SysKeeper2000网络安全隔离装置诊断调试手册(v1.01bit)(推荐)由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“网络安全设备维护手册”。
NARI
SysKeeper-2000
网络安全隔离装置诊断调试手册
1.网络调试................................................................................................................3
1.1网络连接线的选择.........................................................................................................3 1.2通信链路调试.................................................................................................................3
2.隔离装置工作状态诊断............................................................................................4
2.1观察内、外网数据灯.....................................................................................................4 2.2超级终端观察.................................................................................................................4
3.串口工作状态诊断....................................................................................................6
3.1物理连接.........................................................................................................................6 3.2不同型号隔离装置的配置软件版本.............................................................................6 3.3隔离装置负荷较大.........................................................................................................6 3.4计算机的串口兼容性.....................................................................................................6 3.5隔离装置的串口.............................................................................................................7
4.数据传输状态诊断....................................................................................................7
4.1规则配置.........................................................................................................................7 4.2搭建最简测试环境.........................................................................................................7 4.3高级应用编程.................................................................................................................8 4.4 通信网关机配置............................................................................................................8
NARI南京南瑞集团信息系统分公司.......................................错误!未定义书签。
1.网络调试
1.1网络连接线的选择
隔离装置如果与计算机或者路由器连接,采用交叉线进行网络连接;如果与交换机或者集线器连接,则采用直连线进行连接。在网络连接线正确连接后,观察隔离装置后面板的网络接口指示灯是否点亮,如果网络指示灯点亮,表明网络连接正常,否则可能隔离装置网络接口故障。
1.2通信链路调试
可以采用隔离装置配置软件的ping诊断工具测试或者直接在隔离装置两端的通信网关机上直接测试(推荐采用第二种调试方式)。
1)首先确认隔离装置内外网均正确连接到网络中;
2)在内网网关机(以内网诊断为例)上的命令行窗口中分别执行以下命令: arp –d;(清空通信网关机上的arp地址表); ping 外网虚IP;
arp –a;(查看通信网关机更新后的的arp地址表)
如果能得到隔离装置的虚拟MAC地址(前四位为1234),则说明内网网关机到隔离装置内网端的链路是正常的。(注:如果通信网关机与路由器直接连接,则会返回路由器的MAC地址,在此种连接方式下,建议采用专用的ping诊断工具进行调试,具体调试方法请参考安全隔离装置用户手册)。
3)双进双出型隔离装置对ping报文的长度进行安全控制,在ping的时候增加长度参数(Windows计算机:ping 外网虚IP –l 996,UNIX计算机:ping 外网虚拟IP –s 996),如果链路可达则可以观察到返回的ping报文。
采用同样的测试方法,可以测试外网网关机到隔离装置外网端的链路是否正常。
2.隔离装置工作状态诊断
2.1观察内、外网数据灯
在没有数据传输时,如果可以观察到隔离装置正面板内外网数据灯每隔1~2秒微弱的闪烁一下,则表明隔离装置工作状态正常;如果内外网数据灯都没有闪烁或者数据灯常亮且不能传输数据,则装置可能出现异常,请立刻与我们联系。
2.2超级终端观察
隔离装置可以通过配置计算机的超级终端软件对系统的工作状况进行调试和观察。配置计算机超级终端的设置如下所述:
a)运行Windows开始->程序->附件—>通讯->超级终端
b)输入超级终端名称:SysKeeper,选择计算机相应的Com端口(Com1)
图1
c)配置超级终端属性:如下图所示。
图2 d)保存配置。
设置完成后,将配置计算机的串口和隔离装置的内网Console口连接->打开前面设置的SysKeeper超级终端->启动隔离装置电源->观察隔离装置启动的输出信息。
如果不断重复输出启动信息,则表明装置在反复重启,请立刻与我们联系,如果启动信息为乱码,表明配置计算机或者隔离装置的串口通信有故障,请参考下一节的调试文档,并与我们及时联系,获得进一步的帮助。
提示:可以通过设置超级终端的“传送->捕获文字”,把所有输出信息保存为文本文件,以作详细的调试分析。
3.串口工作状态诊断
3.1物理连接
1)专用配置线
应使用配套的专用串口线配置隔离装置。2)查看串口配置线与计算机的哪一个串口连接
一般来说计算机自带的串口A为COM1,串口B为COM2。如果是使用串口卡或USB转串口线额外增加的串口,需要打开“设备管理器”,在端口选项下查看串口使用的COM端口,确认COM端口选择正确。
3)串口配置线与隔离装置的连接
正向隔离装置:配置计算机的串口和隔离装置的内网Console口连接; 反向隔离装置:配置计算机的串口和隔离装置的外网Console口连接。
3.2不同型号隔离装置的配置软件版本
正向单bit隔离装置采用V1.0-1bit配置软件; 反向单bit隔离装置采用V1.0-1bit配置软件;
3.3隔离装置负荷较大
当隔离装置正在传输大量数据时,隔离装置负荷较大,CPU使用率较高,串口通讯进程可能无法及时得到CPU响应,建议暂停数据传输后再进行配置。
3.4计算机的串口兼容性
某些型号计算机,特别是一些较老型号笔记本的串口与隔离装置串口兼容性较差,可能出现无法连接的现象,建议换用其它型号的计算机配置。
如果能够观察到启动信息并且隔离装置没有反复重启现象,但是使用配置软件始终无法连接到隔离装置,请在配置计算机的“设备管理器”的端口选项下将相应的COM端口速率设置为‘115200’,数据流控制设置为‘无’后再次重试,如果仍然无法连接,建议换用其它型号的计算机配置。
3.5隔离装置的串口
在超级终端中观察:
如果隔离装置内外网串口有一个不能观察到启动信息,说明此配置串口故障,请立刻与我们联系;如果内外网都不能观察到启动信息,请确定计算机串口是否能够正常使用。
4.数据传输状态诊断
初步诊断装置没有故障(如可观察到内外网数据灯间隔数秒的闪烁、在超级终端可以观察到正常启动信息且没有不断重启的现象),但仍无法传输数据,可按以下步骤进行进一步的诊断。
4.1规则配置
1)确认规则的设置与实际网络环境、通讯程序是否一致,如源、目的IP,端口,协议类型等,还需要确认规则中配置的网卡选择与实际的网络连接是否一致。具体配置方法请参考《网络安全隔离装置用户手册》。
2)确认配置隔离装置所用的虚IP未被其它网络设备使用,否则会造成IP地址冲突,导致无法传输数据。
3)当同时部署正、反向隔离装置时,应特别注意在正、反向隔离装置中配置的虚IP不能相同,否则会造成IP地址冲突,导致无法传输数据。
4)如果不能进一步确认规则配置是否正确,请导出配置信息并绘制网络拓扑图,与我们及时联系。
4.2搭建最简测试环境
当网络环境较为复杂时,往往无法确认故障点位于网络中的哪个环节(如路由器、防火墙等),则可把隔离装置内外网分别直接连接到两台计算机上->配置
测试规则->用配套光盘中的测试软件测试。
4.3高级应用编程
按照二次安全防护的要求,SysKeeper-2000网络安全隔离装置实现了TCP数据的单向传输控制,反向的TCP应答禁止携带应用数据,应用层的应答字节数最多为1个字节。所以经过隔离装置进行数据传输的应用软件,应遵守以下一些编程原则来进行应用程序的改造:
1.I/II区与III区之间的应用程序禁止采用SQL命令访问数据库和基于B/S方式的双向数据传输。
2.I/II区与III区之间的数据通信,传输的启动端由内网发起,反向的应答报文不容许携带数据,应用层的应答报文最多为1个字节。3.通信程序的服务端应特别需要注意初始化SOCKET为TCP_NODELAY或采用强制刷新缓冲区的API调用使应答数据立即送出,否则可能出现实际反向传输的应答数据超过1个字节而导致无法传输数据。
4.另外需要注意的是穿越隔离的通讯程序应连接对端的虚IP,而不是原来没有物理隔离时连接的对端真实IP。
4.4 通信网关机配置
当内外网的通信网关机(Windows)启用了系统个人防火墙功能后可能造成配套的文件传输软件无法正常工作,可以关闭或重新设定防火墙;
经诊断初步判定隔离装置的故障情况后,需要记录装置的序列号及出厂日期,并与我公司及时联系,以方便我们进一步诊断。
南瑞信息公司信息安全产品介绍产品背景及概况背景随着计算机技术、通信技术和网络技术的发展,电力系统自动化水平迅速提高,电厂调度和生产一刻也离不开计算机监控系统和数据......
企业自我诊断手册第一篇:企业管理与企业诊断 4管理人员与问题意识 4老板、总经理们必须时时思考的管理问题是什幺? 4企业诊断是企业管理的经常性任务 4实例:如何诊断一个企业的......
目录一、联网设计手册的补充说明 ..............................................................................................................2二、联网控制器的各......
本部分包括:调试条件、调试准备、试水方式、单机调试、单元调试、分段调 试、接种菌种、驯化培养、全线连调、检测分析、改进缺陷、补充完善、正式试运行、自行检验、正式提......
安装调试作业指导手册为了规范生产调试工作,提高产品服务质量和安装调试质量,特制定此安装调试作业指导书:一、总则1、行为规范1.1、项目经理、项目主管及安装调试人员每周定期......
