科博安全隔离与信息交换系统（CopGap 200）使用手册2009年11月关于本手册本手册适用于采用B/S方式管理的科博安全隔离与信息交换系统。

主要面向安全管理员，介绍如何配置和管理“科博安全隔离与信息交换系统”，并对产品的功能特性进行说明，对安装使用环境提出要求，介绍了安装方法，列出了常见故障检查和服务支持信息。

为您正确使用“科博安全隔离与信息交换系统”提供便利。

本手册的全部内容已链接于我公司的网站用户可上网浏览，下载本手册。

版权声明本公司拥有本产品软硬件系统及相关文档的全部版权。

未经本公司书面许可，任何单位及个人不得以任何方式或理由对本产品的任何部分进行复制，抄录，传播，或将技术文档翻译成他国语言，并不得与其他产品捆绑销售。

信息反馈本公司欢迎您通过尽可能多的渠道向我们提供尽可能多的信息，您的意见和问题都会得到我们的重视和妥善处理。

请将反馈信息投递到下述地址：地址：北京市海淀区永丰开发区友谊路北京城市学院城北校区电话：（010）62478843、82470343 传真：（010）62478368邮编：100094目录第一章初始化配置 (1)第二章系统管理 (2)2.1关机/重启 (3)2.2网络配置 (3)2.3配置管理 (9)2.4系统校时 (11)2.5用户管理 (11)第三章服务映射 (12)3.1服务映射 (12)3.2访问控制 (14)3.3协议控制 (17)第四章文件同步 (19)4.1文件同步任务 (19)4.2筛选器 (21)第五章数据库同步 (28)5.1数据库同步 (28)5.2同步程序日志 (33)5.3同步程序升级 (34)5.2同步程序版本 (34)第六章系统监控 (34)6.1设备状态 (34)6.2地址信息 (35)6.3系统信息 (35)6.4运行状态 (36)第七章日志审计 (36)7.1系统日志 (37)7.2管理日志 (37)7.3映射日志 (39)7.4文件同步日志 (40)附件：典型案例 (42)服务映射 (42)文件同步 (49)第一章初始化配置1)科博安全隔离与信息交换系统CopGap200的内端机连接可信的内网，外端机连接不可信的外网。

2)科博安全隔离与信息交换系统采用B/S模式管理，管理口缺省IP地址为10.111.14.119/24。

3)选择一台安装有IE浏览器的客户机，与管理口相连，修改客户机IP地址，使其与内端管理接口（默认为：10.111.14.119/24）处于同一个网段，例如设置为10.111.14.110/24；在浏览器地址栏输入：https://10.111.14.119即出现管理系统登陆界面。

4)在“用户名”一栏输入用户名admin，在“密码”一栏输入其对应默认口令“123456”(提醒管理人员及时更改系统初始缺省管理员的用户名和口令)，进入科博安全隔离与信息交换系统CopGap200的管理系统,如图所示。

管理系统分为：系统管理、服务映射、文件同步、数据库同步、系统监控、日志审计六个模块。

第 1 页第二章系统管理系统管理模块可查看和配置系统基本信息，功能如下：第 2 页2.1 关机/重启单击“关机”按钮可关闭系统，单击“重启”可重启系统。

2.2 网络配置显示基本网络信息（包括IP地址、DNS、网关、路由、域名解析、高可用性等），如图：以上页面显示的是科博安全隔离与信息交换系统主要网络配置。

2.1.1 接口配置1）添加IP地址首先选中需要配置的网络接口，然后在IP地址和子网掩码文本框内填写正确的IP和掩码，最后点击“添加”按钮即可。

例如：第 3 页网络接口选择“业务口1”,填写IP地址10.0.0.56，子网掩码为24位即255.255.255.0，如下。

完成“添加”后,该配置信息将显示在列表中(如下图所示)，同时,在与业务口1相连的主机上配置与10.0.0.56/255.255.255.0同网段的IP地址，可ping 得此IP。

2）删除IP地址单击列表中需要删除的IP配置所在行按钮，即可删除该行配置。

3）修改IP地址单击列表中需要修改的IP配置所在行按钮，出现修改IP配置页面：第 4 页修改参数，点击“修改”完成配置修改返回主页面；点击“返回”放弃修改返回主页面。

2.1.2 路由配置在文本框内输入正确的网关地址后点击“设置”即可。

2.1.3DNS/网关/管理口第 5 页输入可信端与不可信端正确的网关DNS，点击设置即可。

可信端管理口默认地址为：10.111.14.119/255.255.255.0；不可信端管理口默认地址为：10.111.14.118/255.255.255.0。

