深圳华维数通科技股份有限公司隔离网闸、光闸、数据库审计等产品由正规代理商供货,好评率高!
深圳隔离网闸代理商135 1015 3693 | 网站地图

隔离装置 PRODUCTS

让网络变得更安全
您所在的位置:首页 > 产品中心  > 网络安全产品 > 隔离装置
  • 南瑞SysKeeper-2000反向隔离装置(千兆)

南瑞SysKeeper-2000反向隔离装置(千兆)

1) 具有 2 个 10/100/1000M 接口(内网),2 个 10/100/1000M 接口(外网);1 个 10/100/1000M 双机热备接口; 2) 具有 2 个终端管理接口(RS-232)

南瑞SysKeeper-2000反向隔离装置(千兆)

产品配置:


1) 具有 2 个 10/100/1000M 接口(内网),2 个 10/100/1000M 接口(外网);1 个 10/100/1000M 双机热备接口;
2) 具有 2 个终端管理接口(RS-232);
3) 具有 1U 厚度标准,可安装于 19 英寸标准机柜;
4) 额定频率: 50Hz;额定功率: 80W;
5) 密文有效网络吞吐率≥120Mbit/s(100 条安全策略, 1024 字节报文长度);
6) 数据转发延时≤30ms;
7) 数字签名速率≥100 次/s;
8) 满负荷数据包丢弃率为 0% ;

9) 返回确认报文长度≤1bit;


网络安全隔离产品(反向型单比特版)的硬件结构 1 。本产品硬件采用 RISC 体系结构高性能嵌入式计算机芯片,双机之间通过高速物理传输芯片进行物理连接,内网和外网底板上各有两个 10M/100M 以太网接口用来连接要隔离的两网络。内外网还分别配有一个管理网口和一个口,方便调试人员对设备配合管理和后台管理。设备内外网各设置一个 USB 接口,用于登录时插入相应的 USBkey,加强了登录的安全强度。

网络安全隔离装置(反向型)硬件结构框网络安全隔离装置(反向单 bit 型)的软件系统基于特别裁剪的嵌入式 Linux 内核,实现两个安全区之间的非网络方式的安全的数据交换;取消所有网络功能,采取无 IP 地址的透明监听方式,支持网络地址转换,报文综合过滤, 进行 UDP 连接;单向数据通信控制,单向连接控制;反向隔离装置采用带签名的 E 语言进行传输,只允许传输采取 E 语言格式书写的文件,装置中对传输的 E 语言文件进行检查,此便能将病毒文件、非文本文件和非 E 语言文件阻隔,保障内网高安全区的安全, 在更深层次上保证数据传输的机密型和完整性。5反向隔离装置的前面板 2 。 前面板有两排指示灯,上排为外网和内网连接状态指示灯。当网口连接状态正常时,相应的指示灯将会闪烁。下排为外网和内网的网口通信状态指示灯。当网口通信状态正常时 ,相应的指示灯将会闪烁。前面板还设置了上下 2 个电源指示灯,表示电源的工作状态。

网络安全隔离装置(反向型)前面板后面板 3 。隔离装置设计有双电源, 一个电源作为主电源供电,另一个作为辅电源备份,两个电源可以在线无缝切换;外网配置口用来配置正向隔离装置,并监控外网侧的状态信息,外网配置口用来监控外网侧的状态信息;外网网口用来连接外网,内网网口用来连接内网。内外网串口用来连接设备内外网后台,便于对设备进行后台维护操作。内外网 USB 口,用来插入安全 USBkey,加强了登录的安全性。6 3 SysKeeper-2000 网络安全隔离装置(反向型)后面板二、产品分发与安装网络安全隔离装置(反向型单比特版)产品分发包括硬件和软件两大部分。用户在使用本产品时,应先检查硬件产品是否具有 NARI 标志,外观是否有损坏现象。有以上现象,请勿使用并及时与本公司取得联系,处理相关事宜。为了产品稳定、可靠的运行,请勿私自打开隔离装置机箱。

