陆后，屏幕显示为欢迎使用天御6000单向安全隔离系统角户名:admin密码：wwwwwwwwwwww*r*天御6000系统配置-M:配置管理接口-K:配置认证方式-L:管理主机列表*V：版本信息-P:修改密码*R:重启系统-Q:退出共XXXXX*XXXXXXXXXXXXXXXXXXXXAXX*XXXXXXX共XXXXXXX选择:1.管理接口是隔离设备的管理地址，当用户需要用客户端管理软件管理和配置隔离设备时，需要在自己的电脑上安装客户端管理软件并将电脑的IP地址与管理接口配置到相同的网段.2.认证方式是用户通过客户端管理软件登录到隔离设备上时需要的认证步骤3.管理主机列表指定那

12、些用户可以对隔离设备进行管理和配置。第二步，配置隔离系统如需要配置只需要在选择后面输入相应命令，如需要配置管理接口首先在选择后面输入M随即显示管理接口的IP地址置置理本改启出- 配配管版修重退【m H * * - Mklvprq M 羽口式表 H接方列 M理证机息码统 T管认主信密系天御6000系统配置* 菁计*M*当前配置IP地址：172.16.1.1子网掩码：255.255.255.0默认网关：选择重新设置S,返回上级Q：.如果需要配置新的管理地址在选择输入S后输入新的IP地址及掩码当前配置IP地址：172.16.1.1子网掩码：255.255.255.0默认网关：选择重新设置S,返回上级

13、Q：sIP地址:10,10.10.1子网掩码：255.0.0.0默认网关：route:SIOCfADDIDELlRT:NosuchprocessM Mklvprq口式表 J接方列 I理证机息码统 管认主信密系 Hw置置理本改启出 一配配管版修重退天御6000系统配置选择：m当前配置IP地址：10.10.10.1子网掩码：255.0.0.0默认网关：选择重新设置S,返回上级Ql:注：如果不是跨越三层交换或路由器等设备，默认网关可以不设.如需配置新的认证方式，请先输入K然后输入S最后输入0或1选择认证方式*16000ESB*-M:配置管理接口*K:配置认证方式*L:管理主机列表*V:版本信息-*P

14、:修改密码-R:重启系统*-Q:退出*K*头*选择：k当前配置认证方式：用户名/密码选择重新设置S,返回上级QLS认证方式0-用户名/密码，1-用户名/变码+U盾：如需恢复默认主机列表，请先输入L然后输入SM*M*W*W*W*Wj16000船刍充SHE*M:配置管理接口*K:配置认证方式*-L:管理主机列表*-V:版本信息*P:修改密*R:量启系统*Q:退出*XXMXX*X*X*X*X*XX*X*XXXXXyXXXXXX*x*x*x*x*x*x*x选择：1当前配置所有选择恢复默认值6,返回上级Q:如需看设备版本信息，请输入VM头XMXM头MM头天6000纾ESBE*M:配置管理接口*K:配置认

15、证方式*L:管理主机列表-V:版本信息*P:修改密码*R:重启系统*Q:退出XXXXXXMXXXMXXMXXXXXXXXXXXXXXXMXXXMXXMXMXMXXMXXXX选择：V当前版本信息序列号：S07250-HB425版本号：TV6000SL1000如需要修改密码，请输入P（建议不要修改密码）然后输入一遍原来的密码在输入两遍新设的密码。*X*16000VfH*M*MM*口式表 接方列 M 理证机息码统 i 管认主信密系 置置理本改启出- 配配管版修重退Tp :注 Mklvprq * 旧密码：mill新密码：222222重复新密码：222222如需要重启系统，请输入R。如需要退出登录界面，

16、请输入Q口式表 - 一接方列 - 虫理证机息码统 H管认主信密系 MM置置理本改启出* M配配管版修重退一q M* M Mklvprq 择天御6000系统配置M* X X 乂 M X X M* M* * *M 哥 讦* * * 讦 * * * * * * * M 货欢迎使用天御6000单向安全隔离系统用户名：-3.客户端配置软件的使用3.1客户端配置软件简介管理软件可以同时管理、配置及监控一台或多台隔离设备，对于多台隔离设备可以进行分组管理，每台设备名称前面用不同颜色的灯显示设备状态，绿灯：设备正常运行（网线正确连接）：红灯：设备异常运行（内、外网口网线接触不实或没有接）：黄灯：设备正常待机（

