先一正向型隔离装置配置

《先一正向型隔离装置配置》由会员分享，可在线阅读，更多相关《先一正向型隔离装置配置（24页珍藏版）》请在装配图网上搜索。

1、智能隔离装置（正向型）用户手册目录产品介绍2 产品分发与安装 . 33 正向隔离装置配置管理. 53.1 安全策略配置 . 53.2 用户管理 . 93.3 日志管理 . 113.4 系统调试 . 124 典型应用环境配置案例. 154.1 二层交换机模式配置. 164.2 三层交换机模式配置. 175 附录 185.1 串口故障诊断 . 185.2 网络故障诊断 . 195.3 虚拟主机IP、静态NAT介绍 205.4 使用安全隔离装置的建议 221产品介绍电力专用网络安全隔离装置（正向型）用于安全区1/11到非安全区III的单向数据传递。智能隔离装置网络安全隔离产品（正向型）的硬件结构如下

2、图1所示。本产品 硬件采用X86体系结构高性能嵌入式计算机芯片，双机之间通过高速物理光纤隔 离模块进行物理连接。外网串口可以用来连接配置终端，方便管理人员对网络安 全隔离设备的控制。图1网络安全隔离装置硬件结构图正向隔离装置的前面板图如下图 2所示。前面板上网和外网各有 4个 10M/100M勺以太网接口以及各一个配置串口，网配置串口用来配置正向隔离装置 网端链路规则，并监控网侧的状态信息，外网配置串口用来配置外网链路规则， 并监控外网侧的状态信息，网网口用来连接网，外网网口用来连接外网，外网口 的网卡指示灯绿灯亮，表示网口与网络正确连接，黄灯亮表示网络速率是100M暗表示网络速率是10M闪烁

3、表示有数据正在接收或发送。图2网络安全隔离装置（正向型）前面板图图3网络安全隔离装置（正向型）后面板图2产品分发与安装网络安全隔离装置（正向型）产品分发包括硬件和软件两大部分。用户在使 用本产品时，应先检查硬件产品是否具有先一科技的标志， 外观是否有损坏现象。 如有以上现象，请勿使用并及时与本公司取得联系，处理相关事宜。为了产品稳 定、可靠的运行，请勿私自打开隔离装置机箱。隔离装置随机带有一配置软件安 装光盘、一根串口配置线，用于在安装Windows2000/XP/win7等操作系统的计算 机上进行配置。安装完成后，启动配置管理软件，软件界面如下图4所示。图4正向隔离装置配置软件主界面网络安全

4、隔离装置的安装和部署非常简单， 隔离装置部署在网络的唯一出口处，通过网接口和外网接口，分别与网和外网相连。网和外网的数据交换必须通过隔离装置，以便保护安全的部网络，安装拓扑图如下图5所示图5隔离装置安装网络拓扑图3正向隔离装置配置管理3.1安全策略配置1）用随机附带的配置串口线连接到安全隔离装置的外网配置串口（console）2）启动安全隔离装置的配置软件，然后点击串口配置菜单，在点击串口 配置选项，选择相应的串口，一般配置软件会自动识别本机串口， 界面如下图6所示，接着设置好波特率，数据位，超时等（串口配置按默认界面即可）。图6安全隔离装置配置软件启动界面3）点击连接选项。如果连接成功，系统

5、将会提示成功连接串口（图7），点击0K即可；如果连接失败，系统也会提示连接串口失败（图8）。程序会反复重连5次,5次都失败后，程序会自动退出。用户请参考附录 5.1串口故障诊断一节仔细检查串口设置。排除故障后，再次重试连接图7图84）点击主界面规则配置菜单下的配置规则选项，系统会提示输入用户名和口令（图9）进行权限认证。隔离装置默认的系统管理员用户名为root，密码为root。用户在第一次使用隔离装置后，请立刻修改系统管理员口令。图95）用户登录成功后，隔离装置会自动导出本地已存在的配置规则（此规则为模板 规则，用户安装此规则规配置也可自行配置），导出成功后进入配置系统规则主界面（图10）配置

6、用户规则。（注意：界面导出的规则是本地的默认规则文件rule.buf ，在配置程序的rule文件夹下）图10数据综合过滤功能能够为隔离装置提供基本的安全保障，装置根据系统管理 员预先设定的规则检查数据包以决定哪些数据容许通过， 哪些数据不能通过，保 护部安全网络免受外部攻击。数据过滤依据：数据包的传输协议类型，容许TCP和UDP数据包的源端地址，目的端地址。数据包的源MA地址，目的端MA地址。综合过滤规则提供网络安全隔离装置允许还是拒绝IP包的依据，隔离装置 对收到的每一个数据包进行检查，从它们的中提取出所需要的信息，如源MAC址、 目的MAC地址、源IP地址、目的IP地址、协议类型等，再与已

7、建立的规则逐条 进行比较，并执行所匹配规则的策略，或执行默认策略。规则配置中，IP地址的形式为的围取0-255,MAC地址的形式为 XX-XX-XX-XX-XX-XX其中X为十二位十六进制数，延时是指本条链路数据包的 发送间隔时间，单位是毫秒，默认设置是10ms在无特殊情况下请勿更改。 常用操作步骤说明添加 增加新的规则。当用户要增加了新的规则后，首先点击添加按钮即可将 规则添加到配置软件的规则队列中， 然后在界面填写相应的配置， 填写完后点“修 改”按钮，如果需要保存则点击“保存配置”按钮保存到本地默认文件中。 修改对已有的规则进行编辑修改。选择要修改的规则，修改规则中的参数后， 点击修改按

8、钮，确认修改；否则不会保存修改过的参数。 删除删除一条已有的规则。选择要删除的规则，点击删除按钮，则选定 的规则将被删除；如果需要删除全部规则，点击删除全部按钮即可。 复制根据一条已有的规则复制出一条新的规则。选择要复制的规则，点击复 制按钮，会复制出一条与原规则相似的规则， 在复制规则中修改相应的各项容。 修改完毕后，点击修改按钮确认修改。 保存保存操作收集各个参数的输入数据，将规则文件保存到配置终端的存中，还能够将规则保存在本地用户指定的规则文件中。当用户对隔离装置的 规则配置完成后，点击保存配置按钮，提示用户已保存的规则总数并将 规则文件保存在配置终端默认文件中。 如果需要保存在本地用户

9、指定的规则文件 中，点击保存本地按钮，将规则保存在本地的规则文件中。 上传配置将规则文件上传到隔离装置中。在规则配置完成后，点击保存配置按钮，保存规则文件。然后点击上传装置按钮，将规则导入到隔离装置的 安全存储区中。上传配置成功后，系统会提示“上传配置成功”。 下载配置导出存储在隔离装置的规则配置文件。点击下载配置按钮，出现导出系统规则进度条。导出规则成功后，系统会提示成功“下载配置成功”，点 击“保存配置”，此时规则文件保存在配置终端的默认配置文件中。注意：系统默认拒绝所有网络报文通过， 只有在规则配置中允许的报文才可 以通过。隔离装置不容许出现重复规则， 当两条规则的重复时， 会出现报警信

10、息， 提醒用户对规则进行修改。 根据不同的隔离方案， 规则有不同的配置，请参考四、 典型应用隔离方案规则设定例。3.2 用户管理为了更好地管理隔离装置，在隔离装置中可以设置两类用户：超级用户和普 通用户。超级用户和普通用户的权限不同：超级用户可以增加、删除、修改隔离 装置的配置规则， 可以增加或删除隔离装置的普通用户， 可以查询隔离装置的日 志等；普通用户只可以查看隔离装置的配置规则和日志等。 ( 注意：隔离装置现 在只能设置一个超级用户 root ）1） 修改口令：点击用户管理菜单下的修改口令选项 , 系统会验证用 户的合法身份（图 11），身份认证成功后，自动弹出修改口令窗口 （ 图 12

