中网物理隔离网闸X-Gap用户手册.doc

--------------------------校验:_____________-----------------------日期:_____________中网物理隔离网闸X-Gap用户手册目录前言关于本手册 4第一章公司隔离网闸X-GAP原理介绍 6隔离网闸GAP概述 6为什么需要隔离网闸 6何谓隔离网闸GAP 8公司隔离网闸X-GAP的技术原理 11产品组成、功能及特点 19产品组成 19产品主要功能 22产品主要特点 25第二章产品及安装说明 26产品组成 26 环境要求 26物理环境要求 26网络环境要求 27辅助设备要求 28拆箱检查 28安装准备 32安装前的准备工作 32安装前的测试工作 32网闸X-GAP硬件安装 33准备工作 33安装须知及注意事项 33安装步骤 34管理软件的安装 35 启动网闸及管理软件 38开启网闸设备 38修改管理主机IP地址 38启动“客户端管理软件”并登录网闸 40第三章X-GAP系统配置 42系统配置 42系统状态 44内部主机的配置 45外部主机的配置 48冗余备份的配置 50双机热备工作原理 50双机热备实现方法 51真地址与虚地址设置注意事项 51冗余备份”的配置 52系统管理员 53第四章外出访问服务 56 配置“浏览”服务 56 浏览服务 57请求”控制 61内容”过滤 64高级选项 66服务 67 配置“FTP服务” 67命令”控制 70文件内容过滤 71收邮件服务 72 配置“收邮件”服务 72邮件内容过滤 77发邮件服务 78 配置“发邮件”服务 78命令”过滤 80邮件内容过滤 81第五章准出交换服务 82定制TCP 82服务 84数据库 86定制UDP 88第六章准入交换服务 89定制TCP 90服务 92数据库 93定制UDP 95第七章审计管理 97 日志控制 97 日志服务器的设置 98 日志告警设置 99 日志查看 100第八章主机安全 102防扫描 102防入侵 104防攻击 105第九章认证管理 107 认证服务器的配置 108 认证规则的配置 109 如何添加一条认证规则 110 如何删除一条认证规则 110认证用户管理 111 如何添加一个用户 112 如何删除一个用户 113客户端的配置 113 安装“客户端认证管理”软件 113 设置“客户端认证管理”软件 115第十章数据库同步管理 118功能特点 118数据库要求 119数据库 119数据库 120数据库 120配置管理 120数据源管理 122同步任务管理 123数据库同步任务的运行与终止 125附录A常见故障原因及处理方法 126附录B产品硬件规格说明 127附录C隔离网闸常见问题及解答 128网闸常见概念问题解答 128网闸常见技术问题解答 132公司隔离网闸X-GAP的技术原理公司隔离网闸X-GAP是公司公司自主研制开发,具有自主知识产权的、新一代、高安全性的国产隔离防护设备,它是公司公司在网络安全领域多年耕耘的技术结晶,是公司公司奉献给业界的精品。下面我们对公司隔离网闸X-GAP的技术原理做一介绍。我们知道互联网是基于TCP/IP来实现的,而所有的攻击都可以归纳为基于对TCP/IP的OSI数据通信模型的某一层或多层的攻击,因此公司隔离网闸X-GAP首先就是要断开TCP/IP的OSI数据模型的所有层,由此消除目前TCP/IP网络存在的攻击,在此基础上再考虑如何安全地实现数据交换的问题。物理层的断开物理层是可以被攻击的。尤其物理层的逻辑表示是可以被攻击的。对网络层的逻辑表示的攻击方法主要是欺骗和伪造,因此可以利用认证和鉴别的方法来防止欺骗和伪造,这就是常用的IP和MAC地址绑定的办法。对MAC地址本身直接进行访问控制也是可行的,这就是MAC防火墙。最后的办法是把物理层完全断开,没有网络功能,因而也就没有来自网络的攻击。物理层的断开是一个复杂的概念。并不是没有人眼看得见的东西连接,就是物理层的断开,如无线通信,人眼是看不见的,但物理层是连接的。也不是人眼看得见的东西有接触就是物理层的连接,如用一个木头把两个计算机连着,尽管它是一个现实中的物理连接,却不能基于该连接建立一个OSI模型中的数据链路的连接,因此不是一个OSI模型意义上的物理层的连接。从这个意义上讲,要确定它是连接的也困难,要确定它不连接也是困难的。由于空气和真空的普遍性,还无法对任何两台计算机确认它们不存在某种现实中的连接,至少证明是困难的。而空气和真空是可以传播电磁波的。因此,不能简单地给物理层的断开下一个定义。从技术上来定义,一个物理层上的断开,应该是“不能基于一个物理层的连接,来完成一个OSI模型中的数据链路的建立”。