1、隔离装置配置作业指导书前言为进一步规范隔离装置接入配置,实现标准化配置流程,完善信息系统的作业标准化,保证设备及信息网络隔离装置的安全、可靠运营,特制订隔离装置配置作业指导书。目录1.合用范围12.信息安全网络隔离装置介绍12.1信息安全网络隔离装置的定义12.2信息安全网络隔离装置在网络中的位置22.3信息安全网络隔离装置访问控制策略23.作业准备33.1新设备准备工作33.2工器具33.3危险点分析及预控措施44.隔离装置配置工作流程图55.作业程序及作业标准6附件一:隔离装置安装手册91.环境装备92.操作系统安装102.1操作系统安装前装备102.1.1查看装置MAC地址,申请凝思操作
2、系统序列号102.1.2安装操作系统其它需求102.2操作系统安装103.Sql代理系统安装113.1Sql代理安装前准备113.2Sql代理系统安装124.IP、路由配置124.1IP地址配置124.11 IPV4地址124.12 IPV6地址134.2路由配置144.3修改ssh限制外网连接145.隔离装置配置155.1配置前信息准备155.2登录隔离装置155.3配置SQL代理服务165.4配置应用系统205.5 提供应外网应用信息配置216.应用系统配置226.1修改应用配置226.1.1添加jar包226.1.2修改环境变量226.2配置Weblogic数据源236.2.1创建JDB
3、C数据源236.2.2JDBC数据库驱动类型246.2.3其他属性配置246.2.4连接属性256.2.5测试数据库连接266.2.6连接池设立(默认下不需要配置)277.常见配置问题29隔离装置配置作业指导书1. 合用范围本作业指导书合用于第二代信息网络隔离装置配置工作。2. 信息安全网络隔离装置介绍2.1信息安全网络隔离装置的定义信息安全网络隔离装置是将可信任的信息内网和不可信任的信息外网进行隔离,因此必须保证信息内网和信息外网之间的SQL通信均通过信息安全网络隔离装置进行,同时还必须保证信息安全网络隔离装置自身的安全性。 2.2信息安全网络隔离装置在网络中的位置普通网络系统连接示意图2.
4、3信息安全网络隔离装置访问控制策略访问控制策略是信息安全网络隔离装置的基础,它可以按如下两种逻辑来制订:1、 默认严禁:访问控制规则没有明确允许的都严禁访问;2、 默认允许:访问控制规则没有明确严禁的都允许访问。对于网络通讯的控制,采用默认严禁的方式,即为配置相应通讯策略的协议,均无法通过装置。3. 作业准备3.1 新设备准备工作序号内容标准1机房环境1. 每台装置2U的机架位,插座(自带2根国标电源线)2. 每台装置信息内外网网线各1根;3. 部署隔离装置需要的内外网网线3. 显示器键盘2网络环境1. 每台装置需申请信息内网ip和信息外网ip各一个; 2. 隔离装置位于防火墙后并确认防火墙支
5、持长连接3. 开通18600(应用外网服务器到隔离装置外网),18750(信息内网机到隔离装置内网),数据库端口如1521(隔离装置内网到数据库、根据数据库拟定端标语)3应用外网服务器1.业务系统需使用隔离装置的模块部署完毕 2.业务系统针对隔离装置进行过针对性测试和改造,通过最终兼容性测试3.业务系统在隔离装置安装期间可进行服务器配置,具有重启时间窗口4内网可用Oracle11g环境1.内网数据库服务可以正常提供2.明确数据库ip,端口,实例名,用户名、密码5内网隔离装置配置环境需提供一台内网电脑,可连接隔离装置。6人员需求业务系统配置人员1名,甲方IT管理人员一名3.2 工器具序号名称规格
6、/编号 单位数量1内网隔离装置配置环境规定安装SecureCRT终端仿真软件、JDK6.0及以上版本、隔离装置管理客户端台12其它工具材料网线、螺丝刀等套13.3 危险点分析及预控措施序号危险点防范措施1修改ssh配置使隔离装置只能在内网使用ssh服务修改/etc/ssh/sshd_config文献找到“ListenAddress 0.0.0.0”行,将其改为“ListenAddress 内网IP”。4. 隔离装置配置工作流程图5. 作业程序及作业标准序号工作内容操作方法及标准安全措施及注意事项开工1工作票许可工作票负责人会同工作票许可人检查工作票上所列安全措施是否对的完备,经现场核查无误后,
7、与工作票许可人办理工作票许可手续。2工作交底开工前工作负责人带领所有工作人员进入作业现场并在工作现场向所有工作人员具体交待作业任务、安全措施和安全注意事项、设备状态及人员分工,全体工作人员应明确作业范围、进度规定等内容,并在作业人员表格内分别署名。设备硬件安装及连线3硬件安装设备安装到机柜,固定稳妥。连接电源线,接地线,网线。连接线检查,有无脱落现象。检查时避免误碰线缆导致松脱注意双电源供电情况4设备上电运营检查设备应运营正常,无异常指示灯、无积尘、散热风扇运转正常。准备5获取配置信息获取隔离装置内网ip地址6登录设备配置内网机通过隔离装置管理客户端连接隔离装置进行配置可以使用笔记本通过网线直
