南京南瑞反向隔离SYSKEEPER-2000经销商

反向隔离装置技术规范
功能和性能
序号
名称
单位
数值
1
*网络接口

10/100M通信接口?2(内网)
10/100M通信接口?2(外网)
内网配置接口1
外网配置接口1(或与双机热备接口复用)
2
外设接口

终端管理接口(RS-232)2
usb接口2
3
设备厚度
U
1
4
*数据包有效网络吞吐率
Mbit/s
≥35(100条安全策略,1024字节报文长度)
5
数字签名速率
个/秒
268
6
数据转发延时
ms
≤10
7
满负荷数据包丢弃率

0
8
平均无故障时间(MTBF)
h
>50000(100%负荷)
9
*返回确认报文长度
bit
≤1
10
*日志规范
满足《电力二次系统安全告警日志格式规范》要求
一、产品介绍



SysKeeper-2000?网络安全隔离装置(反向单?bit)的硬件系统基于?RISC?体系结?构的嵌入式微处理器(Motorola?PowerPC),双?CPU?之间通过高速传输芯片进行物?理连接,两个处理系统不同时连通;主板上分别集成两个以太网接口用来连接要?隔离的两个网络,集成一个串口用来连接配置终端,使用户能够方便的配置和监?控隔离装置;支持完备的安全事件告警机制,采用标准?Syslog?日志协议输出报?警信息;双机接口支持隔离装置的双机热备和链路冗余备份,避免重要数据的丢?失;硬件看门狗时刻监控系统状态,保证隔离装置稳定、可靠的运行。


图?1??SysKeeper-2000?网络安全隔离装置(反向型)硬件结构框图


SysKeeper-2000?网络安全隔离装置(反向单?bit?型)的软件系统基于特别裁剪?的嵌入式?Linux?内核,实现两个安全区之间的非网络方式的安全的数据交换;取?消所有网络功能,采取无?IP?地址的透明监听方式,支持网络地址转换,报文综?合过滤,割断穿透性的??TCP?连接;单向数据通信控制,单向连接控制;反向隔?离装置采用带签名的?E?语言进行传输,只允许传输采取?E?语言格式书写的文件,?装置中对传输的?E?语言文件进行检查,如此便能将病毒文件、非文本文件和非?E?语言文件阻隔,大限度保障内网高安全区的安全,在更深层次上保证数据传输?的机密型和完整性。
4.4??两个?网?络?通?过?二?层?交?换?机?双?机?双?网?连?接



网络环境描述:


内网主机为服务端,两块网卡的?IP?地?}为?192.168.0.8/192.168.1.8,虚?拟?IP?分别设置为?10.1.0.9/10.1.1.9;外网主机为客户端,两块网卡的?IP?地?}?为?10.1.0.8/10.1.1.8,虚拟?IP?分别设置为?192.168.0.9/192.168.1.9,同网段?的?IP?相互通讯,?{序默认通过?0?号网段通讯,0?号网段不通的情况下切换到?1?号网段进行通讯。两台隔离装置双机热备(采用交叉连接线将外网双机热备接口?FailOver?连接起来),配置规则相同。假设?Server??{序数据接收端口为?9898。

图?35
在二层交换双机双网的环境下,通信规则的配置原则如下:热备份主机和备?机的配置规则完全相同。在主备机的配置规则中,需要配置两条实际通信规则,



拟?IP?设置可以参考二层交换机环境下单隔离装置通信规则配置原则。


实际通信规则配置?1:






实际通信规则配置?2:
图?36




图??37
3.4?日志管理?



‘日志管理’功能(图?21)查看隔离装置的运行日志,以供用户分析隔离装?置的运行状况。登录成功后,会出现导出日志进度条(图?22)。导出成功后会自?动弹出‘日志列表’窗口(图?23)。

图?21









图?22





图?23
隔离装置也可以将系统日志输出到用户指定的计算机上保存。具体使用方法?参考《附录??5.3?日志审计系统》。
3.5?系统调试?



