神州数码网络防火墙解决方案

Juniper防火墙安装手册神州数码（深圳）有限公司二零零五年十二月Juniper 防火墙安装手册项目编号 Juniper200601 文档名称 Juniper防火墙安装手册编写人完成日期 2006.01.18文档修订记录：日期修订版本修订内容修订人2005.12.18 V1.0 NSRP设置、L2TP设置梁文辉2005.12.19 V1.0 透明模式、故障排除技巧刘平、李滨2006.01.16 V1.0 NAT模式和路由模式安装张坤目录一、透明模式 (5)1．1 、网络结构图 (5)1．２、配置文件 (5)二、NAT模式 (8)2．1 、网络结构图 (8)2．２、安装步骤 (8)2.2.1 初始化配置 (8)2.2.2 管理功能设置 (11)2.2.3 安全区 (12)2.2.4 端口设置 (13)2.2.5 设置路由 (14)2.2.6 NAT设置 (16)2.2.7 端口服务 (19)2.2.8 定义策略 (21)三、路由模式 (24)3．1 、网络结构图 (24)3．２、安装步骤 (24)3.2.1 初始化配置 (24)3.2.2 管理功能设置 (27)3.2.3 安全区 (28)3.2.4 端口设置 (29)3.2.5 Route 模式设置 (30)3.2.6 设置路由 (31)3.2.7 定义策略 (32)四、动态路由 (35)五、VPN (35)5.1 C LIENT TO SITE (35)5.2 建立L2TP (44)5.2.1网络结构图 (44)5.2.2配置防火墙 (45)5.5.3 测试 (54)六、HA (56)６．１、网络拓扑结构图 (56)６．２、设置步骤 (56)６．３、命令行配置方式 (57)６．４、图形界面下的配置步骤 (61)七、故障排除 (65)7.1 常用TROUBLESHOOTING命令 (65)7.1.1 get system (65)7.1.2 get route (65)7.1.3 get arp (66)7.1.4 get sess (66)7.1.5 debug (67)7.1.6 set ffilter (68)7.1.7 snoop (69)7.2 T ROUBLESHOOTING ROUTE (70)7.2.1 Example 1- no route (70)7.2.2 Example 2- no policy (70)7.3 T ROUBLESHOOTING NAT (71)7.3.1 Interface NAT-src (71)7.3.2 policy NAT-src (71)7.3.3 policy NAT-dst (72)7.3.4 VIP (74)7.3.5 MIP (74)7.4 T ROUBLESHOOTING VPN (75)7.4.1 常用调试命令 (75)7.4.2 常见错误（以下日志是从VPN接收端收集） (76)一、透明模式1．1 、网络结构图接口为透明模式时，NetScreen设备过滤通过防火墙的数据包，而不会修改IP数据包包头中的任何源或目的地信息。

神州数码大型企业网络防火墙解决方案神州数码大型企业网络防火墙整体解决方案，在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求，在各分支机构和分公司采用神州数码DCFW-1800S 防火墙在满足需要的基础上为用户节约投资成本。

另一方面，神州数码DCFW-1800系列防火墙还内置了VPN 功能，可以实现利用Internet构建企业的虚拟专用网络。

返回页首防火墙VPN解决方案作为增值模块，神州数码DCFW-1800防火墙内置了VPN模块支持，既可以利用因特网（Internet）IPSEC 通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务，也可以为移动的用户提供一个安全访问公司内部资源的途径，通过对PPTP协议的支持，用户可以从外部虚拟拨号，从而进入公司内部网络。

神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性：- 标准的IPSEC,IKE与PPTP协议- 支持Gateway-to-Gateway网关至网关模式虚拟专网- 支持VPN的星形（star）连接方式- VPN隧道的NAT穿越- 支持IP与非IP协议通过VPN- 支持手工密钥，预共享密钥与X.509 V3数字证书,PKI体系支持- IPSEC安全策略的灵活启用：管理员可以根据自己的实际需要，手工禁止和启用单条IPSEC安全策略，也为用户提供了更大的方便。

