南瑞反向隔离SYSKEEPER-2000销售价格 安全防护强度高

一、产品介绍



SysKeeper-2000?网络安全隔离装置(反向单?bit)的硬件系统基于?RISC?体系结?构的嵌入式微处理器(Motorola?PowerPC),双?CPU?之间通过高速传输芯片进行物?理连接,两个处理系统不同时连通;主板上分别集成两个以太网接口用来连接要?隔离的两个网络,集成一个串口用来连接配置终端,使用户能够方便的配置和监?控隔离装置;支持完备的安全事件告警机制,采用标准?Syslog?日志协议输出报?警信息;双机接口支持隔离装置的双机热备和链路冗余备份,避免重要数据的丢?失;硬件看门狗时刻监控系统状态,保证隔离装置稳定、可靠的运行。


图?1??SysKeeper-2000?网络安全隔离装置(反向型)硬件结构框图


SysKeeper-2000?网络安全隔离装置(反向单?bit?型)的软件系统基于特别裁剪?的嵌入式?Linux?内核,实现两个安全区之间的非网络方式的安全的数据交换;取?消所有网络功能,采取无?IP?地址的透明监听方式,支持网络地址转换,报文综?合过滤,割断穿透性的??TCP?连接;单向数据通信控制,单向连接控制;反向隔?离装置采用带签名的?E?语言进行传输,只允许传输采取?E?语言格式书写的文件,?装置中对传输的?E?语言文件进行检查,如此便能将病毒文件、非文本文件和非?E?语言文件阻隔,大限度保障内网高安全区的安全,在更深层次上保证数据传输?的机密型和完整性。
南瑞反向隔离SYSKEEPER-2000销售价格
反向隔离装置的前面板图如图?2?所示。前面板有?8?个指示灯,分别是电源指


示灯、内网灯、外网灯、告警灯、加密卡状态灯、数据加密灯、智能卡读写器状?态灯、智能卡读写灯。内网灯亮表示有数据从内网传输到外网;外网灯亮表示有?数据从外网传输到内网,如果内外网数据传输的流量太小,可能观察不到内外网?灯的闪烁,此时可以根据后面板网卡指示灯的情况观察是否有数据接收和发送。?告警灯亮并伴有声音告警表示隔离装置正受到网络恶意攻击。加密卡状态灯亮表?示隔离装置内置有数据加密卡,数据加密灯闪烁表示加密卡正在加解密数据;智?能卡读写器状态灯闪烁表示隔离装置内置有智能卡读写器,智能卡读写器状态灯?亮表示智能卡读写器插槽中有智能?IC?卡,智能卡读写灯亮表示智能卡上的用户?数据正在被读取。


图?2????SysKeeper-2000?网络安全隔离装置(反向型)前面板图


后面板图如图?3?所示。隔离装置设计有双电源,一个电源作为主电源供电,?另一个作为辅电源备份,两个电源可以在线无缝切换。内网配置口用来监控内网?侧的状态信息;外网配置口用来配置反向隔离装置,并监控内网侧的状态信息。?内网网口用来连接内网;外网网口用来连接外网。内外网口的网卡指示灯绿灯亮?表示网口与网络正确连接;黄灯亮表示网络速率是??100M,暗表示网络速率是
10M,闪烁表示有数据正在接收或发送。双机接口支持隔离装置的双机热备。告?警接口支持使用专用协议输出报警信息。

图?3?SysKeeper-2000?网络安全隔离装置(反向型)后面板图
5.1?串口故障诊断?



用户在配置隔离装置的时候,如果出现串口连接反复失败的情况,可能是由?于以下原因造成,请按照以下步骤对串口进行诊断:
1、串口的?COM?端口选择不正确。查看串口配置线与计算机的哪一个串口连?接。一般来说计算机自带的串口?A?为?COM1,串口?B?为?COM2。如果是使用串口卡?或?USB?转串口线额外增加的串口,需要打开“设备管理器”,在端口选项下具体?查看串口使用的?COM?端口,确认?COM?端口选择正确。
2、隔离装置配置串口故障。将超级终端的速率设置为‘115200’,数据流控?制设置为‘无’。重新启动隔离装置,在超级终端窗口观察隔离装置的启动信息。?如果能够观察到启动信息?}且没有反复重启现象,说明配置计算机串口与隔离装?置串口连接正确;如果内外网有一个不能观察到启动信息,说明此配置串口故障;?如果内外网都不能观察到启动信息,请确定计算机串口能够正常使用。
3、配置计算机串口兼容性不好。如果能够观察到启动信息?}且没有反复重?启现象,但是使用配置软件始终无法连接到隔离装置,请在配置计算机的“设备?管理器”的端口选项下将相应的?COM?端口速率设置为‘115200’,数据流控制设?置为‘无’后再次重试。
4、隔离装置负荷较重。隔离装置负荷较重时,CPU?使用率过高,串口通讯?进?{可能无法及时得到?CPU?响应。建议选择隔离装置负荷较轻时重试。
5、隔离装置反复重启。在超级终端窗口观察隔离装置的启动信息,确认隔?离装置反复重启,请与本公司联系。
南瑞反向隔离SYSKEEPER-2000销售价格
环境条件
序号
名称
单位
数值
1
环境温度
设备储存温度

