南瑞正向隔离装置

询价采购电话: 18351955025
询价采购电话:18351955025

行业动态

南瑞内外网隔离装置 南瑞syskeeper-2000反向隔离装置百兆

安全策略配置 1)用随机附带的配置串口线连接到安全隔离装置的内网配置串口(console)。 2)启动安全隔离装置的配置软件,。然后点击‘串口配置’菜单,在‘端口’选项下选择相应串口的COM端口(图6)。图6安全隔离装置配置软件启动界面 3)点击‘连接’选项。如果连接成功,系统将会提示成功连接串口(图7);如果连接失败,系统也会提示连接串口失败(图8)。程序会反复重连5次,5次都失败后,程序会自动退出。用户请参考《附录5.1串口故障诊断》一节仔细检查串口设置。排除故障后,再次重试连接。 4)点击‘规则配置’菜单下的‘配置规则’选项(图9),系统会提示输入用户名和口令(图10)进行权限认证。隔离装置默认的系统管理员用户名/口令是root/root。用户在使用隔离装置后,请立刻修改系统管理员口令。 5)用户登录成功后,隔离装置会自动导出已存在的配置规则(图11),导出成功后进入‘配置系统规则主界面’配置用户规则。(注意:从安全角度考虑,本地不保留规则配置文件,每次启动时都从隔离装置导出)