11、） ，同时系统会自动锁定当前已经登录的用户名，用户只需输入新口令修 改口令即可。 （ 注意：用户只需要登录隔离装置一次，如果与隔离装置的连 接没有断开，登陆的用户权限一直有效 ）图11图122） 用户察看：点击用户管理菜单下的察看用户选项察看用户。察 看用户需要使用超级用户 root 身份登录 （图13） ，登录成功后，会出现导出用户 列表进度条。导出成功后会自动弹出用户列表窗口 （ 图14） ，超级用户在这里 可以添加或删除普通用户。添加或删除用户后，点击上传按钮系统会自动更 新用户列表。 （ 注意：系统禁止删除超级用户 root）图13图143.3日志管理日志管理功能用于查看隔离装置的运行

12、日志， 以供用户分析隔离装置的运行状况。登录成功后，会出现系统日志分析界面如下图15所示，输入你要导出日 志的链路号，点击“确定”按钮，成功后会自动下载日志到日志列表窗口（图16），点击保存分析结果按钮可以将日志保存到本地文件图15图163.4 系统调试隔离装置提供了一个非常实用的系统诊断工具， 用来诊断隔离装置与网络的 连接是否正常。点击系统调试菜单下的系统诊断工具选项诊断网络连接 情况（ 图17）。1） Ping 诊断命令：诊断命令”提供了“ ping ”命令。通过此命令可以用来诊断隔离装置是否与外网络物理连接正常图17系统诊断工具以下是一个网络连接诊断示例:图18网络连接诊断示例图网主机

13、真实地址为192.168.10.100,虚地址为192.168.20.240 ;外网主机真 实地址为192.168.20.100,虚地址为。假设隔离装置与外网络已 经连接好,并且已经配置好规则。具体诊断步骤如下所述：1、首先测试隔离装置与网的连接是否正常。将配置串口线连接到隔离装置的网配置口，连接串口成功后，选择系统诊断界面中的ping命令,源地址输入外网主机的虚地址，目的地址输入网主机的真实地址。本例中源地址输入192.168.10.240,目的地址输入 192.168.10.100 。2、点击开始调试按钮，系统会提示正在导出系统调试信息。如果诊断 信息为 ping success: 192

14、.168.10.100 to 192.168.10.100,则表示隔离装置与网网络连接正常(图19)。否则诊断信息应为ping error 。图19网络连接诊断结果3、测试隔离装置与外网的连接是否正常，与测试网连接类似。将配置串口线 连接到隔离装置的外网配置口，源地址应该输入网主机的虚地址(192.168.20.240)，目的地址输入 外网主机的真实地址(192.168.20.100)。2)远程Ping诊断命令：为了方便用户进行网络链路诊断，隔离装置支持远程ping诊断。具体诊断步骤如下所述：1、首先测试隔离装置与网的连接是否正常。在网通信计算机(如上图所示的计算机)上打开windows命令行

15、窗口，运行ping命令，目标地址为外网的虚拟IP地址(192.168.10.240)。如果能ping通外网的虚拟地址，则表示隔离装置与网网络连接正常，否则 请检查隔离装置与网的网络连接。2、测试隔离装置与外网的连接是否正常 , 与测试网连接类似。在外网的通信计算机(如上图所示的计算机192.168.20.100 )上打开windows命令行窗口， 运行ping命令，目标地址为网的虚拟IP地址(192.168.10.240 )，如果能ping 通网的虚拟地址， 则表示隔离装置与外网网络连接正常， 否则请检查隔离装置与 外网的网络连接。4 典型应用环境配置案例网络安全隔离装置针对电力系统四安全区的

16、网络拓扑结构， 采用多种形式满足二次系统安全防护体系的要求4.1二层交换机模式配置网络环境描述:网主机为客户端,IP地址为，虚拟IP为192.168.20.240 , MAC地址为AA-EE-BB-EC-CD-DE外网主机为服务端，IP地址为192.168.20.100 ,虚拟 IP为 ，MA址为 AA-EE-BB-EC-CE-DF 假设 Server 程序数据接收端口为9000图20二层交换机网络拓扑图协谀型：TCPIP1W 192- 163- 10.100MAC:A1-5E-EE-EC-CD-M虑拟IF 192. 168 20. 240延时：10/闻酉環1刑址：IBS 20.100MAC:

17、M-EE-EB-EC-CH-DF虛槨T严192 168 10 Z40端口； 9000图21注意:如果隔离装，虚拟置两边主机是同一网段IP地址与真实的IP地址可以设置相同。例如主机C(192.168.10.100)，与主机D(192.168.10.200)进行通信，此时可以把主机C的虚拟IP地址设置为，主机D的虚拟IP地址设置为4.2三层交换机模式配置网络环境描述：网主机为客户端，IP地址为192.168.10.115 ;外网主机为服务端，IP地址为 ，假设Server程序数据接收端口为9000。隔离装置两端连接的 交换机为三层交换机（具有路由功能）。三层交换机与隔离装置网口连接的 Vian 段

18、的IP地址为192.168.18.135，MA地址00-E0-DE-ED-34-E5。三层交换机与隔离装置外网口连接的Vlan段的IP地址为，MAC地址为 00-E0-DE-ED-78-F7。由于隔离装置两端三层交换机路由功能的存在会修改经它 转发出去的数据报文的源MA地址，修改为三层交换机本身的MA地址，同时隔离 装置两端三层交换机之间要交换 ARP艮文，因此在规则设置时，需要同时配置两 条规则：一条规则为网主机与外网主机之间实际通信的规则，其中网MAC地址应填写与隔离装置网口连接的三层交换机的 MACS址，外网MACS址应填写与隔离装 置外网口连接的三层交换机的MA地址，必须设置外网MA地

19、址绑定。另外一条规 则为两台三层交换机之间交换ARP艮文的规则，MA地址的设置与上一条规则相 同。（此模式用户暂时不用配置）M Ef CE-EE-56-Cgf199.10&. 10.1OO EC DO-DF fi7 EET92.1b8-18,135OO EO DE ED 34 E5192.168,20-1DO EC-EF-CrSiB 05DE-CD内囲三层玄捣机夕问二层去快机图22实际通信规则配置:星庄信息 規冋茗称：TcpiiAji内网KS店地址： 192. 165. 10. 115MAC:O0-EO-&E-En-34-E5虚拟工 F：1163.10115远fi击10TCP工哋址-192.1

20、68.20. 248MAC.O0-En-DE-EI-Ta-F7虚t肛F：2. IBS. ZD. 240端口：000图23基本信息規则営称：Tcp-ArpT悔谊奘型：TCP内网阳噬外解战图245附录5.1串口故障诊断用户在配置隔离装置的时候，如果出现串口连接反复失败的情况，可能是由 于以下原因造成，请按照以下步骤对串口进行诊断：1、串口的CO端口选择不正确。查看串口配置线与计算机的哪一个串口连接。 一般来说计算机自带的串口 A为COM,1串口 B为COM2如果是使用USB专串口线额 外增加的串口，需要打开“设备管理器”，在端口选项下具体查看串口使用的COM端口，确认co端口选择正确2、隔离装置配

21、置串口故障。将配置程序的速率设置为 115200，数据流控 制设置为无。重新启动隔离装置，等待网闸重启 （约1分钟左右 ）如果用客户 端配置程序网外均登录不了网闸规则配置界面， 说明此串口连接有问题， 请联系 网闸技术支持人员。3、配置计算机串口兼容性不好或串口配置线已坏。 使用配置软件始终无法连接到隔离装置，请在配置计算机的“设备管理器”的端口选项下将相应的co端口速率设置为 115200，数据流控制设置为无，重新换一根配置串口线后 再次重试。4、 隔离装置负荷较重。隔离装置负荷较重时，CP使用率过高，串口通讯 进程可能无法及时得到CP响应。建议选择隔离装置负荷较轻时重试或重启。5、隔离装置

22、反复重启，请与本公司联系。5.2 网络故障诊断用户在使用隔离装置的时候，如果外网无常通讯，请按照以下步骤对网络进行诊断：1、确认外网主机与隔离装置物理连接正常。隔离装置现在支持直接ping 功能，网主机直接ping外网主机的虚拟IP，如果成功说明网主机与隔离装置物理连 接正常；外网主机直接ping网主机的虚拟IP，如果成功说明外网主机与隔离装置 物理连接正常。如果ping失败，请仔细检查外网主机与网络的物理连接及连接的 网口信号指示灯。2、隔离装置规则配置参数错误。请仔细阅读典型应用隔离方案规则设定例一节，确认规则配置正确，或者寻求本公司的技术支持。3、外网通讯程序没有按照隔离装置的的编程原则

23、设计。请使用随机光 盘上的测试软件测试外网的数据通讯是否正常。5.3虚拟主机IP、静态NAT介绍为了实现处于不同网段的主机之间的相互访问，隔离装置采用了虚拟 IP 、静态NAT技术。所谓的虚拟IP，就是在隔离装置中针对外网的两台主机，虚拟出两个 IP 地址，网主机虚拟出一个外网的 IP 地址，外网的主机虚拟出一个 网的IP地址，这样网主机就可以通过访问外网主机的虚拟 IP达到访问外网 主机的目的，同时外网主机也可以通过访问网主机的虚拟 IP 达到访问网主 机的目的。有了以上两个虚拟 IP 地址, 外网主机之间的通讯被映射为两个部分： 网对网的通讯，外网对外网的通讯。具体示例如图 47 所示：网

24、主机 IP 地址为 ，分配一个与外网主机在同一网段的虚拟 IP地址202.102.93.1 ；外 网主机IP地址为，分配一个与网主机在同一网段的虚拟IP地址 。当网主机上的client 端向外网主机上的Server端发起TCP连接 请求时，报文的源IP地址为，目的IP地址为外网主机的虚拟IP地 址192.168.0.1 。经过隔离装置的 NAT 转换后，到达外网的报文的源 IP 地址为网 主机的虚拟IP地址，目的IP地址为外网主机的IP地址 。从外网主机到网主机的TCP应答报文源IP地址是外网主机的IP 地址，目的IP地址是网主机的虚拟IP地址。经过 隔离装置的 NAT 转换后，到达网的应答报

25、文的源 IP 地址是外网主机的虚拟 IP 地 址192.168.0.1 ，目的地址是网主机的 IP 地址192.168.0.39 。王机丸工机B内网外网202.102.54网络安全隔曲显忖抿头目E；地址：丄卩丄-丄乜注0.1202-27.9图25虚拟IP示意图目小她址：丿。厶上型3上4注意:1、在使用NA功能时,外网主机可以同时有多个虚拟的IP地址与之对应。2、 网多台主机访问外网同一台主机时，外网主机虚拟IP可以只设置一个， 但是网每一台主机的虚拟IP地址必须不同。例如网主机B也要和外网主机通信，IP地址为。外网主机的虚拟IP地址可以设置为上例所示 的虚拟IP地址，网主机B的虚拟IP地址必须

26、与主机A的虚拟IP地址不 同，可以设置为202.102.93.2 。3、 如果隔离装置两边主机是同一网段，虚拟IP地址与真实的IP地址相同。例如主机C(10.144.100.1)，与主机D(10.144.100.2)进行通信，此时可以把主机C的虚拟IP地址设置为，主机D的虚拟IP地址设置为10.144.100.2 。综合过滤规则提供网络安全隔离装置允许还是拒绝数据包的依据，隔离装置对收到的每一个数据包进行检查，从它们的中提取出所需要的信息，如源MA地址、目的MA地址、源IP地址、目的IP地址、协议类型等，再与已建立的规则逐条进行比较，并执行所匹配规则的策略，或执行默认策略。5.4 使用安全隔离装置的建议按照二次安全防护的要求， 网络安全隔离装置实现了 TCP数据的单向传输控 制：反向的TCP应答禁止携带应用数据。所以经过隔离装置进行数据传输的应用 软件，应遵守以下一些编程原则来进行应用程序的改造：1、I川 区与III区之间的应用程序禁止采用SQL命令访问数据库和基于 B/S方式的双向数据传输。2、I/II 区与III区之间的数据通信，传输的启动端由网发起，反向的应答 报文不容许携带数据。3、寻求详细的技术支持请与本公司联系