信息规划项目安全网络隔离装置SGINDS200用户操作技巧介绍书.doc
《信息规划项目安全网络隔离装置SGINDS200用户操作技巧介绍书.doc》由会员分享,可在线阅读,更多相关《信息规划项目安全网络隔离装置SGINDS200用户操作技巧介绍书.doc(38页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、|信息安全网络隔离装置 SGI-NDS200操作手册信息安全网络隔离装置 项目组 版 权 声 明SGI-NDS 200信息安全网络隔离装置版权归国家电网公司所有,任何侵犯版权的行为将被追究法律责任。未经版权所有者的书面准许,不得将本手册的任何部分以任何形式、采用任何手段(电子的或机械的,包括照相复制或录制)、或为任何目的,进行复制或扩散。Copyright2009-2010国家电网公司。版权所有,复制必究。国家电网公司不对因为使用该软件、用户手册或由于该软件、用户手册中的缺陷所造成的任何损失负责。前 言互联网从无到有以飞快的速度发展着,它的开放性在给人们带来巨大便利的同时,也带来了系统入侵、信
2、息泄密等网络安全问题。网络的存在使得信息高度共享和迅速传递,但是也要清楚认识到,网络安全问题作为一个十分重要和极具威胁性的问题是一直存在着的。目前,有很多网络安全工具,比如防火墙、IDS等等,网络安全隔离作为近几年来国内研究开发的网络安全技术也飞速发展起来,在市场上占有一席之地,相信在不久的将来网络安全隔离在信息安全领域将扮演着越来越重要的角色。SGI-NDS 200信息安全网络隔离装置采用接口代理的技术架构,替换客户端访问的JDBC驱动,通过SGI-NDS 200设备进行实际的数据库访问。系统可以控制内外网之间的交互数据,对于访问进行深层的过滤与全面的检测。阅 读 指 南手册目标本手册是国家
3、电网公司的产品SGI-NDS 200信息安全网络隔离装置的用户指南,它详细地介绍了设备功能和操作。通过阅读本手册,用户可以掌握SGI-NDS 200信息安全网络隔离装置的使用方法和功能。阅读对象本手册是专为购买SGI-NDS 200信息安全网络隔离装置的用户编写的。用户在使用SGI-NDS 200信息安全网络隔离装置之前请仔细阅读本手册,以免误操作,造成不必要的损失。手册构成本手册主要由以下几个部分组成:1 第1章“信息安全网络隔离装置介绍”和第2章“SGI-NDS 200信息安全网络隔离装置简介”,介绍了与网络安全隔离技术有关的背景知识以及SGI-NDS 200信息安全网络隔离装置的功能。2
4、 第3章“SGI-NDS 200信息安全网络隔离装置管理”,介绍了SGI-NDS 200信息安全网络隔离装置管理器的使用方法。手册约定【注意】、【提示】的意思是请读者注意那些需要注意的事项。 目录1信息安全网络隔离装置介绍11.1信息安全网络隔离装置的定义11.2信息安全网络隔离装置在网络中的位置11.3信息安全网络隔离装置访问控制策略12SGI-NDS 200信息安全网络隔离装置简介32.1工作原理32.2功能和特性32.2.1基本功能32.2.2增强的安全功能32.2.3数据库专用防护功能42.2.4安全方便的维护管理42.3产品实施步骤52.4系统启动过程简介63SGI-NDS 200信
5、息安全网络隔离装置管理73.1登录73.2用户管理93.2.1用户类型与权限93.2.2管理用户103.2.3修改密码113.2.4查看用户信息113.2.5超级管理员123.3应用规则管理123.3.1应用系统导航图123.3.2应用系统173.3.3应用服务器183.3.4虚拟数据库193.3.5真实数据库203.3.6SQL词法白名单213.3.7特征过滤黑名单223.4监控管理模块223.4.1操作系统监控233.4.2SQL代理服务器监控233.5系统信息管理模块243.5.1查看硬件配置信息243.5.2查看代理服务器版本信息253.6配置管理模块253.6.1配置导入253.6.
6、2配置导出263.7日志管理模块273.8工具栏283.9菜单栏284FAQ294.1客户端软件运行异常294.1.1界面菜单和功能显示不全294.1.2界面显示全为英文,并且没有功能294.1.3关闭软件重新打开后直接进入关闭前的界面294.2应用系统运行异常294.2.1使用了数据库私有接口291 信息安全网络隔离装置介绍1.1 信息安全网络隔离装置的定义信息安全网络隔离装置是将可信任的信息内网和不可信任的信息外网进行隔离,因此必须保证信息内网和信息外网之间的SQL通信均通过信息安全网络隔离装置进行,同时还必须保证信息安全网络隔离装置自身的安全性。 1.2 信息安全网络隔离装置在网络中的位
7、置图1-1 普通网络系统连接示意图1.3 信息安全网络隔离装置访问控制策略访问控制策略是信息安全网络隔离装置的基础,它可以按如下两种逻辑来制订:1、 默认禁止:访问控制规则没有明确允许的都禁止访问;2、 默认允许:访问控制规则没有明确禁止的都允许访问。对于网络通讯的控制,采用默认禁止的方式,即为配置相应通讯策略的协议,均无法通过装置。对于应用SQL语句的控制,装置采用词法匹配和内置默认规则方式进行过滤,一方面提升效率,同时增强了安全性。未明确禁止的SQL语句可通过本装置。2 SGI-NDS 200信息安全网络隔离装置简介2.1 工作原理信息安全网络隔离装置是适应网络按照安全等级进行分区的需要,
8、对数据库进行保护的专用装置。本装置可以对信息内外网间的传输进行过滤,只允许特定的应用服务器通过特定的程序对特定的数据库服务器进行访问,并且对客户端程序访问数据库服务的内容和行为进行控制。2.2 功能和特性信息安全网络隔离装置具备以下几大功能:2.2.1 基本功能信息安全网络隔离装置具备通用防火墙产品的基本功能。1) 防御功能 提供实时监控、审计和告警功能; 2) 安全管理 操作系统提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。 提供丰富完整的审计机制;装置的日志审计功能十分完善,有对系统管理体系的分类日志(管理日志、通信事件日志),也有按日期对应的运行日志
9、。日志内容包括事件时间、日志主体和事件摘要等。 提供日志查询功能;日志查询和分级分类筛选,这为用户进行日志的审计和分析提供了方便。3) 操作管理 提供灵活的本地管理方式; 2.2.2 增强的安全功能1) 加固的安全操作系统采用安全linux操作系统,根据最小特权原则对装置的软件,制定MAC(强制访问控制)策略;2) 严格的访问控制策略只有特定的Tcp链路才能通过本装置。本装置可以配置对源IP进行控制,最大程度让数据库服务器对非法访问者不可见,以保障数据库安全。2.2.3 数据库专用防护功能SQL语句控制对于连接上数据库的通讯内容进行全方位分析,从其中分析出完整的SQL语句,对其进行过滤。如果通
10、过词法分析并与已知合法SQL语句相匹配,则进行放过。如果不与已知的合法SQL语句相匹配,这进行恶意特征检查。若包含恶意特征,本装置将立即阻止该SQL语句执行或者切断其连接,将恶意SQL语句及时阻挡住,使之无法在数据库服务器上执行。SQL解析和过滤SQL解析和过滤模块,进行深入的SQL分析过滤,并根据用户配置的安全控制策略,对来自特定网络地址范围以及具有特定内容的应用数据进行阻断或允许操作,将来自外部网络中企图对后台数据库进行攻击的危险行为阻断,从而在一定程度上保证了只有来自可信网络的不具攻击性的数据才能进入内部网络,确保后台数据库的安全。信息安全网络隔离装置对一些常见的SQL注入攻击预置了相应
11、的默认过滤规则,随着黑客技术的发展和网络攻击手段的进步,技术人员可以对过滤规则进行及时更新。规则的更新是实时动态生效的,装置无需重新启动,因此并不会阻断上层应用。SQL阻断方式对于常规的恶意语句,装置将拒绝该语句执行,记录详细的操作日志,并在JDBC端抛出“SQL check failed!”的异常信息。对于恶意编码的SQL语句,如含有不可打印字符等,装置将直接切断其连接。2.2.4 安全方便的维护管理SGI-NDS 200信息安全网络隔离装置配置非常简便,对它的操作及设置基本上只需使用规则配置管理工具就可以实现。SGI-NDS 200信息安全网络隔离装置提供了配置管理工具:GUI管理工具。规
12、则管理工具(GUI)是本产品的专用配套程序。该管理器具有界面友好、直观、功能齐全、通俗易懂等特点。管理工具如下图所示: 具备以上功能的SGI-NDS 200信息安全网络隔离装置是计算机网络与网络之间、主机与网络之间、主机与主机之间实施物理安全隔离的最佳解决方案。2.3 产品实施步骤本节以网省公司某基于WebLogic的系统为例,进行说明。 用户沟通调研n 移交用户使用手册n 介绍SQL代理运行原理n 演示配置客户端使用 确认应用系统在实施前正常n 不通过SQL代理装置时,应用功能正常n 不通过SQL代理装置时,应用稳定性可靠 修改应用配置n 加载JDBC驱动1) 将jdbc.jar文件,存放到
13、weblogic安装的要目录。2) 进入域目录“beauser_projectsdomains ztbdomain”,打开StartWeblogic.cmd、startManagedWebLogic.cmd文件,将set CLASSPATH环境变量后,加入”c:beajdbc.jar”。启动weblogic时,将会自动加载 jdbc.jar驱动。n 修改连接参数1) 驱动名称:sgcc.nds.jdbc.driver.NdsDriver2) URL: jdbc:nds:/172.16.55.141:18603/v_js_db2_ztb?appname=App_js_db2_ztb 通过SQL代
14、理,发布并测试应用功能n 发布应用程序n 启动weblogic服务n 测试应用功能是否正常2.4 系统启动过程简介系统启动,将会执行 /sql_proxy/bin目录下的start.sh脚本,并进行下述操作: 检查运行环境是否正常 检查sgcc用户是否对配置文件具有可读写权限 检查SQLite数据库中安全所的规则是否满足要求 添加oracle、db2环境变量 启动SQL代理服务3 SGI-NDS 200信息安全网络隔离装置管理我们可以方便地通过使用SGI-NDS 200信息安全网络隔离装置管理器来管理信息安全网络隔离装置。以上两种管理方法将在下面做详细介绍。3.1 登录启动信息安全网络隔离装置
15、的配置软件,系统弹出用户登录框,如图3-1所示,输入用户名(用户名默认为非中文,且默认的管理员账户为admin,默认密码为admin)、密码,然后点击配置按钮,系统弹出服务器配置页面,如图3-2所示,进行代理服务器相关信息的配置。图表 31登录界面图图表 32服务器配置界面点击添加按钮,弹出添加节点的界面,输入一个节点的名字,如“服务器节点1”图表 33添加节点的界面服务器配置界面中的节点列表会出现刚添加的节点 ,如图标3-4,然后选择刚已添加的节点,填入服务器的IP和端口的信息,选择保存,在节点列表中选择一个服务器节点,点击确定后,客户端将返回登陆的界面。同时,也可以选择一个服务器节点通过点
16、击“删除”按钮进行删除。图表 34已添加节点的界面图表 35选择完服务器的登录界面如图表3-5,点击确定,如果用户名、密码和服务器信息正确,将成功进入配置客户端的主界面,如图3-6。图表 36登录后的主界面3.2 用户管理3.2.1 用户类型与权限用户类型分为两类:用户分类权限备注管理员管理员权限,可进行查看和修改唯一用户,不可删除普通用户普通权限,只可进行查看由管理员创建修改用户权限分为3类:权限名称权限内容备注超级管理员进行配置的导入导出和修改网络配置管理员输入特定密码,获得本权限管理员具备配置导入导出和修改网络配置外的所有权限普通用户具备查看除关键信息(密码、配置规则等)以外的权限3.2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 规划 计划 项目 安全 网络 隔离 装置 sginds200 用户 操作 技巧 技能 介绍书
限制150内