监控系统安防-安防设备配置、监控系统联调

防火墙的配置迪普DPtech-FW1000目录ONTENTSC1防火墙装置的配置2防火墙装置的配置提升3附录：常见问题防火墙装置的配置01基本知识查询操作基本知识功能报文转发流程应用场景概念

“防火墙”是指一种将内部网络和外部网络逻辑隔离技术。通过对流经它的网络通信进行扫描，可基于MAC、IP地址、协议、端口、时间段等方式限制内部网络和外部网的通信。保障网络的安全。-概念

网络安全的屏障强化网络安全策略监控审计防止内部信息的外泄日志记录与事件通知功能报文转发流程应用防火墙在分析IP报头、建立会话状态的基础上，可通过识别4-7层报文协议，对应用层数据进行DPI处理下一步处理安全策略：过滤规则应用防火墙符合不符合丢弃符合转发检测包头会话连接状态缓存表IP包应用层检测应用场景服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区根据能源局36号文《电力监控系统安全防护总体方案》防火墙部署如下区域：01生产控制大区内的业务系统之间02管理信息大区内部查询操作登陆设备查看设备基本信息网络配置查询包过滤规则查询日志查询将调试计算机的IP地址设置为：0/24以网线连接到防火墙的ETH8口（业务口支持自动识别交叉或者直连双绞线）在网页浏览器输入：

https：//默认用户名：admin默认密码：admin_default登陆设备登陆设备访问Web管理系统需注意如下内容：Ÿ确认客户端主机与设备管理口通讯正常。Ÿ建议使用IE9或以上版本的浏览器，屏幕分辨率为1440*900及以上。Ÿ设备默认支持管理员使用HTTP或HTTPS协议登录Web管理系统的最大连接数为5。ŸWeb管理系统不支持浏览器自带的后退、前进、刷新等操作，进行这些操作可能会导致Web页面显示不正常。Ÿ用户登录后，如果对Web界面不进行操作的时间超过5分钟，系统将超时并退回到登录页面，必须重新登录才能继续使用。查看设备基本信息选择【基本】=>【设备监控】=>【系统监控】=>【设备状态】，进入设备状态查看页面，可查看内容包括设备信息和设备状态，如下图所示。网络配置查询IP地址查询选择【基本】=>【网络管理】=>【接口管理】=>【组网配置】查询操作-网络配置查询静态路由查询选择【基本】=>【网络管理】=>【单播IPV4路由】=>【静态路由】网络配置查询包过滤规则查询选择【基本】=>【防火墙】=>【包过滤策略】包过滤规则查询依次打开“基本”—“防火墙”—“包过滤策略”可查看包过滤规则日志查询选择【基本】=>【日志管理】，可查询系统日志、操作日志、业务日志、诊断日志信息。02二层防火墙配置流程三层防火墙配置流程网络配置包过滤规则配置防火墙装置配置提升设备管理日志管理二层防火墙配置二层防火墙配置流程Page19VIIIVIIVIVIVIIIIII设备初始化配置安全域添加服务/服务组配置接口参数添加管理路由配置包过滤策略配置VLAN-IF地址添加地址对象配置完成二层防火墙配置二层防火墙配置流程设备初始化配置接口参数配置VLAN-IF地址配置安全域添加管理路由添加地址对象添加服务/服务组配置包过滤策略Password:<DPTECH>resetfactorydefaultWarning:resetfactorydefault.Areyousure?(Y/N)[N]:y说明：若为trunk模式，则修改工作模式为“二层接口”，类型为“trunk”，并在vlan设置中配置“所属valn”及“默认vlan”。说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，互相不可访问；相同域下的相同优先级，互相可以访问。说明：多个IP地址对象，可添加到一个IP地址对象组中。注意：IP地址子网掩码的划分。注意：请正确配置服务协议，源、目的端口。说明：将鼠标放置IP对象或服务组上，可查看详细配置。注意：策略先后顺序决定匹配顺序，可通过操作中的“向上复制”、“向下复制”及“删除”进行控制。三层防火墙配置三层防火墙配置流程Page21IXVIIIVIIVIVIVIIIIII设备初始化添加静态路由配置目的NAT配置接口参数配置安全域配置包过滤策略配置地址对象配置源NAT配置NAT日志输出配置完成三层防火墙配置三层防火墙配置流程Page22设备初始化配置接口参数配置地址对象添加静态路由配置安全域配置源NAT配置目的NAT配置包过滤策略Password:<DPTECH>resetfactorydefaultWarning:resetfactorydefault.Areyousure?(Y/N)[N]:y配置NAT日志输出说明：多个IP地址对象，可添加到一个IP地址对象组中。注意：IP地址子网掩码的划分。说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，互相不可访问；相同域下的相同优先级，互相可以访问。说明：设备提供灵活的NAT复用方式，可以选择借用出接口、NAT地址池、和特定的流不做NAT功能，部署起来非常灵活，可以满足各种各样的需要。说明：当外网映射的端口与内网服务器使用的端口一致，高级配置选择“缺省配置”即可；若不同，则需指定服务器内网端口。说明：将鼠标放置IP对象或服务组上，可查看详细配置。注意：策略先后顺序决定匹配顺序，可通过操作中的“向上复制”、“向下复制”及“删除”进行控制。说明1：日志源IP是设备IP地址，必须保证设备与日志服务器网络互通。说明2：日志源端口配置1024端口以上，0—1024是预留端口。注意：日志服务器端口是9505，必须勾选“输入日志使能”。网络配置安全域配置选择【基本】=>【网络管理】=>【网络对象】=>【安全域】将需要使用的接口加入到安全域中。（注意：业务接口一定要加入到安全域中才能正常工作）网络配置接口配置选择【基本】=>【网络管理】=>【接口管理】=>【组网配置】在相应的接口上可以直接配置需要的IP地址。网络配置路由配置选择【基本】=>【网络管理】=>【单播IPV4路由】=>【静态路由】即可配置静态路由。网络配置服务对象配置