隔离装置提供了一个非常实用的系统诊断工具,用来诊断隔离装置与网络的?连接是否正常。点击‘系统调试’菜单下的‘系统诊断工具’选项诊断网络连接?情况(图?24)。
1)???Ping?诊断命令:


“诊断命令”提供了“ping”命令。由于隔离装置没有?TCP/IP?协议栈,所?以这个命令不是?Unix/Linux?下常用的调试网络的命令,而是采用专用报文构造?的一个仿?ping?命令,用来诊断隔离装置是否与内外网络物理连接正常。

图?24??系统诊断工具
以下是一个网络连接诊断示例:





图?25??网络连接诊断示例图
内网主机真实地?}为?10.144.1.1,虚地?}为?202.102.1.2;外网主机真?实地?}为?202.102.1.1,虚地?}为?10.144.1.2。假设隔离装置与内外网络已?经连接好,?}且在隔离装置内已经配置好规则。
具体诊断步骤如下所述:


a、首先测试隔离装置与内网的连接是否正常。将配置串口线连接到隔离装?置的内网配置口,连接串口成功后,选择系统诊断界面中的?ping?命令,?源地?}输入外网主机的虚地?},目的地?}输入内网主机的真实地?}。本例中
源地?}输入?10.144.1.2,目的地?}输入?10.144.1.1。


b、点击‘开始调试’按钮,系统会提示正在导出系统调试信息。如果诊断?信息为?ping?success:??10.144.1.1??to?10.144.1.1,则表示隔离装置与
内网网络连接正常(图?26)。否则诊断信息应为?ping?error。



图?26??网络连接诊断结果?c、测试隔离装置与外网的连接是否正常,与测试内网连接类似。将配置串口?线连接到隔离装置的外网配置口,源地?}应该输入?内网主机的虚地?}?(202.102.1.2),目的地?}输入外网主机的真实地?}(202.102.1.1)。
2)???远?{?Ping?诊断命令:?为了方便用户进行网络链路诊断,隔离装置支持有限的远?{?ping?诊断。
具体诊断步骤如下所述:




a、首先测试隔离装置与内网的连接是否正常。在内网通信计算机(如上图


所示的计算机?10.144.1.1)上打开命令行窗口,运行??ping?命令,目标?地?}为外网的虚拟?IP?地?}(10.144.1.2),ping?命令的长度选择为?996?个?字节。
Windows?操作系统:ping?10.144.1.2??–l?996


Unix?操作系统:ping?10.144.1.2??–s?996


如果能?ping?通外网的虚拟地?},则表示隔离装置与内网网络连接正常


。否则请检查隔离装置与内网的网络连接。


b、测试隔离装置与外网的连接是否正常,与测试内网连接类似。在外网的通?信计算机(如上图所示的计算机??202.102.1.1)上打开命令行窗口,运?行?ping?命令,目标地?}为内网的虚拟?IP??地?}(202.102.1.2),?ping?命令的长度选择为?996?个字节。如果能?ping?通内网的虚拟地?},则表示?隔离装置与外网网络连接正常,否则请检查隔离装置与外网的网络连接。
SysKeeper-2000网络安全隔离装置(反向型)



产品简介
SysKeeper-2000电力专用网络专用安全隔离装置(反向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区III到安全区I/II的单向数据传递。反向型隔离装置内嵌智能IC卡读写器,在实现安全隔离的基础上,采用数字签名技术和数据加密算法保证反向应用数据传输的安全性。因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,并为建立全国电网二次系统安全防护体系提供有力保障。
外形:标准1U
网络接口:2个百兆网卡接口、双机热备接口
外设接口:2个终端接口(RS232)、告警接口
智能IC卡读写器接口:配套两片32K智能IC卡片
材料:重负荷钢
指示器:LED电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状态指示灯
尺寸(长×宽×高):350.1×430×40.3?mm
重量:5?kg
工作温度:-5℃~50℃
输出功率:20W
平均无故障时间(MTBF)>60000小时(100%负荷)