SysKeeper-2000网络安全隔离装置诊断调试手册(v1.0-1bit)

NARISysKeeper-2000网络安全隔离装置诊断调试手册TOC\o"1-3"\h\z\u1.网络调试31.1网络连接线的选择31.2通信链路调试32.隔离装置工作状态诊断42.1观察内、外网数据灯42.2超级终端观察43.串口工作状态诊断63.1物理连接63.2不同型号隔离装置的配置软件版本63.3隔离装置负荷较大63.4计算机的串口兼容性63.5隔离装置的串口74.数据传输状态诊断74.1规则配置74.2搭建最简测试环境84.3高级应用编程84.4通信网关机配置8NARI南京南瑞集团信息系统分公司91.网络调试1.1网络连接线的选择隔离装置如果与计算机或者路由器连接，采用交叉线进行网络连接；如果与交换机或者集线器连接，则采用直连线进行连接。在网络连接线正确连接后，观察隔离装置后面板的网络接口指示灯是否点亮，如果网络指示灯点亮， 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 明网络连接正常，否则可能隔离装置网络接口故障。1.2通信链路调试可以采用隔离装置配置软件的ping诊断工具测试或者直接在隔离装置两端的通信网关机上直接测试（推荐采用第二种调试方式）。1)首先确认隔离装置内外网均正确连接到网络中；2)在内网网关机（以内网诊断为例）上的命令行窗口中分别执行以下命令：arp–d；（清空通信网关机上的arp地址表）；ping外网虚IP；arp–a；（查看通信网关机更新后的的arp地址表）如果能得到隔离装置的虚拟MAC地址(前四位为1234)，则说明内网网关机到隔离装置内网端的链路是正常的。（注：如果通信网关机与路由器直接连接，则会返回路由器的MAC地址，在此种连接方式下，建议采用专用的ping诊断工具进行调试，具体调试 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 请参考安全隔离装置用户手册)。3)双进双出型隔离装置对ping报文的长度进行安全控制，在ping的时候增加长度参数（Windows计算机：ping外网虚IP–l996，UNIX计算机：ping外网虚拟IP–s996），如果链路可达则可以观察到返回的ping报文。采用同样的测试方法，可以测试外网网关机到隔离装置外网端的链路是否正常。2.隔离装置工作状态诊断2.1观察内、外网数据灯在没有数据传输时，如果可以观察到隔离装置正面板内外网数据灯每隔1~2秒微弱的闪烁一下，则表明隔离装置工作状态正常；如果内外网数据灯都没有闪烁或者数据灯常亮且不能传输数据，则装置可能出现异常，请立刻与我们联系。2.2超级终端观察隔离装置可以通过配置计算机的超级终端软件对系统的工作状况进行调试和观察。配置计算机超级终端的设置如下所述：a)运行Windows开始－>程序－>附件—>通讯－>超级终端b)输入超级终端名称：SysKeeper,选择计算机相应的Com端口（Com1）图1c)配置超级终端属性：如下图所示。图2d)保存配置。设置完成后，将配置计算机的串口和隔离装置的内网Console口连接－>打开前面设置的SysKeeper超级终端－>启动隔离装置电源－>观察隔离装置启动的输出信息。如果不断重复输出启动信息，则表明装置在反复重启，请立刻与我们联系，如果启动信息为乱码，表明配置计算机或者隔离装置的串口通信有故障，请参考下一节的调试文档，并与我们及时联系，获得进一步的帮助。提示：可以通过设置超级终端的“传送－>捕获文字”，把所有输出信息保存为文本文件，以作详细的调试分析。3.串口工作状态诊断3.1物理连接1）专用配置线应使用配套的专用串口线配置隔离装置。2）查看串口配置线与计算机的哪一个串口连接一般来说计算机自带的串口A为COM1，串口B为COM2。