某安全产品安装调试指导手册

网神secsis 3600安全隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：

网络配置：完成设备网络参数的基本配置以及高可用性（双机负载）的配置。

管理员配置：管理员源地址的访问控制，权限分配，新增管理员及参数设置。

文件交换：实现将网闸一侧的文件安全可控的摆渡到另外一侧

数据库同步：实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中。

安全浏览：在内外网隔离环境下保证内网用户安全浏览外网资源。

安全ftp：实现对ftp服务器的安全防护。

ftp 访问：在内外网隔离环境下实现安全的 ftp 访问。

数据库访问：在内外网隔离环境下实现安全的数据库访问。

邮件访问：在内外网隔离环境下实现安全的邮件访问。

**模块：在内外网隔离环境下实现安全的**服务器的访问。

定制模块：在内外网隔离环境下实现对所有的基于tcp/udp服务的访问。

工具箱：系统许可证、配置管理、系统时间、修改口令，版本等信息的管理。

网神secsis 3600安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境，可应用在不同的涉密网络之间；同一涉密网络的不同安全域之间；与互联网物理隔离的网络和秘密级涉密网络之间；未与涉密网络连接的网络和互联网络之间，通过网闸的安全控制，在保证信息安全的前提下更好地促进各个业务系统的互联互通、资源共享。

某**部门开展电子政务，允许公众通过互联网提交服务申请并查询结果。如果允许访问者通过web服务器直接向核心数据库服务器发起数据访问请求，则黑客可能穿透防火墙的保护直接侵入后台数据库系统，严重威胁到业务的正常开展。

如上图所示，采用网神secsis 3600安全隔离与信息交换系统，在核心数据库服务器和外部不可信网络间实现安全隔离，则来自互联网的用户只能通过web服务器访问到前置数据库服务器。根据安全策略定时将前置数据库和核心数据库的内容进行同步，既可满足对外服务的要求又提供了安全保障。这种方式强化了应用层的安全控制，可有效防止tcp/ip数据包穿越网络到达核心数据库服务器，大大增强了系统的安全性，为电子政务的有效开展提供了可靠的保证。

网神secsis 3600安全隔离与信息交换系统提供多种数据库同步方式，可定制同步周期及方向，支持oracle、sybase、sql server、mysql、db2等多种主流数据库。系统支持基于触发器和快照两种方式的增量数据复制，可实现异类数据库间的数据同步。系统提供c/c++编程接口，可以方便的与其它系统的集成。

某机构强制要求内网禁止与互联网相连，但根据业务需要必须通过电子邮件与外界进行信息交流。如采用人工方式，即由专人负责在公众信息网接收电子邮件，再通过移动存储介质复制到内部网进行处理，则信息不能得到及时处理，严重影响工作效率；若采用内外网邮件服务器**的方式，安全又得不到保证。

为解决这一问题，在内外网间部署网神secsis 3600安全隔离与信息交换系统。安全隔离与信息交换系统可以保证可信内网与internet安全隔离，内外网邮件服务器间不存在链路层连接，没有数据包的交换，因此无法通过邮件系统对内部办公网发起攻击。系统可以为每个用户制定各自的邮件交换策略，对邮件内容、附件类型及垃圾邮件、带病毒邮件等进行过滤，从而使内网用户可以在内网安全地收发邮件，保证安全的邮件处理。

网神secsis 3600安全隔离与信息交换系统，由安全管理员制定相应的信息交换策略，在网络安全隔离的前提下定时进行文件交换。系统还支持交换方向、文件类型的指定，可对被交换文件进行内容检查、查病毒等处理，只允许或不允许包含相应内容的文件通过网闸传递。

网神secsis 3600 安全隔离与信息交换系统可对数字签名进行校验，以起到身份认证、防抵赖的作用。

网神secsis 3600安全隔离与信息交换系统，由安全管理员制定相应的ftp访问策略，在网络安全隔离的前提下进行ftp访问。系统还支持访问方式、文件类型的指定，可对ftp命令、用户名进行策略配置，达到ftp用户访问控制和过滤。

