天御6000單向平安隔離系統(tǒng)用戶使用手冊北京和信網(wǎng)安科技2007年9月版權(quán)聲明—北京和信網(wǎng)安科技版權(quán)所有，保存一切權(quán)利?！? 非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復(fù)制本書內(nèi)容的局部或全部，并不得以任何形式傳播?！? 對于本手冊中出現(xiàn)的其它商標(biāo)，由各自的所有人擁有?！? 由于產(chǎn)品版本升級或其它原因，本手冊內(nèi)容會不定期進(jìn)行更新。除非另有約定，本手冊僅作為使用指導(dǎo)，本手冊中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。本手冊之圖片僅供參考，如有變動恕不另行通知。前言感謝您使用北京和信網(wǎng)安科技的天御6000單向平安隔離系統(tǒng)，您能成為我們的用戶，是我們莫大的榮幸。為了使您盡快熟練地使用天御6000單向平安隔離系統(tǒng)，我們隨機(jī)配備了內(nèi)容詳細(xì)的用戶使用手冊。天御6000單向平安隔離系統(tǒng)必須通過管理主機(jī)進(jìn)行設(shè)置管理。這本手冊能幫助您更好地管理設(shè)置。希望用戶在遇到設(shè)置問題的時候能在手冊里得到幫助。我們對用戶使用手冊的編排力求內(nèi)容全面而又簡單易懂，從中您可以獲取有關(guān)安裝步驟、系統(tǒng)設(shè)置、根本操作、軟硬件使用方法以及平安考前須知等各方面的知識。在第一次安裝和使用之前，請務(wù)必仔細(xì)閱讀所有資料，這會有助于您更好地使用本產(chǎn)品。這本手冊的讀者對象是天御6000單向平安隔離系統(tǒng)的管理員。在安裝單向平安隔離系統(tǒng)之前及過程中，為更好地應(yīng)用與配置，同時防止可能出現(xiàn)的各類問題，請仔細(xì)閱讀本手冊。我們認(rèn)為手冊中所提供的信息是正確可靠的，請盡量防止人為的失誤。平安使用考前須知本章列出的平安使用考前須知，請仔細(xì)閱讀并在使用天御6000單向平安隔離系統(tǒng)過程中嚴(yán)格執(zhí)行。這將有助于更好地使用和維護(hù)您的單向平安隔離系統(tǒng)。單向平安隔離系統(tǒng)應(yīng)用環(huán)境為溫度-5℃~45℃和濕度40%~80%；存儲環(huán)境為溫度-20℃采用交流220V電源。必須使用三芯帶接地保護(hù)的電源插頭和插座。良好的接地是您的單向平安隔離系統(tǒng)正常工作的重要保證。對于單向平安隔離系統(tǒng)來說，如果缺少接地保護(hù)線，在機(jī)箱的金屬背板上可能會出現(xiàn)感應(yīng)電壓。雖然不會對人體造成傷害，但在接觸時，可能會產(chǎn)生麻、痛等輕微觸電的感覺。另外，如果您擅自更換標(biāo)準(zhǔn)電源線，可能會帶來嚴(yán)重后果。特別提示：①遇到故障，請不要自行拆卸單向平安隔離系統(tǒng)，建議與我們的技術(shù)支持人員〔取得聯(lián)系，以獲得最正確解決方案。②SL-1000平安隔離系統(tǒng)的搬運應(yīng)注意：⑴本平安隔離系統(tǒng)的搬運最好使用出廠原包裝。搬運之前請清點好所有部件和隨機(jī)附帶的資料。⑵最好將各個部件和隨機(jī)附帶的資料按出廠時的包裝復(fù)原。⑶SL-1000平安隔離系統(tǒng)不可帶電搬運，任何零部件不可帶電插拔，否那么可能損壞單向平安隔離系統(tǒng)。⑷將平安隔離系統(tǒng)打包完成后，用膠帶封箱，即可搬運。單向平安隔離系統(tǒng)搬運過程中，請不要劇烈碰撞和跌摔，不可雨淋。搬運過程請遠(yuǎn)離強(qiáng)靜電，強(qiáng)磁場環(huán)境。③正確標(biāo)準(zhǔn)的操作是平安的保證。目錄TOC\o"1-3"\h\z第一章天御6000單向平安隔離系統(tǒng)簡介61.系統(tǒng)概述62.技術(shù)特點63.技術(shù)參數(shù)7第二章硬件安裝71.拆箱檢查72.硬件安裝83.設(shè)備接入拓?fù)鋱D9第三章系統(tǒng)配置91.概述92.初始配置92.1超級終端配置92.2OUTCONSOLE口配置103.客戶端配置軟件的使用133.1客戶端配置軟件簡介133.2登錄客戶端配置軟件153.3系統(tǒng)管理153.4規(guī)那么管理233.5日志管理313.6用戶管理35第四章應(yīng)用拓?fù)浣榻B411.兩個網(wǎng)絡(luò)在不同網(wǎng)段的應(yīng)用412.兩個網(wǎng)絡(luò)在同一網(wǎng)段的應(yīng)用423.兩個網(wǎng)絡(luò)在混合模式下434.雙機(jī)熱備份典型應(yīng)用44天御6000單向平安隔離系統(tǒng)簡介系統(tǒng)概述天御6000單向平安隔離系統(tǒng)依照《全國電力二次系統(tǒng)平安防護(hù)總體方案》、國家經(jīng)貿(mào)委【2002】第30號令《電網(wǎng)和電廠計算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)平安防護(hù)的規(guī)定》和《電力二次系統(tǒng)平安防護(hù)規(guī)定》〔電監(jiān)會5號令〕由我公司自主開發(fā)研制的，滿足中國電力行業(yè)需求的網(wǎng)絡(luò)平安產(chǎn)品。適用于電力平安Ⅰ/Ⅱ區(qū)與平安Ⅲ/Ⅳ區(qū)之間的平安連接，可以文件單向傳輸、數(shù)據(jù)庫單向同步、實時數(shù)據(jù)流單向播送等不同環(huán)境的應(yīng)用。天御6000單向平安隔離系統(tǒng)獲得產(chǎn)品資質(zhì)證書如下：國家公安部銷售許可證國家電力調(diào)度中心檢測證書國家涉密信息系統(tǒng)產(chǎn)品檢測證書國家信息平安認(rèn)證證書防電磁輻射檢測報告計算機(jī)軟件著作權(quán)登記證書技術(shù)特點產(chǎn)品采用2+1結(jié)構(gòu)設(shè)計，雙主機(jī)系統(tǒng)+硬件隔離控制器。采用非INTEL指令集的網(wǎng)絡(luò)處理器；硬件隔離控制器采用專用數(shù)據(jù)處理芯片，無操作系統(tǒng)，延時小于1毫秒；中間硬件隔離控制器通過電子開關(guān)實現(xiàn)平安隔離和單向控制，使生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的隔離強(qiáng)度接近物理隔離；平安、固化的操作系統(tǒng)，采用嵌入式LINUX系統(tǒng)內(nèi)核，內(nèi)、外網(wǎng)關(guān)取消所有網(wǎng)絡(luò)功能；內(nèi)外網(wǎng)關(guān)TCP/IP協(xié)議棧被裁剪掉，內(nèi)外網(wǎng)關(guān)之間采用私有通訊協(xié)議；應(yīng)用層數(shù)據(jù)完全單向傳輸，TCP應(yīng)答包禁止攜帶應(yīng)用層數(shù)據(jù)；高可用性：支持雙機(jī)容錯，支持冗余電源，支持雙鏈路。技術(shù)參數(shù)網(wǎng)絡(luò)接口：4個RJ45〔內(nèi)網(wǎng)、外網(wǎng)、熱備、管理〕網(wǎng)絡(luò)接口速率：10MBASE/100MBASE串行通信接口：2個RS-232〔RJ45接口〕貯存溫度：-20℃～+55工作溫度：-5℃～+45供電電源：220V±15%，50Hz，連續(xù)工作功耗：≤50W體積：標(biāo)準(zhǔn)19英寸，可上機(jī)柜；帶寬：85Mbps平均無故障時間(MTBF)：≥50000小時(100%負(fù)荷)延時：小于1毫秒硬件安裝本章包括天御6000單向平安隔離系統(tǒng)及隨機(jī)附帶的部件資料檢查和硬件安裝，這有助于您更好地維護(hù)天御6000單向平安隔離系統(tǒng)的硬件。關(guān)于硬件使用的其它考前須知請參考本手冊目錄之前的“平安使用考前須知〞局部。拆箱檢查在翻開包裝之后，請您先檢查隨機(jī)附帶的電源線、用戶使用手冊等物品是否齊全，所有部件請對照裝箱單進(jìn)行檢查，如有缺損請及時和銷售人員聯(lián)系。