防火墻的配置迪普DPtech-FW1000目錄ONTENTSC1防火墻裝置的配置2防火墻裝置的配置提升3附錄：常見問題防火墻裝置的配置01基本知識查詢操作基本知識功能報文轉(zhuǎn)發(fā)流程應(yīng)用場景概念

“防火墻”是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)邏輯隔離技術(shù)。通過對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，可基于MAC、IP地址、協(xié)議、端口、時間段等方式限制內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)的通信。保障網(wǎng)絡(luò)的安全。-概念

網(wǎng)絡(luò)安全的屏障強(qiáng)化網(wǎng)絡(luò)安全策略監(jiān)控審計防止內(nèi)部信息的外泄日志記錄與事件通知功能報文轉(zhuǎn)發(fā)流程應(yīng)用防火墻在分析IP報頭、建立會話狀態(tài)的基礎(chǔ)上，可通過識別4-7層報文協(xié)議，對應(yīng)用層數(shù)據(jù)進(jìn)行DPI處理下一步處理安全策略：過濾規(guī)則應(yīng)用防火墻符合不符合丟棄符合轉(zhuǎn)發(fā)檢測包頭會話連接狀態(tài)緩存表IP包應(yīng)用層檢測應(yīng)用場景服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)根據(jù)能源局36號文《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》防火墻部署如下區(qū)域：01生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)之間02管理信息大區(qū)內(nèi)部查詢操作登陸設(shè)備查看設(shè)備基本信息網(wǎng)絡(luò)配置查詢包過濾規(guī)則查詢?nèi)罩静樵儗⒄{(diào)試計算機(jī)的IP地址設(shè)置為：0/24以網(wǎng)線連接到防火墻的ETH8口（業(yè)務(wù)口支持自動識別交叉或者直連雙絞線）在網(wǎng)頁瀏覽器輸入：

https：//默認(rèn)用戶名：admin默認(rèn)密碼：admin_default登陸設(shè)備登陸設(shè)備訪問Web管理系統(tǒng)需注意如下內(nèi)容：?確認(rèn)客戶端主機(jī)與設(shè)備管理口通訊正常。?建議使用IE9或以上版本的瀏覽器，屏幕分辨率為1440*900及以上。?設(shè)備默認(rèn)支持管理員使用HTTP或HTTPS協(xié)議登錄Web管理系統(tǒng)的最大連接數(shù)為5。?Web管理系統(tǒng)不支持瀏覽器自帶的后退、前進(jìn)、刷新等操作，進(jìn)行這些操作可能會導(dǎo)致Web頁面顯示不正常。?用戶登錄后，如果對Web界面不進(jìn)行操作的時間超過5分鐘，系統(tǒng)將超時并退回到登錄頁面，必須重新登錄才能繼續(xù)使用。查看設(shè)備基本信息選擇【基本】=>【設(shè)備監(jiān)控】=>【系統(tǒng)監(jiān)控】=>【設(shè)備狀態(tài)】，進(jìn)入設(shè)備狀態(tài)查看頁面，可查看內(nèi)容包括設(shè)備信息和設(shè)備狀態(tài)，如下圖所示。網(wǎng)絡(luò)配置查詢IP地址查詢選擇【基本】=>【網(wǎng)絡(luò)管理】=>【接口管理】=>【組網(wǎng)配置】查詢操作-網(wǎng)絡(luò)配置查詢靜態(tài)路由查詢選擇【基本】=>【網(wǎng)絡(luò)管理】=>【單播IPV4路由】=>【靜態(tài)路由】網(wǎng)絡(luò)配置查詢包過濾規(guī)則查詢選擇【基本】=>【防火墻】=>【包過濾策略】包過濾規(guī)則查詢依次打開“基本”—“防火墻”—“包過濾策略”可查看包過濾規(guī)則日志查詢選擇【基本】=>【日志管理】，可查詢系統(tǒng)日志、操作日志、業(yè)務(wù)日志、診斷日志信息。02二層防火墻配置流程三層防火墻配置流程網(wǎng)絡(luò)配置包過濾規(guī)則配置防火墻裝置配置提升設(shè)備管理日志管理二層防火墻配置二層防火墻配置流程Page19VIIIVIIVIVIVIIIIII設(shè)備初始化配置安全域添加服務(wù)/服務(wù)組配置接口參數(shù)添加管理路由配置包過濾策略配置VLAN-IF地址添加地址對象配置完成二層防火墻配置二層防火墻配置流程設(shè)備初始化配置接口參數(shù)配置VLAN-IF地址配置安全域添加管理路由添加地址對象添加服務(wù)/服務(wù)組配置包過濾策略Password:<DPTECH>resetfactorydefaultWarning:resetfactorydefault.Areyousure?(Y/N)[N]:y說明：若為trunk模式，則修改工作模式為“二層接口”，類型為“trunk”，并在vlan設(shè)置中配置“所屬valn”及“默認(rèn)vlan”。說明：高優(yōu)先級可訪問優(yōu)先級低，反之不可訪問；不同域下的相同優(yōu)先級，互相不可訪問；相同域下的相同優(yōu)先級，互相可以訪問。說明：多個IP地址對象，可添加到一個IP地址對象組中。注意：IP地址子網(wǎng)掩碼的劃分。注意：請正確配置服務(wù)協(xié)議，源、目的端口。說明：將鼠標(biāo)放置IP對象或服務(wù)組上，可查看詳細(xì)配置。注意：策略先后順序決定匹配順序，可通過操作中的“向上復(fù)制”、“向下復(fù)制”及“刪除”進(jìn)行控制。三層防火墻配置三層防火墻配置流程Page21IXVIIIVIIVIVIVIIIIII設(shè)備初始化添加靜態(tài)路由配置目的NAT配置接口參數(shù)配置安全域配置包過濾策略配置地址對象配置源NAT配置NAT日志輸出配置完成三層防火墻配置三層防火墻配置流程Page22設(shè)備初始化配置接口參數(shù)配置地址對象添加靜態(tài)路由配置安全域配置源NAT配置目的NAT配置包過濾策略Password:<DPTECH>resetfactorydefaultWarning:resetfactorydefault.Areyousure?(Y/N)[N]:y配置NAT日志輸出說明：多個IP地址對象，可添加到一個IP地址對象組中。注意：IP地址子網(wǎng)掩碼的劃分。說明：高優(yōu)先級可訪問優(yōu)先級低，反之不可訪問；不同域下的相同優(yōu)先級，互相不可訪問；相同域下的相同優(yōu)先級，互相可以訪問。說明：設(shè)備提供靈活的NAT復(fù)用方式，可以選擇借用出接口、NAT地址池、和特定的流不做NAT功能，部署起來非常靈活，可以滿足各種各樣的需要。說明：當(dāng)外網(wǎng)映射的端口與內(nèi)網(wǎng)服務(wù)器使用的端口一致，高級配置選擇“缺省配置”即可；若不同，則需指定服務(wù)器內(nèi)網(wǎng)端口。說明：將鼠標(biāo)放置IP對象或服務(wù)組上，可查看詳細(xì)配置。注意：策略先后順序決定匹配順序，可通過操作中的“向上復(fù)制”、“向下復(fù)制”及“刪除”進(jìn)行控制。說明1：日志源IP是設(shè)備IP地址，必須保證設(shè)備與日志服務(wù)器網(wǎng)絡(luò)互通。說明2：日志源端口配置1024端口以上，0—1024是預(yù)留端口。注意：日志服務(wù)器端口是9505，必須勾選“輸入日志使能”。網(wǎng)絡(luò)配置安全域配置選擇【基本】=>【網(wǎng)絡(luò)管理】=>【網(wǎng)絡(luò)對象】=>【安全域】將需要使用的接口加入到安全域中。（注意：業(yè)務(wù)接口一定要加入到安全域中才能正常工作）網(wǎng)絡(luò)配置接口配置選擇【基本】=>【網(wǎng)絡(luò)管理】=>【接口管理】=>【組網(wǎng)配置】在相應(yīng)的接口上可以直接配置需要的IP地址。網(wǎng)絡(luò)配置路由配置選擇【基本】=>【網(wǎng)絡(luò)管理】=>【單播IPV4路由】=>【靜態(tài)路由】即可配置靜態(tài)路由。網(wǎng)絡(luò)配置服務(wù)對象配置

