南瑞正向隔离装置

询价采购电话: 18351955025
询价采购电话:18351955025

行业动态

南瑞内外网隔离装置 南瑞syskeeper-2000隔离网闸

南瑞SysKeeper-2000系列电力专用网络安全隔离装置(反向型)参数:配置说明1,网络接口:10/100M接口2个(内网)+10/100M接口2个(外网)。2,热备接口:具备1个10/100M双机热备接口;3,外设接口:2个终端接口(RS232)+1个专用告警接口(RS232);4,设备电源:交流220V双电源,允许偏差:-20%~+15%;5,额定频率:50Hz;6,额定功率:60W;7,平均无故障时间(MTBF)>60000小时(100%负荷);8,装置可安装于19英寸标准机柜。性能参数说明1,百兆状态下的密文有效网络吞吐率≥20Mbps;2,数字签名速率大于100次/秒;3,数据包吞吐率≥1800pps;4,数据包转发延迟:<30ms(100%负荷);5,满负荷数据包丢弃率为0;6,平均无故障时间(MTBF)>50000小时(100%负荷);

FTPAFID共定义了三种报文。其中数据报文和保活报文由发送端产生,确认报文由接收端产生。数据报文用于传送文件。第一个字段(1Byte)表示类型码;第二个字段(2Byte)表示数据长度;从第三个字段开始到报文末为数据段。数据报文共定义了三种操作码:文件名称(值为0x01),文件内容(值为0x02)和文件hash字符串(值为0x03)。保活报文用于在不传送文件时检测通信状态。保活报文为一个字节,字节数值为0x0f。确认报文为一个字节,用于确认接收到的报文。其值为0xff时表示收到的报文正确,而值为0x00时表示收到的报文错误或收到的文件校验错误。FTPAFID协议被设计为一种停止等待协议,采用一问一答方式工作。图3显示了FTPAFID协议在传输文件时,正常情况发送端和接收端的交互过程。以传输一个文件为例,在开始工作时,FTPAFID的发送端首先发送一个文件名报文给接收端。接收端收到报文后返回一个OK报文。发送端在收到确认报文后发送一个文件数据报文。接收端收到数据报文后返回一个OK报文。重复这个过程直到文件传送完。最后一个数据报文的数据长度字段的数值为0。当接收端收到数据长度字段数值为0的数据报文时,就知道文件数据传输结束。最后发送端会发送一个文件hash字符串报文。接收端在接收完文件后,会计算文件的hash字符串,并与收到的hash字符串进行对比,如两者一致,就返回OK报文。FTPAFID协议的收/发两端在工作时需经过一个正向隔离装置中转,因此无法基于TCP协议提供的控制功能判断通信是否中断,必须自己进行控制。FTPAFID的保活功能设计为:在空闲时由发送端定时向接收端发送保活报文,接收端收到报文后返回确认报文;当发送端超时未收到确认报文或接收端超时未收到保活报文时,判定通信为中断状态。保活功能对接收端尤其重要。若没有保活功能,接收端无法判断通道上没有数据是因为没有文件需要传送,还是发送端已经崩溃。如果发送端已崩溃,使得在接收端上留下一个开放连接,而接收端又在等待发送端的数据,则发送端将永远等待下去。因为正向隔离装置只允许接收端返回0xff和0x00两种报文,无法表示太多含义,所以FTPAFID的差错控制实现的很简单。无论是在传送文件还是在空闲状态,发送端在超时未收到确认报文或收到的确认报文为0x00时都直接关闭通道。接收端在超时未收到报文时直接关闭通道;而在文件传输过程中收到错误报文或文件传输完毕后文件校验错误时,先返回值为0x00的ERR报文,然后关闭通道。
