南京去哪买南瑞反向隔离SYSKEEPER-2000

反向隔离装置的前面板图如图?2?所示。前面板有?8?个指示灯,分别是电源指


示灯、内网灯、外网灯、告警灯、加密卡状态灯、数据加密灯、智能卡读写器状?态灯、智能卡读写灯。内网灯亮表示有数据从内网传输到外网;外网灯亮表示有?数据从外网传输到内网,如果内外网数据传输的流量太小,可能观察不到内外网?灯的闪烁,此时可以根据后面板网卡指示灯的情况观察是否有数据接收和发送。?告警灯亮并伴有声音告警表示隔离装置正受到网络恶意攻击。加密卡状态灯亮表?示隔离装置内置有数据加密卡,数据加密灯闪烁表示加密卡正在加解密数据;智?能卡读写器状态灯闪烁表示隔离装置内置有智能卡读写器,智能卡读写器状态灯?亮表示智能卡读写器插槽中有智能?IC?卡,智能卡读写灯亮表示智能卡上的用户?数据正在被读取。


图?2????SysKeeper-2000?网络安全隔离装置(反向型)前面板图


后面板图如图?3?所示。隔离装置设计有双电源,一个电源作为主电源供电,?另一个作为辅电源备份,两个电源可以在线无缝切换。内网配置口用来监控内网?侧的状态信息;外网配置口用来配置反向隔离装置,并监控内网侧的状态信息。?内网网口用来连接内网;外网网口用来连接外网。内外网口的网卡指示灯绿灯亮?表示网口与网络正确连接;黄灯亮表示网络速率是??100M,暗表示网络速率是
10M,闪烁表示有数据正在接收或发送。双机接口支持隔离装置的双机热备。告?警接口支持使用专用协议输出报警信息。

图?3?SysKeeper-2000?网络安全隔离装置(反向型)后面板图
4.4??两个?网?络?通?过?二?层?交?换?机?双?机?双?网?连?接



网络环境描述:


内网主机为服务端,两块网卡的?IP?地?}为?192.168.0.8/192.168.1.8,虚?拟?IP?分别设置为?10.1.0.9/10.1.1.9;外网主机为客户端,两块网卡的?IP?地?}?为?10.1.0.8/10.1.1.8,虚拟?IP?分别设置为?192.168.0.9/192.168.1.9,同网段?的?IP?相互通讯,?{序默认通过?0?号网段通讯,0?号网段不通的情况下切换到?1?号网段进行通讯。两台隔离装置双机热备(采用交叉连接线将外网双机热备接口?FailOver?连接起来),配置规则相同。假设?Server??{序数据接收端口为?9898。

图?35
在二层交换双机双网的环境下,通信规则的配置原则如下:热备份主机和备?机的配置规则完全相同。在主备机的配置规则中,需要配置两条实际通信规则,



拟?IP?设置可以参考二层交换机环境下单隔离装置通信规则配置原则。


实际通信规则配置?1:






实际通信规则配置?2:
图?36




图??37
5.4?虚拟主机IP、静态?NAT介?绍



为了实现处于不同网段的主机之间的相互访问,隔离装置采用了虚拟??IP、?静态?NAT?技术。所谓的虚拟?IP,就是在隔离装置中针对内外网的两台主机,虚?拟出两个?IP?地?},内网主机虚拟出一个外网的?IP?地?},外网的主机虚拟出一个?内网的?IP?地?},这样内网主机就可以通过访问外网主机的虚拟?IP?达到访问外网?主机的目的,同时外网主机也可以通过访问内网主机的虚拟?IP?达到访问内网主?机的目的。有了以上两个虚拟?IP?地?},内外网主机之间的通讯被映射为两个部分:?内网对内网的通讯,外网对外网的通讯。具体示例如图?57?所示:
内网主机?IP?地?}为?192.168.0.39,分配一个与外网主机在同一网段的虚拟?IP?地?}?202.102.93.1;外网主机?IP?地?}为?202.102.93.54,分配一个与内网主机在同?一网段的虚拟?IP?地?}?192.168.0.1。当内网主机上的?client?端向外网主机上的?Server?端发起?TCP?连接请求时,报文的源?IP?地?}为?192.168.0.39,目的?IP?地?}?为外网主机的虚拟?IP?地?}?192.168.0.1。经过隔离装置的?NAT?转换后,到达外网



主机的?IP?地?}?202.102.93.54。从外网主机到内网主机的?TCP?应答报文源?IP?地


?}是外网主机的?IP?地?}?202.102.93.54,目的?IP?地?}是内网主机的虚拟?IP?地?}


202.102.93.1。经过隔离装置的?NAT?转换后,到达内网的应答报文的源?IP?地?}是?外网主机的虚拟?IP?地?}?192.168.0.1,目的地?}是内网主机的?IP?地?}?192.168.0.39。

图?39????虚拟?IP?示意图


注意:


1、?在使用?NAT?功能时,外网主机可以有多个虚拟的?IP?地?}与之对应。


2、?内网多台主机访问外网同一台主机时,外网主机虚拟?IP??可以只设置一个,?但是内网每一台主机的虚拟?IP?地?}必须不同。例如内网主机?B?也要和外网?主机通信,IP?地?}为?192.168.0.45。外网主机的虚拟?IP?地?}可以设置为上?例所示的虚拟?IP?地?}?192.168.0.1,内网主机?B?的虚拟?IP?地?}必须与主机?A?的虚拟?IP?地?}不同,可以设置为?202.102.93.2。
3、?如果隔离装置两边主机是同一网段,虚拟?IP?地?}与真实的?IP?地?}相同。例?如主机?C(10.144.100.1),与主机?D(10.144.100.2)进行通信,此时可以把?主机?C?的虚拟?IP?地?}设置为?10.144.100.1,主机?D?的虚拟?IP?地?}设置为
10.144.100.2。
5.2?网络故障诊断?



用户在使用隔离装置的时候,如果内外网无法正常通讯,请按照以下步骤对?网络进行诊断:
1、确认隔离装置与网络物理连接正常。因为隔离装置支持双机热备功能,?如果隔离装置与网络物理连接不正常,隔离装置会切换到备机模式。使用“超级?终端”观察正向隔离装置内网的启动信息,如果有“I??want??change??to??main?machine”信息显示,表示隔离装置工作在主机模式,隔离装置与网络连接正常;?否则工作在备机模式,请仔细检查隔离装置与网络的物理连接。
2、确认内外网主机与隔离装置物理连接正常。隔离装置现在支持有限的?ping?诊断功能,具体诊断方法请参考本手册?3.5?节《系统调试》,如果诊断成功?说明内外网主机与隔离装置物理连接正常。如果?ping?失败,请仔细检查内外网?主机与网络的物理连接。
3、隔离装置规则配置参数错误。请仔细阅读第四章《典型应用隔离方案规?则设定范例》一节,确认规则配置正确。或者寻求本公司的技术支持。
4、内外网通讯?{序没有按照隔离装置的编?{原则设计。请使用随机光盘上?的测试软件测试内外网的数据通讯是否正常。
南京去哪买南瑞反向隔离SYSKEEPER-2000
一、产品介绍



SysKeeper-2000?网络安全隔离装置(反向单?bit)的硬件系统基于?RISC?体系结?构的嵌入式微处理器(Motorola?PowerPC),双?CPU?之间通过高速传输芯片进行物?理连接,两个处理系统不同时连通;主板上分别集成两个以太网接口用来连接要?隔离的两个网络,集成一个串口用来连接配置终端,使用户能够方便的配置和监?控隔离装置;支持完备的安全事件告警机制,采用标准?Syslog?日志协议输出报?警信息;双机接口支持隔离装置的双机热备和链路冗余备份,避免重要数据的丢?失;硬件看门狗时刻监控系统状态,保证隔离装置稳定、可靠的运行。


图?1??SysKeeper-2000?网络安全隔离装置(反向型)硬件结构框图


SysKeeper-2000?网络安全隔离装置(反向单?bit?型)的软件系统基于特别裁剪?的嵌入式?Linux?内核,实现两个安全区之间的非网络方式的安全的数据交换;取?消所有网络功能,采取无?IP?地址的透明监听方式,支持网络地址转换,报文综?合过滤,割断穿透性的??TCP?连接;单向数据通信控制,单向连接控制;反向隔?离装置采用带签名的?E?语言进行传输,只允许传输采取?E?语言格式书写的文件,?装置中对传输的?E?语言文件进行检查,如此便能将病毒文件、非文本文件和非?E?语言文件阻隔,大限度保障内网高安全区的安全,在更深层次上保证数据传输?的机密型和完整性。