選擇【基本】=>【網(wǎng)絡(luò)管理】=>【網(wǎng)絡(luò)對象】=>【服務(wù)】=>【自定義服務(wù)對象】。添加需要限制或者放通的服務(wù)對象。NAT配置源NAT配置

選擇【業(yè)務(wù)】=>【NAT配置】=>【源NAT】=>【源NAT】，進(jìn)入源NAT策略配置頁面，如下圖所示。

? NAT配置目的

NAT配置

選擇【業(yè)務(wù)】=>【NAT配置】=>【目的NAT】，進(jìn)入目的NAT策略配置頁面，如下圖所示。包過濾規(guī)則配置選擇【基本】=>【防火墻】=>【包過濾策略】添加需要的策略即可。注意：策略匹配的方式為從上至下，所以添加策略時要按照需求在中間插入，一般不會直接在最后添加策略。設(shè)備管理設(shè)備參數(shù)設(shè)置

選擇【基本】=>【系統(tǒng)管理】=>【設(shè)備設(shè)置】=>【設(shè)備信息設(shè)置】，進(jìn)入設(shè)備信息設(shè)置頁面，如下圖所示。設(shè)備管理管理員配置

選擇【基本】=>【系統(tǒng)管理】=>【管理員】=>【管理員】，進(jìn)入管理員配置頁面。管理員子模塊的功能包括查看當(dāng)前管理員、管理員設(shè)置、管理員認(rèn)證設(shè)置、登錄參數(shù)設(shè)置。設(shè)備管理SNMP配置選擇【基本】=>【系統(tǒng)管理】=>【SNMP配置】=>【SNMP配置】，進(jìn)入SNMP配置頁面。可配置項包括SNMP版本配置、SNMPTrap配置、設(shè)備信息配置和IP地址列表配置設(shè)備管理配置文件管理

選擇【基本】=>【系統(tǒng)管理】=>【配置文件】=>【配置文件】，進(jìn)入配置文件管理頁面。保存當(dāng)前配置文件到設(shè)備將保存的配置文件導(dǎo)出到本地上傳本地配置文件到設(shè)備日志管理系統(tǒng)日志配置

選擇【基本】=>【日志管理】=>【系統(tǒng)日志】=>【系統(tǒng)日志配置】，進(jìn)入系統(tǒng)日志配置頁面，如下圖所示。日志管理操作日志配置

選擇【基本】=>【日志管理】=>【操作日志】=>【操作日志配置】，進(jìn)入操作日志配置頁面，如下圖所示。日志管理業(yè)務(wù)日志配置

選擇【基本】=>【日志管理】=>【業(yè)務(wù)日志配置】，進(jìn)入業(yè)務(wù)日志配置頁面，如下圖所示。03網(wǎng)絡(luò)周期性中斷網(wǎng)絡(luò)異常中斷策略未生效附錄：常見問題網(wǎng)絡(luò)周期性中斷某些應(yīng)用為“長連接應(yīng)用”，即該會話在規(guī)定時間內(nèi)無需老化，若不配置長連接參數(shù)，將導(dǎo)致此類應(yīng)用訪問異常，需根據(jù)實際場景設(shè)置長會話老化時間。網(wǎng)絡(luò)異常中斷不同型號的設(shè)備在“每秒新建數(shù)”、“每秒并發(fā)數(shù)”、“最大吞吐量”及“最大會話數(shù)”等參數(shù)存在差異，當(dāng)流量數(shù)據(jù)達(dá)到某一極限值時，將無法對新的流量、會話進(jìn)行處理DMZ的一臺服務(wù)器已開放視頻會議、文件共享、Web應(yīng)用等服務(wù)，為保證視頻會議通訊正常，已在高級安全業(yè)務(wù)中開啟會話上連接。由于沒有對源、目的地址及服務(wù)進(jìn)行精細(xì)化配置，導(dǎo)致從Trust訪問DMZ所有數(shù)據(jù)均建立成“長連接會話”，一段時間后達(dá)到設(shè)備最大會話規(guī)格，致使新連接無法建立，老連接無法老化，發(fā)生網(wǎng)絡(luò)中斷事故網(wǎng)絡(luò)異常中斷錯誤配置正確配置策略未生效1）配置錯誤導(dǎo)致將鼠標(biāo)放置策略上，查看顯示的信息是否正確，如地址掩碼及端口信息策略未生效2）是否命中包過濾策略開啟“命中”功能顯示，查看網(wǎng)絡(luò)中是否有數(shù)據(jù)報文匹配此策略策略未生效3）兩策略存在包含關(guān)系包過濾策略匹配順序是從上到下依次匹配，需嚴(yán)格遵守先明細(xì)后模糊的原則。錯誤的配置，將使得數(shù)據(jù)優(yōu)先匹配“范圍大”的策略，導(dǎo)致“范圍小”的策略失效，需調(diào)整策略順序解決此問題物理隔離裝置配置南瑞SysKeeper-2000目錄ONTENTSC1隔離裝置基本配置2隔離裝置配置提升3附錄:常見問題01隔離裝置基本配置基本知識查詢操作基本知識技術(shù)原理應(yīng)用場景功能要求概念

網(wǎng)絡(luò)隔離（NetworkIsolation），主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過不可路由的協(xié)議（如IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離（ProtocolIsolation）。概念技術(shù)原理服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)

下圖表示沒有連接時內(nèi)外網(wǎng)的應(yīng)用狀況，從連接特征可以看出這樣的結(jié)構(gòu)從物理上完全分離。技術(shù)原理服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)

當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時候，外部的服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲介質(zhì)。51技術(shù)原理服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。

在控制臺收到完整的交換信號之后，隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接技術(shù)原理服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)

內(nèi)網(wǎng)有業(yè)務(wù)數(shù)據(jù)要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲介質(zhì)。技術(shù)原理服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給系統(tǒng)技術(shù)原理服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)數(shù)據(jù)交換過程：接受、存儲和轉(zhuǎn)發(fā)經(jīng)歷了數(shù)據(jù)的接受、存儲和轉(zhuǎn)發(fā)三個過程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的，因此速度上有保證，可以達(dá)到100%的總線處理能力。

特征：內(nèi)網(wǎng)與外網(wǎng)永不連接內(nèi)網(wǎng)和外網(wǎng)在同一時間最多只有一個同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接。技術(shù)原理服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù)基于物理鏈路層的物理隔離技術(shù)基于網(wǎng)絡(luò)層隔離的防火墻技術(shù)網(wǎng)絡(luò)隔離技術(shù)分類技術(shù)原理服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)

要具有高度的自身安全性要確保網(wǎng)絡(luò)之間是隔離的要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)要對網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查要在堅持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明網(wǎng)絡(luò)隔離技術(shù)需要具有的安全要點隔離的關(guān)鍵點要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。網(wǎng)絡(luò)隔離的關(guān)鍵點網(wǎng)絡(luò)隔離技術(shù)要點

非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換透明工作方式基于多種方式的報文過濾和控制支持NAT防止穿透性TCP聯(lián)接可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識別功能要求網(wǎng)絡(luò)隔離裝置分類-正向型（FID）安全、方便的維護(hù)管理方式01防止穿透性TCP聯(lián)接02具有可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識別。03

安全、方便的維護(hù)管理方式功能要求網(wǎng)絡(luò)隔離裝置分類-反向型（BID）應(yīng)用場景服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)

根據(jù)能源局36號文《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》縱向加密認(rèn)證裝置部署如下區(qū)域：

生產(chǎn)控制大區(qū)與管理信息大區(qū)之間查詢操作正向物理隔離配置查詢反向物理隔離配置查詢登錄設(shè)備正向傳輸軟件的使用反向傳輸軟件的使用將調(diào)試計算機(jī)的IP地址設(shè)置為：3/24以網(wǎng)線連接到裝置配置口啟動客戶端軟件syskeeper.jar（正反向同一款）默認(rèn)用戶名：admin默認(rèn)密碼：Nari.6712登陸設(shè)備登陸設(shè)備啟動物理隔離裝置配置軟件，出現(xiàn)如圖登陸設(shè)備點擊【用戶登錄】->【登錄】，輸入用戶名admin，密碼Nari.6712，登錄設(shè)備登陸設(shè)備-左側(cè)按紐介紹上傳配置，將已保存的參數(shù)上傳到裝置

