华东网调二次系统安全防护工程设计与实施方案.doc

NARI SysKeeper-2000 网络安全隔离装置(正向单比特版)用户手册 注意： 本手册中的内容是南瑞安全隔离装置（正向单比特）用户开发手册。本材料的相关权利归南瑞集团公司信息系统分公司所有。开发手册的任何部分未经本公司许可，不得转印、影印或复印。 安全隔离装置（正向单比特） 应用实施手册 Version1.0-1bit 2010-1-25 南瑞集团公司信息系统分公司 All rights reserved 本资料将定期更新，如预获取最新相关信息， 请访问南瑞集团公司网站： 您的意见和建议请发送至：spd@ 南瑞集团公司信息系统分公司 南京南瑞路8号，210003 电话（TEL）:025市场部) 025025技术支持) 传真（FAX）:025目录 一、产品介绍 3 二、产品分发与安装 4 三、正向隔离装置配置管理 6 3.1 安全策略配置 6 3.2 用户管理 11 3.3日志管理 13 3.4系统调试 14 四、典型应用环境配置案例 18 4.1 二层交换机模式配置 18 4.2 路由器模式配置 19 4.3 三层交换机模式配置1 22 4.4 三层交换机模式配置2 23 4.5 双机双网模式配置 25 五、附录 27 5.1串口故障诊断 27 5.2网络故障诊断 28 5.3日志审计系统 28 5.4虚拟主机IP、静态NAT介绍 29 5.5 IPV4组播编址与转换 31 5.6应用软件跨网络安全隔离装置的设计建议 32 一、产品介绍 电力专用网络安全隔离装置（正向型单比特版）用于安全区I/II到安全区III的单向数据传递。 SysKeeper-2000网络安全隔离产品(正向型单比特版)的硬件结构如图1所示。本产品硬件采用RISC体系结构高性能嵌入式计算机芯片，双机之间通过高速物理传输芯片进行物理连接，底板上各有两个10M/100M以太网接口(IA1/IA2和IB1/IB2)用来连接要隔离的两个网络。内网双机接口（IA3）采用网络方式实现隔离装置的双机热备份，内外网的告警接口(IA4、IB3)采用标准串口进行告警信息输出，同时能上报到后台监控主机。内网串口可以用来连接配置终端，方便管理人员对网络安全隔离设备的控制，硬件看门狗时刻监视系统状态，保证隔离装置的稳定、可靠运行。 图1 网络安全隔离装置硬件结构图 正向隔离装置的前面板图如图2所示。前面板有3个指示灯，分别是电源指示灯、图2 SysKeeper-2000网络安全隔离装置(正向型)前面板图 后面板图如图3所示。隔离装置设计有双电源，一个电源作为主电源供电，另一个作为辅电源备份，两个电源可以在线无缝切换；内网配置口用来配置正向隔离装置，并监控内网侧的状态信息，外网配置口用来监控外网侧的状态信息；内网网口用来连接内网，外网网口用来连接外网，内外网口的网卡指示灯绿灯亮表示网口与网络正确连接，黄灯亮表示网络速率是100M，暗表示网络速率是10M，闪烁表示有数据正在接收或发送；双机接口支持隔离装置的双机热备；告警接口支持使用标准Syslog协议输出报警信息。 图3 SysKeeper-2000网络安全隔离装置(正向型)后面板图 二、产品分发与安装 SysKeeper-2000网络安全隔离装置（正向型单比特版）产品分发包括硬件和软件两大部分。用户在使用本产品时，应先检查硬件产品是否具有NARI标志，外观是否有损坏现象。如有以上现象，请勿使用并及时与本公司取得联系，处理相关事宜。为了产品稳定、可靠的运行，请勿私自打开隔离装置机箱。 隔离装置随机带有一张配置软件安装光盘、一根串口配置线，用于在安装Windows2000/XP/NT/9x操作系统的计算机上进行配置。安装完成后，启动配置管理软件，软件界面如图4所示。 图4 正向隔离装置配置软件主界面 SysKeeper-2000网络安全隔离装置的安装和部署非常简单，隔离装置部署在网络的唯一出口处，通过内网接口和外网接口，分别与内网和外网相连。内网和外网的数据交换必须通过隔离装置，以便保护安全的内部网络。 图5 隔离装置安装网络拓扑图 三、正向隔离装置配置管理 3.1 安全策略配置 用随机附带的配置串口线连接到安全隔离装置的内网配置串口(console)。 启动安全隔离装置的配置软件，。然后点击‘串口配置’菜单，在‘端口’选项下选择相应串口的COM端口(图6)。 图6 安全隔离装置配置软件启动界面 点击‘连接’选项。如果连接成功，系统将会提示成功连接串口(图7)；如果连接失败，系统也会提示连接串口失败(图8)。程序会反复重连5次，5次都失败后，程序会自动退出。用户请参考《附录 5.1串口故障诊断》一节仔细检查串口