天融信安全隔離與信息交換系統用戶手冊天融信安全隔離與信息交換系統用戶手冊天融信安全隔離與信息交換系統—用戶手冊天融信TOPSEC(R)北京市海淀區上地東路1號華控大廈100085電話：+8610-82776666傳真：+8610-82776677服務熱線：+8610-8008105119版權聲明本手冊中的所有內容及格式的版權屬于北京天融信公司（以下簡稱天融信）所有，未經天融信許可，任何人不得仿制、拷貝、轉譯或任意引用。版權所有不得翻印(C)2013天融信公司商標聲明本手冊中所談及的產品名稱僅做識別之用。手冊中涉及的其他公司的注冊商標或是版權屬各商標注冊人所有，恕不逐一列明。TOPSEC(R)天融信公司信息反饋目目錄關于本手冊 1一安裝 21.1隔離設備接口說明 21.2軟件安裝 21.2.1控制臺安裝硬件環境 21.2.2控制臺安裝軟件環境 21.2.3控制臺軟件安裝 2二開始使用 22.1啟動 22.1.1啟動 32.1.2關閉 32.1.3運行控制臺 32.2登錄/注銷/修改密碼 42.2.1啟動 42.2.2退出 52.2.3修改密碼 52.3功能區域介紹 5三用戶管理 63.1說明 63.2用戶分級 93.3權限分立 93.3設置說明 93.3.1添加用戶 93.3.2修改用戶 93.3.2刪除用戶 10四對象管理 104.1說明 104.2對象 104.2對象設置說明 114.2.1添加對象 114.2.2修改對象 114.2.3刪除對象 124.3分組 124.4分組設置說明 134.4.1添加分組 134.4.2修改分組 134.4.3刪除分組 13五應用管理 135.1說明 135.2服務 135.2服務設置說明 155.2.1添加服務 155.2.2修改服務 165.2.3刪除服務 175.3應用 175.4應用設置說明 185.4.1添加應用 185.4.2修改應用 185.4.3刪除應用 185.4.4導出應用 185.4.5導入應用 19六內容管理 206.1說明 206.2URL組 216.2.1添加URL組 226.2.2修改URL組 236.2.2刪除URL組 236.3內容過濾 236.4內容過濾設置說明 246.4.1添加內容過濾 246.4.2修改內容過濾 246.4.2刪除內容過濾 24七策略管理 247.1說明 247.2時間模式 257.3時間模式設置說明 257.3.1添加時間模式 267.3.2修改時間模式 267.3.3刪除時間模式 267.4系統模板 267.5系統模板設置說明 277.5.1添加系統模板 287.5.2修改系統模板 287.5.3刪除系統模板 287.5.4導出系統模板 297.5.5導入系統模板 297.6系統規則 307.7系統規則設置說明 317.7.1添加系統規則 317.7.2修改系統規則 317.7.3刪除系統規則 32八設備管理 328.1說明 328.2基本屬性 328.3基本屬性設置說明 348.3.1設備工作狀態設置 348.3.2日志設置 348.3.3時間設置 348.3.3設備密碼設置 348.3.4設備工作模式 348.4網絡接口 358.5網絡接口設置 368.5.1網絡接口IP設置 378.5.2代理對應列表設置 378.5.3路由/網關設置 388.6設備狀態 398.7安全通道 408.7安全通道設置說明 418.7.1添加安全通道 418.7.2修改安全通道 428.7.3刪除安全通道 428.8設備規則 428.9設備規則設置說明 438.9.1讀取設備規則 438.9.2刪除設備規則 438.9.3應用設備規則 448.10設備操作 44九事件管理 449.1系統事件 449.2系統事件操作說明 459.2.1查詢系統事件 459.2.2導出系統事件 469.2.3刪除系統事件 469.3成功事件 469.4成功事件操作說明 479.4.1查詢成功事件 479.4.2導出成功事件 489.4.3刪除成功事件 489.5報警事件 489.6報警事件操作說明 499.6.1查詢報警事件 499.6.2導出報警事件 509.6.3刪除報警事件 509.7事件報告 509.8事件報告操作說明 51十功能菜單說明 51十一配置實例 52實例一透明代理模式下，HTTP訪問 52實例二代理模式下，HTTP訪問 61實例三代理模式下，多個HTTP訪問 65實例四路由模式下，HTTP訪問 68十二常用應用協議內部命令簡介 70十三常見問題解答 73關于本手冊首先感謝使用天融信安全隔離與信息交換系統！天融信安全隔離與信息交換系統是由北京天融信公司自主研發的、具有自主知識版權的隔離設備。該系統對網絡通信進行完整采集、深層解析、應用重建，在網絡間采用專用非TCP/IP協議進行數據交換，同時，本系統對網絡通信的主體、客體進行綜合的認證，確保通信安全可靠，從而實現在保證內外網絡相互隔離的基礎上進行適度的、可靠的數據交換。此外，天融信安全隔離與信息交換系統能夠集成傳統安全技術，進一步增強系統的防護能力。通過使用天融信安全隔離與信息交換系統，用戶可建立一套完整的、具有高精訪問控制能力的、可防范各種安全風險的安全防護措施，確保用戶信息系統安全、可靠地運行。本手冊以TR-71166為例，詳細介紹了天融信安全隔離與信息交換系統的使用方法，用戶可參考本手冊，對天融信安全隔離與信息交換系統進行各種管理操作。注：本手冊僅適用于以下型號設備的管理操作：TR-7355、TR-8333、TR-8377、TR-71144、TR-71166、TR-71288、TR-81144、TR-81288、TR-81366。一安裝1.1隔離設備接口說明天融信安全隔離與信息交換系統標注EXT0、EXT1…的為外網接口，連接到外網；標注INT0、INT1…的為內網接口，連接到內網；其中在內網接口中標記為MAN的接口為控制端口，在外網接口中標記為HA的接口為熱備接口。1.2軟件安裝1.2.1控制臺安裝硬件環境586或更高型號的PC計算機或其兼容機；128M或更高容量的內存；光盤驅動器；100M以上剩余硬盤空間。1.2.2控制臺安裝軟件環境管理控制臺安裝包支持以下操作系統：WindowsXP、Windows2003Server、Windows7；推薦使用WindowsXP。1.2.3控制臺軟件安裝請運行安裝光盤下的安裝包文件，依默認配置即可安裝控制臺軟件。二開始使用2.1啟動在正確安裝天融信安全隔離與信息交換系統并確保各種線纜正確連接之后，您可開始使用天融信安全隔離與信息交換系統。