信息安全網絡隔離裝置SGI-NDS200操作手冊信息安全網絡隔離裝置SGI—NDS200操作手冊信息安全網絡隔離裝置項目組頁信息安全網絡隔離裝置介紹信息安全網絡隔離裝置的定義信息安全網絡隔離裝置是將可信任的信息內網和不可信任的信息外網進行隔離,因此必須保證信息內網和信息外網之間的SQL通信均通過信息安全網絡隔離裝置進行,同時還必須保證信息安全網絡隔離裝置自身的安全性。信息安全網絡隔離裝置在網絡中的位置圖1-1普通網絡系統連接示意圖圖1-1普通網絡系統連接示意圖信息安全網絡隔離裝置訪問控制策略訪問控制策略是信息安全網絡隔離裝置的基礎,它可以按如下兩種邏輯來制訂：默認禁止：訪問控制規則沒有明確允許的都禁止訪問；默認允許：訪問控制規則沒有明確禁止的都允許訪問。對于網絡通訊的控制,采用默認禁止的方式,即為配置相應通訊策略的協議，均無法通過裝置.對于應用SQL語句的控制，裝置采用詞法匹配和內置默認規則方式進行過濾,一方面提升效率，同時增強了安全性。未明確禁止的SQL語句可通過本裝置。SGI-NDS200信息安全網絡隔離裝置簡介工作原理信息安全網絡隔離裝置是適應網絡按照安全等級進行分區的需要，對數據庫進行保護的專用裝置。本裝置可以對信息內外網間的傳輸進行過濾，只允許特定的應用服務器通過特定的程序對特定的數據庫服務器進行訪問，并且對客戶端程序訪問數據庫服務的內容和行為進行控制。功能和特性信息安全網絡隔離裝置具備以下幾大功能:基本功能信息安全網絡隔離裝置具備通用防火墻產品的基本功能.防御功能■提供實時監控、審計和告警功能；安全管理■操作系統提供分權管理安全機制；提供管理員和審計員分權管理的安全機制，保證安全產品的安全管理.■提供豐富完整的審計機制；裝置的日志審計功能十分完善，有對系統管理體系的分類日志(管理日志、通信事件日志），也有按日期對應的運行日志.日志內容包括事件時間、日志主體和事件摘要等。■提供日志查詢功能；日志查詢和分級分類篩選，這為用戶進行日志的審計和分析提供了方便。操作管理■提供靈活的本地管理方式；增強的安全功能加固的安全操作系統采用安全linux操作系統，根據最小特權原則對裝置的軟件，制定MAC(強制訪問控制）策略；嚴格的訪問控制策略只有特定的Tcp鏈路才能通過本裝置。本裝置可以配置對源IP進行控制,最大程度讓數據庫服務器對非法訪問者不可見，以保障數據庫安全。數據庫專用防護功能SQL語句控制對于連接上數據庫的通訊內容進行全方位分析,從其中分析出完整的SQL語句，對其進行過濾.如果通過詞法分析并與已知合法SQL語句相匹配，則進行放過。如果不與已知的合法SQL語句相匹配，這進行惡意特征檢查.若包含惡意特征，本裝置將立即阻止該SQL語句執行或者切斷其連接，將惡意SQL語句及時阻擋住,使之無法在數據庫服務器上執行。SQL解析和過濾SQL解析和過濾模塊，進行深入的SQL分析過濾，并根據用戶配置的安全控制策略，對來自特定網絡地址范圍以及具有特定內容的應用數據進行阻斷或允許操作,將來自外部網絡中企圖對后臺數據庫進行攻擊的危險行為阻斷，從而在一定程度上保證了只有來自可信網絡的不具攻擊性的數據才能進入內部網絡，確保后臺數據庫的安全。信息安全網絡隔離裝置對一些常見的SQL注入攻擊預置了相應的默認過濾規則,隨著黑客技術的發展和網絡攻擊手段的進步,技術人員可以對過濾規則進行及時更新.規則的更新是實時動態生效的,裝置無需重新啟動，因此并不會阻斷上層應用.SQL阻斷方式對于常規的惡意語句,裝置將拒絕該語句執行,記錄詳細的操作日志,并在JDBC端拋出“SQLcheckfailed！”的異常信息.對于惡意編碼的SQL語句,如含有不可打印字符等，裝置將直接切斷其連接。安全方便的維護管理SGI-NDS200信息安全網絡隔離裝置配置非常簡便，對它的操作及設置基本上只需使用規則配置管理工具就可以實現。SGI—NDS200信息安全網絡隔離裝置提供了配置管理工具:GUI管理工具。規則管理工具（GUI）是本產品的專用配套程序.該管理器具有界面友好、直觀、功能齊全、通俗易懂等特點。管理工具如下圖所示：具備以上功能的SGI—NDS200信息安全網絡隔離裝置是計算機網絡與網絡之間、主機與網絡之間、主機與主機之間實施物理安全隔離的最佳解決方案.產品實施步驟本節以網省公司某基于WebLogic的系統為例，進行說明。用戶溝通調研移交用戶使用手冊介紹SQL代理運行原理演示配置客戶端使用確認應用系統在實施前正常不通過SQL代理裝置時，應用功能正常不通過SQL代理裝置時，應用穩定性可靠修改應用配置加載JDBC驅動將jdbc。jar文件,存放到weblogic安裝的要目錄。進入域目錄“bea\user_projects\domains\ztbdomain”，打開StartWeblogic。cmd、startManagedWebLogic.cmd文件，將setCLASSPATH環境變量后，加入"c：\bea\jdbc.jar".啟動weblogic時，將會自動加載jdbc。jar驅動.修改連接參數驅動名稱：sgcc。nds。jdbc。driver。NdsDriverURL：jdbc：nds：//172。16。55.141:18603/v_js_db2_ztb？appname=App_js_db2_ztb通過SQL代理，發布并測試應用功能發布應用程序啟動weblogic服務測試應用功能是否正常系統啟動過程簡介系統啟動,將會執行/sql_proxy/bin目錄下的start。sh腳本，并進行下述操作:檢查運行環境是否正常檢查sgcc用戶是否對配置文件具有可讀寫權限檢查SQLite數據庫中安全所的規則是否滿足要求添加oracle、db2環境變量啟動SQL代理服務

SGI—NDS200信息安全網絡隔離裝置管理我們可以方便地通過使用SGI—NDS200信息安全網絡隔離裝置管理器來管理信息安全網絡隔離裝置。以上兩種管理方法將在下面做詳細介紹。登錄啟動信息安全網絡隔離裝置的配置軟件，系統彈出用戶登錄框,如圖3-1所示,輸入用戶名(用戶名默認為非中文,且默認的管理員賬戶為admin，默認密碼為admin）、密碼，然后點擊配置按鈕,系統彈出服務器配置頁面，如圖3—2所示，進行代理服務器相關信息的配置。圖表STYLEREF1\s3SEQ圖表\*ARABIC\s11登錄界面圖圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s12服務器配置界面點擊添加按鈕，彈出添加節點的界面，輸入一個節點的名字，如“服務器節點1”圖表STYLEREF1\s3SEQ圖表\*ARABIC\s13添加節點的界面 服務器配置界面中的節點列表會出現剛添加的節點，如圖標3—4，然后選擇剛已添加的節點，填入服務器的IP和端口的信息，選擇保存,在節點列表中選擇一個服務器節點,點擊確定后,客戶端將返回登陸的界面。同時，也可以選擇一個服務器節點通過點擊“刪除"按鈕進行刪除。圖表STYLEREF1\s3SEQ圖表\*ARABIC\s14已添加節點的界面圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s15選擇完服務器的登錄界面 如圖表3-5，點擊確定,如果用戶名、密碼和服務器信息正確，將成功進入配置客戶端的主界面，如圖3—6。圖表STYLEREF1\s3SEQ圖表\*ARABIC\s16登錄后的主界面用戶管理用戶類型與權限用戶類型分為兩類：用戶分類權限備注管理員管理員權限，可進行查看和修改唯一用戶，不可刪除普通用戶普通權限，只可進行查看由管理員創建修改用戶權限分為3類:權限名稱權限內容備注超級管理員進行配置的導入導出和修改網絡配置管理員輸入特定密碼，獲得本權限管理員具備配置導入導出和修改網絡配置外的所有權限普通用戶具備查看除關鍵信息（密碼、配置規則等）以外的權限管理用戶圖表STYLEREF1\s3SEQ圖表\*ARABIC\s17管理用戶界面 雙擊左欄樹節點管理用戶，右側出現用戶管理的界面圖,系統顯示當前所有的用戶（超級管理員除外）,如圖表3—7，可以根據需要選擇添加用戶、刪除用戶和修改密碼。