隔离装置随机带有一张配置软件安装光盘、一根串口配置线,用于在安装等操作系统的计算机上进行配置。安装完成后,启动配置管理软件,软件界面 4 。

4 反向隔离装置配置软件主界面7网络安全隔离装置的安装和部署非常简单, 隔离装置部署在网络的出口处,通过内网接口和外网接口,分别与内网和外网相连。内网和外网的数据交换必须通过隔离装置由外网传输至内网,以便保护安全的内部网络。

5 隔离装置安装网络拓扑三、 反向隔离装置配置管理3.1 用户登录1) 用随机附带的配置网线连接到安全隔离装置的外网 3 管理口。

2) 本地主机设置成 11.22.33.43/24, 并将本机与反向隔离装置的外网 3 配置口连接, 启动安全隔离装置的配置软件, 然后点击‘用户登录’菜单中’ 登录’ (6)。8 6 安全隔离装置配置软件启动界面3) 输入用户名 admin,密码 Nari.6712,成功的登录设备( 7、 8)

规则配置1) 点击‘规则配置’菜单下的‘配置规则’选项, 会进入配置规则界面 ( 9102)规则配置界面左侧一列为常用操作按钮,以下为各个操作功能介绍: 打开配置点击左侧第一个按钮 ,为打开配置。可以通过此功能打开原来保存或备份本地的配置配置文件,方便浏览或导入本台设备; 保存配置点击左侧第二个按钮 ,为保存配置配置。此功能为将现有的配置保存下来; 上传配置点击左侧第四个按钮 ,将配置好且保存完成的配置导入装置; 下载配置点击左侧第五个按钮 ,将配置从设备后台文件中读取并展示出来; 新建资源点击左侧第六个按钮 ,将新建一条配置规则,右侧配置列表中将多出一条默认的配置规则; 删除资源在右侧配置列表中,选中待删除的配置规则,点击左侧第七个按钮 ,将之删除; 复制、粘贴资源在右侧配置列表中选中一条配置规则,点击左侧第八个按钮 ,再点击第九个 ,则右边配置列表中将出现一条一样的配置规则; 编辑资源选中右侧配置列表中一条待修改的配置规则,点击左侧第十个按钮,将弹出编辑资源配置对话框,根据环境配置和修改相应的参数( 10)11 103.3 日志管理日志管理部分仅提供日志配置功能,即加此设备的系统日志,故障日志等发送至日志服务器。点击’ 日志配置’ ,出现日志配置对话框( 11)

11说明: ①设备名称:本台发送的日志的名称,建议英文字母,表示哪台设备的日志12②本地 IP:从现有配置规则或新建一条配置规则中选择内网虚拟地址或外网虚拟地址(若日志服务器在内网,则填写外网虚拟地址;若日志服务器在外网,则填写外网虚拟地址)

③远程 IP:日志服务器的 IP 地址④端口:固定填写 514⑤协议:日志发送使用 UDP 协议,故选择 UDP3.4 用户管理日志管理部分仅提供修改密码功能,点击‘修改密码’,出现修改密码对话框( 12), 分别输入原密码,新密码,确认新密码: 123.5 系统工具1) 点击‘规则包导出’,弹出选择保存路径对话框,选择规则待存放的本地路径,将规则命名完成后,点击确定( 13)13 132) 点击‘规则包导入’,弹出选择本地配置文件对话框,选择选择预先保存的配置文件后,点击确定( 14)

3)点击‘重启装置’,出现重启装置对话框,点击‘是’,则装置重启(15)

154) 点击‘系统装置’,查看系统运行状态,可查看 CPU 使用率,内存使用率,网络流量等等( 16)

165)点击‘时间设置’ 可修改装置系统时间( 17)

176) 点击‘登录设置’ 可修改登录超时时间和设备管理地址等等( 18)15 187)点击‘诊断工具’实现规则配置后的网络测试功能,输入内网或者外网的主机地址,测试设备到内网或外网主机的网络连通性( 19)

四、 典型应用环境配置案例4.1 两个网络通过二层交换机连接网络环境描述:内网主机为服务端, IP 地址为 192.168.0.1,虚拟 IP 为 10.144.0.2;外网主机为客户端, IP 地址为 10.144.0.1, 虚拟 IP 为 192.168.0.2, 假设程序数据接收端口为 9898,隔离装置内外网卡都使用 eth1。 在二层交换的环境下,通信规则的配置原则下:外网虚拟 IP 地址须与内网 IP 地址为同一网段,内网虚拟 IP 地址须与外网 IP 地址为同一网段,且虚拟地址必须在真实网络环境中没有被其它的主机和业务系统占用。

21注意:果隔离装置两边主机是同一网段,虚拟 IP 地址与真实的 IP 地址相同。例主机 C(10.144.100.1),与主机 D(10.144.100.2)进行通信,此时可以把主机 C 的虚拟 IP 地址设置为 10.144.100.1,主机 D 的虚拟 IP 地址设置为。

4.2 两个网络通过路由器连接网络环境描述:内网主机为服务端, IP 地址为 192.168.0.5;外网主机为客户端, IP 地址为 10.144.0.6, 假设 Server 程序数据接收端口为 8000, 隔离装置内外网卡都使用 eth1。路由器为内外网之间的网关,路由器与隔离装置内网口连接的网段的网关地址为 10.144.0.1。

22在路由环境下,通信规则的配置原则下:在隔离装置的外网侧为二层交换环境,因此配置规则与上例二层环境的配置相同,即外网的 IP 地址与内网的虚拟 IP 为同一网段(本例内网虚拟 IP 地址配置为 10.144.0.3);在隔离装置的内网侧为路由环境,外网的虚拟 IP 必须与隔离装置内网侧相连接的路由器网段为同一网段(本例外网虚拟 IP 地址配置为 10.144.0.2)。 内网侧设置虚拟路选项,即将相应的虚拟路由选项都选择为“是”,并填写内网侧的网关 10.144.0.1。18 234.3 两个网络通过三层交换机连接网络环境描述:内网 101 号网段主机为服务端, IP 地址为 192.1.101.1,外网 1 号网段主机为客户端, IP 地址为 172.17.1.104,假设内网 Server 程序数据接收端口为 9898,隔离装置内外网卡都使用 eth1。内网划分为 2 个网段(20 号网和 101 号网),外网也划分为 2 个网段(1 号网和 4 号网),三层交换机做了路由使得这两个网段可以互通。隔离装置的内网口与内网 20 号网段相连,连接端的三层交换机网关地址为 192.1.20.254;隔离装置的外网口与外网 4 号网段相连,连接端的三层交换机网关地址为 172.17.4.16。 本例中需在隔离装置的内网侧和外网侧, 同时设置虚拟路选项,即将相应的虚拟路由选项都选择为“是”,并填写两侧的网关。19 24在三层交换环境下,通信规则的配置原则下:在隔离装置的内、外网侧均为三层路由交换环境,外网的虚拟 IP 地址必须与隔离装置内网侧相连接的三层交换机网段为同一网段(本例中外网 1 号网段主机 172.17.1.104 的虚拟 IP 设置为内网 20 号网段的 IP 地址 192.1.20.31);内网的虚拟 IP 地址必须与隔离装置外网侧相连接的三层交换机网段为同一网段(本例中内网 101 号网段主机的虚拟 IP 设置为外网 4 号网段的 IP 地址 172.17.4.31)。20 25五、附录5.1 常见故障诊断1、 JAVA 配置软件无法启动。请确认本地主机的 JDK 环境是否安装正确。