8、连隔离装置进行配置Sql代理配置(具体配置参考附件一)7真实数据库真实数据库名称、真实数据库类型、最大连接数、IP、端标语、用户名、密码、数据库sid、数据库名称8虚拟数据库虚拟数据库名称、最大连接数、真实数据库名称、用户名、密码真实数据库名称:下拉框选择已录入的真实数据库名称9sql代理应用系统应用名称、工作模式工作模式:下拉框选择,默认学习模式 10Sql代理应用服务器 应用服务器名称、应用名称、应用服务器ip、虚拟数据库名称应用名称、虚拟数据库名称通过下拉框选择工作终结11保存配置,退出登录12拆除连接线拆除调试计算机与设备间连接线,涉及控制线缆、网络线缆。13检查现场工作负责人最后检查
9、现场,是否有遗留的工具、材料。14工作票终结经值班员验收合格,并在操作记录卡上各方签字后,办理工作票终结手续。附件一:隔离装置安装手册1. 环境装备序号SQL代理隔离装置安装环境规定1机房环境每台装置2U的机架位,插座(自带2根国标电源线)2每台装置信息内外网网线各1根3显示器键盘4网络环境每台装置需申请信息内网ip和信息外网ip各一个5隔离装置置于防火墙后并确认防火墙支持长连接需开18600(应用服务器到隔离装置外网),18750(信息内网机到隔离装置内网),1521(根据数据库拟定端标语,隔离装置内网到数据库)端口6应用服务器环境业务系统需使用隔离装置的模块部署完毕,7业务系统针对隔离装置
10、进行过针对性测试和改造,通过最终兼容性测试8业务系统在隔离装置安装期间可进行服务器配置,具有重启时间窗口9内网可用Oracle11g环境内网数据库服务可以正常提供,明确数据库ip,端口,实例名,用户名、密码10内网隔离装置配置环境需提供一台内网电脑,可连接隔离装置。11人员需求业务系统配置人员1名,甲方IT管理人员一名12加电测实验收单装置安装完毕,且运营正常后,需接口人于加电测试单上盖章或签字。2. 操作系统安装2.1操作系统安装前装备2.1.1查看装置MAC地址,申请凝思操作系统序列号 1) 软件方法:用光盘引导进入凝思操作系统,系统用户为root,密码为rocky。输入命令:ifconf
11、ig a(中间有空格),显示四个网卡信息,用eth2的MAC地址来申请序列号。2) 硬件方法:隔离装置有两块网卡,直接查看竖着的网卡,其上印制有硬件地址。2.1.2 安装操作系统其它需求1) 显示器、键盘、鼠标(特殊情况下使用) 2) 外接移动光驱3) Linx(凝思)系统安装盘2.2操作系统安装1) 在BIOS中设立光盘为第一启动盘,将凝思操作系统安装光盘放入光驱,引导进入操作系统,输入localhost name为root,password为rocky。2) 登录到光盘系统,执行setup命令,按Enter键启动安装程序。3) 对操作系统进行磁盘分区,分为两个分区:a) 分派互换区为:Ne
12、wprimarysize:20480BeginningType:82b) 互换分区分派完毕后,使用向下键选择到free space上,再运用左右键选择new,对/进行分区:Newprimarysize:剩余空间Type:83Bootable:bootc) 完毕所有分区设立后,移动左右键到【Write】,并按【Enter】键。d) 提醒:Are you sure you want write the partition table to disk?输入命令:yes(此环节会出现“write protect is off”,忽略)e) 分区结果写入磁盘后,分区工作完毕。移动左右键到【Quit】并按
13、【Enter】键退出分区界面。4) 进入设立挂载点界面,执行:Edit /回车Accept。5) 设立分区文献系统类型:选择ext3输入序列号,之后一路执行【enter】下去,直到选择系统的安装模式。6) 选择系统安装模式, production或是Development,由具体规定决定。区别在于开发模式中包含开发工具和服务。在正式环境中安装“production”模式。7) 安装完毕后,执行reboot。重启操作系统。3. Sql代理系统安装3.1 Sql代理安装前准备1) U盘2) Sql代理系统安装文献(new_deploy_6_30)3.2 Sql代理系统安装1) 将Sql代理系统安装
14、文献(new_deploy_6_30)拷贝到U盘内,并插到隔离装置上。2) 执行fdisk命令,查看优盘挂载的目录,并挂载优盘到mnt目录: #fdisk l #mount /dev/sdbx /mnt/3) 通过U盘将sql代理安装文献(new_deploy_6_30)拷贝到隔离装置系统a) 拷贝部署文献new_deploy_6_30到/root目录下: #cp rf new_deploy_6_30/ /rootb) 进入new_deploy _6_30/ 文献夹中执行”./setup”命令即可安装部署Sql代理服务,安装过程中会提醒“do you want to bonding netwo
15、rk cardY/N?”假如是初次部署Sql代理系统需输入Y来绑定网卡。重新安装Sql代理系统不需要再次绑定网卡输入n即可。 c) 安装完毕后重启操作系统,重启后通过”ps ef | grep sql”来查看安装情况,假如有下图红色标记进程表达安装成功。4. IP、路由配置4.1 IP地址配置4.11 IPV4地址每台SQL代理部署到网络环境中,需要内外网各提供一个IP地址。操作环节:1) 打开/etc/bonding.conf文献。2) 修改内外网IP地址,bond0相应SQL代理隔离装置的内网IP地址,bond1相应SQL代理隔离装置的外网IP地址,并保存bonding文献。执行命令: #
16、vim /etc/bonding.conf对bonding.conf文献中的IP地址进行设立,根据具体部署单位提供的子网掩码对netmask进行设立。4.12 IPV6地址1) 在任意目录下,使用root权限运营脚本ipv6-bond-set.sh (注:这个脚本只合用四网卡进行双绑定的情况)./ipv6-bond-set.sh2) 对/etc/sysconfig/network-devices/下的ifcfg-bond0和ifcfg-bond1分别进行配置IP即可vi /etc/sysconfig/network-devices/ifcfg-bond0vi /etc/sysconfig/ne
17、twork-devices/ifcfg-bond13) 重启系统即可 (或执行 /etc/ini.d/network restart)注:假如要单配IPV4的话只需要在配置IP时,在IPV6ADDR172:16:0:124行前加#号注释掉即可例:#IPV6ADDR172:16:0:124同理单配IPV6的情况则注释掉IPADDR172.16.0.124行即可例:#IPADDR=172.16.0.1244) 修改ssh使其支持IPV6:修改/etc/ssh/sshd_config文献 找到#ListenAddress :将前边的#号去掉然后终端中/etc/init.d/sshd restart应
18、当就可以了4.2 路由配置SQL代理隔离装置的内网IP地址与数据库的IP地址、或SQL代理的外网IP地址与业务系统服务器的IP地址也许不在一个网段。这种情况下,需要添加路由规则。添加路由规则如下:add net x.x.x.x(目的网段) mask x.x.x.x(子网掩码) gw x.x.x.x(网关)。具体操作:修改/sql_proxy/bin目录下的sp_route.sh脚本。1) 添加路由信息,每个网段相应一条信息。例如:内网网段为192.168.0.100,提供的子网掩码为255.255.255.0,网关为192.168.0.254,则添加的信息为:route add net 192
19、.168.0.0 netmask 255.255.255.0 gw 192.168.0.2542) 添加完之后,执行脚本,使设立的路由信息生效。 #./sp_route.sh4.3 修改ssh限制外网连接修改ssh配置使隔离装置只能在内网使用ssh服务。修改/etc/ssh/sshd_config文献找到“ListenAddress 0.0.0.0”行,将其改为“ListenAddress 内网IP”。 例如隔离装置的内网IP为“192.168.0.221”,则修改结果为“ListenAddress 192.168.0.221”5.隔离装置配置5.1配置前信息准备5.1.1 业务系统向业务系统
20、人员收集以下有关数据库信息:数据库ip地址、数据库类型、数据库端口、数据库用户名、数据库密码、数据库名称5.1.2 网络环境隔离装置内网到数据库之间假如有防火墙必须要在防火墙上开通数据库端口,并且支持长连接。否则隔离装置到数据库测试不通。5.2登录隔离装置打开“sgcc管理客户端”,并配置“SQL代理服务器”(windows系统,并安装JDK1.6以上版本,用户名/密码:admin/admin。)先添加服务器节点再配置负载均衡服务器地址(即隔离装置内网ip地址),端口填写“18750”,先保存再拟定,通过下拉框选择配置的“SQL代理服务器“节点再点击”拟定“,弹出的对话框”拟定“即可登录(无需