圖表STYLEREF1\s3SEQ圖表\*ARABIC\s18添加用戶的界面同時，也可以選個一個用戶進行刪除或者修改密碼.圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s19修改密碼的界面修改密碼雙擊左欄樹節點修改密碼，右側出現修改密碼的界面圖，如圖表3—10，可以修改當前用戶的密碼。圖表STYLEREF1\s3SEQ圖表\*ARABIC\s110修改當前用戶密碼的界面查看用戶信息雙擊左欄樹節點修改密碼,右側出現修改密碼的界面圖,如圖表3—11，展現當前用戶的詳細信息。圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s111查看當前用戶信息的界面超級管理員管理員登錄以后,在需要進行配置的導入導出或者修改網絡配置的時候，需要輸入特定的超級管理員密碼(默認為superadmin)獲取超級管理員的權限才可允許進行上述操作。點擊主界面左上角的按鈕，出現如圖3—12的界面，輸入超級管理員密碼，即可。圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s112超級管理員登錄 超級管理員也可修改自身賬戶的密碼，參考3。5。3章節.應用規則管理應用系統導航圖雙擊導航欄中的【應用規則管理】節點的子節點【應用系統導航圖】,出現如圖3—13的界面。圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s113應用系統導航圖如圖3—13,應用管理的組成包含如下內容：對象名稱對象含義操作應用如“招投標應用系統”,包括所有應用服務器、數據庫、安全規則的集合1.增加2。修改3。刪除4。列表應用服務器連接數據庫的獨立IP應用服務器1.增加2.修改3.刪除4。列表虛擬數據庫提供對后臺數據庫的初步封裝1.增加2。修改3.刪除4。列表真實數據庫提供對后臺數據庫的具體連接方式1.增加2。修改3.刪除4。列表5.測試數據庫狀態安全規則SQL詞法白名單規則1。增加2.修改3。刪除4。列表特征規則SQL特征過濾規則1。增加2。修改3.刪除4.列表表格STYLEREF1\s31規則管理的組成元素注意:1。一個應用允許配置多個應用服務器，當對應用進行刪除的時候，將一并刪除應用所對應的所有應用服務器以及應用所對應的SQL詞法白名單規則和SQL特征過濾規則。2。一個虛擬數據庫與一個真實數據庫一一對應，刪除真實數據庫將刪除對應的虛擬數據庫。如表3-1,表中所述的6種對象均提供增加，修改，刪除的功能,下面對應用的增刪改操作進行舉例，其他5種對象與之類似。圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s114應用系統管理的主界面列表操作：用戶雙擊左欄【應用管理】節點的子節點【應用系統】,出現如圖3-14的界面,界面展現出系統當前所有的應用系統。增加操作：用戶點擊新增按鈕，如圖3-15,用戶輸入應用名稱、選擇工作模式，輸入備注信息，點擊確定完成添加。圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s115新增應用系統的界面修改操作:如圖3—14,雙擊選擇右側框中的一個應用，系統會顯示此應用的詳細信息，如圖3—16，用戶根據需要修改應用的相關信息,修改完畢，點擊確定按鈕完成修改.刪除操作：如圖3-14，單擊選擇右側框中的一個應用,點擊刪除按鈕，完成刪除操作。圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s116修改應用系統的界面提交應用修改操作：用戶在對上述六種對象的一系列的增加或者修改操作之后,需點擊按鈕，系統顯示當前掛起的操作并提示是否應用掛起的修改,如圖3—17，點擊確定。圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s117是否應用更改界面撤銷應用修改操作：用戶在對上述六種對象的一系列的增加或者修改操作之后，如想撤銷之前所有的操作，需點擊按鈕，系統提示應用掛起的修改，如圖3—18，點擊確定。STYLEREF1\s3SEQ圖表\＊ARABIC\s118放棄更改界面應用系統圖表STYLEREF1\s3SEQ圖表\*ARABIC\s119應用管理界面 下面介紹應用的主要屬性: 應用名稱:應用系統的名稱,只允許字母與數字的組合。 工作模式:分為學習和過濾模式。注意：為了防止用戶的誤操作導致對工作模式不必要的修改，用戶如想更改工作模式，需點擊更改模式激活工作模式的選擇欄。 備注:對應用進行一些額外的說明,可不填。 應用服務器列表：一個應用所對應的多個應用服務器.（系統自動顯示，不需選擇和填寫。） 新增時間：應用系統第一次添加的時間。(系統自動記錄) 最后更新時間：最近一次修改應用系統的時間。(系統自動記錄)應用服務器圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s120應用服務器管理的主界面下面介紹一下應用服務器的主要屬性：應用服務器名稱:應用服務器的名稱,只允許字母與數字的組合.應用名稱：應用服務器所對應的應用系統的名稱。應用服務器IP:應用服務器（如weblogic)的IP地址虛擬數據庫名稱：應用系統所對應的虛擬數據庫名稱.備注：對應用服務器進行一些額外的說明。(可不填）新增時間：第一次添加應用服務器的時間.（系統自動記錄)最后更新時間：最近一次修改應用服務器的時間。(系統自動記錄)虛擬數據庫圖表STYLEREF1\s3SEQ圖表\*ARABIC\s121虛擬數據庫的主界面 下面介紹一下虛擬數據庫的主要屬性： 虛擬數據庫名稱：虛擬數據庫的名稱，只允許字母與數字的組合。 真實數據庫名稱：虛擬數據庫所對應的真實數據庫的名稱。 最大連接數：虛擬數據庫的最大連接數。 用戶名:連接虛擬數據庫所需的用戶名。 密碼:連接虛擬數據庫所需要的密碼。 備注:對虛擬數據庫進行一些額外的說明。(可不填)新增時間：第一次添加虛擬數據庫的時間.（系統自動記錄）最后更新時間：最近一次修改虛擬數據庫的時間（系統自動記錄)真實數據庫圖表STYLEREF1\s3SEQ圖表\*ARABIC\s122真實數據庫的主界面 下面介紹一下真實數據庫的主要屬性: 真實數據庫名稱:真實數據庫的名稱，只允許字母與數字的組合。 真實數據庫類型：數據庫的類型，分為三種：SQLSERVER,ORACLE和DB2。 最大連接數：數據庫的最大連接數。 IP：數據庫的IP地址，如Oracle,DB2等。 端口：數據庫的連接端口，如Oracle默認的1521等。 用戶名:數據庫的用戶名。 密碼：數據庫的密碼.數據庫SID：SID信息(ORACLE數據庫才有此信息,其他數據庫不填）.數據庫名稱：數據庫的名稱。備注:對真實數據庫進行一些額外的說明。（可不填)附加信息：真實數據庫的附加說明。新增時間：第一次添加真實數據庫的時間,系統自動記錄。最后更新時間:最近一次修改真實數據庫的時間，系統自動記錄。SQL詞法白名單圖表STYLEREF1\s3SEQ圖表\*ARABIC\s123SQL詞法白名單界面SQL詞法白名單的主要屬性：SQL名稱：SQL的名字。（由用戶定義或用默認值)應用名稱：所屬應用的名稱.SQL語句：SQL語句的詳細信息。