管理口地址可配置，新配置重启后生效。

2.1.4 名称解析静态域名解析配置当前系统的DNS解析条目。

例如，配置：“可信端”“10.0.0.66”“”。

第 6 页表示，在可信端将被解析为ip地址10.0.0.66。

例如，配置：“不可信端”“10.1.1.58”“”。

表示，在不可信端将被解析为ip地址10.1.1.58。

2.1.5 高可用性（只有具备高可用性模块的设备可配置）。

高可用性（high available），解决一种不可避免的计划和非计划系统宕机问题的软件解决方案。

当某个主机故障时，运行在其上的服务就可以被其它主机接管。

在这个过程中，用户只需要经受一定程度可接受的时延，而能够在最短的时间内恢复服务。

配置界面如下：需要配置的参数有：位置、节点名。

第7 页位置：远程（指非本机以外的其他设备）；本地（本机设备）。

节点名：在1~254之间的一个ID号。

案例如下：两台CopGap设备，简称为GapA、GapB，做高可用配置。

1、GapA、GapB除高可用性模块以外的所有配置完全一致。

2、将两台设备心跳线用交叉线互连。

3、在GapA上配置两条：1）、“本地”，“1”；（表示当前设备的ID号为1）2）、“远程”，“2”。

（表示另一台设备ID号为2）4、在GapB上配置两条：1）、“本地”，“2”；（表示当前设备的ID号为2）2）、“远程”，“1”。

（表示另一台设备ID号为1）5、启动两台设备，完成高可用性配置，当一台设备故障时，另一台设备自动接管业务。

2.1.6 MAC绑定将特定IP与一台主机的网卡物理地址绑定。

只有指定第8 页主机用特定IP地址连接安全隔离与信息交换系统时，连接才被接受。

其他主机用此特定IP地址连接全隔离与信息交换系统时，连接被认为不合法，拒绝。

例如：内网IP：10.0.0.41/24和物理地址00-0e-f5-00-4c-a1绑定，如下：当MAC地址非00-0e-f5-00-4c-a1的主机使用IP10.0.0.41连接安全隔离与信息交换系统，连接失败。

不可通过当前系统访问外网资源。

同理在外端也可进行MAC地址绑定。

2.3 配置管理2.3.1 配置文件备份第9 页点击“配置备份”出即可把当前系统配置下载到本机；配置文件名称为：copgap64.cfg2.3.2 配置文件加载配置文件加载可把本机上已备份的配置上传至科博安全隔离与信息交换系统，将系统恢复为备份的配置，如图：选择正确的配置文件，点击加载即可。

2.3.3 恢复出厂设置配置文件加载可把本机上已备份的配置上传至科博安全隔离与信息交换系统，将系统恢复为备份的配置，如图：2.3.3 恢复出厂设置第10 页点击“恢复出厂设置”按钮可将当前设备配置恢复为出厂默认设置：可信端管理口默认地址为10.111.14.119/255.255.255.0；不可信端管理口默认地址为10.111.14.118/255.255.255.0；无其他配置信息2.4 系统校时用本地时间校准系统时间。

2.5 用户管理本系统用户分为操作员admin和审计员audit;默认口令均为“123456”；用户初次登陆系统建议修改密码。

1.审计员可以进行日志审计，系统监控和修改自己的登陆密码。

第11 页无权进行其他任何操作。

2.操作员操作员登陆系统之后，可修改设备网络配置，修改当前用户密码，修改信息交换和接入控制模块的配置，查看当前系统状况并使用工具箱。

无权进行系统控制，配置文件管理，日志审计。

第三章服务映射服务映射包括以下模块，如图：3.1 服务映射服务映射对某个服务的IP地址和端口进行转换。

若用第12 页户在外网的192.168.80.41上有服务，其端口为1536，传输协议为tcp。

如下配置。

添加服务映射规则：进入“服务映射” “服务映射”节点，添加规则。

添加完毕如图示：若内网用户想要访问原来外网服务器192.168.80.41上1536端口的服务，访问10.0.0.59的1536端口即可。

此规则各参数含义：映射方向：由内向外（用户在内网去访问外网的服务）；由外向内（用户在外网访问内网的服务）。

服务器地址：真正的服务器IP或域名。

服务器端口：服务所监听的端口（比如http服务一般监听在80端口）。

映射后地址：选择当前系统的某个地址。

第13 页映射后端口：经过映射后服务所监听的端口（一般来说与“服务器端口”参数一致即可）。

映射协议：当前被映射服务的协议（协议共有8个选项，见“CopGap典型应用”）。

状态：启用（当前规则生效）；停用（当前规则不生效）。

3.2 访问控制访问控制是针对服务映射生效的。

在缺省情况下，被映射的服务是允许所有人访问的。

通过访问控制可定义和用户安全需求一致的规则，用来控制允许进出的数据流。

3.2.1 什么是访问控制规则一个规则定义包括：1. 映射ID：指此规则对哪一条映射生效。

2. 客户端IP范围：发起连接的地址（主机地址或网络地址）。

3. 掩码：客户端IP范围的正确的网络掩码（若为某个确定的IP地址，则填写32或255.255.255.255）。

4．起始时间：此规则在什么时候开始生效。

5．终止时间：此规则在工作至什么时候结束。

第14 页6. 动作：指定当遇到匹配参数将要执行的动作（DENY：用户无法访问；PASS：用户可以正常访问）。

3.2.2 访问控制规则的例子内网IP为10.2.2.5/24的用户在11：30到16：30不允许访问一个已经通过映射的外网服务器192.168.80.41上的1536服务，其他时间可访问（该服务已在映射ID为“0”的服务映射中被映射到内网的一个IP地址10.0.0.59上）。

其它用户不受限制通过使用下面的参数能创建一个发生这个动作的规则：10.2.2.5在11：30到16：30这段时间内，对映射ID为“0”的服务映射发起访问请求是无法正常访问的。

其他用户可任意访问。

3.2.3 访问控制规则如何工作访问控制规则是一个用户定义规则的集合，用来确保安全。

第15 页系统根据下面的过程应用规则：1.当在系统中一个新的连接到设备时，设备持续的检查每一个在访问控制里的规则，依据新连接的匹配参数，直到第一个匹配被找到。