21、配置”非结构化服务器“)如下图所示:(表达通过内网连接上了隔离装置服务器,可以通过管理客户端配置sql代理基本信息。)5.3配置SQL代理服务5.3.1配置真实数据库a) 配置“SQL代理服务”菜单下的“真实数据库”。配置如下信息,配置完毕后点击“确认“再提交(点击红色按钮提交,以下所有添加信息后务必提交)b) 测试刚添加真实数据库信息是否连接数据库测试成功。先选择测试真实数据库记录信息再点击“(测试数据库连接按钮)“若出现“xxxx:数据库测试成功”则表达该数据库连接信息通过隔离装置可以正常访问数据库。部分常用配置项说明如下:真实数据库名称:真实数据库的名称,只允许字母与数字的组合并以“18
22、600_”开头。真实数据库类型:数据库的类型,分为三种:SQLSERVER,ORACLE和DB2。最大连接数:数据库的最大连接数,通常500IP:数据库的IP地址,如Oracle,DB2等。端口:数据库的连接端口,如Oracle默认的1521等。用户名:数据库的用户名。密码:数据库的密码。数据库SID:SID信息(ORACLE数据库才有此信息,其他数据库不填)。数据库名称:数据库的名称即service_name注:真实数据库名称推荐命名规则如下假如应用只用数据库一个用户(user)实例为orcl,真实数据库推荐用”18600_orcl”;假如应用要用数据库多个用户(user1,user2.)实
23、例为orcl,真实数据库推荐用“18600_user1”、”18600_user2”便于区分。Ip1:orcl1;ip2:orcl25.3.2配置虚拟数据库部分常用配置项说明如下:虚拟数据库名称:虚拟数据库的名称,只允许字母与数字的组合。(提供应外网应用)真实数据库名称:虚拟数据库所相应的真实数据库的名称。最大连接数:虚拟数据库的最大连接数。用户名:连接虚拟数据库所需的用户名。(提供应外网应用)密码:连接虚拟数据库所需要的密码。(提供应外网应用)注:虚拟数据库名称推荐命名规则如下根据上面输入的真实数据库名称并在前加入”v_“就可以了,如”v_18600_orcl”或“v_18600_user1
24、”等。5.4配置应用系统5.4.1 配置SQL代理应用系统部分常用配置项说明如下:应用名称:应用系统的名称,只允许字母与数字的组合。(提供应外网应用)工作模式:分为学习和过滤模式。默认“学习”模式。注意:为了防止用户的误操作导致对工作模式不必要的修改,用户如想更改工作模式,需点击更改激活工作模式的选择栏。应用服务器列表:一个应用所相应的多个应用服务器。(系统自动显示,不需选择和填写)注:应用名称推荐命名规则如下以”app_“开头后面跟上系统名称拼音缩写,如电力交易推荐使用“app_dljy”,统一车辆推荐使用“app_tycl”5.4.2 配置SQL代理应用服务器部分常用配置项说明如下:应用服
25、务器名称:应用服务器的名称(一条真实数据库信息相应一个虚拟数据库信息相应一个应用服务器名称。)应用名称:选择应用服务器所相应的应用系统的名称,多个应用服务器可以选择同一个应用。应用服务器IP:应用服务器(如weblogic)的IP地址,默认填写“127.0.0.1”虚拟数据库名称:选择应用系统所相应的虚拟数据库名称。注:应用服务器名称推荐命名规则如下以“appSvr_“后面跟上系统名称拼音缩写,如电力交易推荐使用“appSvr_dljy”,统一车辆推荐使用“appSvr_tycl”5.5 提供应外网应用信息配置需要提供应外网应用配置的文献有:隔离装置外网ip,隔离装置端口(18600),虚拟数
26、据库名称(v_18600_xxx),虚拟数据库用户名,虚拟数据库密码,应用名称(app_xxx)由以上信息拼成url为:jdbc:nds:/隔离装置ip1:18600,隔离装置2:18600/虚拟数据库名称?appname=应用名称假如有2台或多台ip都要填写在url中,中间用逗号隔开即可。6.应用系统配置6.1修改应用配置6.1.1添加jar包将驱动jar包存放到weblogic安装的要目录。如该目录下“OracleMiddlewareuser_projectsdomainsbase_domainlib”注:要根据自己系统具体weblogic安装途径存放jar包6.1.2修改环境变量到以下目
27、录中“OracleMiddlewareuser_projectsdomainsbase_domainbin”找到“startWebLogic.cmd(startWebLogic.sh)”,在set CLASSPATH后添加驱动jar包途径,windows系统修改如下:Linux系统修改如下:(注意”$DOMAIN_HOME”途径,如没有配置该途径可将驱动jar包绝对途径添加到后面)6.2配置Weblogic数据源6.2.1创建JDBC数据源a) JNDI Name:应用程序访问weblogic的数据源名称b) 数据库类型(Database Type):oracle类型。6.2.2JDBC数据库