SysKeeper-2000网络安全隔离装置(反向单bit型)的软件系统基于特别裁剪的嵌入式Linux内核,实现两个安全区之间的非网络方式的安全的数据交换;取消所有网络功能,采取无IP地址的透明监听方式,支持网络地址转换,报文综合过滤,进行UDP连接;单向数据通信控制,单向连接控制;反向隔离装置采用带签名的E语言进行传输,只允许传输采取E语言格式书写的文件,装置中对传输的E语言文件进行检查,如此便能将病毒文件,非文本文件和非E语言文件阻隔,最大限度保障内网高安全区的安全,在更深层次上保证数据传输的机密型和完整性。
正向隔离装置主要功能体现在禁止两个区域的应用之间直接建立TCP连接。它将两个区域的应用之间的TCP连接分解成两个区域的应用各自到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部为非网络连接。正向隔离装置工的作模式如图1所示。正向隔离装置只允许表示层与应用层数据单向传输,即从安全区III到安全区I/II的应答报文禁止携带应用数据(最多只能通过一个字节的数据,而且要么全为0,要么全为1)。电力二次系统I/Ⅱ区与Ⅲ区增设正向隔离装置后,普通的C/S和B/S程序无法穿越该装置,需按隔离装置编程规定修改程序,才能进行数据通信。这使得常规网络中容易解决的问题,变得复杂了。如Ⅲ区的应用想要获得I/Ⅱ区的文件,常见的文件共享方法如FTP服务,共享文件夹等都无法使用。需使用专门的跨正向隔离装置的文件传输系统。虽然正向隔离装置的生产商都提供了基于Java的文件透传系统,但并非所有的设备都能运行Java程序,特别是资源紧张的嵌入式设备。而若部署专门的文件传输服务器,又增加了成本。因此,有必要自行开发跨正向隔离装置的文件传输系统。
SysKeeper-2000网络安全隔离装置(反向型单比特版)产品分发包括硬件和软件两大部分。用户在使用本产品时,应先检查硬件产品是否具有NARI标志,外观是否有损坏现象。如有以上现象,请勿使用并及时与本公司取得联系,处理相关事宜。为了产品稳定,可靠的运行,请勿私自打开隔离装置机箱。隔离装置随机带有一张配置软件安装光盘,一根串口配置线,用于在安装Windows2000/XP/7/8等操作系统的计算机上进行配置。安装完成后,启动配置管理软件,软件界面如图4所示。图4反向隔离装置配置软件主界面6SysKeeper-2000网络安全隔离装置的安装和部署非常简单,隔离装置部署在网络的唯一出口处,通过内网接口和外网接口,分别与内网和外网相连。内网和外网的数据交换必须通过隔离装置由外网传输至内网,以便保护安全的内部网络。
为了更好地管理隔离装置,在隔离装置中可以设置两类用户:超级用户和普通用户。超级用户和普通用户的权限不同:超级用户可以增加,删除,修改隔离装置的配置规则,可以增加或删除隔离装置的普通用户,可以查询隔离装置的日志等;普通用户只可以查看隔离装置的配置规则和日志等。(注意:隔离装置现在只能设置一个超级用户root)1) 修改口令:点击‘用户管理’菜单下的‘修改口令’(图13)选项,系统会验证用户的合法身份(图14),身份认证成功后,自动弹出‘修改口令’窗口(图14),同时系统会自动锁定当前已经登录的用户名,用户只需输入新口令修改口令即可。(注意:用户只需要登录隔离装置一次,如果与隔离装置的连接没有断开,登陆的用户权限一直有效)
FTPAFID共定义了三种报文。其中数据报文和保活报文由发送端产生,确认报文由接收端产生。数据报文用于传送文件。第一个字段(1Byte)表示类型码;第二个字段(2Byte)表示数据长度;从第三个字段开始到报文末为数据段。数据报文共定义了三种操作码:文件名称(值为0x01),文件内容(值为0x02)和文件hash字符串(值为0x03)。保活报文用于在不传送文件时检测通信状态。保活报文为一个字节,字节数值为0x0f。确认报文为一个字节,用于确认接收到的报文。其值为0xff时表示收到的报文正确,而值为0x00时表示收到的报文错误或收到的文件校验错误。FTPAFID协议被设计为一种停止等待协议,采用一问一答方式工作。图3显示了FTPAFID协议在传输文件时,正常情况发送端和接收端的交互过程。以传输一个文件为例,在开始工作时,FTPAFID的发送端首先发送一个文件名报文给接收端。接收端收到报文后返回一个OK报文。发送端在收到确认报文后发送一个文件数据报文。接收端收到数据报文后返回一个OK报文。重复这个过程直到文件传送完。最后一个数据报文的数据长度字段的数值为0。当接收端收到数据长度字段数值为0的数据报文时,就知道文件数据传输结束。最后发送端会发送一个文件hash字符串报文。接收端在接收完文件后,会计算文件的hash字符串,并与收到的hash字符串进行对比,如两者一致,就返回OK报文。FTPAFID协议的收/发两端在工作时需经过一个正向隔离装置中转,因此无法基于TCP协议提供的控制功能判断通信是否中断,必须自己进行控制。FTPAFID的保活功能设计为:在空闲时由发送端定时向接收端发送保活报文,接收端收到报文后返回确认报文;当发送端超时未收到确认报文或接收端超时未收到保活报文时,判定通信为中断状态。保活功能对接收端尤其重要。若没有保活功能,接收端无法判断通道上没有数据是因为没有文件需要传送,还是发送端已经崩溃。如果发送端已崩溃,使得在接收端上留下一个开放连接,而接收端又在等待发送端的数据,则发送端将永远等待下去。因为正向隔离装置只允许接收端返回0xff和0x00两种报文,无法表示太多含义,所以FTPAFID的差错控制实现的很简单。无论是在传送文件还是在空闲状态,发送端在超时未收到确认报文或收到的确认报文为0x00时都直接关闭通道。接收端在超时未收到报文时直接关闭通道;而在文件传输过程中收到错误报文或文件传输完毕后文件校验错误时,先返回值为0x00的ERR报文,然后关闭通道。

后面板图如图3所示。隔离装置设计有双电源,一个电源作为主电源供电,另一个作为辅电源备份,两个电源可以在线无缝切换;内网配置口用来配置正向隔离装置,并监控内网侧的状态信息,外网配置口用来监控外网侧的状态信息;内网网口用来连接内网,外网网口用来连接外网,内外网口的网卡指示灯绿灯亮表示网口与网络正确连接,黄灯亮表示网络速率是100M,暗表示网络速率是10M,闪烁表示有数据正在接收或发送;双机接口支持隔离装置的双机热备;告警接口支持使用标准Syslog协议输出报警信息。
留言与评论(共有 0 条评论)
   
验证码: