南京反向隔离SYSKEEPER-2000报价 安全防护强度高

反向隔离装置技术规范
功能和性能
序号
名称
单位
数值
1
*网络接口

10/100M通信接口 2(内网)
10/100M通信接口 2(外网)
内网配置接口1
外网配置接口1(或与双机热备接口复用)
2
外设接口

终端管理接口(RS-232)2
usb接口2
3
设备厚度
U
1
4
*数据包有效网络吞吐率
Mbit/s
≥35(100条安全策略,1024字节报文长度)
5
数字签名速率
个/秒
268
6
数据转发延时
ms
≤10
7
满负荷数据包丢弃率

0
8
平均无故障时间(MTBF)
h
>50000(100%负荷)
9
*返回确认报文长度
bit
≤1
10
*日志规范
满足《电力二次系统安全告警日志格式规范》要求
5.3 日志审计



隔离装置随机配置光盘上带有“日志审计系统”软件。可以接收隔离装置输 出的系统日志,方便用户查看隔离装置的运行状态。
具体使用方法如下所述:


1、配置日志输出专用规则,保证内网日志服务器和隔离装置通讯正常。规 则名为“syslog”,协议类型为 UDP,内网 IP 地?}为日志服务器的 IP 地?}, 内网端口为 514,内网 MAC 地?}、外网虚拟 IP 根据实际网络环境设置;内 网虚拟 IP、外网 IP 地?}、外网端口、外网 MAC 地?}设置为合法参数即可。 完成上述规则设置后,在日志服务器上能够 ping 通外网虚拟 IP,表示规则




设置正确,外网虚拟 IP 地?}实际上就是软件中显示的日志发送主机的 IP。


2、将“日志审计系统”软件安装到内网日志服务器上,设置好日志文件的 保存位置,启动软件开始接收系统日志。注意:“日志审计系统”软件接收 端口锁定为 UDP 协议 514 端口,请保证日志服务器上此协议端口能够使用。

图 38 日志窗口
南京反向隔离SYSKEEPER-2000报价
4.4 两个 网 络 通 过 二 层 交 换 机 双 机 双 网 连 接



网络环境描述:


内网主机为服务端,两块网卡的 IP 地?}为 192.168.0.8/192.168.1.8,虚 拟 IP 分别设置为 10.1.0.9/10.1.1.9;外网主机为客户端,两块网卡的 IP 地?} 为 10.1.0.8/10.1.1.8,虚拟 IP 分别设置为 192.168.0.9/192.168.1.9,同网段 的 IP 相互通讯,?{序默认通过 0 号网段通讯,0 号网段不通的情况下切换到 1 号网段进行通讯。两台隔离装置双机热备(采用交叉连接线将外网双机热备接口 FailOver 连接起来),配置规则相同。假设 Server ?{序数据接收端口为 9898。

图 35
在二层交换双机双网的环境下,通信规则的配置原则如下:热备份主机和备 机的配置规则完全相同。在主备机的配置规则中,需要配置两条实际通信规则,



拟 IP 设置可以参考二层交换机环境下单隔离装置通信规则配置原则。


实际通信规则配置 1:






实际通信规则配置 2:
图 36




图 37
3.4 日志管理



‘日志管理’功能(图 21)查看隔离装置的运行日志,以供用户分析隔离装 置的运行状况。登录成功后,会出现导出日志进度条(图 22)。导出成功后会自 动弹出‘日志列表’窗口(图 23)。

图 21









图 22





图 23
隔离装置也可以将系统日志输出到用户指定的计算机上保存。具体使用方法 参考《附录 5.3 日志审计系统》。
3.5 系统调试



隔离装置提供了一个非常实用的系统诊断工具,用来诊断隔离装置与网络的 连接是否正常。点击‘系统调试’菜单下的‘系统诊断工具’选项诊断网络连接 情况(图 24)。
1) Ping 诊断命令:


“诊断命令”提供了“ping”命令。由于隔离装置没有 TCP/IP 协议栈,所 以这个命令不是 Unix/Linux 下常用的调试网络的命令,而是采用专用报文构造 的一个仿 ping 命令,用来诊断隔离装置是否与内外网络物理连接正常。

图 24 系统诊断工具
以下是一个网络连接诊断示例:





图 25 网络连接诊断示例图
内网主机真实地?}为 10.144.1.1,虚地?}为 202.102.1.2;外网主机真 实地?}为 202.102.1.1,虚地?}为 10.144.1.2。假设隔离装置与内外网络已 经连接好,?}且在隔离装置内已经配置好规则。
具体诊断步骤如下所述:


a、首先测试隔离装置与内网的连接是否正常。将配置串口线连接到隔离装 置的内网配置口,连接串口成功后,选择系统诊断界面中的 ping 命令, 源地?}输入外网主机的虚地?},目的地?}输入内网主机的真实地?}。本例中
源地?}输入 10.144.1.2,目的地?}输入 10.144.1.1。


b、点击‘开始调试’按钮,系统会提示正在导出系统调试信息。如果诊断 信息为 ping success: 10.144.1.1 to 10.144.1.1,则表示隔离装置与
内网网络连接正常(图 26)。否则诊断信息应为 ping error。



图 26 网络连接诊断结果 c、测试隔离装置与外网的连接是否正常,与测试内网连接类似。将配置串口 线连接到隔离装置的外网配置口,源地?}应该输入 内网主机的虚地?} (202.102.1.2),目的地?}输入外网主机的真实地?}(202.102.1.1)。
2) 远?{ Ping 诊断命令: 为了方便用户进行网络链路诊断,隔离装置支持有限的远?{ ping 诊断。
具体诊断步骤如下所述:




a、首先测试隔离装置与内网的连接是否正常。在内网通信计算机(如上图


所示的计算机 10.144.1.1)上打开命令行窗口,运行 ping 命令,目标 地?}为外网的虚拟 IP 地?}(10.144.1.2),ping 命令的长度选择为 996 个 字节。
Windows 操作系统:ping 10.144.1.2 –l 996


Unix 操作系统:ping 10.144.1.2 –s 996


如果能 ping 通外网的虚拟地?},则表示隔离装置与内网网络连接正常


。否则请检查隔离装置与内网的网络连接。


b、测试隔离装置与外网的连接是否正常,与测试内网连接类似。在外网的通 信计算机(如上图所示的计算机 202.102.1.1)上打开命令行窗口,运 行 ping 命令,目标地?}为内网的虚拟 IP 地?}(202.102.1.2), ping 命令的长度选择为 996 个字节。如果能 ping 通内网的虚拟地?},则表示 隔离装置与外网网络连接正常,否则请检查隔离装置与外网的网络连接。
南京反向隔离SYSKEEPER-2000报价
一、产品介绍



-2000 网络安全隔离装置(反向单 bit)的硬件系统基于 RISC 体系结 构的嵌入式微处理器(Motorola PowerPC),双 CPU 之间通过高速传输芯片进行物 理连接,两个处理系统不同时连通;主板上分别集成两个以太网接口用来连接要 隔离的两个网络,集成一个串口用来连接配置终端,使用户能够方便的配置和监 控隔离装置;支持完备的安全事件告警机制,采用标准 Syslog 日志协议输出报 警信息;双机接口支持隔离装置的双机热备和链路冗余备份,避免重要数据的丢 失;硬件看门狗时刻监控系统状态,保证隔离装置稳定、可靠的运行。


图 1 -2000 网络安全隔离装置(反向型)硬件结构框图


-2000 网络安全隔离装置(反向单 bit 型)的软件系统基于特别裁剪 的嵌入式 Linux 内核,实现两个安全区之间的非网络方式的安全的数据交换;取 消所有网络功能,采取无 IP 地址的透明监听方式,支持网络地址转换,报文综 合过滤,割断穿透性的 TCP 连接;单向数据通信控制,单向连接控制;反向隔 离装置采用带签名的 E 语言进行传输,只允许传输采取 E 语言格式书写的文件, 装置中对传输的 E 语言文件进行检查,如此便能将病毒文件、非文本文件和非 E 语言文件阻隔,大限度保障内网高安全区的安全,在更深层次上保证数据传输 的机密型和完整性。
南京反向隔离SYSKEEPER-2000报价