2.1.1啟動打開隔離設備背板上的電源開關，隔離設備隨即啟動，并加載上次關閉時的安全策略。如果您首次使用天融信安全隔離與信息交換系統，請參照本手冊運行控制臺配置符合您需要的安全策略以保護您的信息系統。2.1.2關閉關閉隔離設備背板上的電源開關，隔離設備隨即停止運行。2.1.3運行控制臺本系統的所有管理、配置、監控工作均在控制臺完成，雙擊桌面“TopRules-控制臺”圖標即可運行控制臺程序，您也可通過點擊“開始/程序/天融信安全隔離與信息交換系統控制臺/TopRules-控制臺”運行控制臺程序。第一次運行時需要選擇與隔離系統設備連接線的網卡，如下圖所示：選中通信的網卡后，按下“設置”按鈕，程序會關閉，再次運行系統就會出現正常的登陸界面；注：當程序與當前計算機的驅動沖突時，按下“設置”按鈕會報錯，這時只需將程序安裝目錄下的補丁包文件“WinPcap_4_1_2.exe”安裝即可；2.2登錄/注銷/修改密碼2.2.1啟動天融信安全隔離與信息交換系統是多用戶系統，用戶在對隔離設備進行操作之前，必須使用正確的用戶憑據（用戶名、密碼）登錄控制臺，登錄界面及說明如下：用戶名稱：本系統用于區分用戶身份的唯一標識，由具備用戶管理權限的用戶（如superman、superlog等）創建并維護。superman為系統默認配置管理員帳號，superlog為系統默認日志審計管理員帳號。用戶密碼：系統用戶的訪問口令，用戶在正確登錄之后可修改自身用戶的口令。登錄設備：天融信安全隔離與信息交換系統控制臺可管理多臺隔離設備，用戶可選擇被管理的設備。選擇通訊網卡：用戶選定管理控制臺與隔離設備通訊的網卡。設備名稱：用戶在選擇“登錄設備”復選框后，在“設備名稱”下拉框中出現網絡中可以的隔離設備名稱。設備密碼：每部隔離設備都設有訪問密碼，只有輸入正確密碼才能夠對該隔離設備進行操作。注：superman與superlog的初始密碼為“talent”，隔離設備初始密碼為“talent”。2.2.2退出用戶在完成管理工作后，可參照如下方法退出控制臺：點擊“系統”菜單，在下拉菜單中選擇“系統退出”命令，系統彈出對話框確認退出，點擊“是”則退出，點擊“否”則返回；2.2.3修改密碼用戶可維護自己的訪問密碼，方法如下：點擊“系統”菜單，在下拉菜單中選擇“修改密碼”命令，系統彈出如下密碼修改界面，輸入當前密碼及新密碼，點擊”確定”按鈕即可完成用戶密碼修改。2.3功能區域介紹系統所有的業務功能均通過左側的功能列表進行選擇，然后在右側的主功能操作區域進行相應的操作。針對系統的數據操作可以通過系統功能菜單來進行。系統的基本信息狀態，可以通過控制臺下方的狀態欄查看。三用戶管理3.1說明天融信安全隔離與信息交換系統是多用戶系統。具備用戶管理權限的用戶可完成系統用戶的維護工作。用戶管理界面如下：如圖，具備用戶管理權限的用戶可在用戶管理界面中完成系統用戶的添加、刪除及修改操作。下表為天融信安全隔離與信息交換系統用戶的相關說明：屬性說明用戶名系統用戶的登錄名稱。密碼系統用戶的登錄密碼。用戶描述該用戶的描述（如所屬部門、職責等）。起用時間天融信安全隔離與信息交換系統可自動起用系統用戶，具備用戶管理權限的用戶（如superman等）可創建系統用戶并設置該用戶何時起用，沒有起用的用戶無法登錄本系統。結束時間天融信安全隔離與信息交換系統可自動停用系統用戶，具備用戶管理權限的用戶（如superman等）可創建系統用戶并設置該用戶何時停用，已停用的用戶無法登錄本系統。用戶期限用戶能夠登錄的時間區間，用戶期限=停用日期-起用日期，單位為（天）。權限用戶權限用于描述用戶在天融信安全隔離與信息交換系統內能夠執行的管理行為及操作，具備用戶管理權限的用戶（如superman等）能夠修改某用戶的權限。下表為天融信安全隔離與信息交換系統用戶權限相關說明：權限說明系統用戶管理系統用戶的權限，具備該權限的用戶可添加、刪除、修改用戶。分組管理組對象的權限，擁有此權限的用戶可添加、刪除管理對象組。對象管理單對象的權限，擁有此權限的用戶可添加、刪除修改單對象。服務配置管理服務的權限，擁有此權限的用戶可添加、刪除、修改某網絡服務。應用配置管理應用的權限，擁有此權限的用戶可添加、刪除、管理某應用。系統模板管理規則模板的權限，規則模板使用戶便于定制規則。系統規則定制規則的權限，規則決定天融信安全隔離與信息交換系統如何控制網絡中的通信。安全通道可以為設備通信設置相應的網絡接口和通信的方向控制?；緦傩栽O置隔離設備屬性（如設備名稱、日志服務器、設備密碼）的權限。系統狀態可以顯示該設備當前的系統資源使用情況。網絡接口為網絡接口設置IP、路由等信息。設備規則向特定設備加載規則的權限。時間模式管理時間模式的權限，天融信安全隔離與信息交換系統能夠在不同的時間自動加載不同的規則。URl組管理URL分組的權限，擁有此權限的用戶可維護URL列表。內容過濾設置內容過濾的權限，擁有此權限的用戶的設置服務的內容過濾類型。重啟設備通過控制臺重新啟動隔離設備的權限。關閉設備通過控制臺關閉隔離設備的權限。系統事件查看系統事件的權限。成功事件查看成功事件的權限。報警事件查看報警事件的權限。事件報告對設備事件信息生成報告的權限3.2用戶分級天融信安全隔離與信息交換系統采用分級管理的用戶組織方法，即具備用戶管理權限的用戶可添加子用戶（或下級用戶），子用戶（或下級用戶）所擁有的權限不大于父用戶（或上級用戶）所擁有的權限，且子用戶（或下級用戶）無法管理父用戶（或上級用戶）。3.3權限分立天融信安全隔離與信息交換系統采用權限分立的用戶組織方法，即本系統并不存在超級用戶，系統內置兩個用戶：superman與superlog，superman能夠對進行對象、應用、設備等進行操作，但是無法查看日志，superlog僅能查看日志，而無法進行管理操作，superman與superlog均能進行用戶管理操作，但只能管理各自的子用戶（下級用戶）。3.3設置說明3.3.1添加用戶以具備用戶管理權限的用戶（如superman與superlog）登錄，選擇“系統用戶”，并在控制臺右側區域內錄入“用戶名”、“密碼”、“起用日期”、“凍結日期”、“用戶期限”、“描述”信息，并使用“<<<<”、“<<”、“>>”、“>>>>”設置新用戶所具備的權限，完成后點擊“添加”按鈕，彈出消息框確認用戶添加成功，點擊“確定”按鈕返回用戶管理界面，完成添加用戶工作。3.3.2修改用戶在用戶管理界面，在“用戶列表”中選中所要修改的用戶，并在右側區域內對用戶“密碼”、“起用日期”、“凍結日期”、“用戶期限”、“描述”信息進行修改，也可使用“<<<<”、“<<”、“>>”、“>>>>”修改用戶權限，修改完成后，點擊“確定”按鈕，彈出消息框確認用戶保存成功，點擊“確定”按鈕返回用戶管理界面，完成修改用戶工作。