注：取出設(shè)備后，不要將外包裝丟棄，在需要搬運時，請務(wù)必使用原包裝，它是為您的單向平安隔離系統(tǒng)專門設(shè)計的包裝，具備良好的防震功能。每當(dāng)您需要維修效勞時也最好用原包裝將單向平安隔離系統(tǒng)設(shè)備返回到北京和信網(wǎng)安科技的維修效勞部門。物品名稱數(shù)量天御6000單向平安隔離系統(tǒng)1天御6000單向平安隔離系統(tǒng)的電源線1天御6000單向平安隔離系統(tǒng)的串口線1天御6000單向平安隔離系統(tǒng)用戶使用手冊1硬件安裝天御6000單向平安隔離系統(tǒng)機(jī)箱符合工業(yè)機(jī)柜的標(biāo)準(zhǔn)，它的高度為1U，可以順利的安裝到標(biāo)準(zhǔn)機(jī)柜中去。設(shè)備共由4個RJ45〔內(nèi)網(wǎng)、外網(wǎng)、熱備、管理〕，2個RS-232〔RJ45接口〕構(gòu)成。準(zhǔn)備工作準(zhǔn)備兩條交叉網(wǎng)線和兩臺用于連接天御6000單向平安隔離系統(tǒng)的帶網(wǎng)卡的計算機(jī)〔PC機(jī)〕。連接天御6000單向平安隔離系統(tǒng)和內(nèi)、外網(wǎng)計算機(jī)〔天御6000單向平安隔離系統(tǒng)IN、OUT口相當(dāng)于PC機(jī)的網(wǎng)卡，與交換機(jī)連接用直連線；與PC或防火墻連接用交叉線〕。1〕用交叉網(wǎng)線將內(nèi)網(wǎng)計算機(jī)的RJ45端口連接天御6000單向平安隔離系統(tǒng)IN口。2〕用交叉網(wǎng)線將外網(wǎng)計算機(jī)的RJ45端口連接天御6000單向平安隔離系統(tǒng)OUT口。3〕用隨機(jī)的串口配置線一端連接天御6000單向平安隔離系統(tǒng)OutConsole口，另一端連接管理計算機(jī)的串口，用交叉網(wǎng)線將管理計算機(jī)的RJ45端口連接天御6000單向平安隔離系統(tǒng)MNG口。4〕用隨機(jī)附送的電源線將天御6000單向平安隔離系統(tǒng)同220V電源連接起來。安裝過程完畢設(shè)備接入拓?fù)鋱D系統(tǒng)配置概述配置天御6000單向平安隔離系統(tǒng)共由兩局部組成，一是通過OUTCONSOLE口進(jìn)行初始化配置〔設(shè)置管理IP〕，二是通過MNG口進(jìn)行網(wǎng)絡(luò)管理〔設(shè)置平安策略〕。使用隔離系統(tǒng)前，必須正確配置隔離系統(tǒng)，通過閱讀本章，可以快速配置及管理天御6000單向平安隔離系統(tǒng)。考前須知：禁止天御6000單向平安隔離系統(tǒng)管理IP與內(nèi)網(wǎng)或外網(wǎng)地址在同一個網(wǎng)段。初始配置天御6000平安隔離系統(tǒng)的配置首先通過串口命令行進(jìn)行初始化配置〔串口命令行可以配置內(nèi)容為：管理接口地址、用戶認(rèn)證方式等〕。串口配置時需串口線插入OUTCONSOLE口，進(jìn)行配置，完成初始配置后，可通過客戶端管理軟件，進(jìn)行策略配置。具體串口配置過程如下：注：用戶進(jìn)行串口配置時只需連接到OUTCONSOLE口，即可完成全部初始化配置；INCONSOLE口為系統(tǒng)調(diào)試口，用戶無需配置。超級終端配置翻開管理機(jī)，開始—程序—附件—通訊—超級終端，翻開后首先復(fù)原為默認(rèn)值，每秒位數(shù)設(shè)為115200，如下列圖所示：OUTCONSOLE口配置第一步，登陸隔離系統(tǒng)OUTCONSOLE在提示符下輸入系統(tǒng)管理員的用戶名和密碼，默認(rèn)管理員/密碼為：admin/111111。成功登陸后，屏幕顯示為注：管理接口是隔離設(shè)備的管理地址，當(dāng)用戶需要用客戶端管理軟件管理和配置隔離設(shè)備時，需要在自己的電腦上安裝客戶端管理軟件并將電腦的IP地址與管理接口配置到相同的網(wǎng)段。