选择【基本】=>【网络管理】=>【网络对象】=>【服务】=>【自定义服务对象】。添加需要限制或者放通的服务对象。NAT配置源NAT配置

选择【业务】=>【NAT配置】=>【源NAT】=>【源NAT】，进入源NAT策略配置页面，如下图所示。

Ÿ NAT配置目的

NAT配置

选择【业务】=>【NAT配置】=>【目的NAT】，进入目的NAT策略配置页面，如下图所示。包过滤规则配置选择【基本】=>【防火墙】=>【包过滤策略】添加需要的策略即可。注意：策略匹配的方式为从上至下，所以添加策略时要按照需求在中间插入，一般不会直接在最后添加策略。设备管理设备参数设置

选择【基本】=>【系统管理】=>【设备设置】=>【设备信息设置】，进入设备信息设置页面，如下图所示。设备管理管理员配置

选择【基本】=>【系统管理】=>【管理员】=>【管理员】，进入管理员配置页面。管理员子模块的功能包括查看当前管理员、管理员设置、管理员认证设置、登录参数设置。设备管理SNMP配置选择【基本】=>【系统管理】=>【SNMP配置】=>【SNMP配置】，进入SNMP配置页面。可配置项包括SNMP版本配置、SNMPTrap配置、设备信息配置和IP地址列表配置设备管理配置文件管理

选择【基本】=>【系统管理】=>【配置文件】=>【配置文件】，进入配置文件管理页面。保存当前配置文件到设备将保存的配置文件导出到本地上传本地配置文件到设备日志管理系统日志配置

选择【基本】=>【日志管理】=>【系统日志】=>【系统日志配置】，进入系统日志配置页面，如下图所示。日志管理操作日志配置

选择【基本】=>【日志管理】=>【操作日志】=>【操作日志配置】，进入操作日志配置页面，如下图所示。日志管理业务日志配置

选择【基本】=>【日志管理】=>【业务日志配置】，进入业务日志配置页面，如下图所示。03网络周期性中断网络异常中断策略未生效附录：常见问题网络周期性中断某些应用为“长连接应用”，即该会话在规定时间内无需老化，若不配置长连接参数，将导致此类应用访问异常，需根据实际场景设置长会话老化时间。网络异常中断不同型号的设备在“每秒新建数”、“每秒并发数”、“最大吞吐量”及“最大会话数”等参数存在差异，当流量数据达到某一极限值时，将无法对新的流量、会话进行处理DMZ的一台服务器已开放视频会议、文件共享、Web应用等服务，为保证视频会议通讯正常，已在高级安全业务中开启会话上连接。由于没有对源、目的地址及服务进行精细化配置，导致从Trust访问DMZ所有数据均建立成“长连接会话”，一段时间后达到设备最大会话规格，致使新连接无法建立，老连接无法老化，发生网络中断事故网络异常中断错误配置正确配置策略未生效1）配置错误导致将鼠标放置策略上，查看显示的信息是否正确，如地址掩码及端口信息策略未生效2）是否命中包过滤策略开启“命中”功能显示，查看网络中是否有数据报文匹配此策略策略未生效3）两策略存在包含关系包过滤策略匹配顺序是从上到下依次匹配，需严格遵守先明细后模糊的原则。错误的配置，将使得数据优先匹配“范围大”的策略，导致“范围小”的策略失效，需调整策略顺序解决此问题物理隔离装置配置南瑞SysKeeper-2000目录ONTENTSC1隔离装置基本配置2隔离装置配置提升3附录:常见问题01隔离装置基本配置基本知识查询操作基本知识技术原理应用场景功能要求概念

网络隔离（NetworkIsolation），主要是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议（如IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（ProtocolIsolation）。概念技术原理服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区

下图表示没有连接时内外网的应用状况，从连接特征可以看出这样的结构从物理上完全分离。技术原理服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区

当外网需要有数据到达内网的时候，外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。51技术原理服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区

一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。

在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接技术原理服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区

内网有业务数据要发出，隔离设备收到内网建立连接的请求之后，建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP协议和应用协议，得到原始的数据，将数据写入隔离设备的存储介质。技术原理服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区

一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给系统技术原理服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区数据交换过程：接受、存储和转发经历了数据的接受、存储和转发三个过程。由于这些规则都是在内存和内核中完成的，因此速度上有保证，可以达到100%的总线处理能力。

特征：内网与外网永不连接内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。技术原理服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区基于代码、内容等隔离的反病毒和内容过滤技术基于物理链路层的物理隔离技术基于网络层隔离的防火墙技术网络隔离技术分类技术原理服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区

要具有高度的自身安全性要确保网络之间是隔离的要保证网间交换的只是应用数据要对网间的访问进行严格的控制和检查要在坚持隔离的前提下保证网络畅通和应用透明网络隔离技术需要具有的安全要点隔离的关键点要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。网络隔离的关键点网络隔离技术要点

非网络方式的安全的数据交换透明工作方式基于多种方式的报文过滤和控制支持NAT防止穿透性TCP联接可定制的应用层解析功能，支持应用层特殊标记识别功能要求网络隔离装置分类-正向型（FID）安全、方便的维护管理方式01防止穿透性TCP联接02具有可定制的应用层解析功能，支持应用层特殊标记识别。03

安全、方便的维护管理方式功能要求网络隔离装置分类-反向型（BID）应用场景服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区

根据能源局36号文《电力监控系统安全防护总体方案》纵向加密认证装置部署如下区域：

生产控制大区与管理信息大区之间查询操作正向物理隔离配置查询反向物理隔离配置查询登录设备正向传输软件的使用反向传输软件的使用将调试计算机的IP地址设置为：3/24以网线连接到装置配置口启动客户端软件syskeeper.jar（正反向同一款）默认用户名：admin默认密码：Nari.6712登陆设备登陆设备启动物理隔离装置配置软件，出现如图登陆设备点击【用户登录】->【登录】，输入用户名admin，密码Nari.6712，登录设备登陆设备-左侧按纽介绍上传配置，将已保存的参数上传到装置

下载配置，将装置上的参数下载到客户端软件界面

打开保存在本地的参数配置文件保存参数配置在客户端软件界面保存参数到本地新建资源删除资源复制资源粘贴资源编辑资源正向物理隔离配置-规则配置查询点击【规则配置】->【策略配置】，出现策略配置界面：正向物理隔离配置-规则配置查询选择一条策略，点击编辑策略，出现如下图正向物理隔离配置-日志配置查询点击【日志配置】->【日志配置】，出现日志配置界面：正向物理隔离配置-日志配置查询规则配置中，配置允许日志发送的策略69反向物理隔离配置-规则配置查询点击【规则配置】->【策略配置】，出现策略配置界面：反向物理隔离配置-规则配置查询选择一条策略，点击编辑策略，出现如下图71反向物理隔离配置-日志配置查询点击【日志配置】->【日志配置】，出现日志配置界面：72反向物理隔离配置-日志配置查询规则配置中，配置允许日志发送的策略正向传输软件的使用发送端软件启动Windows系统：双击软件Client.jarLiunx系统：#cd/home/usr#java-jarClient.jar正向传输软件的使用发送端登录点击【用户登录】->【登录】，弹出软件登录界面，默认密码为空正向传输软件的使用配置发送任务点击【任务设置】->【设置文件任务】，弹出任务设置对话框点击【增加任务】，显示此条任务的各项参数正向传输软件的使用启动发送任务双击“NotStart”，或者点击将启动本条任务点击菜单栏中【任务管理】->【启动所有文件传输任务】将启动所有的任务。正向传输软件的使用接收端软件启动Windows系统：双击软件Server.jarLiunx系统：#cd/home/usr#java-jarServer.jar正向传输软件的使用接收端登录点击【用户登录】->【登录】，弹出软件登录界面，默认密码为空正向传输软件的使用配置接收任务点击【任务】->【任务配置】，弹出任务配置对话框点击【增加】，配置本条任务参数正向传输软件的使用启动接收任务双击“NotListening”，或者点击将启动本条任务点击菜单栏中【任务】->【启动所有任务】将启动所有的任务反向传输软件的使用发送端软件启动Windows系统：双击软件Client.jarLiunx系统：#cd/home/usr#java-jarClient.jar反向传输软件的使用发送端登录点击【用户登录】->【登录】，弹出软件登录界面，默认密码为空反向传输软件的使用安全设置点击【任务管理】

【安全设置】按钮，弹出安全配置框反向传输软件的使用安全设置（1）客户端密钥更新反向传输软件的使用安全设置（2）生成客户端证书请求文件，并导出反向传输软件的使用安全设置（3）导入反向隔装置证书点击【导入PEM证书】按钮，弹出证书导入框反向传输软件的使用配置发送任务点击【任务设置】->【设置文件任务】，弹出任务设置对话框任务参数配置后，点击【增加任务】，会在任务列表中增加一条记录反向传输软件的使用启动发送任务双击“NotStart”，或者点击将启动本条任务点击菜单栏中【任务管理】->【启动所有文件传输任务】将启动所有的任务。反向传输软件的使用接收端软件启动Windows系统：双击软件Server.jarLiunx系统：#cd/home/usr#java-jarServer.jar反向传输软件的使用接收端登录点击【用户登录】->【登录】，弹出软件登录界面，默认密码为空反向传输软件的使用配置接收任务点击【任务】->【任务配置】，弹出任务配置对话框点击【增加】，显示此条任务的各项参数92反向传输软件的使用启动接收任务双击“NotListening”，或者点击将启动本条任务点击菜单栏中【任务】->【启动所有任务】将启动所有的任务9302正向物理隔离配置隔离装置配置提升反向物理隔离配置登录设备正向传输软件的使用反向传输软件的使用左侧按纽介绍上传配置，将已保存的参数上传到装置

下载配置，将装置上的参数下载到客户端软件界面

打开保存在本地的参数配置文件保存参数配置在客户端软件界面保存参数到本地新建资源删除资源复制资源粘贴资源编辑资源将调试计算机的IP地址设置为：3/24以网线连接到装置配置口启动客户端软件syskeeper.jar（正反向同一款）默认用户名：admin默认密码：Nari.6712登陆设备登陆设备启动物理隔离装置配置软件，出现如图登陆设备点击【用户登录】->【登录】，输入用户名admin，密码Nari.6712，登录设备正向物理隔离配置-规则配置点击【规则配置】->【策略配置】，出现策略配置界面：正向物理隔离配置-规则配置选择一条策略，点击编辑策略，出现如下图正向物理隔离配置-规则配置规则名称：对此条规则进行描述协议类型：根据传输报文的协议选择TCP或UDP【内网配置】IP地址：内网主机IP地址端口：由于内网主机发送文件的端口一般没有特殊规定，发送端口号随机，故一般写0虚拟IP：内网主机的虚拟IP地址，最终会写到外网测网卡上网卡：选择内网测通过哪个网卡通讯网关：如果在三层环境下，设备内网测与内网主机不在一个网段，此处填写设备内网测所在的网段的网关地址；如果是二层环境，默认为是否设置路由：内网测为二层环境，选择否；三层环境，选择是MAC地址绑定：没有特殊要求，一般填写12个0正向物理隔离配置-规则配置【外网配置】IP地址：外网主机IP地址端口：根据分配给外网主机接受文件的端口，填写相应的端口号虚拟IP：外网主机的虚拟IP地址，最终会写到内网测网卡上网卡：选择外网测通过哪个网卡通讯网关：如果在三层环境下，设备外网测与外网主机不在一个网段，此处填写设备外网测所在的网段的网关地址是否设置路由：外网测为二层环境，选择否；三层环境，选择是MAC地址绑定：没有特殊要求，一般填写12个0正向物理隔离配置-日志配置点击【日志配置】->【日志配置】，出现日志配置界面：正向物理隔离配置-日志配置规则配置中，配置允许日志发送的策略104反向物理隔离配置-规则配置点击【规则配置】->【策略配置】，出现策略配置界面：主要按钮介绍：上传配置，对配置完成的策略进行导入装置操作

新建策略，点击后新建一条默认的策略

删除资源，选择一条策略后，点击后此按钮删除

编辑资源，选中一条策略后，点击此按钮后进行编辑反向物理隔离配置-规则配置选择一条策略，点击编辑策略，出现如下图正向物理隔离配置-规则配置规则名称：对此条规则进行描述

协议类型：UDP【外网配置】IP地址：外网主机IP地址端口：由于外网主机发送文件的端口一般没有特殊规定，发送端口号随机，故一般写0虚拟IP：外网主机的虚拟IP地址，最终会写到内网测网卡上网卡：选择外网测通过哪个网卡通讯网关：如果在三层环境下，设备外网测与外网主机不在一个网段，此处填写设备外网测所在的网段的网关地址。如果是二次环境，默认为是否设置路由：外网测为二层环境，选择否；三层环境，选择是MAC地址绑定：没有特殊要求，一般填写12个0107反向物理隔离配置-规则配置【内网配置】IP地址：内网主机IP地址端口：根据分配给内网主机接受文件的端口，填写相应的端口号虚拟IP：内网主机的虚拟IP地址，最终会写到外网测网卡上网卡：选择内网测通过哪个网卡通讯网关：如果在三层环境下，设备内网测与内网主机不在一个网段，此处填写设备内网测所在的网段的网关地址是否设置路由：内网测为二层环境，选择否；三层环境，选择是MAC地址绑定：没有特殊要求，一般填写12个0108反向物理隔离配置-证书管理配置点击【规则配置】->【证书管理】，出现证书管理配置界面109反向物理隔离配置-证书管理配置点击上传证书按钮如在本地选择的证书是外网主机发送客户端的证书，证书类型选择“通信证书”如在本地选择的证书为带签名的E语言文件的验签证书，证书类型选择“验签证书”弹出上传证书界面110反向物理隔离配置-证书管理配置【规则配置】->【导入E语言模板】，出现如下界面本地导入相应的应E语言模板，上传即可。111反向物理隔离配置-日志配置点击【日志配置】->【日志配置】，出现日志配置界面：112反向物理隔离配置-日志配置规则配置中，配置允许日志发送的策略正向传输软件的使用发送端软件启动Windows系统：双击软件Client.jarLiunx系统：#cd/home/usr#java-jarClient.jar正向传输软件的使用发送端登录点击【用户登录】->【登录】，弹出软件登录界面，默认密码为空正向传输软件的使用配置发送任务点击【任务设置】->【设置文件任务】，弹出任务设置对话框点击【增加任务】，显示此条任务的各项参数正向传输软件的使用启动发送任务双击“NotStart”，或者点击将启动本条任务点击菜单栏中【任务管理】->【启动所有文件传输任务】将启动所有的任务。正向传输软件的使用接收端软件启动Windows系统：双击软件Server.jarLiunx系统：#cd/home/usr#java-jarServer.jar正向传输软件的使用接收端登录点击【用户登录】->【登录】，弹出软件登录界面，默认密码为空正向传输软件的使用配置接收任务点击【任务】->【任务配置】，弹出任务配置对话框点击【增加】，配置本条任务参数正向传输软件的使用启动接收任务双击“NotListening”，或者点击将启动本条任务点击菜单栏中【任务】->【启动所有任务】将启动所有的任务反向传输软件的使用发送端软件启动Windows系统：双击软件Client.jarLiunx系统：#cd/home/usr#java-jarClient.jar反向传输软件的使用发送端登录点击【用户登录】->【登录】，弹出软件登录界面，默认密码为空反向传输软件的使用安全设置点击【任务管理】

【安全设置】按钮，弹出安全配置框反向传输软件的使用安全设置（1）客户端密钥更新反向传输软件的使用安全设置（2）生成客户端证书请求文件，并导出反向传输软件的使用安全设置（3）导入反向隔装置证书点击【导入PEM证书】按钮，弹出证书导入框反向传输软件的使用配置发送任务点击【任务设置】->【设置文件任务】，弹出任务设置对话框任务参数配置后，点击【增加任务】，会在任务列表中增加一条记录反向传输软件的使用启动发送任务双击“NotStart”，或者点击将启动本条任务点击菜单栏中【任务管理】->【启动所有文件传输任务】将启动所有的任务。反向传输软件的使用接收端软件启动Windows系统：双击软件Server.jarLiunx系统：#cd/home/usr#java-jarServer.jar反向传输软件的使用接收端登录点击【用户登录】->【登录】，弹出软件登录界面，默认密码为空反向传输软件的使用配置接收任务点击【任务】->【任务配置】，弹出任务配置对话框点击【增加】，显示此条任务的各项参数132反向传输软件的使用启动接收任务双击“NotListening”，或者点击将启动本条任务点击菜单栏中【任务】->【启动所有任务】将启动所有的任务13303文件传输软件无法启动文件传输失败管理中心收不到日志附录:常见问题反向隔离装置隧道协商失败配置未生效文件传输软件无法启动java环境未部署或版本不匹配ServerConfig参数配置不正确当前用户无启动传输软件权限010203文件传输失败01网络连通性检查02接收端的任务，端口是否在监听03接收端指定的目录，是否有写权限04规则配置检查136管理中心收不到日志01网络连通性检查02装置日志配置检查03装置规则配置检查04检查管理中心资产配置检查反向隔离装置隧道协商失败检查网络连通性检查装置中协商IP是否与发送端配置一致检查装置是否正确导入发送端证书检查发送端是否正确导入隔离装置证书配置未生效重启装置纵向加密认证装置的配置南瑞Netkeeper2000目录ONTENTSC1纵向加密认证装置配置2纵向加密认证装置配置提升3附录：常见问题纵向加密认证装置配置01基本知识查询操作基本知识功能应用场景系统组成概念“电力专用纵向加密认证装置”电力系统专用的安全防护设备。采用加密认证技术，为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。概念

功能12为本地生产控制系统提供一个网络屏障，类似包过滤防火墙的功能为网关机之间的广域网通信提供认证与加密功能，实现数据传输的机密性、完整性保护作用1特殊的安全功能电力调度系统的互联互通专用性2

功能

纵向加密认证装置使用到对称算法、非对称算法、散列算法；通信双方先使用非对称算法、散列算法协商出通信秘钥，再使用对称算法对通信报文进行加密传输。加密算法:

功能通信节点I随机消息r1解密、验证节点II的签名合成密钥r1+r2通信节点II解密、验证节点I的签名随机消息r2合成密钥完整性检查对r1进行加密与签名H(r1+r2)对r2进行加密与签名1、节点I产生随机数r1,用II的公钥对r1进行加密，同时用自己的私钥进行签名，作A=Ecert2(r1)||Eskey1(H(r1)),将A发给通信节点II;2、节点II收到A后，用自己的私钥解密并验证I的签名；如果验证签名成功，产生随机数r2,用I的公钥对r2进行加密，同时用自己的私钥进行签名，作B=Ecert(r2)||Eskey2(H(rlr2)),将B发给加点I；3、节点I对B用自己的私钥进行解密并验证Ⅱ的签名，如果验证签名成功，合成会话密钥DK=r1r2，并作哈希运算C=H(r1r2)发给通信节点II；4、节点Ⅱ同样对合成密钥作哈希运算，作D=H(r1r2)，比较C与D是否相同，如果相同，则密钥协商与认证完成，进入正常通信阶段。协商原理

功能加密源AIV/SNTCP数据目的D、源C目的B隧道加密数据处理应用场景服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区根据能源局36号文《电力监控系统安全防护总体方案》纵向加密认证装置部署如下区域：01上下级调度中心安全I/II区之间广域网边界02调度中心与各厂站安全I/II区之间广域网边界系统组成服务划分为逻辑隔离的实时子网和非实时采用不同强度的安子网，分别连接控制区和非控制区调度数字证书系统装置管理系统纵向加密认证装置位于电力控制系统的内部局域网与电力调度数据网络的路由器之间位于电力调度中心，完成对所辖的多厂商的装置进行统一管理的计算机系统

为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务。查询操作查看设备证书列表查看设备隧道配置查看设备策略配置查看设备日志服务器配置查看设备装置管理地址配置查看设备网络及VLAN配置查看设备路由配置查看设备网络桥接配置查看设备隧道协商状态登录设备将调试计算机的IP地址设置为：3/24以网线连接到装置配置口（业务口支持自动识别交叉或者直连双绞线）插入操作员卡或Ukey启动客户端软件点默认操作员PIN码：006702登陆设备登陆设备启动加密认证网关配置软件，出现如图登陆设备点击用户登录连接网关，软件系统会自动和加密网关服务程序建立连接，弹出如下窗口。确认操作员卡已插入后，点击“确认”。登陆设备成功连接后，系统会提示输入pin码登陆设备系统登陆成功后，所有菜单都被激活，可以进行装置配置。查看设备证书列表单击“初始化管理”=>“证书管理”，进入证书管理界面，然后单击下载证书列表按钮，证书列表如图所示。查看设备网络桥接配置点击“规则配置”=>“网桥配置”进入网桥配置界面如图所示。查看设备网络及VLAN配置点击“规则配置”=>“网络配置”进入配置界面。如图所示。查看设备路由配置点击“规则配置”=>“路由配置”进入配置界面。如图所示。查看设备隧道配置点击“规则配置”=>“隧道配置”进入配置界面。如图所示。查看设备策略配置点击“规则配置”=>“策略配置”进入配置界面。如图所示。查看设备隧道协商状态点击“系统工具”=>“隧道管理”进入隧道管理界面。如图所示。查看设备装置管理地址配置点击“初始化管理”=>“系统配置”进入系统配置界面。如图所示。查看设备日志服务器配置点击“初始化管理”=>“系统配置”进入系统配置界面。如图所示。02网络及VLAN配置设备隧道配置设备策略配置纵向加密认证装置配置提升设备日志服务器配置设备路由配置设备网络桥接配置设备装置管理地址配置证书管理左侧按纽介绍上传配置，将已保存的参数上传到装置

下载配置，将装置上的参数下载到客户端软件界面

打开保存在本地的参数配置文件保存参数配置在客户端软件界面保存参数到本地新建资源删除资源复制资源粘贴资源编辑资源证书管理单击“初始化管理”=>“证书管理”，进入证书管理界面。证书管理导入调度CA的根证书。选择上传证书

系统会弹出上传证书界面选择证书路径，并选择证书类型为“一级CA证书”并导入，系统会提示验证成功与否，一般情况下一级CA证书为国网根证书。依次再倒入以下证书。导入二级CA证书(网省调证书)。导入主备操作员证书。导入装置管理系统证书。导入和本地加密网关通讯的对端加密网关证书。设备网络及VLAN配置点击“规则配置”=>“网络配置”进入配置界面。如图所示。设备网络及VLAN配置网络接口：所要配置网口的名称，例如eth0、eth1等。接口类型：所要配置网口的类型，分别有PRIVATE（内网口）、PUBLIC（外网口）、BACKUP（互备口）、CONFIG（配置口）、BRIDGE（桥接口）。IP地址：所要配置网口的IP地址。子网掩码：所要配置网口的掩码。接口描述：所要配置网口的相关描述信息，若是桥接模式的话这里必须与桥接配置里的接口自定义名称完全一致，其他模式下无意义，。VLANID：所要配置网口的VLANID信息。设备网络桥接配置点击“规则配置”=>“网桥配置”进入网桥配置界面如图所示。

将eth1和eth2打钩，即虚拟成一个网卡，为网络配置中的br。虚拟网卡：一