3.3.2刪除用戶在用戶管理界面，在“用戶列表”中選中所要刪除的用戶，點擊“刪除”按鈕，彈出消息框確認刪除，點擊“否”取消刪除，點擊“是”則刪除該用戶。四對象管理4.1說明天融信安全隔離與信息交換系統采用對象的方法進行通信控制。具備對象管理權限的用戶可通過控制臺進行對象維護（添加、刪除、修改對象）的操作，以供定制訪問策略之用。4.2對象一個對象可以是任何一個網絡節點（如主機、服務器、網絡設備等）。對象管理界面如下：如圖，具備“對象”管理權限的用戶可在對象管理界面中完成對象的添加、刪除及修改操作。下表為網絡對象信息說明：屬性說明對象名稱該網絡節點在本系統中的標識，可由具備單對象管理權限的用戶（如superman）隨意命名（如張明）。注意：命名及備注不可以采用系統內部關鍵字IP\MAC\MASK等對象IP地址該網絡節點的IP地址，可以是一臺主機（如2）、一個IP范圍（如-10）。注：為特殊IP對象，代表所有IP地址。對象MAC地址該網絡節點的MAC地址。注：00:00:00:00:00:00為特殊MAC地址，代表所有MAC地址。子網掩碼該網絡節點的子網掩碼。對象描述關于該網絡節點的描述（如位置、廠家、編號、用途、類型等）。注：該項不是必須填寫項。4.2對象設置說明4.2.1添加對象以具備對象管理權限的用戶（如superman）登錄，選擇“對象”，并在控制臺右側區域內錄入“對象名稱”、“對象IP地址”、“對象MAC地址”、“子網掩碼”、“對象描述”信息，完成后點擊“添加”按鈕，彈出消息框確認對象添加成功，點擊“確定”按鈕返回對象管理界面，完成添加對象工作。4.2.2修改對象在對象管理界面，在“對象列表”中選中所要修改的對象，并在右側區域內對“對象IP地址”、“對象MAC地址”、“子網掩碼”、“對象描述”信息進行修改操作，完成后點擊“確定”按鈕，彈出消息框確認對象保存成功，點擊“確定”按鈕返回對象管理界面，完成修改對象工作。4.2.3刪除對象在對象管理界面，在“對象列表”中選中所要刪除的對象，點擊“刪除”按鈕，彈出消息框確認刪除該對象，點擊“否”取消刪除，點擊“是”則刪除該對象。4.3分組分組是多個對象的集合。下圖為分組對象管理界面：如圖，具備分組管理權限的用戶可在分組管理界面中完成分組的添加、刪除及修改操作。下表為分組對象信息說明：屬性說明對象組名稱單個或多個單對象的集合在本系統中的標識，可由具備組對象管理權限的用戶（如superman）隨意命名（如外網、內網等）。對象組描述關于該組的描述（如服務器、網絡設備、所屬部門等）。注：該項不是必須填寫項。包含對象該對象組包含的對象，將單對象前的復選框選中即為分組包含此對象，反之不包含該對象。4.4分組設置說明4.4.1添加分組以具備分組管理權限的用戶（如superman）登錄，選擇“分組”，并在控制臺右側區域內錄入“分組名稱”、“分組描述”，選擇“包含對象”等信息，完成后點擊“添加”按鈕，系統彈出消息礦框提示分組添加成功，點擊“確定”按鈕返回分組管理界面，完成添加分組工作。4.4.2修改分組在分組管理界面，在“分組列表”中選中所要修改的組對象，并在右側區域內對“分組描述”，“包含對象”信息進行修改操作，完成后點擊“確定”按鈕，系統彈出消息框提示保存成功，點擊“確定”按鈕返回分組管理界面，完成修改。4.4.3刪除分組在分組管理界面，在“分組列表”中選中所要刪除的分組，點擊“刪除”按鈕，系統彈出消息框確認刪除該分組，點擊“否”取消刪除，點擊“是”則刪除該分組。五應用管理5.1說明天融信安全隔離與信息交換系統采用層次化的應用組織方法，準確表述客戶網絡中發生的各種網絡通信，以供定制訪問策略之用。5.2服務服務為某種特定形式的網絡通信，如DNS、HTTP、FTP、SMTP、POP3、Oracle、SqlServer、DCS-OPC、MEDIA、MYSQL等，下圖為服務管理界面：如圖，具備相應權限的用戶可在服務配置管理界面中完成服務的添加、刪除及修改操作。下表為服務信息說明：屬性說明服務名稱某種網絡通信在本系統中的標識，可由具備服務配置管理權限的用戶（如superman）任意命名（如FTP、HTTP、TELNET等）。采用協議該網絡通信使用的協議，選擇IP協議時，可選擇TCP、UDP、ICMP協議中的一種。源端口該輸入框在僅在選擇TCP或UDP協議后有效，表示該網絡服務的源端口，源端口可是一個通信端口（如1378），也可是一個端口范圍（如1024-65535）。服務端口該輸入框在僅在選擇TCP或UDP協議后有效，表示該網絡服務的目標端口，目標端口可是一個通信端口（如80），也可是一個端口范圍（如20-40）。映射端口映射端口指向用戶提供的服務端口的映射，比如把服務器的80端口映射為8080端口，用戶訪問8080端口即可；處理模塊系統內置的通用的服務處理模塊，選中某處理模塊代表該服務符合內置服務處理單元特性。不選擇處理模塊表示該服務屬于自定義服務類型。命令列表用于定制該網絡通信的數據內容控制。用戶可添加一個或多個通信內容段的命令，并分別定制對該命令的處理方法。注：在命令列表上點擊右鍵出現命令列表管理菜單，命令列表不是必填項。命令列表包含如下內容：起始位置用于確定該命令在網絡包中開始的位置，從通信協議包頭結束開始計位，位置不確定填寫-1。命令用于定義該段內容的名稱。以0x或0X開頭代表16進制數據相隔符號用于標識該段命令的結束。以0x或0X開頭代表16進制數據參數用于定義該命令的參數。以0x或0X開頭代表16進制數據動作用于定制設備對含有該命令的網絡通信的處理方法，可選”允許”或“拒絕”。此應用中未定制的命令允許執行定制是否允許該服務中未定制的命令的執行，復選該選項則允許該應用中未定制的命令執行。5.2服務設置說明5.2.1添加服務以具備“服務配置”管理權限的用戶（如superman）登錄，選擇“服務配置”，并在控制臺右側區域內錄入“服務名稱”、“采用協議”、“源端口”、“目標端口”、“處理模塊”及應用命令信息，點擊“添加”按鈕，彈出消息框確認服務添加成功，點擊“確定”按鈕返回服務配置管理界面，完成添加服務工作。注：用戶可選擇隔離設備內置的處理模塊進行網絡服務的處理，選擇處理模塊后，服務端口會被默認為該應用的常用知名端口，用戶可以進行修改。