認(rèn)證方式是用戶通過客戶端管理軟件登錄到隔離設(shè)備上時需要的認(rèn)證步驟管理主機(jī)列表指定那些用戶可以對隔離設(shè)備進(jìn)行管理和配置。第二步，配置隔離系統(tǒng)如需要配置只需要在選擇后面輸入相應(yīng)命令，如需要配置管理接口首先在選擇后面輸入M隨即顯示管理接口的IP地址如果需要配置新的管理地址在選擇輸入S后輸入新的IP地址及掩碼注：如果不是跨越三層交換或路由器等設(shè)備，默認(rèn)網(wǎng)關(guān)可以不設(shè)。如需配置新的認(rèn)證方式，請先輸入K然后輸入S最后輸入0或1選擇認(rèn)證方式如需恢復(fù)默認(rèn)主機(jī)列表，請先輸入L然后輸入S如需看設(shè)備版本信息，請輸入V如需要修改密碼，請輸入P〔建議不要修改密碼〕然后輸入一遍原來的密碼在輸入兩遍新設(shè)的密碼。如需要重啟系統(tǒng)，請輸入R。如需要退出登錄界面，請輸入Q客戶端配置軟件的使用客戶端配置軟件簡介管理軟件可以同時管理、配置及監(jiān)控一臺或多臺隔離設(shè)備，對于多臺隔離設(shè)備可以進(jìn)行分組管理，每臺設(shè)備名稱前面用不同顏色的燈顯示設(shè)備狀態(tài)，綠燈：設(shè)備正常運行〔網(wǎng)線正確連接〕；紅燈：設(shè)備異常運行〔內(nèi)、外網(wǎng)口網(wǎng)線接觸不實或沒有接〕；黃燈：設(shè)備正常待機(jī)〔兩臺設(shè)備采用雙機(jī)熱備連接時，待機(jī)設(shè)備狀態(tài)顯示燈〕。紅燈狀態(tài)時會有聲音報警。后退前進(jìn)后退前進(jìn)隱藏/顯示左邊框翻開/關(guān)閉聲音報警當(dāng)點擊某個設(shè)備名時，即為選中某個隔離設(shè)備然后在右框中輸入用戶名、密碼后進(jìn)入該隔離設(shè)備管理配置界面。登錄客戶端配置軟件首先在用戶管理機(jī)通過網(wǎng)線連接到設(shè)備管理口MNG，管理機(jī)上安裝配置管理軟件，安裝完成后，翻開配置管理軟件選擇要配置的隔離設(shè)備，在登錄頁面輸入默認(rèn)用戶名“admin〞、密碼“111111〞。系統(tǒng)管理系統(tǒng)狀態(tài)信息登錄后進(jìn)入設(shè)備的配置管理界面，首先看到系統(tǒng)狀態(tài)頁面具體顯示該設(shè)備的系統(tǒng)狀態(tài)信息。系統(tǒng)狀態(tài)主要分兩大局部：系統(tǒng)信息主要介紹單向隔離系統(tǒng)的系統(tǒng)信息包括：設(shè)備序列號(每個設(shè)備唯一的)、單向隔離系統(tǒng)版本號、授權(quán)狀態(tài)〔如果是試用設(shè)備該狀態(tài)顯示為試用版〕、設(shè)備名稱〔可更改〕、工作組名稱〔可更改〕、運行時間。系統(tǒng)資源通過查看CPU、內(nèi)存、外存使用率，可以看到設(shè)備硬件的實際使用情況。設(shè)備及工作組的名稱設(shè)置為了對隔離設(shè)備的設(shè)備名稱和工作組進(jìn)行設(shè)置。需要進(jìn)入名稱設(shè)置頁面中輸入新的設(shè)備名稱和工作組名稱之后點擊保存設(shè)置按鈕生效。生效后可以進(jìn)入系統(tǒng)狀態(tài)頁面觀看更改后的效果。用戶登錄認(rèn)證設(shè)置如果需要對認(rèn)證方式進(jìn)行更改需要進(jìn)入認(rèn)證設(shè)置頁面，在認(rèn)證方式框中選擇需要的認(rèn)證方式當(dāng)認(rèn)證方式選擇用戶名/密碼時在登錄界面用戶只需輸入用戶名/密碼。當(dāng)認(rèn)證方式選擇用戶名/密碼+U盾時，在登錄界面用戶需要輸入用戶名/密碼/PIN碼。用戶還可以在密碼設(shè)置頁面上的PIN碼設(shè)置頁面中更改PIN碼。添加和刪除管理主機(jī)管理主機(jī)可以在認(rèn)證設(shè)置頁面中設(shè)置，當(dāng)需要添加新的管理主機(jī)時點擊添加主機(jī)按鈕，在主機(jī)設(shè)置頁面中選擇管理主機(jī)的范圍可以是單個的、網(wǎng)段的、范圍或所有的主機(jī)。選擇好管理主機(jī)的范圍后點擊保存配置新添的主機(jī)就添加完成。注：選擇管理主機(jī)范圍時請注意看后面的例如當(dāng)需要刪除某些已添加了的管理主機(jī)時在該管理主機(jī)列表條目后面點擊刪除，在刪除主機(jī)頁面點擊確定。規(guī)那么管理規(guī)那么設(shè)置規(guī)那么設(shè)置是整個配置管理界面中最重要功能，用來設(shè)置隔離設(shè)備兩端的訪問控制列表。注:對于源IP、虛擬源IP、目的IP、虛擬目的IP進(jìn)行以下詳細(xì)說明，天御6000單向隔離系統(tǒng)采用的是雙向地址映射的工作機(jī)制，源IP、目的IP為隔離設(shè)備兩端實際存在的設(shè)備的IP地址；虛擬源IP、虛擬目的IP分別為源IP、目的IP的虛擬地址。源IP地址發(fā)送數(shù)據(jù)到虛擬目的IP地址，經(jīng)過隔離設(shè)備后，源IP轉(zhuǎn)換為虛擬源IP，虛擬目的IP裝換為真實的目的IP。當(dāng)需要添加新的規(guī)那么時點擊添加規(guī)那么按鈕進(jìn)入規(guī)那么添加頁面。規(guī)那么添加頁面中的傳輸方向、傳輸協(xié)議、源IP/端口、虛擬源IP/端口、目的IP/端口、虛擬目的IP/端口、是否需要記錄日志、規(guī)那么狀態(tài)等根據(jù)實際情況需要填寫。設(shè)置完畢后點擊保存設(shè)置按鈕，進(jìn)入規(guī)那么設(shè)置頁面點擊應(yīng)用使新規(guī)那么生效。添加/編輯完規(guī)那么后，必須應(yīng)用添加/編輯完規(guī)那么后，必須應(yīng)用規(guī)那么設(shè)置頁面中的規(guī)那么列表中狀態(tài)欄中打勾的規(guī)那么條目是生效的規(guī)那么，如果需要觀看規(guī)那么的具體信息時可以點擊查看進(jìn)入規(guī)那么屬性頁面如果需要更改規(guī)那么就在該規(guī)那么條目后面點擊編輯進(jìn)入規(guī)那么添加頁面更改規(guī)那么。如果需要刪除規(guī)那么就在該規(guī)那么條目后面點擊刪除，進(jìn)入規(guī)那么刪除頁面點擊確定按鈕刪除相對的規(guī)那么。在規(guī)那么設(shè)置頁面點擊應(yīng)用使刪除生效。流經(jīng)隔離設(shè)備的數(shù)據(jù)包會依據(jù)規(guī)那么設(shè)置列表中的規(guī)那么優(yōu)先級，由高到低依次檢查每條策略。當(dāng)有一條規(guī)那么匹配時，就不會在檢查其它規(guī)那么了。當(dāng)所有規(guī)那么均不匹配時，執(zhí)行默認(rèn)規(guī)那么。其中序號越小，優(yōu)先級越高。當(dāng)需要調(diào)整規(guī)那么優(yōu)先級時可以點擊排序升降按鈕，然后點擊應(yīng)用生效?；貞?yīng)字節(jié)設(shè)置當(dāng)用戶需要調(diào)整回應(yīng)字節(jié)時，進(jìn)入回應(yīng)字節(jié)設(shè)置頁面選擇回應(yīng)字節(jié)數(shù)后點擊保存設(shè)置按鈕生效。日志管理選擇要查看的日志用戶可以在日志設(shè)置頁面上根據(jù)需要選擇需要自己所需要的日志，還可以設(shè)置該日志的大小〔大于1K小于5000K〕查看及下載日志內(nèi)容選擇好需要記錄的日志后，可以在日志查詢頁面中查看相應(yīng)日志信息。在日志查詢頁面中可以選擇要查看的日志并且可以選擇要查看那段時間的日志信息如果日志比擬重要還可以選擇日志導(dǎo)出，將選定的日志信息導(dǎo)到用戶的電腦上。用戶管理添加或刪除用戶管理配置軟件默認(rèn)的用戶名/密碼：admin/111111〔不能刪除〕，為了方便管理，用戶可以在用戶設(shè)置頁面上為每一個需要使用的人員設(shè)置一個用戶名/密碼通過管理員日志可以看到誰在什么時間對系統(tǒng)作了哪些修改。也可以為了提高平安性添加一個平安等級高的用戶名/密碼。默認(rèn)的用戶名/密碼最好作為超級用戶，只在必要的情況下使用。添加新用戶需要進(jìn)入到用戶添加頁面中，填寫新用戶的用戶名/用戶真實姓名〔可以任意填寫，只是