- 支持密钥生存周期可定制- 支持完美前项保密- 支持多种加密与认证算法：- 加密算法：DES, 3DES,AES,CAST,BLF，PAP，CHAP- 认证算法：SHA, MD5, Rmd160- 支持Client-to-Gateway移动用户模式虚拟专网- 支持PPTP定制：管理员可以根据自己的实际需要，手工禁止和启用PPTP。

返回页首防火墙双机热备方案为了保证网络的高可用性与高可靠性，神州数码DCFW-1800E防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。

防火墙多出口配置实例目前国内的骨干网南有电信北有网通，除此之外还有移动、教育网等。

考虑到不同运营商之间的通信都需要到骨干网进行数据交换，因此跨运营商访问时比较慢。

由此很多大型网络设置双出口、甚至多出口来规避这个问题。

本文档以某高校实际环境、实际需求为例来讲解神州数码多核防火墙在多出口环境下的配置实例。

文档中涉及到目的路由、ISP路由、源路由和策略路由，涉及到等价路由的负载均衡，路由转发权值、线路监控，还有多线路服务器映射后的逆向路由问题。

一、网络拓扑及描述用户环境描述：用户出口设备使用神州数码DCFW-1800E-10G防火墙，内网主要分成宿舍子网区、教学子网区、服务应用区及服务器区。

外线总共有八条，四条电信线路都是100M带宽，一条网通线路100M，一条教育网线路100M，两条移动线路都是1G。

二、用户需求描述a)禁止banip_class地址列表中地址访问外网;b)cernet_host地址列表外的地址禁止访问discardsite列表中的外网地址（只有前者才能访问后者）；c)cernet_host地址列表中的地址只通过教育网链路对外进行访问，同时对外访问时不做地址转换；d)目标地址在zdserver列表中，使用电信3链路进行访问（银行或其他部分对访问地址比较严格的站点）;e)目标地址是教育网地址段的，通过教育网链路进行访问;f)目标地址是移动cmhost列表铁通crc列表的通过移动链路进行访问;g)目的地址是电信段的走电信线路，其中电信1和其他三条按8:10比例；h)目的地址是网通和unicom地址段的通过网通线路访问外网；i)源地址在hcsp列表中的使用电信3链路进行访问（测试或内网特殊用户）;j)P2P流量走移动线路;k)考虑到八条外线带宽不同转发流量时要按照实际带宽的比例转发，另外很多服务器都是通过电信1映射，因此电信1和其他电信线路流量转发按照8:10的比例。

l)一旦某条链路出现故障后，该链路不再转发流量。

多核防火墙快速配置手册防火墙配置一：SNAT配置 (2)防火墙配置二：DNAT配置 (5)防火墙配置三：透明模式配置 (11)防火墙配置四：混合模式配置 (14)防火墙配置五：DHCP配置 (17)防火墙配置六：DNS代理配置 (19)防火墙配置七：DDNS配置 (21)防火墙配置八：负载均衡配置 (24)防火墙配置九：源路由配置 (26)防火墙配置十：双机热备配置 (28)防火墙配置十一：QoS配置 (32)防火墙配置十二：Web认证配置 (36)防火墙配置十三：会话统计和会话控制配置 (44)防火墙配置十四：IP-MAC绑定配置 (46)防火墙配置十五：禁用IM配置 (48)防火墙配置十六：URL过滤配置 (50)防火墙配置十七：网页内容过滤配置 (54)防火墙配置十八：IPSEC VPN配置 (58)防火墙配置十九：SSL VPN配置 (65)防火墙配置二十：日志服务器配置 (74)防火墙配置二十一：记录上网URL配置 (76)防火墙配置二十二：配置管理及恢复出厂 (79)防火墙配置二十三：软件版本升级 (82)防火墙配置一：SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin，密码admin后点击登录，配置外网接口地址内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0，防火墙会自动识别第三步：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略关于SNAT ，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

神州数码DCFW-1800S/E防火墙系统FAQ DCFW-1800 S/E文档发布版本号 V4.1神州数码网络有限公司Digital China Networks LTDAll Rights Reserved.神州数码DCFW-1800S/E防火墙系统FAQ版权声明本文档中的内容是神州数码DCFW-1800 S(C)/S/E-VII/G防火墙系统FAQ文档。

本文档的相关权力归神州数码网络有限公司所有。

文档中的任何部分未经本公司许可，不得转印、影印或复印。

由于产品版本升级或其它原因本文档内容会不定期进行更新除非另有约定本文档仅作为使用指导本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。

本声明仅为文档信息的使用而发表，非为广告或产品背书目的。

支持信息本资料将定期更新，如欲获取最新相关信息，请查阅公司网站： 或 或直接致电神州数码客服中心服务热线8008109119您的意见和建议请发送至：Zhanghfc@神州数码DCFW-1800S/E防火墙系统FAQQ: 忘记了管理员密码怎么办？A: 将防火墙重新启动，并在控制终端上观察启动过程，在启动出现若干个“！”时，按键盘“p”，将自动清除当前管理员密码，并恢复为出厂密码设置“admin”。

重新启动后共出现两次“！”，都可以按“P”恢复密码，但是第一次出现时按“P”有提示，“Set Password！”，第二次出现时没有提示。

Q: 如果防火墙不通，可能是哪几个方面的原因？A：首先看是否按照说明书的配置方法进行配置(参见《神州数码防火墙系统基本功能用户指南》第2章快速入门)。

特别注意的是：是否配置了缺省网关外网口的IP地址是否有冲突在NAT规则配置时，映射的外网地址是否有冲突如果防火墙处于HA的备机状态，且无处于主机状态的防火墙，也会导致服务不通Q: 如果防火墙内部主机不能访问外网的站点，可能是什么原因？A：在包过滤策略的配置中，检查是否配置了允许该内部主机由内到外的访问策略；是否配置了允许由内到外的DNS服务通过，并且在系统中正确地配置了DNS服务器；该内部主机是否在策略配置的阻止主机列表中。

WEB应用防火墙（DCN WAF）安装和快速使用指南版本V2.0神州数码网络(北京)有限公司地址:北京市海淀区上地九街9号100085网址: 目录第1章搭建配置环境........................................................................... 1-11.1 配置环境介绍 ............................................................................................. 1-11.2 搭建Console口配置环境.......................................................................... 1-11.3 搭建SSH配置环境.................................................................................... 1-21.4 搭建WebUI配置环境 ................................................................................ 1-21.5 首页功能介绍 ............................................................................................. 1-41.5.1 网站防火墙数据统计.......................................................................................... 1-41.5.2 系统信息............................................................................................................ 1-51.5.3 系统日志............................................................................................................ 1-61.5.4 WEB服务器运行状态......................................................................................... 1-61.5.5 许可状态............................................................................................................ 1-71.5.6 接口状态............................................................................................................ 1-7第2章出厂配置.................................................................................. 2-12.1 通讯口初始配置.......................................................................................... 2-12.2 Web用户初始配置...................................................................................... 2-12.3 命令行用户初始配置 .................................................................................. 2-12.4 管理口和带外口映射 .................................................................................. 2-1第1章搭建配置环境1.1 配置环境介绍将DCNWAF按照安装手册指导安装完毕，用户需要为DCNWAF搭建合适的配置环境，然后进行配置。