28、驱动类型c) 数据库驱动程序(Database Driver):选择倒数第四个“Oracles Driver(Thin) for Service connections; Versions9.0.1and later”6.2.3其他属性配置默认下一步6.2.4连接属性d) 数据库名称(Database Name):管理客户端配置的虚拟数据库名称e) 主机名(Host Name):隔离装置外网ip地址f) 端口(Port):18600g) 数据库用户名(Database User Name):管理客户端配置虚拟数据库的用户名h) 口令(Password):管理客户端配置虚拟数据库的密码6.2.5
29、测试数据库连接a) 驱动程序名称:sgcc.nds.jdbc.driver.NdsDriverb) URL:“jdbc:nds:/隔离装置外网ip1:18600,隔离装置ip2:18600/虚拟数据库名称?appname=应用系统名称”如下:c) jdbc:nds:/170.20.8.223:18600,170.20.8.224:18600/v_18600_tjuvmp?appname=uvmp6.2.6连接池设立(默认下不需要配置)a) 初始容量(Initial capacity):30b) 最大容量(Maximum capacity):c) Capacity increment:连接池增长
30、的幅度d) Inactive connection timeout:不活动连接的超时时间(若连接在设立的时间内没有活动,则系统将其放入连接池)通过以上Weblogic环节的配置,可以通过Weblogic数据源测试配置是否成功,假如提醒数据源配置成功则表达外网应用到隔离装置,隔离装置到数据库之间是互通的。配置完毕。7.常见配置问题a) 应用服务器异常错误信息:IP address or application name is invalid, please check it。解决方法: 需要将url中的应用名称替换为实际配置的应用程序名称。b) 网络异常错误信息:java.sql.SQLExce
31、ption: 网络通信异常。解决方法:使用对的的ip地址或端标语。c) 虚拟数据库名称不对的错误信息:java.sql.SQLException: Database name is invalid,please check it.解决方法:在URL连接字符串中,使用对的的虚拟数据库名称。d) 真实数据库名称不对的错误信息:Could not connect to the real database,please check it. 解决方法:也许是网络不通、数据库服务未开或库名不对的。启动数据库服务器并且保证数据库可以接受新的连接, e) 用户名和密码不对的错误信息:java.sql.SQLE
32、xception: invalid username or password.解决方法:使用对的的用户名或密码。f) URL格式不对的错误信息:java.sql.SQLException: No suitable driver.解决方法:按照对的的URL格式填写。g) Jdbc驱动信息异常错误信息:java.lang.ClassNotFoundException: sgccc.wrong。解决方法:按照驱动的规范类名sgcc.nds.jdbc.driver.NdsDriver来指定驱动类。h) jdbc驱动信息异常错误信息:content error解决方法:查看jdbc驱动加解密的设立。同时
33、,查看sql代理配置文献SQLProxyCfg.ini。jdbc_recv_data_decrypt和jdbc_send_data_encrypt。jdbc_recv_data_decrypt表达是否对收到的jdbc数据解密,0表达不解密,1表达进行解密。jdbc_send_data_encrypt表达是否对发送给jdbc驱动的数据进行加密,0表达不加密,1表达加密。查看sql代理的加解密配置和jdbc驱动的加解密设立是否一致。8. 系统常用命令备份:1./proxy_db 18600SQLProxyCfg 备份 2./sql_proxy/bin/sp_route.sh备份重启网卡:/etc/
34、init.d/network restart重启绑定:/etc/init.d/bonding restart添加路由:route add net 192.0.0.0 netmask 255.0.0 gw 192.168.1.1重启sql代理服务:/etc/init.d/sqlproxy restart查看sql代理进程:ps ef |grep sql查看sql代理日记:tail f 100 /sql_proxy/log/nds0查看连接数:netstat -nat | grep 18600 | wc -lsqlplus连接数据库:sqlplus user/pwdip:port/sid重启服务器:reboot