下載配置，將裝置上的參數(shù)下載到客戶端軟件界面

打開保存在本地的參數(shù)配置文件保存參數(shù)配置在客戶端軟件界面保存參數(shù)到本地新建資源刪除資源復(fù)制資源粘貼資源編輯資源正向物理隔離配置-規(guī)則配置查詢點擊【規(guī)則配置】->【策略配置】，出現(xiàn)策略配置界面：正向物理隔離配置-規(guī)則配置查詢選擇一條策略，點擊編輯策略，出現(xiàn)如下圖正向物理隔離配置-日志配置查詢點擊【日志配置】->【日志配置】，出現(xiàn)日志配置界面：正向物理隔離配置-日志配置查詢規(guī)則配置中，配置允許日志發(fā)送的策略69反向物理隔離配置-規(guī)則配置查詢點擊【規(guī)則配置】->【策略配置】，出現(xiàn)策略配置界面：反向物理隔離配置-規(guī)則配置查詢選擇一條策略，點擊編輯策略，出現(xiàn)如下圖71反向物理隔離配置-日志配置查詢點擊【日志配置】->【日志配置】，出現(xiàn)日志配置界面：72反向物理隔離配置-日志配置查詢規(guī)則配置中，配置允許日志發(fā)送的策略正向傳輸軟件的使用發(fā)送端軟件啟動Windows系統(tǒng)：雙擊軟件Client.jarLiunx系統(tǒng)：#cd/home/usr#java-jarClient.jar正向傳輸軟件的使用發(fā)送端登錄點擊【用戶登錄】->【登錄】，彈出軟件登錄界面，默認(rèn)密碼為空正向傳輸軟件的使用配置發(fā)送任務(wù)點擊【任務(wù)設(shè)置】->【設(shè)置文件任務(wù)】，彈出任務(wù)設(shè)置對話框點擊【增加任務(wù)】，顯示此條任務(wù)的各項參數(shù)正向傳輸軟件的使用啟動發(fā)送任務(wù)雙擊“NotStart”，或者點擊將啟動本條任務(wù)點擊菜單欄中【任務(wù)管理】->【啟動所有文件傳輸任務(wù)】將啟動所有的任務(wù)。正向傳輸軟件的使用接收端軟件啟動Windows系統(tǒng)：雙擊軟件Server.jarLiunx系統(tǒng)：#cd/home/usr#java-jarServer.jar正向傳輸軟件的使用接收端登錄點擊【用戶登錄】->【登錄】，彈出軟件登錄界面，默認(rèn)密碼為空正向傳輸軟件的使用配置接收任務(wù)點擊【任務(wù)】->【任務(wù)配置】，彈出任務(wù)配置對話框點擊【增加】，配置本條任務(wù)參數(shù)正向傳輸軟件的使用啟動接收任務(wù)雙擊“NotListening”，或者點擊將啟動本條任務(wù)點擊菜單欄中【任務(wù)】->【啟動所有任務(wù)】將啟動所有的任務(wù)反向傳輸軟件的使用發(fā)送端軟件啟動Windows系統(tǒng)：雙擊軟件Client.jarLiunx系統(tǒng)：#cd/home/usr#java-jarClient.jar反向傳輸軟件的使用發(fā)送端登錄點擊【用戶登錄】->【登錄】，彈出軟件登錄界面，默認(rèn)密碼為空反向傳輸軟件的使用安全設(shè)置點擊【任務(wù)管理】

【安全設(shè)置】按鈕，彈出安全配置框反向傳輸軟件的使用安全設(shè)置（1）客戶端密鑰更新反向傳輸軟件的使用安全設(shè)置（2）生成客戶端證書請求文件，并導(dǎo)出反向傳輸軟件的使用安全設(shè)置（3）導(dǎo)入反向隔裝置證書點擊【導(dǎo)入PEM證書】按鈕，彈出證書導(dǎo)入框反向傳輸軟件的使用配置發(fā)送任務(wù)點擊【任務(wù)設(shè)置】->【設(shè)置文件任務(wù)】，彈出任務(wù)設(shè)置對話框任務(wù)參數(shù)配置后，點擊【增加任務(wù)】，會在任務(wù)列表中增加一條記錄反向傳輸軟件的使用啟動發(fā)送任務(wù)雙擊“NotStart”，或者點擊將啟動本條任務(wù)點擊菜單欄中【任務(wù)管理】->【啟動所有文件傳輸任務(wù)】將啟動所有的任務(wù)。反向傳輸軟件的使用接收端軟件啟動Windows系統(tǒng)：雙擊軟件Server.jarLiunx系統(tǒng)：#cd/home/usr#java-jarServer.jar反向傳輸軟件的使用接收端登錄點擊【用戶登錄】->【登錄】，彈出軟件登錄界面，默認(rèn)密碼為空反向傳輸軟件的使用配置接收任務(wù)點擊【任務(wù)】->【任務(wù)配置】，彈出任務(wù)配置對話框點擊【增加】，顯示此條任務(wù)的各項參數(shù)92反向傳輸軟件的使用啟動接收任務(wù)雙擊“NotListening”，或者點擊將啟動本條任務(wù)點擊菜單欄中【任務(wù)】->【啟動所有任務(wù)】將啟動所有的任務(wù)9302正向物理隔離配置隔離裝置配置提升反向物理隔離配置登錄設(shè)備正向傳輸軟件的使用反向傳輸軟件的使用左側(cè)按紐介紹上傳配置，將已保存的參數(shù)上傳到裝置

下載配置，將裝置上的參數(shù)下載到客戶端軟件界面

打開保存在本地的參數(shù)配置文件保存參數(shù)配置在客戶端軟件界面保存參數(shù)到本地新建資源刪除資源復(fù)制資源粘貼資源編輯資源將調(diào)試計算機(jī)的IP地址設(shè)置為：3/24以網(wǎng)線連接到裝置配置口啟動客戶端軟件syskeeper.jar（正反向同一款）默認(rèn)用戶名：admin默認(rèn)密碼：Nari.6712登陸設(shè)備登陸設(shè)備啟動物理隔離裝置配置軟件，出現(xiàn)如圖登陸設(shè)備點擊【用戶登錄】->【登錄】，輸入用戶名admin，密碼Nari.6712，登錄設(shè)備正向物理隔離配置-規(guī)則配置點擊【規(guī)則配置】->【策略配置】，出現(xiàn)策略配置界面：正向物理隔離配置-規(guī)則配置選擇一條策略，點擊編輯策略，出現(xiàn)如下圖正向物理隔離配置-規(guī)則配置規(guī)則名稱：對此條規(guī)則進(jìn)行描述協(xié)議類型：根據(jù)傳輸報文的協(xié)議選擇TCP或UDP【內(nèi)網(wǎng)配置】IP地址：內(nèi)網(wǎng)主機(jī)IP地址端口：由于內(nèi)網(wǎng)主機(jī)發(fā)送文件的端口一般沒有特殊規(guī)定，發(fā)送端口號隨機(jī)，故一般寫0虛擬IP：內(nèi)網(wǎng)主機(jī)的虛擬IP地址，最終會寫到外網(wǎng)測網(wǎng)卡上網(wǎng)卡：選擇內(nèi)網(wǎng)測通過哪個網(wǎng)卡通訊網(wǎng)關(guān)：如果在三層環(huán)境下，設(shè)備內(nèi)網(wǎng)測與內(nèi)網(wǎng)主機(jī)不在一個網(wǎng)段，此處填寫設(shè)備內(nèi)網(wǎng)測所在的網(wǎng)段的網(wǎng)關(guān)地址；如果是二層環(huán)境，默認(rèn)為是否設(shè)置路由：內(nèi)網(wǎng)測為二層環(huán)境，選擇否；三層環(huán)境，選擇是MAC地址綁定：沒有特殊要求，一般填寫12個0正向物理隔離配置-規(guī)則配置【外網(wǎng)配置】IP地址：外網(wǎng)主機(jī)IP地址端口：根據(jù)分配給外網(wǎng)主機(jī)接受文件的端口，填寫相應(yīng)的端口號虛擬IP：外網(wǎng)主機(jī)的虛擬IP地址，最終會寫到內(nèi)網(wǎng)測網(wǎng)卡上網(wǎng)卡：選擇外網(wǎng)測通過哪個網(wǎng)卡通訊網(wǎng)關(guān)：如果在三層環(huán)境下，設(shè)備外網(wǎng)測與外網(wǎng)主機(jī)不在一個網(wǎng)段，此處填寫設(shè)備外網(wǎng)測所在的網(wǎng)段的網(wǎng)關(guān)地址是否設(shè)置路由：外網(wǎng)測為二層環(huán)境，選擇否；三層環(huán)境，選擇是MAC地址綁定：沒有特殊要求，一般填寫12個0正向物理隔離配置-日志配置點擊【日志配置】->【日志配置】，出現(xiàn)日志配置界面：正向物理隔離配置-日志配置規(guī)則配置中，配置允許日志發(fā)送的策略104反向物理隔離配置-規(guī)則配置點擊【規(guī)則配置】->【策略配置】，出現(xiàn)策略配置界面：主要按鈕介紹：上傳配置，對配置完成的策略進(jìn)行導(dǎo)入裝置操作

新建策略，點擊后新建一條默認(rèn)的策略

刪除資源，選擇一條策略后，點擊后此按鈕刪除

編輯資源，選中一條策略后，點擊此按鈕后進(jìn)行編輯反向物理隔離配置-規(guī)則配置選擇一條策略，點擊編輯策略，出現(xiàn)如下圖正向物理隔離配置-規(guī)則配置規(guī)則名稱：對此條規(guī)則進(jìn)行描述

協(xié)議類型：UDP【外網(wǎng)配置】IP地址：外網(wǎng)主機(jī)IP地址端口：由于外網(wǎng)主機(jī)發(fā)送文件的端口一般沒有特殊規(guī)定，發(fā)送端口號隨機(jī)，故一般寫0虛擬IP：外網(wǎng)主機(jī)的虛擬IP地址，最終會寫到內(nèi)網(wǎng)測網(wǎng)卡上網(wǎng)卡：選擇外網(wǎng)測通過哪個網(wǎng)卡通訊網(wǎng)關(guān)：如果在三層環(huán)境下，設(shè)備外網(wǎng)測與外網(wǎng)主機(jī)不在一個網(wǎng)段，此處填寫設(shè)備外網(wǎng)測所在的網(wǎng)段的網(wǎng)關(guān)地址。如果是二次環(huán)境，默認(rèn)為是否設(shè)置路由：外網(wǎng)測為二層環(huán)境，選擇否；三層環(huán)境，選擇是MAC地址綁定：沒有特殊要求，一般填寫12個0107反向物理隔離配置-規(guī)則配置【內(nèi)網(wǎng)配置】IP地址：內(nèi)網(wǎng)主機(jī)IP地址端口：根據(jù)分配給內(nèi)網(wǎng)主機(jī)接受文件的端口，填寫相應(yīng)的端口號虛擬IP：內(nèi)網(wǎng)主機(jī)的虛擬IP地址，最終會寫到外網(wǎng)測網(wǎng)卡上網(wǎng)卡：選擇內(nèi)網(wǎng)測通過哪個網(wǎng)卡通訊網(wǎng)關(guān)：如果在三層環(huán)境下，設(shè)備內(nèi)網(wǎng)測與內(nèi)網(wǎng)主機(jī)不在一個網(wǎng)段，此處填寫設(shè)備內(nèi)網(wǎng)測所在的網(wǎng)段的網(wǎng)關(guān)地址是否設(shè)置路由：內(nèi)網(wǎng)測為二層環(huán)境，選擇否；三層環(huán)境，選擇是MAC地址綁定：沒有特殊要求，一般填寫12個0108反向物理隔離配置-證書管理配置點擊【規(guī)則配置】->【證書管理】，出現(xiàn)證書管理配置界面109反向物理隔離配置-證書管理配置點擊上傳證書按鈕如在本地選擇的證書是外網(wǎng)主機(jī)發(fā)送客戶端的證書，證書類型選擇“通信證書”如在本地選擇的證書為帶簽名的E語言文件的驗簽證書，證書類型選擇“驗簽證書”彈出上傳證書界面110反向物理隔離配置-證書管理配置【規(guī)則配置】->【導(dǎo)入E語言模板】，出現(xiàn)如下界面本地導(dǎo)入相應(yīng)的應(yīng)E語言模板，上傳即可。111反向物理隔離配置-日志配置點擊【日志配置】->【日志配置】，出現(xiàn)日志配置界面：112反向物理隔離配置-日志配置規(guī)則配置中，配置允許日志發(fā)送的策略正向傳輸軟件的使用發(fā)送端軟件啟動Windows系統(tǒng)：雙擊軟件Client.jarLiunx系統(tǒng)：#cd/home/usr#java-jarClient.jar正向傳輸軟件的使用發(fā)送端登錄點擊【用戶登錄】->【登錄】，彈出軟件登錄界面，默認(rèn)密碼為空正向傳輸軟件的使用配置發(fā)送任務(wù)點擊【任務(wù)設(shè)置】->【設(shè)置文件任務(wù)】，彈出任務(wù)設(shè)置對話框點擊【增加任務(wù)】，顯示此條任務(wù)的各項參數(shù)正向傳輸軟件的使用啟動發(fā)送任務(wù)雙擊“NotStart”，或者點擊將啟動本條任務(wù)點擊菜單欄中【任務(wù)管理】->【啟動所有文件傳輸任務(wù)】將啟動所有的任務(wù)。正向傳輸軟件的使用接收端軟件啟動Windows系統(tǒng)：雙擊軟件Server.jarLiunx系統(tǒng)：#cd/home/usr#java-jarServer.jar正向傳輸軟件的使用接收端登錄點擊【用戶登錄】->【登錄】，彈出軟件登錄界面，默認(rèn)密碼為空正向傳輸軟件的使用配置接收任務(wù)點擊【任務(wù)】->【任務(wù)配置】，彈出任務(wù)配置對話框點擊【增加】，配置本條任務(wù)參數(shù)正向傳輸軟件的使用啟動接收任務(wù)雙擊“NotListening”，或者點擊將啟動本條任務(wù)點擊菜單欄中【任務(wù)】->【啟動所有任務(wù)】將啟動所有的任務(wù)反向傳輸軟件的使用發(fā)送端軟件啟動Windows系統(tǒng)：雙擊軟件Client.jarLiunx系統(tǒng)：#cd/home/usr#java-jarClient.jar反向傳輸軟件的使用發(fā)送端登錄點擊【用戶登錄】->【登錄】，彈出軟件登錄界面，默認(rèn)密碼為空反向傳輸軟件的使用安全設(shè)置點擊【任務(wù)管理】

【安全設(shè)置】按鈕，彈出安全配置框反向傳輸軟件的使用安全設(shè)置（1）客戶端密鑰更新反向傳輸軟件的使用安全設(shè)置（2）生成客戶端證書請求文件，并導(dǎo)出反向傳輸軟件的使用安全設(shè)置（3）導(dǎo)入反向隔裝置證書點擊【導(dǎo)入PEM證書】按鈕，彈出證書導(dǎo)入框反向傳輸軟件的使用配置發(fā)送任務(wù)點擊【任務(wù)設(shè)置】->【設(shè)置文件任務(wù)】，彈出任務(wù)設(shè)置對話框任務(wù)參數(shù)配置后，點擊【增加任務(wù)】，會在任務(wù)列表中增加一條記錄反向傳輸軟件的使用啟動發(fā)送任務(wù)雙擊“NotStart”，或者點擊將啟動本條任務(wù)點擊菜單欄中【任務(wù)管理】->【啟動所有文件傳輸任務(wù)】將啟動所有的任務(wù)。反向傳輸軟件的使用接收端軟件啟動Windows系統(tǒng)：雙擊軟件Server.jarLiunx系統(tǒng)：#cd/home/usr#java-jarServer.jar反向傳輸軟件的使用接收端登錄點擊【用戶登錄】->【登錄】，彈出軟件登錄界面，默認(rèn)密碼為空反向傳輸軟件的使用配置接收任務(wù)點擊【任務(wù)】->【任務(wù)配置】，彈出任務(wù)配置對話框點擊【增加】，顯示此條任務(wù)的各項參數(shù)132反向傳輸軟件的使用啟動接收任務(wù)雙擊“NotListening”，或者點擊將啟動本條任務(wù)點擊菜單欄中【任務(wù)】->【啟動所有任務(wù)】將啟動所有的任務(wù)13303文件傳輸軟件無法啟動文件傳輸失敗管理中心收不到日志附錄:常見問題反向隔離裝置隧道協(xié)商失敗配置未生效文件傳輸軟件無法啟動java環(huán)境未部署或版本不匹配ServerConfig參數(shù)配置不正確當(dāng)前用戶無啟動傳輸軟件權(quán)限010203文件傳輸失敗01網(wǎng)絡(luò)連通性檢查02接收端的任務(wù)，端口是否在監(jiān)聽03接收端指定的目錄，是否有寫權(quán)限04規(guī)則配置檢查136管理中心收不到日志01網(wǎng)絡(luò)連通性檢查02裝置日志配置檢查03裝置規(guī)則配置檢查04檢查管理中心資產(chǎn)配置檢查反向隔離裝置隧道協(xié)商失敗檢查網(wǎng)絡(luò)連通性檢查裝置中協(xié)商IP是否與發(fā)送端配置一致檢查裝置是否正確導(dǎo)入發(fā)送端證書檢查發(fā)送端是否正確導(dǎo)入隔離裝置證書配置未生效重啟裝置縱向加密認(rèn)證裝置的配置南瑞Netkeeper2000目錄ONTENTSC1縱向加密認(rèn)證裝置配置2縱向加密認(rèn)證裝置配置提升3附錄：常見問題縱向加密認(rèn)證裝置配置01基本知識查詢操作基本知識功能應(yīng)用場景系統(tǒng)組成概念“電力專用縱向加密認(rèn)證裝置”電力系統(tǒng)專用的安全防護(hù)設(shè)備。采用加密認(rèn)證技術(shù)，為上下級控制系統(tǒng)之間的廣域網(wǎng)通信提供認(rèn)證與加密服務(wù)，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。概念

功能12為本地生產(chǎn)控制系統(tǒng)提供一個網(wǎng)絡(luò)屏障，類似包過濾防火墻的功能為網(wǎng)關(guān)機(jī)之間的廣域網(wǎng)通信提供認(rèn)證與加密功能，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)作用1特殊的安全功能電力調(diào)度系統(tǒng)的互聯(lián)互通專用性2

功能

縱向加密認(rèn)證裝置使用到對稱算法、非對稱算法、散列算法；通信雙方先使用非對稱算法、散列算法協(xié)商出通信秘鑰，再使用對稱算法對通信報文進(jìn)行加密傳輸。加密算法:

功能通信節(jié)點I隨機(jī)消息r1解密、驗證節(jié)點II的簽名合成密鑰r1+r2通信節(jié)點II解密、驗證節(jié)點I的簽名隨機(jī)消息r2合成密鑰完整性檢查對r1進(jìn)行加密與簽名H(r1+r2)對r2進(jìn)行加密與簽名1、節(jié)點I產(chǎn)生隨機(jī)數(shù)r1,用II的公鑰對r1進(jìn)行加密，同時用自己的私鑰進(jìn)行簽名，作A=Ecert2(r1)||Eskey1(H(r1)),將A發(fā)給通信節(jié)點II;2、節(jié)點II收到A后，用自己的私鑰解密并驗證I的簽名；如果驗證簽名成功，產(chǎn)生隨機(jī)數(shù)r2,用I的公鑰對r2進(jìn)行加密，同時用自己的私鑰進(jìn)行簽名，作B=Ecert(r2)||Eskey2(H(rlr2)),將B發(fā)給加點I；3、節(jié)點I對B用自己的私鑰進(jìn)行解密并驗證Ⅱ的簽名，如果驗證簽名成功，合成會話密鑰DK=r1r2，并作哈希運算C=H(r1r2)發(fā)給通信節(jié)點II；4、節(jié)點Ⅱ同樣對合成密鑰作哈希運算，作D=H(r1r2)，比較C與D是否相同，如果相同，則密鑰協(xié)商與認(rèn)證完成，進(jìn)入正常通信階段。協(xié)商原理

功能加密源AIV/SNTCP數(shù)據(jù)目的D、源C目的B隧道加密數(shù)據(jù)處理應(yīng)用場景服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)根據(jù)能源局36號文《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》縱向加密認(rèn)證裝置部署如下區(qū)域：01上下級調(diào)度中心安全I(xiàn)/II區(qū)之間廣域網(wǎng)邊界02調(diào)度中心與各廠站安全I(xiàn)/II區(qū)之間廣域網(wǎng)邊界系統(tǒng)組成服務(wù)劃分為邏輯隔離的實時子網(wǎng)和非實時采用不同強(qiáng)度的安子網(wǎng)，分別連接控制區(qū)和非控制區(qū)調(diào)度數(shù)字證書系統(tǒng)裝置管理系統(tǒng)縱向加密認(rèn)證裝置位于電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間位于電力調(diào)度中心，完成對所轄的多廠商的裝置進(jìn)行統(tǒng)一管理的計算機(jī)系統(tǒng)

