CGWAYT隔离网闸使用说明书

1、隔离网闸使用说明书CGWAY-12/T 正向型版权？2010工业800保留所有权力1产品概述分层分区方案根据电力二次系统的特点， 划分为生产控制大区和管理信息 大区。生产控制大区分为控制区（安全区I）和非控制区（安全 区H ）。信息管理大区分为生产管理区(安全区田)和管理信息区(安全区IV)。正向型网络安全隔离网闸(CGWAY-12/T)用于安全区 I/II 到安全区III/IV的单向数据传递。如图1所示：图1:分层分区方案硬件结构网络安全隔离网闸(CGWAY-12/T)的硬件结构如图2所示。本产品硬件采用RISC 体系架构高性能嵌入式计算机芯片，双机之间通过高速物理传输芯片进行物理连接。底板

2、上有两个高速 10M/100M 网口（ NET_A和NET_B）用于连接要隔离的两个网络。图 2：硬件结构图内网分区与内网（如监控系统DCS） 相连， 外网分区与外网 （如管理信息系统）相连。内外分区各有一块单独的 CPU 板，它们之间没有网络连接，以确保网络层面的隔离。对于内外分区的通信只能通过具有物理隔离能力的安全区进行数据交互。隔离网闸接入点电力专用安全隔离网闸作为安全区 I/II 与安全区 III/IV 的必备边界，具有最高的安全防护强度，是安全区I/II 横向防护的要点。其中，正向型安全隔离网闸用于安全区I/II 到安全区 III 的单向数据传递。 NET_A 口用于连接安全区 I/

3、II ， NET_B 口用于连接安全区 III/IV同时 NET_A 口也是配置和管理安全 I/II 区数据采集端，简称客户端。 NET_B 口用于配置和管理数据接收端，简称服务端。产品功能正向型安全隔离网闸具有以下几个功能：1 .实现两个安全区之间的非网络方式的安全的数据传输， 并保证安全隔离网闸内外两个处理系统不同时联通2 .表示层与应用层数据完全单向传输，即从安全区III 到安全区 I/II 的 TCP 应答禁止携带应用数据。3 .透明工作方式：虚拟主机IP 地址、隐藏 MAC 地址。4 .基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制。5 .支持NAT 。6

4、.防止穿透性TCP 联接，禁止两个应用网关之间直接建立 TCP 联接，将内外两个应用网关之间的TCP 联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个 TCP 虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。7 .具有可定制的应用层解析功能，支持应用层特殊标记识别。8 .安全、方便的维护管理方式， 软件友好的图形管理界面。安全保障点专用安全隔离网闸本身应该具有较高的安全防护能力，其安全性要求主要包括：1 .采用非 INTEL 指令系统的（及兼容）微处理器。2 .安全、固化的操作系统。3 .不存在设计与实现上的安全漏洞。4 .抵御除 DOS 以外的已知的网络

5、攻击。安全隔离区安全隔离分区采用了两片双口 RAM ，其设计原则是同一时间只允许单向写入数据， 即双口 RAM 为单工模式，当内网A 主板需要向外网发送数据时，首先数据是保存在内网A 机输出缓冲区，当双口RAM 单工中断模式许可时，产生输出中断，此时外网写入信号已近闭锁，即已切断外网写入内网的物理连接，在该中断服务程序中，内网向双口RAM 写入数据， 完成后切断内网写入外网的物理连接，并向外网 B 主板产生读中断，外网响应中断后读取数据，完成由内向外的数据物理交接过程。如图 3 所示：图 3：安全隔离区示意图在以上的安全隔离过程中，所有的数据输出都会进行安全审核，确保数据的合法性。为了更好的增

6、加安全强度，即只允许由内向外的单向数据传输时，可以用程序切断由外向内的数据交互，只允许一些简单的应答通信数据，从而可以确保外网数据不能进入到内网，以满足电力系统的特殊要求。防穿透连接许多网络攻击是基于 TCP 协议漏洞而形成的，因此装置按如下图 4 防止 TCP 穿透连接。图 4：防穿透连接示意图A 机的处理： 内网安装仿SERVER程序，它对需要监听的外网 IP 地址或NAT IP 地址的指定TCP 端口进行监听，当内网通过隔离装置向外网发起连接时，该SERVER程序会直接冲当切断连接的角色，即发起连接的三次握手过程完全由该SERVER 承担，所有的连接信号在此中止，当连接建立成功后，再用非

7、网协议通知外网 B 机进行相关的数据连接处理。当外网 B 机连接生效后，该链路正式生效进行相关数据通信，如连接不成功或通信过程中连接被外网关断，则内网 A 机将关断响应连接。外网 B 机的处理： 外网安装仿 CLIENT 程序，当在安全隔离区收到发起连接的信号后，它通过 NAT 地址发起对外网 IP 的连接， 并将连接信息通知内网 A 机。当连接生效后 ，该链路正式生效进行相关数据通信，如连接不成功或通信过程中连接被内网关断，则外网 B 机将关断响应连接。由于采用防穿透技术将产生如下效果：1 .内网取得MAC 只能得到A 机地址或伪地址。2 .外网取得MAC 只能得到B 机地址或伪地址。3 .

8、内网发起的TCP 连接在 A 机终止。机重新对外网发起连接。机无程序设为SERVER接受外网 连接。2.产品分发与安装正向型网络安全隔离装置( CGWAY-12/T )产品分发包括硬件和软件两大部分。硬件部分用户在使用本产品时，应先检查硬件产品是否带有具有(CPS)标志，外观是否有损坏现象。如有以上现象，请勿使用并及时与本公司取得联系，处理相关事宜。为了产品稳定、可靠的运行，请勿私自打开隔离装置。如图5、 6所示:图5:产品正面图6:产品背面软件部分隔离装置随机带有一张配置 软件关盘，该程序不用安装，直 接使用。点击,打开配 置软件主界面，如下图7所示： 图7:网闸配置工具主界面 网络拓扑图隔

9、离网闸的配置说明以下图为例，详细说明隔离网闸如何配置。我公司会在内网侧配置一台接口机，接口机连在内网交换机上，接口机的作用是用 DATAClient-OPC 获取 DCS OPC Server的数据，然后通过隔离网闸 向外转发。假设内网侧接口机的 IP 地址是： ，虚拟IP： （此虚拟IP 地址配置隔离网闸的时候能用到） 。外网数据库服务器的 IP 地址是： ，虚拟 IP： 。备注： 虚拟 IP 不应该与网络上的其他地址相冲突。图 8：隔离网闸网络拓扑图内网侧配置打开主界面上的设备管理接口，出现如下界面：图 9：设备管理主界面然后点击编辑设备，出现设备主界面：图 10：内网侧设备主界面图中 I

10、P 模式：静态IP 地址： （即内网侧的虚拟IP 地址）端口：4196工作模式： TCP 客户端子网掩码： 网关： 目的 IP 或域名：填写接口机的实际 IP 地址，目的端口： 502其它选项默认配置即可。填好这几个选项后，点击保存默认参数， 然后重启设备。 内网侧配置成功。外网侧配置外网侧配置操作与内网侧一样，打开配置软件，出现如图 7的主界面，然后点击设备管理，出现如图 8 的主界面，然后编辑设备，如下图：图 11：外网侧设备主界面图中 IP 模式：静态IP 地址： （即外网侧的虚拟IP 地址）端口：502工作模式： TCP 服务端子网掩码： 网关： 目的 IP 或域名：填写外网侧数据库服

11、务器的实际IP地址，目的端口： 4196其它选项默认配置即可。填好这几个选项后，点击保存默认参数， 然后重启设备。 外网侧配置成功。数据通信内网侧： 配置好内网侧和外网侧的隔离网闸装置后，打开接口机上的 DATAClient-OPC 程序，配置通讯界面，如下图所示：图 12：配置窗口主界面IP 地址：就是内网侧接口机的实际 IP 地址。端口号为配置网闸时内网侧的目的端口 502。外网侧：PIDB-Real实时数据库的配置界面如下：图 13：实时数据库的配置界面通讯模式： TCPIP 地址： （这里填写外网侧的虚拟IP 地址）端口号：502（与内网侧一样）。配置好这些参数后，实时数据从内网至外网就全部接通了。DATAClient-OPC 的配置参考 DATAClient-OPC 使用手册PIDB-Real 的配置参考PIDB-Real的使用手册数据信号灯图 14：信号灯面板隔离网闸电源插座采用 标准插头（内芯为正极） ，电压为 9-24VDC。网口为标准的RJ45接口。详细的信号灯描述如下：Power指示灯:电源指示灯，接 通电源后该指示灯显示为绿色。100M_