南瑞反向隔离SYSKEEPER-2000经销商

4.3??两个?网?络?通?过?三?层?交?换?机?连?接



网络环境描述:


内网?101?号网段主机为服务端,IP?地?}为?192.1.101.1,外网?1?号网段主机?为客户端,IP?地?}为?172.17.1.104,假设内网?Server??{序数据接收端口为?9898,?隔离装置内外网卡都使用?eth0。内网划分为?2?个网段(20?号网和?101?号网),外?网也划分为?2?个网段(1?号网和?4?号网),三层交换机做了路由使得这两个网段?可以互通。隔离装置的内网口与内网?20?号网段相连,连接端的三层交换机网关?地?}为?192.1.20.254;隔离装置的外网口与外网?4?号网段相连,连接端的三层交?换机网关地?}为?172.17.4.16。在规则设置时,需要设置两条规则:第一条规则为?外网主机与内网主机实际通信的规则。另外一条为虚拟路由规则,在与隔离装置?相连接侧,必须设置虚拟路由规则,本例中需在隔离装置的内网侧和外网侧,同?时设置虚拟路选项,即将相应的虚拟路由选项都设置为“是”。





图?32
在三层交换环境下,通信规则的配置原则如下:在隔离装置的内、外网侧均?为三层路由交换环境,外网的虚拟?IP?地?}必须与隔离装置内网侧相连接的三层?交换机网段为同一网段(本例中外网?1?号网段主机?172.17.1.104?的虚拟?IP?设置?为内网?20?号网段的?IP?地?}?192.1.20.31);内网的虚拟?IP?地?}必须与隔离装置?外网侧相连接的三层交换机网段为同一网段(本例中内网??101??号网段主机?
192.1.101.1?的虚拟?IP?设置为外网?4?号网段的?IP?地?}?172.17.4.31)。?实际通信规则配置:














图?33
虚拟路由规则的配置原则如下:与三层交换机相连接侧必须设置虚拟路由选?项,本例中需在隔离装置的内外网侧同时设置虚拟路由选项,即将相应的内、外?网虚拟路由选项选则为“是”,内网对应的外网虚拟?IP?设置为与隔离装置内网侧?相连接的三层交换机网关地?}(本例中配置为?192.1.20.254);外网对应的内网?虚拟?IP?设置为与隔离装置外网侧相连接的三层交换机网关地?}(本例中配置为




172.17.4.16)。



虚拟路由规则配置:

















图?34
SysKeeper-2000网络安全隔离装置(反向型)



产品简介
SysKeeper-2000电力专用网络专用安全隔离装置(反向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区III到安全区I/II的单向数据传递。反向型隔离装置内嵌智能IC卡读写器,在实现安全隔离的基础上,采用数字签名技术和数据加密算法保证反向应用数据传输的安全性。因此,该设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,并为建立全国电网二次系统安全防护体系提供有力保障。
外形:标准1U
网络接口:2个百兆网卡接口、双机热备接口
外设接口:2个终端接口(RS232)、告警接口
智能IC卡读写器接口:配套两片32K智能IC卡片
材料:重负荷钢
指示器:LED电源指示灯﹑安全隔离设备状态指示灯﹑网络适配器状态指示灯
尺寸(长×宽×高):350.1×430×40.3?mm
重量:5?kg
工作温度:-5℃~50℃
输出功率:20W
平均无故障时间(MTBF)>60000小时(100%负荷)
南瑞反向隔离SYSKEEPER-2000经销商
环境条件
序号
名称
单位
数值
1
环境温度
设备储存温度

?40~+55
设备工作温度
-10~+55
2
大气压力
kPa
70~106
3
海拔
m
3000
4
相对湿度

10~95
5
耐受地震能力
水平加速度
m/s2
0.3g
垂直加速度
m/s2
0.15g
南瑞反向隔离SYSKEEPER-2000经销商
反向隔离装置的前面板图如图?2?所示。前面板有?8?个指示灯,分别是电源指


示灯、内网灯、外网灯、告警灯、加密卡状态灯、数据加密灯、智能卡读写器状?态灯、智能卡读写灯。内网灯亮表示有数据从内网传输到外网;外网灯亮表示有?数据从外网传输到内网,如果内外网数据传输的流量太小,可能观察不到内外网?灯的闪烁,此时可以根据后面板网卡指示灯的情况观察是否有数据接收和发送。?告警灯亮并伴有声音告警表示隔离装置正受到网络恶意攻击。加密卡状态灯亮表?示隔离装置内置有数据加密卡,数据加密灯闪烁表示加密卡正在加解密数据;智?能卡读写器状态灯闪烁表示隔离装置内置有智能卡读写器,智能卡读写器状态灯?亮表示智能卡读写器插槽中有智能?IC?卡,智能卡读写灯亮表示智能卡上的用户?数据正在被读取。


图?2????SysKeeper-2000?网络安全隔离装置(反向型)前面板图


后面板图如图?3?所示。隔离装置设计有双电源,一个电源作为主电源供电,?另一个作为辅电源备份,两个电源可以在线无缝切换。内网配置口用来监控内网?侧的状态信息;外网配置口用来配置反向隔离装置,并监控内网侧的状态信息。?内网网口用来连接内网;外网网口用来连接外网。内外网口的网卡指示灯绿灯亮?表示网口与网络正确连接;黄灯亮表示网络速率是??100M,暗表示网络速率是
10M,闪烁表示有数据正在接收或发送。双机接口支持隔离装置的双机热备。告?警接口支持使用专用协议输出报警信息。

图?3?SysKeeper-2000?网络安全隔离装置(反向型)后面板图
5.3?日志审计?



隔离装置随机配置光盘上带有“日志审计系统”软件。可以接收隔离装置输?出的系统日志,方便用户查看隔离装置的运行状态。
具体使用方法如下所述:


1、配置日志输出专用规则,保证内网日志服务器和隔离装置通讯正常。规?则名为“syslog”,协议类型为?UDP,内网?IP?地?}为日志服务器的?IP?地?},?内网端口为?514,内网?MAC?地?}、外网虚拟?IP?根据实际网络环境设置;内?网虚拟?IP、外网?IP?地?}、外网端口、外网?MAC?地?}设置为合法参数即可。?完成上述规则设置后,在日志服务器上能够?ping?通外网虚拟?IP,表示规则




设置正确,外网虚拟?IP?地?}实际上就是软件中显示的日志发送主机的?IP。


2、将“日志审计系统”软件安装到内网日志服务器上,设置好日志文件的?保存位置,启动软件开始接收系统日志。注意:“日志审计系统”软件接收?端口锁定为?UDP?协议?514?端口,请保证日志服务器上此协议端口能够使用。

图?38?日志窗口
南瑞反向隔离SYSKEEPER-2000经销商