17、两台设备采用双机热备连接时，待机设备状态显示灯）。红灯状态时会有声音报警.G*95B3S开闻Jftl*aI匕snoop用3.2登录客户端配置软件首先在用户管理机通过网线连接到设备管理口MNG,管理机上安装配置管理软件，安装完成后，打开配置管理软件选择要配置的隔离设备，在登录页面输入默认用户名“admin”、密码“111111”。X岁5 18 15卖开吆 w 3 V aacywr. I Qww-a. I贵料京L0suooo户.G天o j素g.肘图|3.3系统管理令系统状态信息登录后进入设备的配置管理界面，首先看到系统状态页面具体显示该设备的系统状态信息。系统状态主要分两大部分：系统信息主要介绍单

18、向隔离系统的系统信息包括：设备序列号（每个设备唯一的）、单向隔离系统版本号、授权状态（如果是试用设备该状态显示为试用版）、设备名称（可更改）、工作组名称（可更改）、运行时间。系统资源通过查看CPU、内存、外存使用率，可以看到设备硬件的实际使用情况。4 Kg5 18 21事用 乂 * 3 * r*IMS JGf -jg . I贡刊*I 3SUooO用户 天*s8o,h8-设备及工作组的名称设置为了对隔离设备的设备名称和工作组进行设置。需要进入名称设置页面中输入新的设备名称和工作组名称之后点击保存设置按钮生效。生效后可以进入系统状态页面观看更改后的效果。% 营 19 15事用&| H U* rMW

19、 . Qww- . |二*增班喜它SuOOO. M*名-.E用-Miero. |U天#500.令用户登录认证设置如果需要对认证方式进行更改需要进入认证设置页面，在认证方式框中选择需要的认证方式当认证方式选择用户名/密码时在登录界面用户只需输入用户名/密码。BT事刑 9*3arww. 吟超 惠a. tsuo. p 命名.| 二图-i. IlU夭 sooo：X孝19 16BCr30不5XA略安宝I*惠产统ff g. 学, * *，： W1WT. QMM fl. I -*tm . Z)5MOOQ %耒命名 与 用 Mtoo. IIG 天6Q00.X 薛 L9：21当认证方式选择用户名/密码+U盾时，

20、在登录界面用户需要输入用户名/密码/PN码。4 X 3 咋22卖讦闿 0.3 V * SB - IMWL. Qf超jj8 . L5U0. :JjM名-I 乜图”IlG天ooo.用户还可以在密码设置页面上的PlN码设置页面中更改PlN码。RTTlTelm河沦文立嘉岁统/K 彝 I65金刑 J). W 2B eww-n. L,wg ILsUOoO I M*名 I E8H -i H天so,YKB 18:42期叱 W ejV * SB - IwlWL.| E le H I LsUoOQ. g 七图 ro. LUgo,mrn安全嬉寓茅统/ CO文件（B叠， *lh Ieww-H. L,wg ILsUOo

21、O I 也*名 I E8H -i II天so,R事182注：选择管理主机范围时请注意看后面的例如当需要删除某些已添加了的管理主机时在该管理主机列表条日后面点击删除，在删除主机页面点击确定。K薛18：433 V A SBuW4L. E 超卜Sffl#I 刁SuOOQ.I jMt名-I y 留-Micro. J天M000,9筝,rwiM.IQww-j.,ILsuOOa名LE用-i.Hg天三o,3.4规则管理令规则设置规则设置是整个配置管理界面中最重要功能，用来设置隔离设备两端的访问控制列表。注:对于源IP、虚拟源IP、目的IP、虚拟目的IP进行以下详细说明，天御6000单向隔离系统采用的是双向地址