?40~+55
设备工作温度
-10~+55
2
大气压力
kPa
70~106
3
海拔
m
3000
4
相对湿度

10~95
5
耐受地震能力
水平加速度
m/s2
0.3g
垂直加速度
m/s2
0.15g
二、产品分发与安装



SysKeeper-2000?网络安全隔离装置(反向型)完整的产品分发包包括硬件和?软件两大部分。用户在使用本产品时,应先检查产品是否具有?NARI?标志,外观?是否有损坏现象。如有以上现象,请勿使用?}及时与本公司取得联系,处理相关?事宜。为了产品稳定、可靠的运行,请勿私自打开隔离装置机箱。
隔离装置随机带有一张配置软件安装光盘和一根串口配置线,用于在安装?Windows2000/XP/2003/NT/9x?操作系统的计算机上配置隔离装置。





















图?4????反向隔离装置配置软件主界面


SysKeeper-2000?网络安全隔离装置的安装和部署非常简单,隔离装置部署在?网络的一出口处,通过内网接口和外网接口,分别与内网和外网相连。内网和?外网的数据交换必须通过隔离装置,以便保护安全的内部网络。





图?5????隔离装置安装网络拓扑图


三、配置隔离装置



3.1?规则配置?



1、由于隔离装置的配置是通过配置终端的串口与隔离装置进行通讯的,所?以首先必须配置终端串口。使用随机附带的串口配置线将配置终端的串口与隔离?装置的外网配置口(Console)连接起来。然后点击‘串口配置’菜单,在‘端口’?选项下选择串口的?COM?端口(图?6)。

图?6?




2、点击‘连接’选项。如果连接成功,系统将会提示成功连接串口(图?7);


如果连接失败,系统也会提示连接串口失败(图?8)。?{序会反复重连?5?次,5?次?都失败后,?{序会自动退出。用户应该参考《附录??5.1?串口故障诊断》一节仔细?检查串口设置。排除故障后,再次重试连接。



图?7?



图?8?


3、点击‘规则配置’菜单下的‘配置规则’选项(图?9),系统会提示输入?用户名和口令(图?10)进行权限认证。隔离装置默认的系统管理员用户名/口令是?root/root。用户在使用隔离装置后,请立刻修改系统管理员口令。

图?9?





图?10


4、用户登录成功后,隔离装置会自动导出已存在的配置规则(图?11),导出?成功后进入‘配置系统规则’主界面(图?12)配置用户规则。(注意:从安全角度?考虑,本地不保留规则配置文件,每次启动时都从隔离装置导出)
























图?11

























图?12
南瑞反向隔离SYSKEEPER-2000销售价格
4.3??两个?网?络?通?过?三?层?交?换?机?连?接



网络环境描述:


内网?101?号网段主机为服务端,IP?地?}为?192.1.101.1,外网?1?号网段主机?为客户端,IP?地?}为?172.17.1.104,假设内网?Server??{序数据接收端口为?9898,?隔离装置内外网卡都使用?eth0。内网划分为?2?个网段(20?号网和?101?号网),外?网也划分为?2?个网段(1?号网和?4?号网),三层交换机做了路由使得这两个网段?可以互通。隔离装置的内网口与内网?20?号网段相连,连接端的三层交换机网关?地?}为?192.1.20.254;隔离装置的外网口与外网?4?号网段相连,连接端的三层交?换机网关地?}为?172.17.4.16。在规则设置时,需要设置两条规则:条规则为?外网主机与内网主机实际通信的规则。另外一条为虚拟路由规则,在与隔离装置?相连接侧,必须设置虚拟路由规则,本例中需在隔离装置的内网侧和外网侧,同?时设置虚拟路选项,即将相应的虚拟路由选项都设置为“是”。





图?32
在三层交换环境下,通信规则的配置原则如下:在隔离装置的内、外网侧均?为三层路由交换环境,外网的虚拟?IP?地?}必须与隔离装置内网侧相连接的三层?交换机网段为同一网段(本例中外网?1?号网段主机?172.17.1.104?的虚拟?IP?设置?为内网?20?号网段的?IP?地?}?192.1.20.31);内网的虚拟?IP?地?}必须与隔离装置?外网侧相连接的三层交换机网段为同一网段(本例中内网??101??号网段主机?
192.1.101.1?的虚拟?IP?设置为外网?4?号网段的?IP?地?}?172.17.4.31)。?实际通信规则配置:














图?33
虚拟路由规则的配置原则如下:与三层交换机相连接侧必须设置虚拟路由选?项,本例中需在隔离装置的内外网侧同时设置虚拟路由选项,即将相应的内、外?网虚拟路由选项选则为“是”,内网对应的外网虚拟?IP?设置为与隔离装置内网侧?相连接的三层交换机网关地?}(本例中配置为?192.1.20.254);外网对应的内网?虚拟?IP?设置为与隔离装置外网侧相连接的三层交换机网关地?}(本例中配置为




172.17.4.16)。



虚拟路由规则配置:

















图?34