處理模塊內嵌完整的應用命令；用戶亦可不選擇任何處理模塊，自行添加應用命令，具體方法如下：在命令列表內點擊鼠標右鍵，在彈出的快捷菜單選擇“添加命令”，在應用命令的對話框中輸入“起始位置”、“命令”、“相隔符號”、“參數”、“動作”信息，點擊“確定”按鈕即可完成應用命令添加工作。5.2.2修改服務在服務配置管理界面，在“服務列表”中選中所要修改的服務，并在右側區域內對“采用協議”、“源端口”、“目標端口”、“處理模塊”、“命令列表”進行修改，完成后點擊“確定”按鈕，系統彈出消息框提示保存成功，點擊“確定”按鈕返回服務配置管理界面，完成修改工作。注：用戶可右鍵命令列表中的某條命令進行命令的添加、修改、刪除工作。5.2.3刪除服務在服務配置管理界面，在“服務列表”中選中所要刪除的服務，點擊“刪除”按鈕，彈出消息框確認刪除該服務，點擊“否”取消刪除，點擊“是”則刪除該服務。5.3應用天融信安全隔離與信息交換系統能夠將多種網絡服務組成一種業務應用，統一對該應用定制訪問規則。應用具備導出、導入功能，為多個設備之間的相同應用遷移提供便利。下圖為應用管理界面：如圖，具備相應權限的用戶可在應用配置管理界面中完成應用的添加、刪除、修改、導出及導入操作。下表為應用信息說明：屬性說明應用名稱某種業務應用在本系統中的標識，可由具備應用配置管理權限的用戶（如superman）隨意命名（如上網應用、數據庫應用等）。應用描述有關該種應用的描述。包含服務該種應用所包含的服務。通常，某種應用由一種或幾種服務構成（如:上網應用包含http服務、dns服務、smtp服務、pop3服務、ftp服務等）。5.4應用設置說明5.4.1添加應用以具備應用配置管理權限的用戶（如superman）登錄，選擇“應用配置”，并在控制臺右側區域內錄入“應用名稱”、“應用描述”，選擇“包含服務”等信息，完成后點擊“添加”按鈕，系統彈出消息框提示應用添加成功，點擊“確定”按鈕返回應用管理界面，完成添加應用工作。5.4.2修改應用在“應用列表”中選中所要修改的應用，并在其右側區域內對“應用描述”，“包含應用”信息進行修改，完成后點擊“確定”按鈕，系統彈出消息框提示保存成功，點擊“確定”按鈕返回應用管理界面，完成修改工作。5.4.3刪除應用在“應用列表”中選中所要刪除的應用，點擊“刪除”按鈕，系統彈出消息框確認刪除該應用，點擊“否”取消刪除，點擊“是”則刪除該應用。5.4.4導出應用在“應用列表”中選中所要導出的應用，點擊“導出”按鈕，系統彈出另存為文件消息框，輸入導出應用文件名稱點擊“Save”按鈕完成導出應用操作。5.4.5導入應用點擊“導入”按鈕，彈出打開文件消息框，選擇應用文件名稱點擊“Open”按鈕完成導入應用操作。六內容管理6.1說明天融信安全隔離與信息交換系統作為一種高精度的網絡控制設備，能夠對進出網絡的通信進行深層的內容控制，用戶可通過內容管理界面針對某一應用或服務實現URL控制、文件類型控制、關鍵字過濾等。下圖為內容管理界面：內容過濾說明：屬性說明內容名稱某種內容過濾方式的標識，可由具備應用管理權限的用戶（如superman）隨意命名，如上網應用、數據庫應用等。所屬應用/所屬服務應用該項內容過濾的應用或服務。過濾URL定義是否進行URL過濾，可供選擇的URL來自URL組列表。過濾關鍵字用戶可定義過濾某個關鍵字或關鍵詞（如：法輪功、絕密等），關鍵字的樣本可從文件選取。過濾文件類型定義該內容過濾方式是否進行文件過濾，可過濾的文件類型有EXE、DLL、RAR、ZIP等。內容描述有關該種內容過濾的描述。6.2URL組URL組用于定制URL列表，該列表出現在內容管理界面中的“過濾URL”選項，用戶可在URL組管理界面實現URL組的添加、修改、刪除、導入及導出操作：URL組說明：屬性說明URL組名稱單個或多個URL的集合在本系統中的標識，可由具備應用管理權限的用戶（如superman）隨意命名URL組描述對該組的描述URL在URL列表中右擊鼠標添加本組包含的URL列表說明在URL列表中右擊鼠標添加本組包含的URL列表的說明6.2.1添加URL組在URL組界面中錄入URL組名、URL組描述、URL列表，點擊“添加”按鈕，系統彈出消息框提示應用添加成功，點擊“確定”按鈕返回URL組管理界面，完成URL組添加工作。添加URL：在URL列表框中單擊鼠標右鍵，在彈出的右鍵菜單中的“添加”命令，出現URL內容窗口，如下圖：填寫完成后，點擊“確定”按鈕則添加URL，點擊“取消”按鈕則取消添加。修改URL：雙擊URL列表中需要修改的項目或以鼠標右鍵單擊該項目并選擇“修改”命令，出現URL內容窗口（同上圖）并作修改，點擊“確定”按鈕則保存修改，點擊“取消”按鈕則取消修改。刪除URL：以鼠標右鍵單擊需要刪除的URL并選擇“刪除”或“刪除所有”命令。注：“刪除所有”將會刪除當前URL組中URL列表的所有項目。6.2.2修改URL組在URL組列表框中選中要修改的URL組，修改所需要修改的內容，點擊“確定”按鈕，系統彈出消息框提示保存成功，點擊“確定”按鈕返回URL組管理界面，完成修改工作。6.2.2刪除URL組在URL組列表框中選取要刪除的URL組，點擊“刪除”按鈕，系統彈出消息框確認刪除該URL組，點擊“否”按鈕取消刪除，點擊“是”按鈕則刪除該URL組。6.3內容過濾內容過濾是與服務關聯的一種安全策略，其可實現多種類型的內容審查。6.4內容過濾設置說明內容過濾包括所屬服務、URL過濾、文件類型過濾、關鍵字過濾幾個方面。所屬服務指該內容過濾的策略將會在所屬服務列表中已選中的服務中生效，在其他服務中將不會生效。界面中“所屬應用”是用來輔助選擇輸入服務的項目，其并不具有策略意義。過濾URL指該內容過濾策略所屬服務中需要過濾的URL組。過濾文件類型指該內容過濾策略所屬服務中需要過濾的文件類型。過濾關鍵字該內容過濾策略所屬服務中需要過濾的關鍵字，關鍵字以文件形式存儲，以換行符為分隔。6.4.1添加內容過濾填寫內容過濾的具體內容，包括選擇所屬服務、選擇過濾URL、選擇過濾文件類型、選擇過濾關鍵字文件、內容過濾策略描述等信息，點擊“添加”按鈕，系統彈出消息框提示添加成功，點擊“確定”按鈕返回內容過濾管理界面。6.4.2修改內容過濾在內容過濾策略列表中選取要修改的內容過濾策略，并修改其內容，點擊“確定”按鈕，系統彈出消息框提示保存成功，點擊“確定”按鈕返回內容過濾管理界面，完成修改工作。6.4.2刪除內容過濾在內容過濾策略列表中選擇要刪除的內容過濾策略，點擊“刪除”按鈕，系統彈出消息框確認刪除，點擊“否”按鈕取消刪除，點擊“是”按鈕則刪除該內容過濾。七策略管理7.1說明天融信安全隔離與信息交換系統是一種高精度訪問控制設備，能夠通過策略管理界面定制符合客戶實際需求的安全策略。安全策略包含時間模式、系統模板及系統規則等元素。系統默認存在一個名為“24”的24小時時間模式；7.2時間模式天融信安全隔離與信息交換系統支持依據時間模式自動加載或停用某條規則。下圖為時間模式定制界面：時間模式說明：屬性說明模式名稱某種時間模式在本系統中的標識，可由具備應用管理權限的用戶（如superman）隨意命名，如Weekend、Work_time等。開始時間該時間模式的起始點。結束時間該時間模式的終結點。模式描述有關該種時間模式的描述。7.3時間模式設置說明時間模式包含“模式名稱”、“開始時間”、“結束時間”、“模式描述”等要素。系統安全策略是運行在某時間模式所確定的時間段內。7.3.1添加時間模式填寫“模式名稱”、“起始時間”、“結束時間”、“模式描述”信息，點擊“添加”按鈕，系統彈出消息框提示添加成功，點擊“確定”按鈕返回時間模式管理界面，完成添加工作。注：時間格式為HH:MM:SS。7.3.2修改時間模式在時間模式列表中選擇要修改的時間模式，并修改其內容，點擊“確定”按鈕，系統彈出消息框提示保存成功，點擊“確定”按鈕返回時間模式管理界面，完成修改工作。7.3.3刪除時間模式在時間模式列表中選擇要刪除的時間模式，點擊“刪除”按鈕，系統彈出消息框確認刪除，點擊“否”按鈕取消刪除，點擊“是”按鈕則刪除該時間模式。7.4系統模板天融信安全隔離與信息交換系統允許用戶定制模板，模版是為隔離設備定制安全策略所必須的一個要素。系統模板包含對象組、應用、時間模式及動作四種要素，通過該四種要素的不同組合，可明確定制“誰”（對象組）“在什么時候”（時間模式）“能否”（動作）“做什么”（應用），下圖為系統模板管理界面：系統模板說明：屬性說明模板名稱某種模板在本系統中的標識，可由具備模板管理權限的用戶（如superman）隨意命名。模板描述有關該種模板的描述，通常為該模板所實現的控制能力的描述，如“允許財務部上網”等。模板內容該模板的內容，通常為格式化了的網絡控制方法，模板內容可有多個網絡行為控制方法，每個控制方法必須包含源對象組、目標對象組、應用、時間模式和動作。用戶可在系統模板管理界面中實現對系統模板的添加、修改、刪除、導入、導出操作。7.5系統模板設置說明系統模板內容包括“模板名稱”與“模板規則”、“模板描述”三部分，其中模板規則是該模板中所包含的安全策略信息，由源對象組、目標對象組、應用、時間模式、動作等要素，如下圖：7.5.1添加系統模板填寫“模板名稱”、“模板描述”、“模板規則”信息，點擊“添加”按鈕，系統彈出消息框提示添加成功，點擊“確定”按鈕返回系統模版界面，完成添加工作。添加模板規則：在模板規則列表框中點擊鼠標右鍵，在彈出的右鍵菜單中選擇“添加”命令，系統彈出模版規則界面（如上圖），分別在“源對象組”、“目標對象組”、“應用”、“時間模式”、“動作”下拉菜單中選取相應的要素，點擊“確定”按鈕則添加模版規則，點擊“取消”按鈕則取消添加。修改模板規則：在模板規則列表框中以鼠標左鍵雙擊要修改的模板規則或以鼠標右鍵單擊該項目并選擇“修改”命令，系統彈出系統模板規則的內容界面，修改其內容，點擊“確定”按鈕則修改模版規則，點擊“取消”按鈕則取消修改。刪除模板規則：以鼠標右鍵單擊模板規則列表框中要刪除的模板規則并選擇“刪除”或“刪除所有”命令，完成刪除工作。注：刪除所有表示將該模板中的所有模板規則刪除。7.5.2修改系統模板在模板列表中選擇要修改的模板，修改該模板的內容（描述、模板規則），點擊“確定”按鈕，系統彈出消息框提示保存成功，點擊“確定”按鈕返回系統模板管理界面，修改系統模版完成。7.5.3刪除系統模板在模板列表中選擇要刪除的模板，點擊“刪除”按鈕，系統彈出消息框確認刪除，點擊“否”按鈕取消刪除，點擊“是”按鈕則刪除該系統模版。7.5.4導出系統模板在中在“模板列表”中選中所要導出的模板，點擊“導出”按鈕，系統彈出另存為文件對話框，輸入導出模板文件名稱點擊“Save”按鈕完成導出模板操作。7.5.5導入系統模板在系統名模板界面中，點擊“導入”按鈕，系統彈出打開文件對話框，找到要導入的模板文件名稱點擊“Open”按鈕完成導入模板操作。7.6系統規則用戶可利用預先定制安全通道（詳見8.4節）、模版信息定制系統規則，系統規則是隔離設備能夠直接讀取與調用的安全策略，下圖為系統規則定制界面：系統規則說明如下：屬性說明規則名稱該規則的名稱，可由具備規則管理權限的用戶（如superman等）隨意命名。安全通道該規則使用的網絡通道。包含模板該規則采用的模板。7.7系統規則設置說明7.7.1添加系統規則填寫“規則名稱”、“安全通道”、“規則描述”“包含模板”信息，點擊“添加”按鈕，系統彈出消息框提示添加成功，點擊“確定”按鈕返回系統規則管理界面，完成添加工作。7.7.2修改系統規則在規則列表中選擇要修改的規則，修改該規則的內容（安全通道、規則描述和包含模板），點擊“確定”按鈕，系統彈出消息框提示保存成功，點擊“確定”按鈕返回系統規則管理界面，修改系統規則完成。7.7.3刪除系統規則在規則列表中選擇要刪除的規則，點擊“刪除”按鈕，系統彈出消息框確認刪除，點擊“否”按鈕取消刪除，點擊“是”按鈕則刪除該系統規則。八設備管理8.1說明用戶可用控制臺讀取、修改隔離設備的各種設置信息及相關的設備操作，設備管理依據內容的不同分為網絡接口、安全通道、基本屬性、設備規則、設備狀態和設備操作等部分。8.2基本屬性設備基本屬性包含設備名稱、設備時間以及日志設置等信息。下圖為基本屬性設置界面：詳細說明如下：屬性說明設備名稱隔離設備的名稱，可由具備設備管理權限的用戶（如superman等）修改，該名稱可用于用戶登錄。工作模式系統支持三種工作模式，分別為透明模式，代理模式，路由模式；透明模式：系統無IP方式運行，不影響現有網絡拓撲結構；代理模式：為設備內外網分別設置一個IP，內外網兩端IP地址互不可見，完全由隔離設備產品來代理；路由模式：將隔離設備作為路由網關來使用，內外網分別可以設置多個IP;設備時間隔離設備的硬件時鐘。具備設備管理權限的用戶（如superman等）可通過“讀取時間”從隔離設備讀取設備硬件時鐘，可通過“校時”修改隔離設備的硬件時鐘。設備密碼隔離設備的硬件密碼，當用戶需要登錄控制臺并對該設備進行操作時，需要輸入設備密碼。已登錄該設備且具有設備管理權限的用戶可通過“修改設備密碼”維護設備密碼。日志設置設置隔離設備通過網絡儲存日志?？蛇x擇是利用系統提供的數據報形式接收日志還是以標準SYSLOG形式接收日志，日志服務器的IP和端口需要填寫正確。