22、映射的工作机制，源IP、目的IP为隔离设备两端实际存在的设备的IP地址:虚拟源IP、虚拟目的IP分别为源IP、目的IP的虚拟地址。源IP地址发送数据到虚拟目的IP地址，经过隔离设备后，源IP转换为虚拟源1P,虚拟目的IP装换为真实的目的IP。.ffl9*WwiNeww-n.L,wgILsUOoOIM*名IE8H-iH天so,Yt事18I)SU0IM*名J-BBMtoO.Hu天三OJO,规则添加页面中的传输方向、传输协议、源IP/端口、虚拟源IP/端口、目的IP/端口、虚拟目的IP/端口、是否需要记录H志、规则状态等根据实际情况需要填写.X尊18:44类严凹0.3V*3BW1NMLIQF圆TWJ

23、I也SUOOQ.I%素名-匕图i.Il天*SQ00,卖开帕I0.3SB-IWlM.iI也SUOOQ.I%素名-匕图”.Il天*sooo,X尊18:46qm薛比3VASBuW4L.E超卜Sffl#I刁SuOOQ.IjMt名-Iy留-Micro.J天M000,规则设置页面中的规则列表中状态栏中打勾的规则条目是生效的规则，如果需要观看规则的具体信息时可以点击查看进入规则属性页面歹类严凹 W .3V * aB-WlNMLIQF圆TWJ I 也SUOOQ.I %素名-匕图”. Il天*sooo,X尊18 47如果需要更改规则就在该规则条目后面点击编辑进入规则添加页面更改规则。q % 事 is%.ffl

24、9 * WwiN Ieww-H. L,wg ILsUOoO I M*名 I E8H -i H天so,如果需要删除规则就在该规则条目后面点击删除，进入规则删除页面点击确定按钮删除相对的规则。在规则设置页面点击应用使删除生效。6OI陋安全IM手药文件(B iv *KH flPJ U KEJt s, I DCS1#VTfttfST天6000安今IS嘉系统注.(MknmiJftttffff累统哄我 名称EIU证*短0设置MmrivNMiSSBSK日毒看理日hd日志查谓MIFAlPM目的IPIIfiMin依 StOH日志圮景#*n* U W192 168 3.11所膏172161 16123TCP/P户

25、3, U网192.1S8311无172161 1无ICMP/P*7 U胴192166 311所有172 161 1所有TCP/P声置 Huj.3gjML!*CTO文伴(DG9U8h,wiv用户0喟208-g-22RMp99-22一小4nnnnnnnnnnnnn:工uxllxlll1iLlllllxxxsss7393OOM42B8X3OS2O42332S5423223O25OO-bss.A1293s4.b724cllil224ssoft555555.555588a8699.JIlillllllllllllllLW222222222222222227H2222223222222222ZZ#9999

26、9999999999999Oooooooooooooooooa-W77777777777777777OooooooooooooooooqPgago。PupppPPPCCCq2222方2i2i2n2222力22zz8234567910llA21314lsl17lBM日右说修改日志说置修律日否包！修改SQfS享的创建用户*3遂方式*改回三手节修改S证方式修改i证：改认硕方Kesg赛娘IMB认证方言*MWTM*we*市Z讯视IIJM通讯1剧添域IMiW文件（D叠看QD租助时Fera矢由0g按策炫华电Sl斥下*DCS1#矢，6M0麦全高幕统注admlnM&nff*HU名碑:红U三ft*开闻9*gT.I

27、fl.I费料庵I)SuOOOIJ紊饰名I勺图-froG天l*0OT,.J%学1953日志导出H志直通用尸苫爱用户女量日志氐理日如逢合建Ilii日右善法神日志结羽200709Z2三叫IH30OT隼-9月IMlnlinq心lnlnqlnlnklqklnlnln3lnsfMMftff况破*BKK修改日志设修改日古!*改日春&修改Sl应手节包眩用户好改U证方式*sBSTU修改证方式峰SSU证方式修改日志虹*su证方式*改名称&B峰改认证方式本m亚fl*#9?l至触IlReI制时品！讯Itl剧如果日志比较重要还可以选择日志导出，将选定的H志信息导到用户的电脑上。王aoE安全修离系统天*60XS控岁蛭gj