目前对于 JDK 安装包的合适使用版本为 1.5---1.7,请在 Windows 的 DOS 运行界面中输入 java –version 查看 JDK 的版本。本地主机的 IP 地址是否设置成,设置完后是否可以 ping 11.22.33.44 –l 996 成功。

2、 确认内外网主机与隔离装置物理连接正常。 隔离装置现在支持直接字节)功能, 内网主机直接 ping 外网主机的虚拟 IP,果成功说明内网主机与隔离装置物理连接正常;外网主机直接 ping 内网主机的虚拟 IP,果成功说明外网主机与隔离装置物理连接正常。 果 ping 失败,请仔细检查内外网主机与网络的物理连接。以《典型应用配置案例》中第一种环境为例,测试内外网是否连通的方式:在 192.168.0.1 上在 10.144.0.1 上果是 Linux 系统的则改为-s,务必注意。

3、 隔离装置规则配置参数错误。请仔细阅读《典型应用配置案例》一节,确认规则配置正确。或者寻求本公司的技术支持。

4、 内外网通讯程序没有按照隔离装置的编程原则设计。 请使用随机光盘上的测试软件测试内外网的数据通讯是否正常。

5.2 虚拟主机 IP、静态 NAT 介绍为了实现处于不同网段的主机之间的相互访问,隔离装置采用了虚拟 IP、静态 NAT 技术。所谓的虚拟 IP,就是在隔离装置中针对内外网的两台主机,虚拟出两个 IP 地址,内网主机虚拟出一个外网的 IP 地址,外网的主机虚拟出一个21内网的 IP 地址,这样内网主机就可以通过访问外网主机的虚拟 IP 达到访问外网主机的目的,同时外网主机也可以通过访问内网主机的虚拟 IP 达到访问内网主机的目的。有了以上两个虚拟 IP 地址,内外网主机之间的通讯被映射为两个部分:内网对内网的通讯,外网对外网的通讯。 具体示例 26 :内网主机 IP 地址为 192.168.0.39,分配一个与外网主机在同一网段的虚拟 IP地址 202.102.93.1;外网主机 IP 地址为 202.102.93.54,分配一个与内网主机在同一网段的虚拟 IP 地址 192.168.0.1。当内网主机上的 client 端向外网主机上的端发起 TCP 连接请求时,报文的源 IP 地址为 192.168.0.39,目的 IP 地址为外网主机的虚拟 IP 地址 192.168.0.1。经过隔离装置的 NAT 转换后,到达外网的报文的源 IP 地址为内网主机的虚拟 IP 地址 202.102.93.1,目的 IP 地址为外网主机的 IP 地址 202.102.93.54。从外网主机到内网主机的 TCP 应答报文源 IP 地址是外网主机的 IP 地址 202.102.93.54,目的 IP 地址是内网主机的虚拟 IP 地址。经过隔离装置的 NAT 转换后, 到达内网的应答报文的源 IP 地址是外网主机的虚拟 IP地址 192.168.0.1,目的地址是内网主机的 IP地址 192.168.0.39。

26 虚拟 IP 示意注意:1、 在使用 NAT 功能时,外网主机可以有多个虚拟的 IP 地址与之对应。

2、 内网多台主机访问外网同一台主机时,外网主机虚拟 IP 可以只设置一个,22但是内网每一台主机的虚拟 IP 地址必须不同。例内网主机 B 也要和外网主机通信, IP 地址为 192.168.0.45。外网主机的虚拟 IP 地址可以设置为上例的虚拟 IP 地址 192.168.0.1,内网主机 B 的虚拟 IP 地址必须与主机A 的虚拟 IP 地址不同,可以设置为 202.102.93.2。






(此内容由glwz.havst.com.cn提供)

总机电话

0755-83913336   135 1015 3693

公司地址

深圳市宝安区西乡大道288号宝源华丰总部经济大厦D座6楼616