為電力調(diào)度生產(chǎn)及管理系統(tǒng)與調(diào)度數(shù)據(jù)網(wǎng)上的用戶、關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器提供數(shù)字證書服務(wù)。查詢操作查看設(shè)備證書列表查看設(shè)備隧道配置查看設(shè)備策略配置查看設(shè)備日志服務(wù)器配置查看設(shè)備裝置管理地址配置查看設(shè)備網(wǎng)絡(luò)及VLAN配置查看設(shè)備路由配置查看設(shè)備網(wǎng)絡(luò)橋接配置查看設(shè)備隧道協(xié)商狀態(tài)登錄設(shè)備將調(diào)試計算機(jī)的IP地址設(shè)置為：3/24以網(wǎng)線連接到裝置配置口（業(yè)務(wù)口支持自動識別交叉或者直連雙絞線）插入操作員卡或Ukey啟動客戶端軟件點默認(rèn)操作員PIN碼：006702登陸設(shè)備登陸設(shè)備啟動加密認(rèn)證網(wǎng)關(guān)配置軟件，出現(xiàn)如圖登陸設(shè)備點擊用戶登錄連接網(wǎng)關(guān)，軟件系統(tǒng)會自動和加密網(wǎng)關(guān)服務(wù)程序建立連接，彈出如下窗口。確認(rèn)操作員卡已插入后，點擊“確認(rèn)”。登陸設(shè)備成功連接后，系統(tǒng)會提示輸入pin碼登陸設(shè)備系統(tǒng)登陸成功后，所有菜單都被激活，可以進(jìn)行裝置配置。查看設(shè)備證書列表單擊“初始化管理”=>“證書管理”，進(jìn)入證書管理界面，然后單擊下載證書列表按鈕，證書列表如圖所示。查看設(shè)備網(wǎng)絡(luò)橋接配置點擊“規(guī)則配置”=>“網(wǎng)橋配置”進(jìn)入網(wǎng)橋配置界面如圖所示。查看設(shè)備網(wǎng)絡(luò)及VLAN配置點擊“規(guī)則配置”=>“網(wǎng)絡(luò)配置”進(jìn)入配置界面。如圖所示。查看設(shè)備路由配置點擊“規(guī)則配置”=>“路由配置”進(jìn)入配置界面。如圖所示。查看設(shè)備隧道配置點擊“規(guī)則配置”=>“隧道配置”進(jìn)入配置界面。如圖所示。查看設(shè)備策略配置點擊“規(guī)則配置”=>“策略配置”進(jìn)入配置界面。如圖所示。查看設(shè)備隧道協(xié)商狀態(tài)點擊“系統(tǒng)工具”=>“隧道管理”進(jìn)入隧道管理界面。如圖所示。查看設(shè)備裝置管理地址配置點擊“初始化管理”=>“系統(tǒng)配置”進(jìn)入系統(tǒng)配置界面。如圖所示。查看設(shè)備日志服務(wù)器配置點擊“初始化管理”=>“系統(tǒng)配置”進(jìn)入系統(tǒng)配置界面。如圖所示。02網(wǎng)絡(luò)及VLAN配置設(shè)備隧道配置設(shè)備策略配置縱向加密認(rèn)證裝置配置提升設(shè)備日志服務(wù)器配置設(shè)備路由配置設(shè)備網(wǎng)絡(luò)橋接配置設(shè)備裝置管理地址配置證書管理左側(cè)按紐介紹上傳配置，將已保存的參數(shù)上傳到裝置

下載配置，將裝置上的參數(shù)下載到客戶端軟件界面

打開保存在本地的參數(shù)配置文件保存參數(shù)配置在客戶端軟件界面保存參數(shù)到本地新建資源刪除資源復(fù)制資源粘貼資源編輯資源證書管理單擊“初始化管理”=>“證書管理”，進(jìn)入證書管理界面。證書管理導(dǎo)入調(diào)度CA的根證書。選擇上傳證書

系統(tǒng)會彈出上傳證書界面選擇證書路徑，并選擇證書類型為“一級CA證書”并導(dǎo)入，系統(tǒng)會提示驗證成功與否，一般情況下一級CA證書為國網(wǎng)根證書。依次再倒入以下證書。導(dǎo)入二級CA證書(網(wǎng)省調(diào)證書)。導(dǎo)入主備操作員證書。導(dǎo)入裝置管理系統(tǒng)證書。導(dǎo)入和本地加密網(wǎng)關(guān)通訊的對端加密網(wǎng)關(guān)證書。設(shè)備網(wǎng)絡(luò)及VLAN配置點擊“規(guī)則配置”=>“網(wǎng)絡(luò)配置”進(jìn)入配置界面。如圖所示。設(shè)備網(wǎng)絡(luò)及VLAN配置網(wǎng)絡(luò)接口：所要配置網(wǎng)口的名稱，例如eth0、eth1等。接口類型：所要配置網(wǎng)口的類型，分別有PRIVATE（內(nèi)網(wǎng)口）、PUBLIC（外網(wǎng)口）、BACKUP（互備口）、CONFIG（配置口）、BRIDGE（橋接口）。IP地址：所要配置網(wǎng)口的IP地址。子網(wǎng)掩碼：所要配置網(wǎng)口的掩碼。接口描述：所要配置網(wǎng)口的相關(guān)描述信息，若是橋接模式的話這里必須與橋接配置里的接口自定義名稱完全一致，其他模式下無意義，。VLANID：所要配置網(wǎng)口的VLANID信息。設(shè)備網(wǎng)絡(luò)橋接配置點擊“規(guī)則配置”=>“網(wǎng)橋配置”進(jìn)入網(wǎng)橋配置界面如圖所示。

將eth1和eth2打鉤，即虛擬成一個網(wǎng)卡，為網(wǎng)絡(luò)配置中的br。虛擬網(wǎng)卡：一