28、TDCS1R7W5T天6000安今l嘉系注.adminAffcffff累S0名募虹认证金*MMKff管。员H右合住JBiHH右善法illH玄/5、要妙艾件fill三台!B客爆筋十机.如臬下的交件值息卷起S，吉可展，戴老伤不案主，8它的乘四.TlHffClSfftty日志号出BSK日志看理日上文伸名*cMf文件受SIRTT18式*01T2i11H右爽事用尸苫理用尸红怨患要打开文体还a格它保存到你的计#t?打开511.里在0l1取/I-M倩0)1B在。开辽种手岁区亡年莉咖/同6)2222222_-9999999OoOoooO-=7777777Oooooon.1I-.1I-IJ-I2222222nn

29、nn1111114三三修改名就GJtIt改口江方式承值告亚机Hffim.talRWShWIiM用mme讯现制4 % $ 18 53事用9*U*匚IMNMrjQww-Ii卜IsuoM*名jI刃留-4IlU天*58019*w(*3BcIWIMMrJQww-IB.IJjffiJg1g1000.也未名一.乜图-40.|9天6000.1|文件下量6tew添加或删除用户管理配置软件默认的用户名/密码：admin/IIllIl（不能删除），为了方便管理，用户可以在用户设置页面上为每一个需要使用的人员设置一个用户名/密码通过管理员日志可以看到谁在什么时间对系统作了哪些修改。也可以为了提高安全性添加一个安全等级

30、高的用户名/密码。默认的用户名/密码最好作为超级用户，只在必要的情况下使用。添加新用户需要进入到用户添加页面中，填写新用户的用户名/用户真实姓名（可以任意填写，只是作为一个标示）/密码等信息。填写完毕后点击保存设置按钮生效。金嗣q *w 3WlM J i I a力SUOOo . %名-I乜图”IlG天000.ramJ%事L69*3(SBfiISllOOO.g.IfflMicro.(5Q00.当用户需要删除某个用户名时在用户列表中的用户条日上点击删除进入用户删除页面,点击确定按钮删除生效。r三ra卖讦闿9.3V*SaVwLQilg.jja8LsUOOO.:JjM名-I乜图!g|&天ooo,qK3

31、18：57只有用admin用户登录时才可以添加用户，如果使用添加的用户登录只能修改该用户的密码。案讦阎93,*SBaMWLQilg.Ja8LsUO.:未停名-.匕图g.0天m,qK318：59Rm恫9*3(SBrwlWnlQWW-IiI-*tI3su0IJ*名Itea-iJlu天W6O00,J%a1859令修改用户密码、PIN码在密码设置页面上可以更改登录用户的密码麦5词g3CSBc.VMMMT.J/&.塞tR=.WsUOOOL.%亲名.匕图lroIlG天000,IzNlIEWK薛l-59在密码设置页面上可以更改U盾的Pin码uiwiNW.|三L.I3tt.g)auoociW.|祝陡名.艺纷天

32、m.第四章应用拓扑介绍1.两个网络在不同网段的应用生产控制大区管理信息大区主机A通过隔离设备访问主机C的数据流程:主机A上抓包显示：源IP：192.168.0.1目的IP：192.168.0.5主机C上抓包显示：源IP：172.16.1.5目的IP：172.16.1.1生产控制大区管理信息大区主机A通过隔离设备访问主机C的数据流程:主机A上抓包显小：源IP：192.168.0.1目的IP：192.168.0.5主机C上抓包显示：源IP：192.168.0.6目的IP：192.168.0.11生产控制大区管理信息大区主机A-主机G,j虚拟目的IPt192.168.0.5主机Ib172.16.L1j圭机A-主机Cr虚拟源IPl192.168.0.6天御6而U单向隔离系统主机R）主机C,M拟目的R172.16.1.5主机B-）主机C?声掠源IPtI92J6X.0.6主机A通过隔离设备访问主机C的数据流程:主机A上抓包显示：源IP：192.168.0.1目的IP：192.168.0.5主机C上抓包显示：源IP：192J68.0.6目的IP