主/從設備設置隔離設備在雙機熱備工作模式下的工作狀態。登錄最大允許嘗試次數設置允許登錄最大嘗試次數，當嘗試達到設置值之后，系統會鎖定該用戶并退出。登錄超時時間設置管理界面超時值，在設置的時間范圍內控制臺無管理動作時，管理控制臺系統會自動退出。開啟入侵檢測功能復選框為打勾狀態，即啟用該功能，反之則不啟用；開啟抗DDOS功能復選框為打勾狀態，即啟用該功能，反之則不啟用；開啟SNMP支持功能復選框為打勾狀態，即啟用該功能，反之則不啟用；8.3基本屬性設置說明8.3.1設備工作狀態設置在基本屬性界面中，可設置當前設備的工作狀態。在“設備名稱”后的下拉框中選擇“主設備”，點擊“設置”按鈕即可將當前設備設置為熱備機組中的主設備；在“設備名稱”后的下拉菜單中選擇“從設備”，并在“主設備”下拉菜單中選擇一臺正在運行的設備，點擊“設置”按鈕即可將當前設備設置為指定設備的從設備，從而組成熱備機組。8.3.2日志設置用戶可通過更改日志設置來決定當前設備是否記錄各種日志信息。復選“記錄日志”復選框，并在“服務器名稱”中輸入接收日志的日志服務器名稱，點擊“保存設置”按鈕，而后再點擊“應用設置”按鈕，即可設置當前設備將日志信息保存至相應日志服務器；清除“記錄日志”復選框，點擊“保存設置”按鈕，而后再點擊“應用設置”按鈕即設置隔離設備不保存日志。8.3.3時間設置點擊“讀取時間”按鈕可獲得隔離設備的當前日期與時間，用戶可在時間輸入框內錄入新的日期與時間，并點擊“設置時間”按鈕修改隔離設備的日期與時間。注：情景模式的時間以隔離設備時間為參照。8.3.3設備密碼設置點擊“修改設備密碼”按鈕，系統彈出修改設備密碼窗口，用戶在輸入“當前設備密碼”、“新密碼”及“新密碼確認”后，可點擊“確定”按鈕即可修改當前設備密碼。8.3.4設備工作模式由下拉框中選擇設備的工作模式。其中，三種工作模式的基本特點如下所述。透明模式：設備工作為透明模式時，在外部網絡看來，設備就是一條透明的網絡，不存在網絡拓撲中，但是設備一樣有安全作用，是因為隔離設備的工作機制是白名單工作機制，即只允許明確指出允許通信的內容才可以通信，除此之外的一律丟棄。比如允許內網客戶端訪問內網服務器54的WEB應用，這時加上透明模式的隔離設備后，不影響原有的拓撲和設置，客戶端還采用原先的方式進行訪問即可，只不過它這時只能訪問允許的WEB應用和動作，其他的應用一律無法訪問。代理模式：當設備工作為代理模式時，客戶端比較容易理解隔離設備的工作原理，即代理。這時的客戶端需要將與服務器通信的內容全部改由隔離設備的IP來進行通信，在客戶端看來，服務器的IP已經不可見，客戶端只需要把隔離設備的內、外端機的IP作為其目標服務器即可。比如，允許內網客戶端訪問外網服務器，這時需要給隔離設備分配兩個可以與該網段通信的IP，如在內端機分配，外端機分配。這時內網客戶端需要訪問外網服務器的WEB應用時，只需要訪問，即可。因為在代理模式時，隔離設備會非常形象的代理客戶端與服務器進行會話。路由模式：當設備工作為路由模式時，客戶只需要將隔離設備理解為一個路由器或網關即可，客戶機的網關設置為隔離設備的IP，或到目標段的靜態路由設置為隔離設備的IP，或其網關上做了路由設置可以到達隔離設備端時，客戶端訪問目標服務器的IP進行相應的訪問即可，這時它一樣只能訪問隔離設備允許的通信內容，除此之外的一律無法訪問。比如，內網客戶端需要訪問外網服務器的WEB應用，這時需要給隔離設備分配兩個可以與該網段通信的IP，如在內網端分配為，外網端分配為?？蛻舳诵枰獙⒕W關設置為，在瀏覽器中輸入，客戶端就可以訪問到目標服務器的真實IP（需要在外網端做出接口的隱藏源地址，該配置在網絡接口一章進行說明）。8.4網絡接口網絡接口界面可以設置隔離設備的各個網絡接口的IP信息以及路由信息，并且在多IP的情況下，可以針對多個IP做對應的設置。8.5網絡接口設置網絡接口設置界面中，分內端機和外端機兩個標簽，分別針對內端機的網絡接口和外端機的網絡接口進行設置。8.5.1網絡接口IP設置接口列表中，左側為序號，中間為接口名稱，該名稱對應著設備外觀的網絡接口名稱。雙擊接口列表，出現網絡接口設置界面，如下圖：需要添加IP時，選擇相應的接口，輸入IP及子網掩碼，按下“添加”按鈕，需要修改IP時，在IP列表中，選擇相應的IP，修改內容后，再按下“保存”按鈕，即可修改成功。在所有的IP設置完成后，按下“確定”按鈕，需要設備生效時，按下網絡接口界面下方的“應用設置”按鈕，即可生效。8.5.2代理對應列表設置當設備工作為代理模式或路由模式時，設備的內端機或外端機設置了多個IP，并且針對不同的IP需要訪問不同的服務器的相同服務時，需要進行代理對應設置，比如：訪問INT0接口的的WEB服務時，隔離設備代理其訪問的WEB服務。訪問INT0接口的的WEB服務時，隔離設備代理其訪問的WEB服務。這種情況下需要對隔離設備內網/外端機的多個IP（和）進行對應設置，否則設備將默認按照第一個IP進行對應。在網絡接口界面中，按下“代理對應>>>”出現如下界面：需要添加IP對應時，選擇相應的接口IP、服務和對應的服務器的名稱和服務，按下“添加”按鈕，需要修改IP對應時，在IP對應列表中，選擇相應的IP對應項目，修改內容后，再按下“保存”按鈕，即可修改成功。在所有的IP對應設置完成后，按下“確定”按鈕，需要設備生效時，按下網絡接口界面下方的“應用設置”按鈕，即可生效。8.5.3路由/網關設置在網絡接口界面下方的路由列表中，管理員可以針對內外端機所處的網絡為之設置相應的路由。路由指令在列表中會有提示，例如：內端機到目標段為子網掩碼為的路由，下一跳為可以設置為：routeadd–netnetmaskgw內端機到目標地址為58的路由，下一跳為可以設置為：routeadd–host58gw內端機到所有未知目標地址的路由，下一跳為可以設置為：routeadddefaultgw如下圖所示：注意：當隔離設備工作為路由模式時，在路由列表上方會有一個復選框【將源地址自動隱藏】，該復選框打勾即表示，由該處理單元發出的會話，其源地址要自動封裝成其出口地址。管理員也可以手動在路由列表中輸入【HIDESRCIP】的條目，表示自動隱藏源IP地址。該功能的主要作用是為了方便客戶在將隔離設備作為路由設置時，對端不需要知曉客戶端的源地址。其類似防火墻的SNAT功能。外端機的設置與內端機是對等的，管理員可依據實際情況進行設置。8.6設備狀態管理員可以在功能選擇區選擇查看設備狀態，包括系統的CPU使用率、內存使用率、以及系統當前吞吐量【單位為比特】。右鍵鼠標，可以在快捷菜單中選擇設置設備狀態的更新頻率。8.7安全通道設備的安全通道管理是用來設置哪兩個網絡區域進行數據交換的，隔離設備的內端機和外端機的任意兩個網絡接口都可組成一個安全通道，如下圖：詳細說明如下：屬性說明通道名稱安全通道在本系統的唯一標識源區域通道的源端口，一般情況下為內網用戶所在的網絡區域，接口為該通道的內網通信接口；目標區域通道的目標端口，一般情況下為外網用戶所在的網絡區域，接口為該通道的外網通信接口；規則組描述對該通道的描述，如市場部訪問公網通道8.7安全通道設置說明8.7.1添加安全通道在安全通道管理界面中，分別輸入“通道名稱”、“源區域”、“目標區域”、“安全通道描述”信息，點擊“添加”按鈕，系統彈出消息框提示添加成功，點擊“確定”按鈕返回安全通道管理界面，完成添加工作。8.7.2修改安全通道在安全通道列表中選中所要修改的安全通道，修改其內容，點擊“確定”按鈕，系統彈出消息框提示保存成功，點擊“確定”按鈕返回安全通道管理界面，完成安全通道修改。8.7.3刪除安全通道在安全通道列表中選擇要刪除的安全通道，點擊“刪除”按鈕，系統彈出消息框確認刪除，點擊“否”按鈕取消刪除，點擊“是”按鈕則刪除該安全通道。8.8設備規則用戶可在設備規則管理界面讀取隔離設備當前正在運行的規則及向隔離設備加載已經定制好的系統規則，管理界面如下：該界面包含兩個規則列表，上方的列表為當前運行規則列表，列出當前設備正在運行的所有規則信息，下方的列表為當前系統規則列表，列出所有在控制臺定制完成的規則信息。在設備規則界面中，用戶通過可雙擊該規則了解某規則的詳細信息，系統則以樹形方式顯示該規則的詳細信息，如模板、源/目的組、應用/服務、時間模式、動作等，如下圖：在當前運行規則的詳細信息顯示框中，用戶可點擊“添加到本地系統規則”按鈕將該規則添加到控制臺中。8.9設備規則設置說明8.9.1讀取設備規則在當前運行規則列表中，點擊鼠標右鍵，并在彈出的右鍵菜單中選擇“讀取當前運行規則”命令。8.9.2刪除設備規則在當前運行規則列表中，右鍵點擊所要刪除的設備規則，在右鍵菜單中選擇“刪除指定規則”命令，完成設備規則刪除操作。注：如果用戶刪除某條設備規則，僅使隔離設備不執行該條規則，該規則并不從控制臺刪除，用戶如果需要將規則從控制臺刪除，見7.7.3節內容。8.9.3應用設備規則在當前系統規則中，右鍵點擊所要應用系統規則，在右鍵菜單中選擇“應用指定系統規則”命令，可使隔離設備即刻運行該規則。如果需要應用所有系統規則，只需右鍵點擊當前系統規則列表中的任意位置，在彈出的右鍵菜單中選擇“應用所有系統規則”命令，可使隔離設備即刻運行所有系統規則。8.10設備操作用戶可在控制臺重新啟動或者關閉隔離設備。具備設備操作權限的用戶（如superman等）可通過點擊相應的按鈕，并在確認之后完成相應的設備操作。九事件管理天融信安全隔離與信息交換系統具有完備的日志查詢及審計能力，具備事件查詢權限的用戶（如superlog等）可在日志管理界面完成各種條件的事件查詢操作。9.1系統事件系統事件記錄用戶針對天融信安全隔離與信息交換系統的管理行為，如添加用戶、修改系統時間、修改規則、用戶登錄/退出等。系統事件管理界面如下：詳細說明如下：屬性說明起始時間所要查詢的系統事件的開始時間終止時間所要查詢的系統事件的終止時間用戶按照用戶查詢系統事件設備名稱按照隔離設備名稱查詢系統事件導出將查到的符合條件的事件導出刪除刪除當前的事件9.2系統事件操作說明9.2.1查詢系統事件以具備系統事件查詢權限的用戶（如：superlog）登錄，輸入查詢條件信息，如時間范圍、用戶名、設備名，點擊“查詢”按鈕即可查詢相應的系統事件信息。注：如果在查詢條件內不輸入“用戶名”信息，則查詢所有用戶在指定時間范圍內對指定隔離設備的操作事件；如果在查詢條件內不輸入“設備名稱”信息，則查詢指定用戶在指定時間范圍內對所有隔離設備的操作事件。9.2.2導出系統事件以特定條件進行系統事件查詢后，點擊“導出”按鈕，在彈出的消息框內選擇保存系統事件的路徑與文件，點擊“Save”按鈕，彈出如下消息框：點擊“是”按鈕則刪除已查詢到的系統事件，點擊“否”按鈕則不刪除。9.2.3刪除系統事件以特定條件進行系統事件查詢后，點擊“刪除”按鈕，在彈出的消息框內點擊“是”按鈕則確認刪除。9.3成功事件成功事件記錄符合天融信安全隔離與信息交換系統規則的各種網絡行為，即被隔離設備成功處理的各種網絡訪問，如符合規則的郵件傳輸、文件下載等。成功事件管理界面如下：詳細說明如下：屬性說明起始時間所要查詢的成功事件的開始時間終止時間所要查詢的成功事件的終止時間IP地址按照IP地址查詢成功事件設備名稱按照隔離設備名稱查詢成功事件導出將查到的符合條件的事件導出刪除刪除當前的事件9.4成功事件操作說明9.4.1查詢成功事件以具備成功事件查詢權限的用戶（如：superlog）登錄，輸入查詢條件信息，如時間范圍、IP地址、設備名，點擊“查詢”按鈕即可查詢相應的成功事件信息。9.4.2導出成功事件以特定條件進行成功事件查詢后，點擊“導出”按鈕，在彈出的對話框內選擇保存成功事件的路徑與文件，點擊“Save”按鈕，彈出如下對話框：點擊“是”按鈕則刪除已查詢到的系統事件，點擊“否”按鈕則不刪除。9.4.3刪除成功事件以特定條件進行成功事件查詢后，點擊“刪除”按鈕，在彈出的對話框內點擊“是”按鈕則確認刪除。9.5報警事件報警事件記錄不符合天融信安全隔離與信息交換系統規則的各種網絡行為，即被隔離設備拒絕的各種網絡訪問，如不符合規則的郵件傳輸、文件下載等。報警事件管理界面如下：詳細說明如下：屬性說明起始時間所要查詢的報警事件的開始時間終止時間所要查詢的報警事件的終止時間IP地址按照IP地址查詢報警事件設備名稱按照隔離設備名稱查詢報警事件導出將查到的符合條件的事件導出刪除刪除當前的事件9.6報警事件操作說明9.6.1查詢報警事件以具備報警事件查詢權限的用戶（如：superlog）登錄，輸入查詢條件信息，如時間范圍、IP地址、設備名，點擊“查詢”按鈕即可查詢相應的報警事件信息。9.6.2導出報警事件以特定條件進行報警事件查詢后，點擊“查詢”按鈕，在彈出的對話框內選擇保存報警事件的路徑與文件，點擊“Save”按鈕，彈出如下對話框：點擊“是”按鈕則刪除已查詢到的報警事件，點擊“否”按鈕則不刪除。9.6.3刪除報警事件以特定條件進行報警事件查詢后，點擊“刪除”按鈕，在彈出的對話框內點擊“是”按鈕則確認刪除。9.7事件報告事件報告依據日志服務器所存儲的各種事件信息生成Html格式的報表。下圖為事件報告界面詳細說明如下：屬性說明起始時間所要創建報告中事件的開始時間終止時間所要創建報告中事件的終止時間設備是否按照隔離設備名稱創建報告輸出路徑報告文件的保存位置9.8事件報告操作說明在事件報告界面中，輸入“起始時間”、“終止時間”、“設備”、“輸出路徑”信息，點擊“創建報告”按鈕，系統自動創建相應的事件報告。十功能菜單說明控制臺界面的頂端為設備操作的系統功能菜單界面，主要的菜單及功能如下表所示：菜單項目功能說明系統修改密碼該修改密碼功能是修改當前登錄用戶的管理密碼功能，與設備基本屬性的修改密碼不同；只有系統做了保存，密碼修改才會生效。系統退出管理控制臺系統退出；控制臺退出時，會自動保存管理員所做的所有操作；數據操作保存數據為了防止系統意外錯誤或斷電，管理員可以利用此菜單將所做的管理配置進行保存。注：這里的保存只是保存在了本地控制臺的策略庫中，并未發送到設備端進行生效。初始化系統使用該菜單時，系統會彈出對話框詢問是否要初始化系統【如下圖所示】，在管理員確認之后，系統會將系統控制臺以及隔離設備中的配置進行初始化操作，并且系統會重新啟動。幫助幫助主題該功能將會提供給用戶相應的操作幫助以及提示，類似于安裝使用手冊。關于…關于本系統的版本、版權以及本公司的部分信息。十一配置實例實例一透明代理模式下，HTTP訪問客戶端是8，服務端為01，當源地址與目標地址處于同一網絡時，為了保證客戶端在不改變訪問方式和系統配置的情況下，采用透明工作模式為最好的解決方案。定制訪問策略，步驟如下：以superman登錄，在對象管理界面中添加對象“測試工程師”及“WEB服務器”分別輸入相應的IP等信息；如下圖所示：添加對象組“測試組”與“服務器”，并設置“測試組”對象組包含對象“測試工程師”，“服務器”對象組包含對象“WEB服務器”；在服務配置界面中，添加服務HTTP，綁定相應的HTTP處理模塊，信息如下：web服務名稱web處理模塊HTTP采用協議IP->TCP源端口1024-65535服務端口80映射端口80其中，HTTP服務配置如下命令：起始位置命令相隔符號參數動作命令1GET允許命令2PUT允許命令3POST允許命令4HEAD允許….其它所有拒絕在應用配置界面中，添加應用“瀏覽網頁”，該應用包含“web”服務；在內容過濾中，添加內容過濾“我的內容過濾”選取應用“網頁瀏覽”，復選“過濾文件類型”為“DLL、EXE”；在時間模式中，添加時間模式“Work_time”開始時間為“09:00:00”，結束時間為“17:30:00”；在系統模板中，添加系統模板“測試WEB服務訪問”，其中，源對象組為“測試組”，目標對象為“服務器”，應用為“網頁瀏覽”，時間為“Work_time”，動作為“允許”；在設備管理界面中，選取源區域為“內網”和“INT0”，目標區域為“外網”和“EXT0”，建立通道“內到外”，在規則管理界面中，添加規則“內網工程師測試外網WEB服務器”，選擇通道為“內到外”,包含模板為“測試WEB服務訪問”；在設備規則界面中，刪除正在運行的規則并將規則“內網工程師測試外網WEB服務器”應用到隔離設備。設置設備工作模式，在設備基本屬性頁面，選擇工作模式為透明模式，并且按下“應用設置”按鈕。至此，隔離設備規則設置完成，此時隔離設備僅允許“測試工程師”在9：00-17：30訪問“WEB服務器”的TCP80端口的HTTP服務，且在HTTP協議內容上僅允許GET、PUT、POST、HEAD動作發生，同時過濾DLL、EXE文件?？蛻舳嗽L問方式為Http://01實例二代理模式下，HTTP訪問客戶端是8，服務端為01，當源地址與目標地址處于不同段網絡時，之前客戶端與服務端從未進行過通信或數據交換時，將設備設置為代理模式，以更好表現形式來完成網絡的隔離性。定制訪問策略，步驟如下：其他步驟與上一案例一致，除了以下幾個步驟。修改WEB服務器地址為01。修改WEB服務代理端口為8080。設置設備工作模式，在設備基本屬性頁面，選擇工作模式為代理模式，并且按下“應用設置”按鈕。為設備分配IP地址在網絡接口界面中，分別為內端機的INT0接口和外端機的EXT0接口設置可以與測試對象能夠通信的IP，這里我們舉例為9和9；由于此時的服務器只有一個，且隔離設備的內、外端機只有一個IP，因此不需要做代理對應設置。按下網絡接口界面中的“應用設置按鈕”，IP設置生效。在設備規則中，刪除所有系統規則，再應用當前所有系統規則或指定規則。至此，隔離設備規則設置完成，此時隔離設備僅允許“測試工程師”在9：00-17：30訪問“WEB服務器”的TCP80端口的HTTP服務，且在HTTP協議內容上僅允許GET動作發生，同時過濾DLL、EXE文件。訪問方式為Http://9:8080該訪問方式很清楚的表明了，客戶端訪問隔離設備的內網端的【9】的映射端口【8080】，隔離設備會代替客戶端訪問到目標服務器【01】的【80】端口的WEB服務。實例三代理模式下，多個HTTP訪問客戶端是8，服務端有兩個，分別為00和01，兩個服務器均提供WEB服務，并且端口均為80。當源地址與目標地址處于不同段網絡時，之前客戶端與服務端從未進行過通信或數據交換，將設備設置為代理模式，以更好表現形式來完成網絡的隔離性。定制訪問策略，步驟如下：其他步驟與上一案例一致，除了以下幾個步驟。增加對象“WEB服務器100”，地址為00。將新增的服務器歸到服務器組。將服務中的WEB服務的映射端口修改為80。刪除當前所有系統規則，再應用所有系統規則。為設備分配IP地址由于要求客戶端訪問兩個服務器時都要用80端口進行訪問，并且不允許訪問直接的真實IP，因此需要在網絡接口界面中，分別為內端機的INT0接口設置兩個IP用來對應兩個服務器的真實IP。這里我們舉例為9對應00和0對應01；按下網絡接口界面的“應用設置”按鈕，配置生效。至此，隔離設備規則設置完成，此時隔離設備僅允許“測試工程師”在9：00-17：30訪問“WEB服務器”和“WEB服務器100”的TCP80端口的HTTP服務，且在HTTP協議內容上僅允許GET動作發生，同時過濾DLL、EXE文件。訪問00的方式為Http://99會自動對應到服務器00。訪問01的方式為Http://00會自動對應到服務器01。實例四路由模式下，HTTP訪問客戶端IP是8，服務端IP是00和01，當源地址與目標地址不在同一網絡時，為了保證客戶端訪問服務端真實IP和端口的情況下，采用路由工作模式為最好的解決方案。定制訪問策略，步驟如下：其他步驟與上一案例一致，除了以下幾個步驟。修改工作模式為路由模式，并應用設置。在網絡接口中設置內端機的INT0