规则配置1)点击‘规则配置’菜单下的‘配置规则’选项,会进入配置规则界面(图9)图 992)规则配置界面左侧一列为常用操作按钮,以下为各个操作功能介绍: 打开配置点击左侧第一个按钮,为打开配置。可以通过此功能打开原来保存或备份本地的配置配置文件,方便浏览或导入本台设备; 保存配置点击左侧第二个按钮,为保存配置配置。此功能为将现有的配置保存下来; 上传配置点击左侧第四个按钮,将配置好且保存完成的配置导入装置; 下载配置点击左侧第五个按钮,将配置从设备后台文件中读取并展示出来; 新建资源点击左侧第六个按钮,将新建一条配置规则,右侧配置列表中将多出一条默认的配置规则; 删除资源在右侧配置列表中,选中待删除的配置规则,点击左侧第七个按钮,将之删除; 复制,粘贴资源在右侧配置列表中选中一条配置规则,点击左侧第八个按钮,再点击第九个,则右边配置列表中将出现一条一样的配置规则; 编辑资源选中右侧配置列表中一条待修改的配置规则,点击左侧第十个按钮,将弹出编辑资源配置对话框,根据环境配置和修改相应的参数(图10)
安全策略配置 1)用随机附带的配置串口线连接到安全隔离装置的内网配置串口(console)。 2)启动安全隔离装置的配置软件,。然后点击‘串口配置’菜单,在‘端口’选项下选择相应串口的COM端口(图6)。图6安全隔离装置配置软件启动界面 3)点击‘连接’选项。如果连接成功,系统将会提示成功连接串口(图7);如果连接失败,系统也会提示连接串口失败(图8)。程序会反复重连5次,5次都失败后,程序会自动退出。用户请参考《附录5.1串口故障诊断》一节仔细检查串口设置。排除故障后,再次重试连接。 4)点击‘规则配置’菜单下的‘配置规则’选项(图9),系统会提示输入用户名和口令(图10)进行权限认证。隔离装置默认的系统管理员用户名/口令是root/root。用户在使用隔离装置后,请立刻修改系统管理员口令。 5)用户登录成功后,隔离装置会自动导出已存在的配置规则(图11),导出成功后进入‘配置系统规则主界面’配置用户规则。(注意:从安全角度考虑,本地不保留规则配置文件,每次启动时都从隔离装置导出)
SysKeeper-2000网络安全隔离装置(反向单bit型)的软件系统基于特别裁剪的嵌入式Linux内核,实现两个安全区之间的非网络方式的安全的数据交换;取消所有网络功能,采取无IP地址的透明监听方式,支持网络地址转换,报文综合过滤,进行UDP连接;单向数据通信控制,单向连接控制;反向隔离装置采用带签名的E语言进行传输,只允许传输采取E语言格式书写的文件,装置中对传输的E语言文件进行检查,如此便能将病毒文件,非文本文件和非E语言文件阻隔,最大限度保障内网高安全区的安全,在更深层次上保证数据传输的机密型和完整性。
后面板图如图3所示。隔离装置设计有双电源,一个电源作为主电源供电,另一个作为辅电源备份,两个电源可以在线无缝切换;内网配置口用来配置正向隔离装置,并监控内网侧的状态信息,外网配置口用来监控外网侧的状态信息;内网网口用来连接内网,外网网口用来连接外网,内外网口的网卡指示灯绿灯亮表示网口与网络正确连接,黄灯亮表示网络速率是100M,暗表示网络速率是10M,闪烁表示有数据正在接收或发送;双机接口支持隔离装置的双机热备;告警接口支持使用标准Syslog协议输出报警信息。
【规则名称】:规则名称。【协议类型】:选择协议,TCP或UDP。【内网IP地址】:内网业务机真实地址;【内网端口】:内网端口;14【内网虚拟IP】:内网业务机映射到外网的地址;【内网虚IP掩码】:内网业务机映射到外网的地址的掩码;【内网卡】:指定用于连接的网卡标识;【内网网关】:三层交换机或路由环境下指定下一跳网关,仅在是否设置路由选‘是’时生效;【内网路由设置】:是否需要设置路由,使网关设置生效;【内网MAC】:绑定MAC地址,可选项,可用十二个零代替;【外网IP】:外网业务机真实地址;【外网端口】:外网业务监听端口;【外网虚拟IP】:外网业务机映射到内网的地址;【外网虚IP掩码】:外网业务机映射到内网的地址的掩码;【外网卡】:指定用于连接的网卡标识;【外网网关】:三层交换机或路由环境下指定下一跳网关,仅在是否设置路由选‘是’时生效;【外网路由设置】:是否需要设置路由,使网关设置生效;【外网MAC】:绑定MAC地址,可选项,可用十二个零代替。
留言与评论(共有 0 条评论)
   
验证码: