南瑞正向隔离装置

询价采购电话: 18351955025
询价采购电话:18351955025

行业动态

南瑞单向安全隔离装置 南瑞syskeeper-2000正向隔离装置千兆

正向隔离装置主要功能体现在禁止两个区域的应用之间直接建立TCP连接。它将两个区域的应用之间的TCP连接分解成两个区域的应用各自到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部为非网络连接。正向隔离装置工的作模式如图1所示。正向隔离装置只允许表示层与应用层数据单向传输,即从安全区III到安全区I/II的应答报文禁止携带应用数据(最多只能通过一个字节的数据,而且要么全为0,要么全为1)。电力二次系统I/Ⅱ区与Ⅲ区增设正向隔离装置后,普通的C/S和B/S程序无法穿越该装置,需按隔离装置编程规定修改程序,才能进行数据通信。这使得常规网络中容易解决的问题,变得复杂了。如Ⅲ区的应用想要获得I/Ⅱ区的文件,常见的文件共享方法如FTP服务,共享文件夹等都无法使用。需使用专门的跨正向隔离装置的文件传输系统。虽然正向隔离装置的生产商都提供了基于Java的文件透传系统,但并非所有的设备都能运行Java程序,特别是资源紧张的嵌入式设备。而若部署专门的文件传输服务器,又增加了成本。因此,有必要自行开发跨正向隔离装置的文件传输系统。

客户端安装在内网,可以定制多个任务,一个任务对应所要发送的一个目录,该目录可以发送到外网相应安装服务端的主机,并可以定时发送或实时发送;能够辨别更新的文件,达到只传输更新文件的目的;在设置好实时或定时发送功能后,即使在文件传输过程中出现链路异常断开,仍然会及时的在链路恢复正常的时候自动的重连并继续发送文件。正向隔离装置采用了综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映射(NAT)以及虚拟lP技术;具有可定制的应用层解析功能。在安全隔离设备中配置相应规则,将内网和外网服务器通过MAC,IP地址和端口进行了绑定。
为了更好地管理隔离装置,在隔离装置中可以设置两类用户:超级用户和普通用户。超级用户和普通用户的权限不同:超级用户可以增加,删除,修改隔离装置的配置规则,可以增加或删除隔离装置的普通用户,可以查询隔离装置的日志等;普通用户只可以查看隔离装置的配置规则和日志等。(注意:隔离装置现在只能设置一个超级用户root)1) 修改口令:点击‘用户管理’菜单下的‘修改口令’(图13)选项,系统会验证用户的合法身份(图14),身份认证成功后,自动弹出‘修改口令’窗口(图14),同时系统会自动锁定当前已经登录的用户名,用户只需输入新口令修改口令即可。(注意:用户只需要登录隔离装置一次,如果与隔离装置的连接没有断开,登陆的用户权限一直有效)
SysKeeper-2000网络安全隔离装置(反向单bit型)的软件系统基于特别裁剪的嵌入式Linux内核,实现两个安全区之间的非网络方式的安全的数据交换;取消所有网络功能,采取无IP地址的透明监听方式,支持网络地址转换,报文综合过滤,进行UDP连接;单向数据通信控制,单向连接控制;反向隔离装置采用带签名的E语言进行传输,只允许传输采取E语言格式书写的文件,装置中对传输的E语言文件进行检查,如此便能将病毒文件,非文本文件和非E语言文件阻隔,最大限度保障内网高安全区的安全,在更深层次上保证数据传输的机密型和完整性。
规则配置1)点击‘规则配置’菜单下的‘配置规则’选项,会进入配置规则界面(图9)图 992)规则配置界面左侧一列为常用操作按钮,以下为各个操作功能介绍: 打开配置点击左侧第一个按钮,为打开配置。可以通过此功能打开原来保存或备份本地的配置配置文件,方便浏览或导入本台设备; 保存配置点击左侧第二个按钮,为保存配置配置。此功能为将现有的配置保存下来; 上传配置点击左侧第四个按钮,将配置好且保存完成的配置导入装置; 下载配置点击左侧第五个按钮,将配置从设备后台文件中读取并展示出来; 新建资源点击左侧第六个按钮,将新建一条配置规则,右侧配置列表中将多出一条默认的配置规则; 删除资源在右侧配置列表中,选中待删除的配置规则,点击左侧第七个按钮,将之删除; 复制,粘贴资源在右侧配置列表中选中一条配置规则,点击左侧第八个按钮,再点击第九个,则右边配置列表中将出现一条一样的配置规则; 编辑资源选中右侧配置列表中一条待修改的配置规则,点击左侧第十个按钮,将弹出编辑资源配置对话框,根据环境配置和修改相应的参数(图10)
南瑞SysKeeper-2000系列电力专用网络安全隔离装置(正向型)参数:配置说明1,网络接口:10/100M接口2个(内网)+10/100M接口2个(外网);2,热备接口:具备1个10/100M双机热备接口;3,外设接口:2个终端接口(RS232)+1个专用告警接口(RS232);4,设备电源:交流220V双电源,允许偏差:-20%~+15%;5,额定频率:50Hz;6,额定功率:60W;7,平均无故障时间(MTBF)>60000小时(100%负荷);8,装置可安装于19英寸标准机柜。性能参数说明1)最大并发加密隧道数百兆状态下的密文有效网络吞吐率≥60Mbps(100条安全策略,1024字节报文长度);2)数据包吞吐率≥5000pps;3)数据包转发延迟:<10ms(100%负荷);4)满负荷数据包丢弃率为0;5)平均无故障时间(MTBF)>50000小时(100%负荷);
【规则名称】:规则名称。【协议类型】:选择协议,TCP或UDP。【内网IP地址】:内网业务机真实地址;【内网端口】:内网端口;14【内网虚拟IP】:内网业务机映射到外网的地址;【内网虚IP掩码】:内网业务机映射到外网的地址的掩码;【内网卡】:指定用于连接的网卡标识;【内网网关】:三层交换机或路由环境下指定下一跳网关,仅在是否设置路由选‘是’时生效;【内网路由设置】:是否需要设置路由,使网关设置生效;【内网MAC】:绑定MAC地址,可选项,可用十二个零代替;【外网IP】:外网业务机真实地址;【外网端口】:外网业务监听端口;【外网虚拟IP】:外网业务机映射到内网的地址;【外网虚IP掩码】:外网业务机映射到内网的地址的掩码;【外网卡】:指定用于连接的网卡标识;【外网网关】:三层交换机或路由环境下指定下一跳网关,仅在是否设置路由选‘是’时生效;【外网路由设置】:是否需要设置路由,使网关设置生效;【外网MAC】:绑定MAC地址,可选项,可用十二个零代替。
留言与评论(共有 0 条评论)
   
验证码: