NetKeeper-2023L 加密认证网关顾客手册

NetKeeper-2023L

加密认证网关顾客手册

NARI

注意:

本白皮书中的内容是南瑞加密认证关顾客手册。本材料的有关

权利归南瑞集团企业信息系统分企业所有。白皮书的任何部分

未经我司许可，不得转印、影印或复印。

南瑞加密认证网关顾客手册

Version34.020237-97-20

南瑞集团企业信息系统分企业

Allrightsreserved

本资料将定期更新，如预获取最新有关信息，

请访问南瑞集团企业网站：

您的意见和提议请发送至：

南瑞集团企业信息系统分企业

南京南瑞路8号，210003

（TEL）:（市场部）

（技术支持）

(FAX):

目录

一、产品简介.............................................：（、

1.1产品布署环境......................................错误!未定义书签。6

1.2产品外观与构造....................................错误!未定义书签。6

二、产品分发与安装.......................................；：i:!卜定乂I%8

三、加密认证网关配置管理.................................「—L「V

3.1系统初始化........................................错误!未定义书签。9

3.1」通信初始化.....................................错误!未定义书签。9

3.1.2初始化........................................错误!未定义书笙。.

3.2证书申请..........................................错误!未定义书签。44

3.3安全管理.........................................错误!未定义书签。茸

证书管理.............................................错误!未定义书签。后

332远程监控........................................错误!未定义书卷。47

3.4安全方略配置....................................错误!未定义书签。47

3.4/系统信息配置....................................错误!未定义书签。制

342网络信息配置....................................错误!未定义书筌。同

343路由信息配置....................................错误!未定义书签。期

344隧道建量........................................错误!未定义书签。耳

3.45方略配置........................................错误!未定义书签。.

346地址转换配置....................................错误!未定义书签。25

桥接配段（多进多出配置）.............................错误!未定义书笠。加

348MAC地址绑定....................................错误!未定义书签。27

3.5信息查询.......................................错误!未定义书签.2X

3.5」隧道管理........................................错误I未定义书笠。咨

3.5.2链路管理........................................错误!未定义书笠。行

3.6系统调试.........................................错误!未定义书筌.前

3.6」网关硬件诊断..................................错误!未定义书卷。和

3.6.2SP1NG调试....................................错误!未定义书签。耳

3.7「I志管理.........................................错误!未定义书筌。斗

3.8配司备份和恢复..................................错误!未定义书签。安

四、经典应用环境配置案例.................................一，一:33

4.1明通模式配置.....................................错误!未定义书签.甘

4.1」系统配图........................................错误?未定义书壁。3

4.L2网络配置,........................................错误!未定义书笠。以

41.3路由配明.........................................错误!未定一义书答.以

414隧道配置,........................................错误!未定义书崔。为

4.L5方略信息桎皆.....................................错误!未定义书筌。六

4.2路由配置..........................................错误!未定义书签。芬

421系统配罟,........................................错误!未定义书签。*

42.2网络配泻,........................................错误!未定义书签。M

4.2.3路由配置,........................................错误!未定义书筌。苑

424隧道配纪........................................错误!未定义书签。衣

425方略配置,........................................错误!未定义书笠。第

4.3VLAN环境配置....................................错误!未定义书签.并

431系统配图........................................错误!未定义书卷。朵

43.2网...............................................络配置..........................................错误!未定义书笠。一

433路由配置,........................................错误!未定义书爸。*

4.3,4隧道配罢.......................................错误!未定义书筌。加

4.3.5方略配罟,......................................错误!未定义书签。和

4.4NAT模式配置.....................................错误!未定义书签。沙

4.4」系统配屋.......................................错误!未定义书签。M

442网络配漫,........................................错误!未定义书笠。的

443路由配罟,........................................错误!未定义书签。〃

444隧道配讯........................................错误!未定义书签。〃

445地址转化桎置.....................................错误!未定义书笙。以

方略配置..............................................错误!未定义书签。山

4.5网桥模式配置.....................................错误!未定义书签。43

系统配置..............................................错误!未定义书签。44

桥接配置..............................................错误!未定义书等。44

网络配置..............................................错误!未定义书变。芟

$3由配置..............................................错误!未定义书签。46

隧道配置..............................................错误!未定义书签。46

方略配假............................................错误!未定义书签。总

46借用地址配置.....................................错误!未定义书签.47

461网络配置,......................................错误!未定义书笠。小

46,2MAe地址绑定配置..............................错误!未定义书爸。心

4.7双机配置.........................................错误!未定义书筌。#

47,1网络配置.......................................错误!未定义书爸。3

47.2MAC地址绑定配置..............................错误!未定义书笙。和

47.3隧道配里,......................................错误!未定义书签。的

5系统指标...........................................错误!未定义书签。钊

5.1硬件指标.........................................错误!未定义书签。初

5.2性能指标：......................................错误!未定义书签。X

附录1:证书签发阐明（VLO）......................错误!未定义书签。X

一、产品简介..............................................................5

一、产品简介

1.1产品布署环境

电力专用加密认证网关安顿在电力控刎系统的内部局域网与电力调度数据网络的

路由器之间，用来保障电力调度系统纵向数据传播过程中的数据机箔性、完整性和其实

性。

按照“分级管理”规定，纵向加密认证网关布署在各级调度中心及卜属的各厂站，

根据电力调度通信关系建立加密隧道（原则上只在上卜.级之间建立加密隧道），加密隧

道拓扑构造是部分网状构造，如下图所示。

图表1加密网关布署示意图

1.2产品外观与构造

NctKcoper-2023lL纵向加密认证网关是南瑞信息系统分企业在成功开发

研制的新一代高性能加密认证

网关。NetKeeper-20231纵向加密认证网关在网络环境接入的适应性、数据加密性能、

网络吞吐率、系统高可鸵性保障技术等方面代表了加密认证网关的发展趋势，在行业内

处在领先水平。

图表2NetKeeper-2023L纵向加密认证网关

NelKeeper-204迦支加密认证网关的硬件构造如下图所示，硬件系统基「高性能

RISC体系架构，主板集成界个以太网接口；串口用于对加密认证网关进行监控管理.，

高性能电力专用密码卡单元（内嵌电力专用密码算法和RSA公私密钥算法）对网络通信

数据进行加密与认证：双机接口支持加密认证网关的双机热的和链路冗余备份，访止重

要数据的丢失：硬件看门狗实时监控系统状态，保证加密认证网关稳定、可靠运行。

图表3加密认证网关硬件构造图

加玄网关的前面板图有g小组指示灯，分别是双电源指示灯(POWER)、告警指示

灯(ALARM)、读写器指示灯(ICSTA/ICACT)、加解密指示灯(ENCSTA/ENCACT)、

五电组网络接口指示灯(FE0-FE46-SPD/LNK/ACT)。电源指示灯标识双电源的工作状

态，红灯亮表达电源模块工作正常；告警灯亮并伴有•声音告警发达加密认证网关受到异

常网络袭击或者处在诈稳定工作状态，管理员可以通过日志信息综合判断网关的工作状

况；加解密ENCSTA灯亮表达电力专用数据密码卡处在正常状态，加解密ENCACT灯

闪烁表达密码卡正在加解密数据：智能读写赛ICSTA灯亮表达读写器处在正常状态，

ICACT灯闪烁表达数据正在被读取.五七级网络接口LNK灯亮表达网卡与网络对的连

接，网络接口ACT灯闪烁表达网卡正在接受或发送数据。

加密网关的背面板图设计有双电源，有一种电源作为主电源供电，另一种做细电源

备份，这种设计可以有效地提高电源工作的可鸵性及延长整个系统的平均无端障工作时

间，最右边是电源开关1,然后是电源插座1,电源开关2,电源插座2：Console口用

来对加密网关进行监控；个网口(FEO一二E46)可以灵活配置为内网接口或外网接口。

二、产品分发与安装

NetKeeper-2C融迎1加密认证网关完整的产品分发包包括硬件和软件两大部分。

顾客在使用本产品时，应先检奁硬件产品与否具有NARI标忑，外观与否有损坏现象。

如有以上现象，请勿使用并及时与我企业获得联络，处理有关事宜。为了保障产品稳定、

可靠的运行，请顾客不要私自打开加密认证网关机箱。

加密认证网关随机带有配置软件光盘、一根网络配设线、一根串口配置线，配置软

件可以安装在Windows2023/XP/NT/9x操作系统的计尊机上。（注：配置计算机必须要有'

java运行环境支持）。安装完毕后，启动配置管理软件，软件界面如下图所示。

图栽，加密网关配V软件图表4加密认证网关配置软件

加密认证网关用于安全区I/II的广域网边界保护，网关布署对应用完全透明。通

过加密网关的内网接口和外网接口，分别与内部局域网和外部广域网连接，为网关机之

间的广域网通信提供具布.认证、加密功能的VPN,实现数据传播的机密性、完卷性保护。

顾客可以通过配置管理程序对加密网关进行对应的设置，详细的配置管理请参见卜节。

三、加密认证网关配置管理

3.1系统初始化

加密认证网关投入使用前.需要进行设备的初始化掾作.初始化掾作内容包括安装

调度证书服务系统根证书、装置管理系统证书、本装置的主备操作员证书、与本装置通

信的对端设备证书以及木装置I内设备私钥。上述证书由调度证书服务系统生成并签名，

存储在纵向加密认证网关的安全存储区中。

3.1.1通信初始化

I）将当地配置计算机地址设置为，掩码为255.255.255.0,用随机附带的网络配置线

（交叉线）连接到加密认证网关的配置接口（e<heth46）。

2）自动加密认证网关的配置软件，出现如下的软件主界面:

图表45加密认证网关配式软件启动界面

给一点击顾客登录一）连接网关，软件系统会自动和加密网关服务程序建立连接中4

穿醵成-功或是失败消息u装置的地址信息可点击右侧按钮进彳邀挣4默■认的藤冬&

图表6登陆装■

I带格式的：顶II符号和编弓

8-32_成功连接后，系统会提醒输入pin码等待系统初始化.

图表57系统检测提醒信国PIN另驰证

|布格式的：项II符号和箍号

衿91_系统登陆成功后，所有菜的都激活，可以配置.

图表2超系统认证通过后的配置界面

3.1.2初始化

下面结合电力二次系统实际状况对初始化的过程进行描述:

图表9U系琉初始化的配置界面

1.导入调度CA根证书。

2.导入网省调的根证书（二级CA证书）。

3.导入与本装置通信的对端节点设备证书。

4.导入装置管理系统证书。

以上的环节，第I、3部是初始化过程必须的操作，不可忽视,其他的操作环节由

顾客根据现场实际状况进行选择。

1）点击密钥管理今“初始化网关”，生成装置公私密钥对。如下图所示。

图表1Q2拉密网关初始化界面

加密卡密钥生成成功后提醒成功信息，然后可以生成加密卡的证书祈求（装置的证书祈

求）.

2）制作加密网关设备证书祈求文献。点击密钥管理今“初始化网关”，则弹出填写

殳备证书祈求的对话框，如下图所示；

图表11$生成证书祈求

主体名称：加密网关的唯一标识，提议采用装置所在厂站名

组织名：GDD（默认）

所在地名称：厂站所在地名称

中国：CN（默认）

单位代码：签发单位名称

E-Mail;

按照上述阐明填写后，点击“生成证书祈求”按钮，将生成的证书祈求文献保留在

当地安全存储介质中并提交给调度证书管理系统进行签发。详细签发过程请参见3.2

节证书申请。

证书祈求生成成功后后弹出成功信息，紧接着下载证书祈求到配置机怒上.

图表1能CSR生成提醒

图表8及文献下载目录

图表9-l±CSR下载成功提S3

3）导入调度CA的根证书。这是后续对其他实体证书进行验证的基础，点击密钥管理

一〉“证书管理”，则主:界面会转入证书管理界面，如下图所示，选择上传证E2系

段会弹出上传证书界面如图12所示，选择证书类型为一级证书并导入，则系统会

炎醒成功验证与否。

装置管理系统证书

加密网关证书

图表1用殳上传证书

4）导入中级CA证书（网省调证书）。操作措施同上.

5）导入主备操作员证书.操作措施同上.

6）导入装置管理系统证书。操作措施同上.

7）寻入和当地加密网关通讯的对端设备证书。操作措施同上.

导入所有证书后，点击团重新检查系统I向初始化工作。先插入密钥管理卡.并进

行登陆，系统会检查目前的初始化状态，判断装置与否对的初始化，并提醒顾客。

图表件％初始化完毕后的证书界面

3.2证书申请

在加密认证网关初始化的过程中，需要将生成的加密网关证书祈求文献提交给电力

调度证书服务系统进行签发，生成网美设的证书.详细流程如下所述.

加密网关生.成证书祈求文献后，将证书祈求文献以可存储介质形式拷贝到各级调度

证书系统上（国调、网调、省调〉，并以系统“录入员”身份用UsbKey登陆证书系统:

选择“导入证H祈求信息”按钮，点击“导入”按钮，则将祈求信息输入到证书系

统，根据电力证书系统操作规范向流程，经由“审核员”审核，“签发员”签发出设

备证书和操作员证书。

图表12-立_加密认证网关证书祈求信息录入与制作

注：在不RTT调吱i止书系统的条件下，可以采用配套光盘里I向专用注书工具经发证书。

详细使用请参艇附录•《证书签发阐明》

3.3安全管理

加密认证网关的安全管理包括证书管理、远程监控等。

3.3.1证书管理

装置在初始化和正常「.作状态下，顾客均可对装置的证书列表进行查询，以便对目

前合法的证书列表进行管理。单击“密钥管理”一）“证书管理”，进入证书管理界面后

单击卜载证书列表团，如卜.所示。

图表13及证书下载等待信息

证书文献列表导出后，加密网关配置管理程序会自动解析信息并且显示在目前证书

管理界面上，如卜图所示。（表达目前加密网关已经配置了CA根证书，主、备操作员卡

证书，已经基本完毕了初始化，处在工作状态。）

图表及14加密网关证书管理界面

选中目的证书，并点击“察看证书”同按钮，则会显示证书详细信息，如下图

所示。此时证书被下载到配踪程序安装目录下的config文献夹.同样，选中目的证书，

并点击“删除证书”回按钮，将删除对应证书。

图表-组4证书详细信息

图表214€证书编码信息

3.3.2远程监控

根据电力二次系统安全防护的规定和纵向加密认证装置的管理体制，加密认装网关

支持远程集中监控管理。装置管理系统（管理中心）为调度中心所辖的加密认证装置提

供远程安全管理服务。调度中心II勺加密装置及下属II勺加密装置由装置管理系统直接管

理。此时，装置管理系统（管理中心）与加密装置是网络上通信I向实体。装置管理系统通

过通过认证加密I内管理报文实现对纵向加容认证M关的监测。详细的监控内容及装置管

理系统的使用见《加密认证网关装置管理系统顾客使用手册》

3.4安全方略配置

加密认证网关位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，

为透明安全防护装置。网关的内网接口连接内部局域网，外网接口连接数据网，每个网

络接口可以设置一种或者多种虚拟地址。加密认证网关的安全方略设置重要包括系统配

置、IP地址配置、IP路由，VLAN,规则，隧道信息，管理信息等。主配置界面如卜图

所示

TWWazM

，务H2网事。.冬

图表丝，主配置界面

主配置界面左侧的编辑功能键描述如下，在其他的信息配置界面中编辑功能犍的作用类

似，下a文中只以时应附图标加以表达,详细功能不再赘述。

打开配苣或新建配置文献

倒

保留配置

回

另存配置将配置信息保留至当地

画

S上传配置信息至装置

下载装置配置信息到当地

回

建、,/.新的配置信息

回

删除有关的配置信息

复制资源

同：粘贴资源

回：编辑资源

3.4.1系统信息配置

系统配置审要配置加密认证网关的系统信息，重要包括如卜几种内容：

系统名称：装置啊名称，便F远程标识装置的基本信息。

网关地址：加密网关的外网地址或者外网卡上用r被管理或审计所设置H勺地址。

远程地址：远程的装置管理系统、日志审计系统或者远程调试计算机的网络地址。

系统类型：包括装置管理、日志审计、远程调试

证书：在系统类型配置为装置管理时必须配置对应的装置管理的证书名称

在这个界面中可以对装置系统佶息作一系列操作例如：增长、修改、删除、上传、

下载等。

点击“规则配置”->“系统管理”，选中某一条系统信息规则之后点击同（编辑

资源），若原先没有对应的网络信息规则可以先点击叵（新建资源）并将其选中后点

击编辑资源进入详细界面如下图所示

图表234B装置系统配置信息

3.4.2网络信息配置

加密认证网关共有•5,个I以太网接口，其中任意网口都可以设置成内网口或者外

网口。在实际的配置一中，需要对加密认证网关的网络接口配设虚拟地址以便和内外网进

行通信，内外网虚拟地址可认为相似网段，也可认为不•样网段。

在网络信息配置界面中可以对装置网络信息作•系列的配置如：增长、修改、删除、

上传、下载等。

点击规则配置一）“网络配置”进入配置主界面之后选中对应的网络配置信息点击

同（编辑资源），若原先没有对应的网络信息规则可以先点击回（新建资源）再点击

编辑资源进入网络配置界面，如卜图所示。

图表-”沿装置地址配置

网络接口：为所要配置的装置网口的名称，例如cthO/ethl等

接口类型：为装置网口小J类型，分别有PRIVATE（内网口）、PUBLIC（外网口）、

BACKUP（互备口）、CONFIG（配置口）、BRIDGE（桥接口）

IP地址：为所要配置网口11勺IP地址

子网掩码：为所要配置网口的掩码

接口描述：为所要配置网口口勺有关描述信息

VLANID：为所要配置网口的VLANID信息

3.4.3路由信息配置

加密认证网关需要对加密和解密过的IP报文进行路由选择，路由配置信息针对加

密网关的内外网虚拟地址，通过路由地址关联内外网的网络地址信息。

在这个界面中可以对装置路山信息作一系列的配置例如：增长、修改、删除、上传、

下载等。

点击规则配置一）“路由配置”进入路由配置界面，之后选中对应的路由配置信息

点J同，若原先没有对应的路由信息规则可以先点击回（新建资源）再点击编辑资

源进入路由配置界面，如下图所示。

路由配盍区）

图表却一25路由佶忌配置

路由名称：路由信息的名称描述

网络接口：要用到路由I付出口网卡的名称般为外网口。

目的网络：要实现通信的外网侧的所在网段。

目的掩码：为路由信息的目的网络地址的子网掩码。

网关地址：加密网关的外网口通信地址

VLANID:为所均配置啊网口vlan信息.

3.4.4隧道配置

隧道为加密认证网关之间协商的安全传播通道，隧道成功协商之后会生成通信密

钥，进入该隧道通信的数据由通信密钥进行加密，隧道可以设置隧道周期和隧道容量，

当隧道的通信时间到达指定传播周期后或者数据通信量到达指定容量后，加密网关之间

会重新进行隧道密钥的协商，保证数据通信的安全。

点击规则配置一）“隧道配置”进入除道配置界面，之后选中对应的隧道配电信息

点击回，若原先没有对应II勺隧道信息规则可以先点击回（新建资源）再点击编辑资

源进入隧道配置界面，如下图所示：

图表21-2◎一隧道配置

隧道名称:隧道的有关描述。

隧道ID:隧道的标识,关联隧道的所有信息。

隧道模式:隧道模式分为两类：加密、明通。明通模式下，隧道两端装置不进行密

钥协商，隧道中的所有数据只能通过明通方式（但可以对数据包进行安全

过滤与检查，即只有配置了布•关的通信方略的数据传播才能通过装置，否

则装置会将不合法的报文所有丢弃）进行传播；加密模式3隧道中的数

据报文会根据协商好的密钥将有关通信方略的数据报文进行封装和加密，

保证数据传播的安全性。

隧道本端地址：为本端隧道的地址，即本侧加密网关的外网虚拟IP地址。

隧道对端主地址：为对端隧道的主地址，即对端加密网关（主机）的外网虚拟IP

地址。

主装置证书名称：对端主隧道I向证书名称。时端加密网关的主设备证书名称需与初

始化导入的对端加密网关证书名称一致。

隧道对端名地址：为对端健道口勺备用地址，即对端加密网关（备机）的外网

虚拟【P地址。假如对端无备用装置，则隧道备地址为0。

备装置证书：对端备隧道的证书名称。对端加密网关的备设备证书名称需与初始化

导入II勺对端备加密网关证书名称一致

隧道周期：隧道密钥的存活周期（以小时为基本“量单位）。超过设定R勺存

活周期，装置会自动重新协商密钥。

隧道容量：为隧道内可加解密报文总字节数1句最大位，在隧道内加解密:报文

的总字节数一旦超过此值，隧道密钥立即失效，装置会自动重新协商密钥。

3.4.5方略配置

加密通信方略用于实现详细通信方略和加密隧道I向关联以及数据报文的综合过灌，

加密认证网关具有双向报文过漉功能，与加密机制分离，独立工作，在实行加密之前进

行。过港方略支持:

源IP地址（范围）控制;

目的IP地址（范围）控制:

源1P（范围）+目的IP地址（范围）控制;

协议控制：

TCP、UDP协议十端口（范围）控制：

源IP地址（范围）+TCP、UDP协议+端口（范围）控制；

目的1P地址（范围）+TCP、UDP协议十端口（范围）控制。

点击“规则配置”一）“方略配置”进入方略配置界面，之后选中对应的方咯配置

信息点击同，若原先没有对应的方略信息规则可以先点击叵I（新建资源）再点击编

辑资源进入方略配置界面，如下图所示：

图表22_红_方略配式

注意：假如对端加密认证网关存在备机，立当配置两条相似的方略，只是关联向隧道

ID不一样。

隧道ID：为隧道配苴中设定的隧道ID信息。通过此信息，可以将方略关联

到详细的隧道，以便对需耍过滤的报文进行加解密处理。

工作模式：工作模式分为明通、加密或者选择性保护。

源起始地址和源目的地址：本端通信网段的起始和终止地址，假如为单一通

信节点，则源起始地址和源目的地址设置为相似。

目的起始地址和目的终止地址：对端通信网段的起始和终止地址，假如为单

一通信节点，则目的起始地址和目的终止地址设置为相似。假如对端网关启

用地址转化功能，则目的地址为对端网关的外网虚拟IP地址。

协议：支持TCP、UDP、ICMP等通信协议。

传播方向：此配置字段可以控制数据通信的流向，分为内，外、外，内和双

向。

源起始端口和源终止端口：通信端口配电范用在0-65535之间。

目的起始端口和目的终止端口：通信端口配置范围在0—65535之间。对于

通信进程的服务端，起始和终止端口可配置为相似。

3.4.6地址转换配置

加密认证网关系统支持地址转换（地址伪装、源地址转换和目的地址转换），保护

内网私有地址。

加密网关启动IP伪装功能时，当数据包通过加密网关发送到外部网络时，会将数

据包的源地址变化成加密网关I内外网虚拟地址，而通过转换的数据包可以在外网中完整

路由。此时内网地址为需要地址转换的内网网络地址，外网地址为伪我地址。

有时候内网私有地址对外提供网络服务,为了保证内网资源的安全.这时可以将内

网的网络服务映射到加密网关的外网虚拟地址上，外网顾客可通过访问加密网关的外网

虚拟1也址的服务到达访问内网服务的目的。在这种转换方式卜.，需要启动加密网关的目

的地址转换功能。

点击“规则配置”一〉“地址转换”进入地址转换配置界面，之后选中对应的地址

转换配置信息点击间，若原先没有对应向地址转换信息规则可以先点击回（新建资

源）再点击编辑资源进入地址转换配置界面，如卜.图所示:：

图表2328桥接网络接口选择地址转换配餐

NAT描述：地址转换信息的描述

类型选择：选择地址转换的类型详细类型有源地址转换、目的地址转换工地址转换

内网地址：为提供服务的内网主机地址

内网端口：为内网服务端口

外网地址：为加密网关口勺外网虚拟地址

外网端口：为内网服务端口的映射

网络接口：配置地址转换的网络接口名称

3.4.7桥接配置（多进多出配置）

多进多出工作模式其作用就相称于一种局域网互换机，可以实现将装置的某几种网

卡虚拟成一种网卡和外界通信，顾客可以将虚拟网卡当成详细的网卡来使用，可以在隧

道配置中设置对应的规则，以虚拟网卡地址和对端的加密装置协商从而实现多人多出的J

通信，布•关的网络拓扑如下图所示：

图表24空桥接示例

详细配置如下：

进入网桥配置界面，点击编辑资源倒，进入详细网桥配置界面如下图所示

图表3025桥接网络接口选择

可以将某几种网卡（装置共有7个网卡可以使用）加入到一种虚拟网卡中，点击确

认保留之后，虚拟网卡的名字就即可在后来的配置中使用。例如在配置网络信息时可认

为虚拟网卡设置对应的网络地址信息。在网络配置界面中将网络接口设成BRIDGE,接

口描述为虚拟网卡的名称，配置后的界面如下图所示。

19网绵配置冈

确认也哨

图表3126桥接配置信息

3.4.8MAC地址绑定

在网络管理中，1P地址盗用现象常常发生，不仅对网络的正常使用导致影响，同

步由于被盗用的地址往往具有较高的权限，因而也对顾客导致了大战的经济上的损失和

潜在的安全隐患。为了防止IP地址被盗用，可以在代理服务器端分派1P地址时，把】P

地址与网卡地址进行捆绑。

MAC地址绑定模块用于实现符详细的通信地址和网卡绑定，只容许对应的mac地

址的网卡使用某个IP地址和外界通信，假如更换网卡就必须重新进行对应的配置。

详细配置如下：

点击规则配置“ARP绑定”进入MAC绑定的主操作界面，界面中有IP地址和MAC

地h■项，IP地址中填入对应地址，MAC地址中填入路由接F1H勺地址实现ARP绑定.

3.4.9ARP代理

3.5信息查询

3.5.1隧道管理

图表-基_28隧道列表达意图

加密网关配置管理软件可以实时浏览装置的隧道信息，只要点击左侧的更新叁按

钮.隧道信息按照列表和图标两种显示方式以便顾客审阅.选中某个隧道后可以通过重

置部隈钮,对隧道重置，让其重新协商.

1D:隧道的ID信息；

状态：&隧道正常，粉隧道异常；

热备：契对调装置是上机泥对端装置是备机:

汜录信息:「加密法数〕解密次数’加密错误解密卷误TCP包［-UDP包|ICMP包|

••>■wasMM一

图表设29隧道拓扑示意图

3.5.2链路管理

加密网关配位管理软件实时显小装包旌路信息，链路的状态和链路的记求信息。顾

客只需点击左侧1向更新的屐钮就可以实时代泡链路信息.

ID:按照次序标识链路的记数：

协议:链路的协议,目前只支持TCP.UDP.ICMP三种；

状态：善世路状态正常.含桂路状态异常，其中异常重要针对TCP协议,一旦出

现三步握手没有成功则显示链路异常。

源地址和源端口：装置所在内网侧应用信息

目的地址和目的端口:装置所在外网侧应用信息

记录信息:IN为内向外报文个数.OUT为外向内报文个数

图表-3£30货路实时浏览

3.6系统调试

3.6.1网关硬件诊断

加密网关内嵌电力专用密码模块和智能IC接LI模块，为了排查加密网关系统有也

许出现的数据通信错误，配置管理软件提供了对数据加密模块和智能读写器设备的调试

诊断功能。

I）加密单元设备调试

点击工具栏中的“加密卡调试”，则出现卜面的界面，选择硬件类型中的“

加密卡硬件”，点击“测试”，加密网关自动对加密单元进行检测，测试成果

显示到调试界面上。

图表并迄加密单元调试测试界面

2）智能IC卡单元测试

点击硬件测试『'JIC卡测试按钮，加密可关自动对智能IC读写器单元进行检测，测

试成果显示到调试界而上。

图表32西一智建IC卡调试界面

假如提醒测试失败，请检查您的卡片与否插到位，面板上的JCRW读卡器指示灯与

否正常闪烁，假如在测试过程中，CRW灯不闪烁，请与我们及时联络。

3.6.2SPING调试

SPING调试用于确认和对端加密网关时连通状况，在SPING调试界面中输入对端

加密网关的外网虚拟IP地址、测试次数和时问，点击“开始”，网关自动探测对端装宜

并返回测试成果，如下图所示。

图表33SPING37SPING诊断

3.7日志管理

加密网关具有专用安全日志存储单元，可以对装置日志进行审计。点击导航栏或者

菜单中的“日志审计”，则将从装置中载入加密日志并自动解密分析其内容，为安全审

计提供基础数据源，如下图所示。点击可以刷新目前页面，点可以市计历史

H志“

图表3§与4日志分析畀面

3.8配置备份和恢复

加密网关配置备份模块用于招装置中的有关配置信息备份至当地，配置恢复模块用

于将当地口勺配置文献同步更新到加密网关中，详细操作界面如下图所示：

图表3935配置备份导出和导入恢复

点击“备份配置信息”“规则包导出”选择对应的保留途径如卜图所示:

图表四_36选择备份目录

保留成功后回弹出保留成功对话框，在所选择U录下牛.成小山代优比扭对应的文献,

如下图所示:

备份

①从装置备份配置信息成功I

确定

图表TLL并成功备份文献

四、经典应用环境配置案例

4.1明通模式配置

当对端通信节点没有布署加密网关时，可以采用明通模式。此时加密网关具有硬件

防火墙的基本功能，只转发配置通信方略的报文实现报文过滤，但数据不能进行加密保

护，明通网络拓扑如卜图所示。加密网关配置如3

图表丝38明通模式拓扑图

4.1.1系统配置

图表明通模式-系统配置

4.1.2网络配置

□砰结配置（未在得配置信③口“0、□

科后掩口IP地址子网侬？修口号述VLANID

曲PR3VATE10IU932522552552550ptiyak|)一

♦12UPUBLIC10144P3252f-jblic_______

eth3CONFIG-112233.44n<<cCONFIGD-

图表44_40明通模式-网络配置

4.1.3路由配置

白潞由日（未赧，配置信⑧"一,：：.,.『0'凶

路由名株网络接口目的网辂目的统码网关地址

tkfOMethl10144970255255.255010"%.254]

▲▼

自

图表4445_明通模式-路由配置

4.1.4隧道配置

，陈道配罟区

「一取消:

图表42姐明通模式.隧道配置

注意：由于对端无加密网关，因此对端主、备隧道地址为0,隧道模式为明通。

4.1.5方略信息配置

图表-经份明通模式方略配置

注意：由于对端无加密网关，因此方略配置中方略模式选择为明文。

4.2路由配置

纵向加密认证网关布署在各级调度中心及下属的各厂站，根据电力调度通信关系建

立加密隧道，经典网络拓扑如下图所示。方略配置以加密网关2为例。

加密用关1加密用关2

通信节点A通信节点B

10.144.97.1,-255.255.255.010.144.98.17255.255^55.0

图表-组44路由配比网络拓扑图

4.2.1系统配置

图表4945路由模式-系统配置

4.2.2网络配置

图表5046路由模式-网络配置

4.2.3路由配置

图表5147路由模式-路由配置

4.2.4隧道配置

图表隹48路由模式-隧道配置

4.2.5方略配置

图表5349路由模式规则配置

4.3VLAN环境配置

加密网关支持VLAN接入，经典配置拓扑如下图所示。互换机上划分了两个VLAN

网段(VLAN10/VLAN20),在路由器与互换机相连的端口划分子端口，使子端口与互

换机上的VI.AN通过802.1Q建汇对应通信关系。通信节点B位于互换机的MLAN10网段。

方略配置以加密网关2为例。

图表50&_VLAk环境网络拓扑

4.3.1系统配置

图表51近YLAN环境-系统配置

4.3.2网络配置

图表52-56_V[.AN环境-网络配置

注意：此处需要配置网络的VLANID。

4.3.3路由配置

图表535Z-YLAN环境-路由配置

4.3.4隧道配置

图表5854\LAN环境隧道配置

4.3.5方略配置

图表59S5"AN环境规则配式

4.4NAT模式配置

加密认证网关系统支持NAT地址转换（地址伪装和目的地址转换），保护内网私有

地址,经典网络拓扑如下图所示。加密网关I启动地址转化功能，方略配置以加密网关

I为例。

通信件&A

10.1«.«.l/M5.255.255J>

图表6056NAT环境网络拓扑

4.4.1系统配置

图表6157MT模式一系统配置

4.4.2网络配置

C网络配置（未获得配置信耳嚷口“片冈

网络接Q接口类生IP地址子砰应码接口描述VLANID

ethDPRIVATE1921680.253255255.2550pnvate0

ethlPUBLIC1014497253255255.2550public0

ethlPUBLIC10144975255255.2550jubbc0

eth3CONFIG11223344255255.255。config0

▲▼.—，，，，，，，，.

图表6258MT校式一网络配置

4.4.3路由配置

19环由M寅区I

踣由名存

口的地址回14480

目的■内(2552552550

11014497254

修。&持ethl

【2〕

图表6359MT校式路由配置

4.4.4隧道配置

图表眄纥NAT校式-隧道配置

4.4.5地址转化配置

需要配置两条NAT规则，一条规则为地址伪装规则，用于对本端发出去的报文进

行地址伪装匹配，另一条规则为端口映射即则，用于对端访问本端内网提供的网络服务。

1）源地址转化（地址伪装）规则

图表区尹NAT校式源地址转化配置

2）目的地址转化（端口映射）规则

图表&a线目口勺地址较换配置

4.4.6方略配置

图表63-67.NAT模式方略配置

4.5网桥模式配置

当加密网关具有多进多出功能时，需要对装置的网桥模式进行配置。经典拓小如下

所示，假设加密网关I启动网桥功能，方略配置以加密网关1为例.

图表6864网桥模式网络拓扑图

4.5.1系统配置

图表短转网桥模式-系统配置

4.5.2桥接配置

图表丝66网解模式桥按接口配置

这里将装置的ethO、eth1、eth2划分在一种桥接组中，定义虚拟网卡名称为mybridge,

保留后的界面如下图，网卡ID是根据顾客选择的各个网卡所得到的一种值。

图表-Zl_肝网桥模式•网桥配置

453网络配置

设置网络接口为BRIDGE,接口类型为PRIVATE.接口描述为桥接配置中设置II勺

虚拟网卡口勺名称mybridgc：将cth3设置为外M口并配置对应的ip地址，接口描述和类

型为PUBLIC,详细配置界面如下图所示：

图表W68网桥模式-内网网络配置