为了内网用户能够安全的访问互联网资源，网神secsis 3600安全隔离与信息交换系统，在保障内网安全的前提下提供安全浏览功能。安全浏览功能可进行多种策略设置，以达到url访问控制、网页文件类型限制、上网时段控制等安全功能。内网用户可通过网闸对互联网资源正常、安全的进行访问。

网闸的部署与用户的业务系统息息相关，在网闸项目实施时应特别注意，切勿造成用户业务无法正常使用的状况出现。所以，在网闸上线实施前，应对当前用户的网络环境、业务模式、安全需求等情况进行详细的了解，充分做好产品上线准备，确保网闸上线后高效、稳定，与用户业务安全结合。

充分的网络环境了解，有助于我们明确网闸的部署位置，ip地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑。

网络拓扑图可以请用户网络工程师协助提供。拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。

部署位置。根据用户提供拓扑，分清安全域界限，明确网闸部署位置。

ip规划。明确网闸所需的ip地址、掩码、网关地址，以及各关键设备的地址信息。

明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的服务器进行了解，以确保采用正确的网闸模块与之对应。

服务器系统平台信息。

了解用户服务器使用何种类型操作系统以及操作系统版本等系统平台信息。了解各服务器网络配置信息，如服务器ip地址、服务器连接位置等。

数据库信息。

对具有数据库应用需求的用户，了解其使用的数据库类型、版本等数据库相关信息。

软件信息。了解用户主机系统所使用的与网闸业务相关的软件信息。

了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。

应用相关信息。

了解业务所采用的协议类型，业务端口开放情况等业务相关信息。

业务流程分析。

通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更合适的方式来实现所需要的功能服务。

业务软件模式。

针对业务应用所使用的软件模式，b/s架构还是c/s架构，可以更好的选择功能模块采用的实现方式。

了解用户安全需求，细化网闸安全功能，确保用户信息及数据的安全。

访问用户限制。

针对不同的访问用户进行业务应用限制，功能使用限制；

对于不同的管理员赋予不同的权限。

访问客户端限制。

针对ip段、mac地址的访问限制；

应用层过滤。

针对业务应用进行的策略限制，黑白名单策略、命令限制、文件类型限制等。

设备开箱请按装箱清单进行清点，并对设备外观进行检查，若有异常请认真详细地做好记录。打开网闸包装后，确认包装箱内是否包含以下各物品以及状态是否良好：

网神secsis 3600网闸。

配件盒：电源线×1

串口线×1网线×2

软盘/cd-rom 光盘（包括网闸相关信息文件和手册）

如果发现任何物品丢失或出现损坏，则立即联系网神公司。如果需要运输或将网神secsis 3600安全隔离与信息交换系统保存起来以待后用，那么切勿丢掉包装材料或装运纸箱。

开箱检验确认设备外观无异常后，可对设备进行加电检验。加电后请注意观察网闸前面板指示灯，可初步判断网闸是否正常。内、网外面板各有3个指示灯。按顺序分别为：

电源指示灯：显示网闸供电是否正常。

状态指示灯：显示网闸存储读写工作情况。

交换指示灯：显示网闸交换卡工作情况。

网闸加电后，正常状态下，电源指示灯常量；状态指示灯只在存储读写情况下闪烁，无工作状态灭灯；交换指示灯在无工作情况下为间隔闪亮，间隔时间约1~2秒，交换卡工作情况下为快速闪烁状态。

注意：网闸配备冗余电源，尽量保证双电源供电。如果使用单一供电，无供电电源会产生报警。（可按电源模块上红色按钮取消报警）

某安全产品安装调试指导手册

网络安全产品服务合同

涉密信息系统安全产品目录

试为某产品创作一则广告文

其他用户还读了