如果是使用串口卡或USB转串口线额外增加的串口，需要打开“设备管理器”，在端口选项下查看串口使用的COM端口，确认COM端口选择正确。3）串口配置线与隔离装置的连接正向隔离装置：配置计算机的串口和隔离装置的内网Console口连接；反向隔离装置：配置计算机的串口和隔离装置的外网Console口连接。3.2不同型号隔离装置的配置软件版本正向单bit隔离装置采用V1.0-1bit配置软件；反向单bit隔离装置采用V1.0-1bit配置软件；3.3隔离装置负荷较大当隔离装置正在传输大量数据时，隔离装置负荷较大，CPU使用率较高，串口通讯进程可能无法及时得到CPU响应，建议暂停数据传输后再进行配置。3.4计算机的串口兼容性某些型号计算机，特别是一些较老型号笔记本的串口与隔离装置串口兼容性较差，可能出现无法连接的现象，建议换用其它型号的计算机配置。如果能够观察到启动信息并且隔离装置没有反复重启现象，但是使用配置软件始终无法连接到隔离装置，请在配置计算机的“设备管理器”的端口选项下将相应的COM端口速率设置为‘115200’，数据流控制设置为‘无’后再次重试，如果仍然无法连接，建议换用其它型号的计算机配置。3.5隔离装置的串口在超级终端中观察：如果隔离装置内外网串口有一个不能观察到启动信息，说明此配置串口故障，请立刻与我们联系；如果内外网都不能观察到启动信息，请确定计算机串口是否能够正常使用。4.数据传输状态诊断初步诊断装置没有故障(如可观察到内外网数据灯间隔数秒的闪烁、在超级终端可以观察到正常启动信息且没有不断重启的现象)，但仍无法传输数据，可按以下步骤进行进一步的诊断。4.1规则配置1）确认规则的设置与实际网络环境、通讯程序是否一致，如源、目的IP，端口， 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 类型等，还需要确认规则中配置的网卡选择与实际的网络连接是否一致。具体配置方法请参考《网络安全隔离装置用户手册》。2）确认配置隔离装置所用的虚IP未被其它网络设备使用，否则会造成IP地址冲突，导致无法传输数据。3）当同时部署正、反向隔离装置时，应特别注意在正、反向隔离装置中配置的虚IP不能相同，否则会造成IP地址冲突，导致无法传输数据。4）如果不能进一步确认规则配置是否正确，请导出配置信息并绘制网络拓扑图，与我们及时联系。4.2搭建最简测试环境当网络环境较为复杂时，往往无法确认故障点位于网络中的哪个环节(如路由器、防火墙等)，则可把隔离装置内外网分别直接连接到两台计算机上－>配置测试规则－>用配套光盘中的测试软件测试。4.3高级应用编程按照二次安全防护的 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 ，SysKeeper-2000网络安全隔离装置实现了TCP数据的单向传输控制，反向的TCP应答禁止携带应用数据，应用层的应答字节数最多为1个字节。所以经过隔离装置进行数据传输的应用软件，应遵守以下一些编程原则来进行应用程序的改造：1.I/II区与III区之间的应用程序禁止采用SQL命令访问数据库和基于B/S方式的双向数据传输。2.I/II区与III区之间的数据通信，传输的启动端由内网发起，反向的应答报文不容许携带数据，应用层的应答报文最多为1个字节。3.通信程序的服务端应特别需要注意初始化SOCKET为TCP_NODELAY或采用强制刷新缓冲区的API调用使应答数据立即送出，否则可能出现实际反向传输的应答数据超过1个字节而导致无法传输数据。4.另外需要注意的是穿越隔离的通讯程序应连接对端的虚IP，而不是原来没有物理隔离时连接的对端真实IP。4.4通信网关机配置当内外网的通信网关机(Windows)启用了系统个人防火墙功能后可能造成配套的文件传输软件无法正常工作，可以关闭或重新设定防火墙；经诊断初步判定隔离装置的故障情况后，需要记录装置的序列号及出厂日期，并与我公司及时联系，以方便我们进一步诊断。