特别注意交换机恢复出厂：set dfault write reloadfirewall enable#全局开启firewall enablefirewall default {permit | deny} 设置防火墙默认动作跟踪路由tracertTelnet，SSH远程登录路由器aaa authentication login default localaaa authentication enable default enableusername abc password 123enable password 0 123line vty 0login authentication default交换机Switch(config)# telnet-server enableSwitch(config)#username test privilege 15 password 0 testSwitch(config)#authentication line vty login localauthentication securityip <ip-addr> 配置Telnet登录到交换机的安全IP地址限制允许IP地址段Telnet登录交换机switch(config)#access-list1permit192.168.1.0 0.0.0.255switch(config)#authentication ip access-class 1 inSwitch(config)#ssh-server enableSwitch(config)#username test privilege 15 password 0 testSwitch(config)#authentication line vty login localSwitch(config)#interface vlan 1Switch(Config-if-Vlan1)#ip address 100.100.100.200 255.255.255.0ssh-server timeout <timeout> 设置SSH认证超时时间ssh-server authentication-retries <authentication-retires> 设置SSH认证重试次数switch(config)#ip http serverswitch(config)#username test privilege15password0 testswitch(config)#authentication line web login localswitch(config)#ip http secure-serverDHCPswitch(config)#service dhcpswitch(config)#ip dhcp pool vlan10switch(dhcp-vlan10-config)#network10.1.1.1 24switch(dhcp-vlan10-config)#default-router10.1.1.1中继：switch(config)#service dhcpswitch(config)#ip forward-protocol udp bootpsswitch(config-Vlan20)#ip help-address 10.1.1.1dhcp绑定，不允许手动配置ip地址#全局开启DHCP Snooping和DHCP Snooping绑定功能DHCP分配固定ip:switch(config)#ip dhcp excluded-address 10.1.1.2 10.1.1.10 不自动分配地址池switch(config)#ip dhcp pool 10switch(dhcp-vlan10-config)#host10.1.1.5switch(dhcp-vlan10-config)#default-router10.1.1.1switch(dhcp-vlan10-config)#hardware-address 00-0B-4C-9E-2a -1C绑定硬件地址#全局开启DHCP Snooping和DHCP Snooping绑定功能switch(config)#ip dhcp snooping enableswitch(config)#ip dhcp snooping binding enableswitch(config)#interface ethernet1/24switch(Config-Ethernet1/24)#ip dhcp snooping trust#设置E 1/1端口可以自动绑定DHCP获得的IP地址switch(config)#interface ethernet1/1switch(Config-Ethernet1/1)#ip dhcp snooping binding user-controlswitch(Config-Ethernet1/1)#exit#手动绑定PC 1的IP地址和MAC地址switch(config)#ip dhcp snooping binding user 00-11-11-11-11-11address 10.1.1.2mask 255.255.255.0vlan1interface 1/2路由器:Router_config#ip dhcpd enable //启动DHCP 服务Router_config#ip dhcpd pool 1Router_config_dhcp#network 192.168.1.0 255.255.255.0Router_config_dhcp#range 192.168.1.11 192.168.1.20Router_config_dhcp#lease 1 //定义租期Router_config_dhcp#dns-server 1.1.1.1 //定义DNS服务器地址Router_config_dhcp#default-router 192.168.1.1端口安全Switchport port-security lock 锁定安全端口，使pc只能通过此端口通信Switchport port-security convert 动态学习macMac-address-table blackhole address aa-bb-cc-dd-ee-ff vlan 30 mac表过滤端口操作端口IP mac绑定#全局打开AM功能Switch(config)#am enable#端口 1/1开启AM功能，绑定IPSwitch(config)#interface ethernet 1/1Switch(config-If-Ethernet 1/1)#am portSwitch(config-If-Ethernet 1/1)#am ip-pool 1.1.1.2 2Switch(config-If-Ethernet 1/1)#exit#端口 1/2开户AM功能，绑定IP、MACSwitch(config)#interface ethernet1/2Switch(config-If-Ethernet 1/2)#am portSwitch(config-If-Ethernet 1/2)#am mac-ip-pool00-44-44-44-44-44 1.1.1.4Switch(config-If-Ethernet 1/2)#exit端口限速Switch(config)#interface ethernet 1/1Switch(Config-If-Ethernet1/1)#bandwidth control10000both 限速10MB参数：both为端口收发时均进行带宽控制；receive为仅在端口接收数据时进行带宽控制；transmit为仅在端口发送数据时进行带宽控制。

..密级：文档编号：项目代号：广西XX单位网络安全方案建议书网御神州科技（）目录1 概述 (4)1.1引言 (4)2 网络现状分析 (5)2.1网络现状描述 (5)2.2网络安全建设目标 (5)3 安全方案设计 (6)3.1方案设计原则 (6)3.2网络边界防护安全方案 (7)3.3安全产品配置与报价 (8)3.4安全产品推荐 (9)4 项目实施与产品服务体系 (14)4. 1 一年硬件免费保修 (14)4.2 快速响应服务 (14)4.3 免费咨询服务 (15)4.4 现场服务 (15)4.5 建立档案 (15)1 概述1.1 引言随着政府上网、电子商务、网上娱乐、网上证券、网上银行等一系列网络应用的蓬勃发展，Internet正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。

一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、证券、商务、国防等等关键要害领域。

换言之，Internet网的安全，包括其上的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的大事。

网御神州科技（）是一家具有国一流技术水平，拥有多年信息安全从业经验，由信息安全精英技术团队组成的信息安全公司。

公司以开发一流的信息安全产品，提供专业的信息安全服务为主业，秉承“安全创造价值”的业务理念，以追求卓越的专业精神，诚信负责的服务态度以及业界领先的技术和产品，致力于成为“客户最值得信赖的信息安全体系设计师与建设者”，从而打造一流的民族信息安全品牌，为神州的信息化建设保驾护航。

网御神州有幸能够参与XX单位的信息化的安全规划，并且在前期与信息中心领导进行了交流与研讨，本方案以前期交流的结果为基础，将围绕着目前的网络现状、应用系统等因素，为XX单位提供边界网络防护方案，希望该方案能够为XX单位安全建设项目提供有益的参考。

2 网络现状分析2.1 网络现状描述目前XX单位已经采用快速以太网技术建成了部的办公网络，网络分为两部分：部办公网络、外部办公网络。

上网认证常见故障与排除方法以Windows XP为例，请安装神州数码客户端软件最新版本(下载地址ftp://，“-=DigialChinaSupplicant@学校计费认证软件=-”文件夹下20090306版本)：●故障现象：神码连上了，可以上QQ但打不开网页。

(2)●故障现象:神州数码客户端软件停留在“开始认证请求”一段时间后弹出对话框“服务器没有响应，请联系网络管理员” (3)●故障现象:正在获取IP地址信息或者本地连接显示受限制 (12)●故障现象:WinPcap打开设备失败，请退出程序后重新运行！ (14)●故障现象:您选择的网卡已禁用，请启用后重新连接！ (14)●故障现象:网卡断开连接，请检查网卡连接状态！ (16)●故障现象: 提示“验证用户信息失败”后直接返回认证软件登录界面 (19)●故障现象: 提示“验证用户信息失败”后有弹出系统信息窗口，显示“用户名不存在或密码错！” (20)●故障现象: 提示“验证用户信息失败”后有弹出系统信息窗口，显示“您的用户已经在上网，禁止登陆” (20)●故障现象: 提示“验证用户信息失败”后有弹出系统信息窗口，显示“您的用户名当前被禁止使用” (20)●故障现象:接收到无效的认证报文！ (20)●故障现象:您更改了认证时候用的IP！ (21)●故障现象:无可用网卡，请选择网卡 (23)●故障现象:DigitalChinaSujpplicant: DigitalChinaSujpplicant.exe-应用程序错误 (27)●故障现象:发现网卡MAC地址盗用 (27)●故障现象:您与交换机之间的保活失败，请重新连接！ (29)●故障现象:发现启用DHCP，您被强制下线！ (30)●故障现象:“开始认证请求”后对话框消失 (31)●故障现象:双击神州数码客户端软件后没有反应 (32)●障现象：能上QQ、MSN、飞信等但不能开网页 (32)三、附录： (33)●如何打开“网络连接”查看“本地连接” (33)●ARP防火墙设置（以360安全卫士为例，用户如使用其它防火墙请参照本例并按相应情况自行设置） (35)可以到校园网FTP二下载防火墙 (35)●故障现象：神码连上了，可以上QQ但打不开网页。

DCFW-1800E-N5002多核安全网关红的部分是不同的地方：提供8个GE接口和2个GE/SPF（Combo）接口1.DCFW-1800E-N5002多核安全网关采用64位多核MIPS处理器和128G Crossbar高速交换总线技术，带来多种安全性能的全面突破。

神州数码DCFW-1800系列多核安全网关拥有业界领先的工业化设计工艺，硬件上广泛采用高品质的元器件，这让产品不但在可靠性和稳定性上具有了电信级的水平，而且也使得整机功耗大大降低，神州数码DCFW-1800系列多核安全网关还率先通过了RoHS环保认证和欧洲CE认证，因此DCFW-1800E-N5002多核安全网关是真正意义上的绿色环保产品。

2.DCFW-1800E-N5002安全网关拥有先进的安全防护功能，除具有高级状态检测包过滤技术外，还支持对应用层报文进行检测和过滤，可根据包括安全域、协议、端口、应用、用户以及时段等在内的诸多条件定制访问控制策略，DCFW-1800E-N5002的ALG功能还支持对FTP、HTTP、MS-RPC、H.323、RTSP、SIP、RSA、SQLNetV2等应用层协议进行状态监控。

3.DCFW-1800E-N5002安全网关采用基于硬件加速方案的高效专业防病毒引擎，结合会话流智能病毒扫描技术，能够对HTTP、FTP、POP3、SMTP、IMAP等应用协议进行在线实时病毒查杀，DCFW-1800E-N5002采用了创新性的病毒检测技术，能将接收数据和病毒扫描同步进行，对扫描的文件大小及数量没有限制，该技术在提升防病毒吞吐量的同时也降低了延迟。

4.DCFW-1800E-N5002多核安全网关提供基于深度应用识别的入侵防御解决方案，能有效防范网络中各种复杂的应用攻击，DCFW-1800E-N5002多核安全网关支持超过3000种以上的攻击检测和防御，并以强大的多核处理器为后盾，能为用户提供强劲精准的入侵防御功能。

神州数码CDMA无线数据传输－税务解决方案神州数码无线传输解决方案的核心是其DCWL-280CR无线路由器系列产品。

该系列产品采用的是2.5代的移动通信技术。

相对于传统的有线连接方式而言，无线网络方案具有实时在线、按数据流量计费、登录时间短、数据传输速度快、覆盖范围广、线路租金低、不受地域环境制约等诸多优势，可以通过无线方式较好地解决数据传输问题。

无线联网方案主要优点是：1、构建实时交易系统要求数据通信覆盖范围广，扩容无限制，接入地点无限制，能满足城区和跨地区的接入需求。

由于目前CDMA无线广域网已覆盖绝大部分地区，能够满足实时交易系统对覆盖范围的要求。

2、数据传输速率高。

3、通信费用低。

4、良好的实时响应与处理能力。

由于CDMA具有“始终在线”特性，无需拨号，使业务认证访问服务变得非常简单、快速。

5、安全、专有的应用网络。

应用先进网络加密手段，对数据传输任何一个环节都进行加密处理。

6、项目工期短、网络结构简单、建设成本合理、维护成本低廉，网络具有良好的拓展能力，能够根据将来需求平滑快速升级。

对现有应用及系统不做任何更改，以免影响现有系统运行，可以根据项目需要在应用上适当拓展。

税务业务的特性，决定了无线ATM系统的设计需要遵循以下几个重要的原则：∙正确性，系统保证业务完全符合税务处理的要求；∙可靠性，系统在运行过程中，不存在意外或不可预测的错误或故障；∙安全性，系统能满足业务安全的要求，不存在如泄露客户密码等情况；∙兼容性，系统在尽量少改动现有系统后台的情况下完成，保证程序的稳定性。

DCWL280CR无线路由器不改变原有业务处理方式，并保障数据的准确性，业务处理的要求。

网络带宽要满足用户现有需求，响应时间短。

产品内置硬件看门狗，自监测自复位，网络断线自动重连，保障系统可靠运行。

提供安全、专有的应用网络。

应用先进网络加密手段，对数据传输任何一个环节都进行加密处理。

（安全的详细介绍见附件1）DCWL280CR无线路由器本身内置系统，无需安装驱动，对现有银行应用及系统不做任何更改，以免影响现有系统运行。