備注:對SQL詞法白名單進行一些額外的說明.（可不填）新增時間：第一次添加SQL詞法白名單的時間。(系統自動記錄)最后更新時間:最近一次修改詞法白名單的時間。（系統自動記錄）特征過濾黑名單STYLEREF1\s3SEQ圖表\*ARABIC\s124特征過濾黑名單界面特征過濾黑名單主要屬性：SQL名稱:SQL的名字。（由用戶定義或用默認值)應用系統名稱:所屬應用系統的名字類型：分為兩種，放過或阻止。即放過或阻止此SQL規則.SQL語句：SQL語句的具體信息.備注：對特征過濾黑名單進行一些額外的說明，可不填。版本信息:黑名單規則的版本。附加信息:黑名單規則的附加說明。新增時間：第一次添加特征過濾黑名單的時間,系統自動記錄。最后更新時間：最近一次修改特征過濾黑名單的時間,系統自動記錄。監控管理模塊 監控管理模塊主要分為兩種功能，一種是對操作系統的CPU使用率、內存的消耗情況進行監控和對代理服務器的CPU、內存進行監控.另一種是對SQL代理服務器信息的監控.操作系統監控STYLEREF1\s3SEQ圖表\＊ARABIC\s125操作系統和代理服務器的CPU等信息監控SQL代理服務器監控STYLEREF1\s3SEQ圖表\＊ARABIC\s126命令模擬監控界面 用戶可以點擊左欄樹節點命令模擬監控對SQL代理服務器的狀態進行實時的監控。 用戶可以輸入如下命令:TASK:顯示task池相關信息TASKEXE數字（指定的時間，以秒為單位):顯示指定時間內task執行相關信息RESP:顯示resp池相關信息SESS:顯示session池相關信息CLOSESESS數字(要關閉的session的ID)：關閉指定的sessionVERSION:顯示版本相關信息TESTRDB真實數據庫名稱:測試真是數據庫數據庫是否連通APP:顯示應用程序信息APPSERVER:顯示應用服務器信息VDB：顯示虛擬數據庫信息VDB：顯示虛擬數據庫信息HELP：顯示幫助相關信息使用方法：通過輸入以上的命令以后按回車或者點擊確定按鈕來顯示對應的信息. 用戶可以點擊導出輸入按鈕以TXT格式的文本導出屏幕上顯示的信息.用戶也可以點擊清除屏幕按鈕來清除屏幕上的信息。系統信息管理模塊 系統信息管理模塊主要分為兩種功能，一種是查看硬件配置信息，還有一種是查看代理服務器版本信息.查看硬件配置信息圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s127查看硬件配置信息查看代理服務器版本信息圖表SEQ圖表\*ARABIC28查看代理服務器版本信息配置管理模塊對配置進行導入與導出的前提需要獲取超級管理員的權限，具體獲取超級管理員權限的步驟請參考3。5。5章節.超級管理員登錄以后，出現如圖3—31的界面。配置導入STYLEREF1\s3SEQ圖表\＊ARABIC\s129配置導入界面配置文件介紹：SQLProxyCfg.ini：SQL代理服務器的配置文件SQLProxyCfg.db3：sqlite數據庫文件policy。conf：特征過濾規則文件log。ini：日志配置文件圖表STYLEREF1\s3SEQ圖表\＊ARABIC\s130導出文件的保存界面可以選擇性地導入日志配置文件、SQL代理配置文件、數據庫配置文件、網絡配置文件和應用規則配置文件。還可以輸入自定義的服務器文件地址,導入自定義的文件.如圖3-31，為導入文件時保存的界面，選擇導入文件所在的路徑,點擊導入配置，完成配置導入操作.配置導出STYLEREF1\s3SEQ圖表\＊ARABIC\s131配置導入界面可以選擇性地導出日志配置文件、SQL代理配置文件、數據庫配置文件、網絡配置文件和應用規則配置文件。還可以輸入自定義的服務器文件地址，導出自定義的文件。如圖3—31，為導出文件時保存的界面,選擇保存的路徑，