【正文】 圖表 8 用戶登陸 ......................................................。具體可以參考加密網(wǎng)關(guān)用戶手冊。簽發(fā)完成的證書文件為 C:\Program Files\openssl\CA\temp\。 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 53 圖表 84 證書簽發(fā)腳本 2) 輸入證書驗(yàn)證碼證書 在彈出的命令窗口中按照如下提示進(jìn)行操作，其中 Enter pass phrase for 的口令為 123456。簽發(fā)完成的證書文件為 。 保護(hù)私鑰的通行碼為 123456。 工作濕度： 5～ 95%，非冷凝 存儲濕度： 5～ 95%，非冷凝 性能指標(biāo)： 100M LAN 環(huán)境下，明文數(shù)據(jù)包吞吐量 95Mbps（ 100 條安全策略、 1024 字節(jié)報(bào)文長度） 100M LAN 環(huán)境下，密文數(shù)據(jù)包吞吐量 20Mbps（ 100 條安全策略、 1024 字節(jié)報(bào)文長度） 最大并發(fā)加密隧道數(shù)： 200 條 100M LAN 環(huán)境下，加密隧道建立延遲＜ 1s 數(shù)據(jù)包轉(zhuǎn)發(fā)延遲：＜ 2ms （ 50％密文數(shù)據(jù)包吞吐量） 滿負(fù)荷數(shù)據(jù)包丟棄率： 0 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 52 附錄 1:證書簽發(fā)說明（ ） 1. 將加密認(rèn)證網(wǎng)關(guān)配套光盤證書文件下的 openssl 目錄放到 C:\Program Files\ 文件夾內(nèi)。 存儲溫度： 20176。 20% 輸入頻率： 47～ 63HZ 電源功耗： 25W 平均無故障時間 (MTBF)60000 小時 (100%負(fù)荷 ) 工作環(huán)境 : 工作溫度： 10176。 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 49 雙機(jī)配置 下圖為某現(xiàn)場的雙機(jī)工作網(wǎng)絡(luò)拓?fù)?,雙機(jī)位于不同的網(wǎng)段 .同時要求雙機(jī)支持流量負(fù)載均衡 。 1 92 . 1 6 8. 0. 1/ 25 5. 2 55 . 2 5 5. 2 5 2 1 92 . 1 6 8. 0. 2/ 25 5. 2 55 . 2 5 5. 2 5 21 92 . 1 6 8. 0. 4/ 25 5. 2 55 . 2 5 5. 2 4 8 圖表 74 借用地址網(wǎng)絡(luò)拓?fù)? NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 48 網(wǎng)絡(luò)配置 圖表 75 地址借用 網(wǎng)絡(luò)配置 ARP 代理 配置 圖表 76 地址借用 ARP 代理配置 ARP 代理作用就是裝置內(nèi)網(wǎng)接口代理路由器地址 ,而外網(wǎng)接口代理交換機(jī)地址 .這樣裝置就能夠接收到兩側(cè)的報(bào)文。 借用地址 配置 在實(shí)際的網(wǎng)絡(luò)接入環(huán)境中，用戶從 安全 考慮 將網(wǎng)絡(luò)地址子網(wǎng)掩碼設(shè)置為,共 4 個地址 ，如下圖所示。 隧道配置 圖表 72 網(wǎng)橋模式 隧道配置 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 47 策略配置 圖表 73 網(wǎng)橋模式 策略配置 配置相應(yīng)的通信規(guī)則，將加密網(wǎng)關(guān) 1 內(nèi)網(wǎng)側(cè)的通信機(jī)器的具體通信放開實(shí)現(xiàn)通信 上述為橋接模式 的配置策略且 內(nèi)網(wǎng)側(cè)的機(jī)器都在同 一網(wǎng)段。 1 9 2 . 1 6 8 . 0 . 11 9 2 . 1 6 8 . 0 . 21 9 2 . 1 6 8 . 0 . 31 0 . 1 4 4 . 9 8 . 11 9 2 . 1 6 8 . 0 . 41 9 2 . 1 6 8 . 0 . 41 0 . 1 4 4 . 9 8 . 2 5 21 0 . 1 4 4 . 9 8 . 2 5 2加 密 網(wǎng) 關(guān) 1加 密 網(wǎng) 關(guān) 2 圖表 64 網(wǎng)橋模式網(wǎng)絡(luò)拓?fù)鋱D NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 44 系統(tǒng)配置 圖表 65 網(wǎng)橋模式 系統(tǒng)配置 橋接配置 圖表 66 網(wǎng)橋模式 橋接接口配置 這里將裝置的 eth0、 eth eth2 劃分在一個橋接組 中，定義虛擬網(wǎng)卡名稱為 mybridge，保存后的界面如下圖 ，網(wǎng)卡 ID 是根據(jù)用戶選擇的各個網(wǎng)卡所得到的一個值 。 1) 源地址轉(zhuǎn)化（地址偽裝）規(guī)則 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 42 圖表 61 NAT模式 源地址轉(zhuǎn)化配置 2) 目的地址轉(zhuǎn)化（端口映射）規(guī)則 圖表 62 目的地址轉(zhuǎn)換配置 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 43 策略配置 圖表 63 NAT模式 策 略配置 網(wǎng)橋模式配置 當(dāng)加密網(wǎng)關(guān)具備多進(jìn)多出功能時，需要對裝置的網(wǎng)橋模式進(jìn)行配置。加密網(wǎng)關(guān) 1 啟 動地址轉(zhuǎn)化功能，策略配置以加密網(wǎng)關(guān)1 為例。 圖表 50 VLAN環(huán)境網(wǎng)絡(luò)拓?fù)? 系統(tǒng)配置 圖表 51 VLAN環(huán)境 系統(tǒng)配置 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 39 網(wǎng)絡(luò)配置 圖表 52 VLAN環(huán)境 網(wǎng)絡(luò)配置 注意：此處需要配置網(wǎng)絡(luò)的 VLAN ID。通信節(jié)點(diǎn) B 位于交換機(jī)的 VLAN10 網(wǎng)段。 圖表 44 路由配置網(wǎng)絡(luò)拓?fù)鋱D NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 37 系統(tǒng)配置 圖表 45 路由模式 系統(tǒng)配置 網(wǎng)絡(luò)配置 圖表 46 路由 模式 網(wǎng)絡(luò)配置 路由配置 圖表 47 路由 模式 路由配置 隧道配置 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 38 圖表 48 路由 模式 隧道配置 策略配置 圖表 49 路由 模式 規(guī)則配置 VLAN 環(huán)境配置 加密網(wǎng)關(guān)支持 VLAN 接入，典型配置拓?fù)淙缦?圖所示。 路由 配置 縱向加密認(rèn)證網(wǎng)關(guān)部署在各級調(diào)度中心及下屬的各廠站，根據(jù)電力調(diào)度通信關(guān)系建立加密隧道，典型網(wǎng)絡(luò)拓?fù)淙缦聢D所示。 圖表 38 明通模式拓?fù)鋱D 系統(tǒng)配置 圖表 39 明通模式 系統(tǒng)配置 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 35 網(wǎng)絡(luò)配置 圖表 40 明通模式 網(wǎng)絡(luò)配置 路由配置 圖表 41 明通模式 路由配置 隧道配置 圖表 42 明通模式 隧道配置 注意：由于 對端無加密網(wǎng)關(guān)，因此對端主、備隧道地址為 0，隧道模式為明通。此時加密網(wǎng)關(guān)具備硬件防火墻的基本功能 ，只轉(zhuǎn)發(fā)配置通信策略的報(bào)文實(shí)現(xiàn)報(bào)文過濾 ，但數(shù)據(jù)不能進(jìn)行加密保護(hù)，明通網(wǎng)絡(luò)拓?fù)淙缦?圖所示。 點(diǎn)擊 可以刷新當(dāng)前頁面，點(diǎn)擊 可以審計(jì)歷史日志 。 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 32 圖表 33SPING診斷 日志管理 加密網(wǎng)關(guān)具備專 用安全日志存儲單元，可以對 裝置日志進(jìn)行審計(jì) 。 圖表 32 智能 IC 卡調(diào)試界面 如果提示測試失敗，請檢查您的卡片是否插到位，面板上的 CRW 讀卡器指示燈是否正常閃爍，如果在測試過程中， CRW 燈不閃爍，請與我們及時聯(lián)系。 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 31 1) 加密單元設(shè)備調(diào)試 點(diǎn)擊工具欄中的“加密卡調(diào)試”，則出現(xiàn)下面的界面， 選擇硬件類型中的 ” 加密卡硬件 ”,點(diǎn) 擊“測試”，加密網(wǎng)關(guān)自動對加密單元進(jìn)行檢測，測試結(jié)果 顯示到調(diào)試界面上。用戶只需 點(diǎn)擊左側(cè)的更新 按鈕就可以實(shí)時查詢鏈路信息 . ID:按照 順序標(biāo)記鏈路的記數(shù) ； 協(xié)議 :鏈路的協(xié)議 ,目前只支持 TCP,UDP,ICMP 三種 ； 狀態(tài) : 鏈路狀態(tài)正常 , 鏈路狀態(tài)異常 ,其中異常主要針對 TCP 協(xié)議 ,一旦出現(xiàn)三步握手沒有成功則顯示鏈路異常 。 熱備 : 對端裝置是主機(jī) 對端裝置是備機(jī) 。 . IP 地址 : 與該網(wǎng)絡(luò)接口相連的內(nèi)網(wǎng)或外網(wǎng)的 網(wǎng)絡(luò)地址 （如果是單臺設(shè)備，則為 所代理的設(shè)備 IP 地址） 網(wǎng)絡(luò)接口 :啟用 ARP 代理的網(wǎng)絡(luò)接口 接口信息 （與 IP 地址同側(cè)的網(wǎng)絡(luò)接口） 啟動代理 :設(shè)置靜態(tài)路由啟動 ARP 代理 ,反之刪除路由禁止 ARP 代理 . 圖表 27 ARP 代理配置 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 29 信息查詢 隧道管理 圖表 28 隧道列表示意圖 加密網(wǎng)關(guān)配置管理軟件 可以實(shí)時瀏覽裝置 的隧道信息 ,只要點(diǎn)擊左側(cè)的更新 按鈕 . 隧道信息按照列表和圖標(biāo)兩種顯示方式方便用戶審閱 .選中某個隧道后可以通過重置 按鈕 ,對隧道重置 ,讓其重新協(xié)商 . ID: 隧道的 ID 信息 。 內(nèi)網(wǎng)（可以仍含有路由器或子網(wǎng)，依次類推）、 加密網(wǎng)關(guān) 、路由器的位置大致如下： NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 28 內(nèi)網(wǎng) ――――― 加密網(wǎng)關(guān) ――――― 路由器 內(nèi)網(wǎng)主機(jī)要想實(shí)現(xiàn)透明訪問 路由器 ，必須能夠 傳送其 和路由器之間的 ARP 包，而此時由于內(nèi)網(wǎng)和路由器之間無法連通， 加密網(wǎng)關(guān) 就必須配置成一個 ARP 代理（ ARP Proxy）在內(nèi)網(wǎng)主機(jī)和路由器之間傳遞 ARP 包。 MAC 地址綁定模塊 用于實(shí)現(xiàn)將具體的通信地址和網(wǎng)卡綁定，只允許相應(yīng)的 mac 地址的網(wǎng)卡使用某個 IP 地址 和外界通信，如果更換網(wǎng)卡就必須重新 進(jìn)行相應(yīng)的 配置 。 圖表 26 橋接配置信息 MAC 地址 綁定 在網(wǎng)絡(luò)管理中， IP 地址盜用現(xiàn)象經(jīng)常發(fā)生，不僅對網(wǎng)絡(luò)的正常使用造成影響，同時由于被盜用的地址往往具有較高的權(quán)限，因而也對用戶造成了大量的經(jīng)濟(jì)上的損失和潛在的安全隱患。 例如在配置網(wǎng)絡(luò)信息時可以NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 27 為虛擬網(wǎng)卡設(shè)置相應(yīng)的網(wǎng)絡(luò)地址信息 。在這種轉(zhuǎn)換方式下，需要開啟加密網(wǎng)關(guān)的目的地址轉(zhuǎn)換功能。 此時 內(nèi)網(wǎng)地址為需要地址轉(zhuǎn)換的內(nèi)網(wǎng)網(wǎng)絡(luò)地址， 外網(wǎng)地址為偽裝地址 。 地址轉(zhuǎn)換配置 加密認(rèn)證網(wǎng)關(guān)系統(tǒng)支持地址轉(zhuǎn)換（地址偽裝、源地址轉(zhuǎn)換和 目的地址轉(zhuǎn)換），保護(hù)內(nèi)網(wǎng)私有地址。 目的起始端口和目的終止端口： 通信端口配置范圍在 0－ 65535 之間。 傳輸方向： 此配置字段可 以控制數(shù)據(jù)通信的流向，分為內(nèi) 外、外 內(nèi)和雙 向。如果對端網(wǎng)關(guān)啟 用地址轉(zhuǎn)化功能，則目的地址為對端網(wǎng)關(guān)的外網(wǎng)虛擬 IP 地址。 源起始地址和源目的地址： 本端通信網(wǎng)段的起始和終止地址，如果為單一通 信節(jié)點(diǎn)，則源起始地址和源目的地址設(shè)置為相同。通過 此 信息，可以將策略關(guān)聯(lián) 到具體的隧道 ,以便對 需要 過濾的報(bào)文進(jìn)行加解密處理。 點(diǎn)擊 “ 規(guī)則配置 ” — 〉“策略配置”進(jìn)入策略配置界面，之后選中相應(yīng)的策略配置信息點(diǎn)擊 ，若原先沒有相應(yīng)的策略信息規(guī)則可以先點(diǎn)擊 （新建資源）再點(diǎn)擊編輯資源進(jìn)入策略配置界面，如下圖所示 : NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 24 圖表 22 策略配置 注意：如果對端加密認(rèn)證網(wǎng)關(guān)存在備機(jī)，應(yīng)該配置兩條相同的策略，只是關(guān)聯(lián)的隧道ID 不同。 策略配置 加密通信策略用于實(shí)現(xiàn)具體通信策略和加密隧道的關(guān)聯(lián)以及 數(shù)據(jù) 報(bào)文的 綜合 過濾，加密認(rèn)證網(wǎng)關(guān)具有雙向報(bào)文過濾功能，與加密機(jī)制分離，獨(dú)立工作，在實(shí)施加密之前進(jìn)行。超過設(shè)定的存 活周期，裝置會自動重新協(xié)商密鑰。 備裝置證書 ： 對端備 隧道的證書名稱。 隧道對端備地址： 為對端隧道的備用地址，即對端加密網(wǎng)關(guān)（備機(jī)）的外網(wǎng) 虛擬 IP 地址。 主裝置證書名稱： 對端主 隧道的證書名稱。 隧道本端地址： 為本端隧道的地 址，即 本側(cè) 加密網(wǎng)關(guān)的外網(wǎng)虛擬 IP 地址。 隧道模式 :隧道模式分為兩類：加密、明通。 點(diǎn)擊規(guī)則配置 — 〉“隧道配置”進(jìn)入隧道配置界面，之后選中相應(yīng)的隧道配置信息點(diǎn)擊 ，若原先沒有相應(yīng)的 隧道 信息規(guī)則可以先點(diǎn)擊 （新建資源）再點(diǎn)擊編輯資源進(jìn)入隧道配置界面，如下圖所示 : NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 22 圖表 21 隧道配置 隧道名稱 :隧道的相關(guān)描述。 目的掩碼： 為路由信息的目的網(wǎng)絡(luò)地址的子網(wǎng)掩碼。 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 21 圖表 20 路由信息配置 路由名稱： 路由信息的名稱描述 網(wǎng)絡(luò)接口： 要用到路由的出口網(wǎng)卡的名稱一般為外網(wǎng)口。 在這個界面中可以對裝置路由信息作一系列的配置例如：增加、修改、刪除、上傳、下載等。 點(diǎn)擊規(guī)則配置 — 〉“網(wǎng)絡(luò)配置”進(jìn)入 配置主界面之后選中相應(yīng)的網(wǎng)絡(luò)配置信息點(diǎn)擊（編輯資源） ，若原先沒有相應(yīng)的網(wǎng)絡(luò)信息規(guī)則可以先點(diǎn)擊 （新建資源）再點(diǎn)擊編輯