【正文】 .....................................................................50 隧道配置 ...............................................................................................................50 5 系統(tǒng)指標(biāo) ........................................................................................................................50 硬件指標(biāo) .....................................................................................................................50 性能指標(biāo)： .................................................................................................................51 附錄 1:證書簽發(fā)說明（ ） ........................................................................................52 附錄 2:圖片列表 ...............................................................................................................54 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 6 一 、 產(chǎn)品介紹 產(chǎn)品部署環(huán)境 電力專用加密認(rèn)證網(wǎng)關(guān)安置在電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間，用來保障電力調(diào)度系統(tǒng)縱向數(shù)據(jù)傳輸過程中的數(shù)據(jù)機密性、完 整性和真實性。 圖表 1 加密網(wǎng)關(guān)部署 示意圖 產(chǎn)品 外觀 與 結(jié)構(gòu) NetKeeper2020L 縱向加密認(rèn)證網(wǎng)關(guān)是 南瑞信息系統(tǒng)分公司 在 成功開發(fā)NetKeeper2020 縱向加密認(rèn)證網(wǎng)關(guān) (百兆級 )的 基礎(chǔ)上，研制的新一代高性能加密 認(rèn)證網(wǎng)關(guān)。 圖表 2 NetKeeper2020L 縱向加密認(rèn)證網(wǎng)關(guān) NetKeeper2020L 加密認(rèn)證網(wǎng)關(guān)的硬件結(jié)構(gòu)如下圖所示，硬件系統(tǒng)基于 高性能 RISC體系 架構(gòu)， 主板 集成 7 個 以太網(wǎng)接口 ； 串口用于對加密認(rèn)證網(wǎng)關(guān)進行監(jiān)控管理， 高性能電力專用密碼卡單元（內(nèi)嵌電力專用密碼算法和 RSA 公私密鑰算法）對網(wǎng)絡(luò)通信數(shù)據(jù)進行加密與認(rèn)證；雙機接口支持加密認(rèn)證網(wǎng) 關(guān)的雙機熱備和鏈路冗余備份，避免重要數(shù)據(jù)的丟失； 硬件看門狗實時監(jiān)控 系統(tǒng)狀態(tài) ，保證加密認(rèn)證網(wǎng)關(guān)穩(wěn)定、可靠運行。電源指示燈標(biāo)識 雙 電源的工作狀態(tài)，紅燈亮表示電源模塊工作正常；告警燈亮并伴有聲音告警表示加密認(rèn)證網(wǎng)關(guān)受到 異常網(wǎng)絡(luò)攻擊或者處于非穩(wěn)定工作狀態(tài) ，管理員可以通過日志信息 綜合 判斷 網(wǎng)關(guān)的工作情況 ；NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 8 加解密 ENCSTA 燈 亮表示電力專用數(shù)據(jù)密碼卡 處于正常狀態(tài) ，加解密 ENCACT 燈閃爍表示密碼卡正在加解密數(shù)據(jù)；智能讀寫器 ICSTA 燈亮表示讀寫器 處于正常狀態(tài) ， ICACT燈閃爍表示數(shù)據(jù)正在被讀取。 加密網(wǎng)關(guān)的后面板圖 設(shè)計有雙電源， 有一個電源作為主電源供 電， 另一個做輔電源備份 ，這種設(shè)計可以有效地提高電源工作的可靠性及延長整個系統(tǒng)的平均無故障工作時間， 最右邊是電源開關(guān) 1，然后是電源插座 1，電源開關(guān) 2，電源插座 2； Console 口用來對加密網(wǎng)關(guān)進行監(jiān)控； 7 個網(wǎng)口（ FE0— FE6） 可以靈活 配置為內(nèi)網(wǎng)接口或外網(wǎng)接口 。用戶在使用本產(chǎn)品時，應(yīng)先檢查硬件產(chǎn)品是否具有 NARI 標(biāo)志，外觀是否有損壞現(xiàn)象。為了 保障 產(chǎn) 品穩(wěn)定、可靠的運行，請 用戶 不要 私自打開加密認(rèn)證網(wǎng)關(guān)機箱。 （ 注：配置計算機 必須要有java 運行 環(huán)境 支持 ） 。 圖表 4 加密網(wǎng)關(guān)配置軟件 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 9 加密認(rèn)證網(wǎng)關(guān)用于安全區(qū) I/II 的廣域網(wǎng)邊界保護， 網(wǎng)關(guān) 部署對應(yīng)用完全透明。用戶 可以 通過配置管理程序?qū)用芫W(wǎng)關(guān)進行 相應(yīng)的 設(shè)置， 具體的配置管理請參見下節(jié)。上述證書由調(diào)度證書服務(wù)系統(tǒng)生成并簽名，存儲在縱向加密認(rèn)證網(wǎng)關(guān) 的安全存儲區(qū) 中。 2) 啟動加密認(rèn)證網(wǎng)關(guān)的配置軟件，出現(xiàn)如下的軟件主界面： 圖表 5 加密認(rèn)證網(wǎng)關(guān)配置軟件啟動界面 3) 點擊用戶登錄 — 〉連接網(wǎng)關(guān) ， 軟件系統(tǒng)會自動和加密網(wǎng)關(guān)服務(wù)程序建立連接，并提NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 10 示成功或是失敗消息。 圖表 8 安全用戶添加并保存上傳 5）上傳之后，退出程序重新連接，輸入剛剛添加的安全用戶，初試密碼是 123456 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 11 6） 成功連接后，系統(tǒng)會提示等待系統(tǒng)初始化 . 圖表 7 系統(tǒng)檢測提示信息 7） 系統(tǒng)登陸成功后 ,所有菜單都激活 ,可以配置 . 圖表 10 系統(tǒng)認(rèn)證通過后的配置界面 初始化 下面結(jié)合電力二次系統(tǒng)實際情況 對初始化的 過程 進行描述 ： 圖表 11 系統(tǒng)初始化的配置界面 1. 導(dǎo)入調(diào)度 CA 根證書 。 3. 導(dǎo)入 與本裝置通信的對端節(jié)點設(shè)備證書。 以上的步驟，第 3 部 是初始化過程必須的操作，不可忽略，其它 的操作步驟由用戶根據(jù)現(xiàn)場實際情況進行選擇。如下圖所示。 點 擊密鑰管理 ? “ 初始化網(wǎng)關(guān) ” ，則彈出填寫設(shè)備證書請求的對話框，如下圖所示： 圖表 13 生成證書請求 主體名稱 ： 加密網(wǎng)關(guān)的唯一標(biāo)識 ， 建議采用裝置所在廠站名 組織名 ： GDD（默認(rèn)） 所在地名稱 ： 廠站所在地 名稱 中國： CN（默認(rèn)） 單位代碼 ：簽發(fā)單位名稱 EMail: NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 13 按照上述說明填寫后，點擊“生成證書請求”按鈕，將生成的證書請求文件保存在本地安全存儲介質(zhì)中并提交給調(diào)度證書管理系統(tǒng)進行簽發(fā)。 證書請求生成成功后 后彈出成功信息 ,緊接著下載證書請求到 配置機器上 . 圖表 14 CSR生成提示 圖表 8 文件下載目錄 圖表 9 CSR下載成功提示 3) 導(dǎo)入調(diào)度 CA 的根證書。 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 14 圖表 10 上傳證書 4) 導(dǎo)入中級 CA 證書 (網(wǎng)省調(diào)證書 )。 操作方法同上 . 6) 導(dǎo)入裝置管理系統(tǒng)證書。 操作方法同上 . 導(dǎo)入全部證書后， 點擊 重新檢驗系統(tǒng)的初始化工作 。 圖表 11 初始化完成后的證書界面 證書申請 在加密認(rèn)證網(wǎng)關(guān)初始化的過程中，需要將生成的加密網(wǎng)關(guān)證書請求文件提交給電力調(diào)度證書服務(wù)系統(tǒng)進行簽發(fā) ，生成網(wǎng)關(guān)設(shè)備證書。 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 15 加密網(wǎng)關(guān)生成證書請求文件后，將證書請求文件以可存儲介質(zhì)形式拷貝到各級調(diào)度證書系統(tǒng)上（國調(diào)、網(wǎng)調(diào)、省調(diào)），并以系統(tǒng) “ 錄入員 ” 身份用 UsbKey 登陸證書系統(tǒng)；選擇 “導(dǎo)入證書請求信息” 按鈕，點擊 “導(dǎo)入” 按鈕，則將請求信息輸入到證書系統(tǒng)，根據(jù)電力證書系統(tǒng)操作規(guī)范的流程，經(jīng)由“審核員” 審核，“簽發(fā)員” 簽發(fā)出設(shè)備證書和操作員證書。具體使用請參考附錄一《證書簽發(fā)說明 》 安全管理 加密認(rèn)證網(wǎng)關(guān)的安全管理包括證書管理、遠程監(jiān)控等。 單擊“密鑰管理” — 〉“證書管理”，進入證書管理界面后單擊下載證書列表 ， 如下所示。（表示當(dāng)前加密網(wǎng)關(guān)已經(jīng)配置了 CA 根證書，主、備操作員卡NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 16 證書，已經(jīng)基本完成了初始化，處于工作狀態(tài)。 此時證書被下載到配置程序安裝目錄下的 config 文件夾 .同樣，選中目標(biāo)證書，并點擊“刪除證書” 按鈕，將刪除對應(yīng)證書。裝置管理系統(tǒng)（管理中心）為調(diào)度中心所轄的加密認(rèn)證裝置提供 遠程安全管理 服務(wù)。 此時，裝置管理系統(tǒng) (管理中心 )與加密裝置是網(wǎng)絡(luò)上通信的實體。具體的監(jiān)控內(nèi)容及裝置管理系統(tǒng)的使用見《加密認(rèn)證網(wǎng)關(guān)裝置管理系統(tǒng)用戶使用手冊》 安全策略配置 加密認(rèn)證網(wǎng)關(guān) 位于電力控制 系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間，為透明安全防護裝置。加密認(rèn)證網(wǎng)關(guān)的安全策略設(shè)置主要包 括系統(tǒng)配置、 IP 地址配置、 IP 路由， VLAN，規(guī)則，隧道信息，管理信息等。 ：打開配置或新建配置 文件 ：保存配置 ：另存配置將配置信息保存至本地 ：上傳配置 信息 至裝置 ：下載 裝置 配置 信息 到 本地 ： 建立新的配置信息 ：刪除相關(guān)的配置信息 ：復(fù)制資源 ：粘貼資源 ：編輯資源 系統(tǒng)信息配置 系統(tǒng)配置主要配置加密認(rèn)證網(wǎng)關(guān)的系統(tǒng)信息，主要包括以下幾個內(nèi)容： 系統(tǒng)名稱 ： 裝置的名稱，便于遠程標(biāo)識裝置的基本信息。 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 19 遠程地址： 遠程的裝置管理 系統(tǒng) 、日志審計 系統(tǒng) 或者遠程調(diào)試 計算機 的網(wǎng)絡(luò)地址 。 點擊“規(guī)則配置” 〉“系統(tǒng)管理”，選中某一條系統(tǒng)信息規(guī)則之后點擊 （編輯資源） ，若原先沒有相應(yīng)的網(wǎng)絡(luò)信息規(guī)則可以先點擊 （新建資源）并將其選中后點擊編輯資源進入 具體界面如下圖所示 圖表 18 裝置系統(tǒng)配置信息 網(wǎng)絡(luò)信息配置 加密認(rèn)證網(wǎng)關(guān)共有 7 個 7 以太網(wǎng) 接口，其中 任意網(wǎng)口都可以設(shè)置成內(nèi)網(wǎng)口或 者外網(wǎng)口 。 在 網(wǎng)絡(luò)信息配置 界面 中可以對裝置網(wǎng)絡(luò)信息作一系列的配置 如：增加、修改、刪除、上傳、下載等。 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 20 圖表 19 裝置地址配置 網(wǎng)絡(luò)接口： 為所要配置的裝置網(wǎng) 口的名稱，例如 eth0/eth1 等 接口類型： 為裝置網(wǎng)口的類型，分別有 PRIVATE（內(nèi)網(wǎng)口）、 PUBLIC（外網(wǎng)口）、BACKUP（互備口）、 CONFIG（配置口）、 BRIDGE（橋接口） IP 地址 ： 為所要配置網(wǎng)口的 IP 地址 子網(wǎng)掩碼 ： 為所要配置網(wǎng)口的掩碼 接口描述： 為所要配置網(wǎng)口的相關(guān)描述信息 VLANID： 為所要配置網(wǎng)口的 VLAN ID 信息 路由信息配置 加密認(rèn)證網(wǎng)關(guān)需要對加密和解密過的 IP 報文進行路由選擇 ， 路由配置信息針對加密網(wǎng)關(guān)的內(nèi)外網(wǎng)虛擬地址，通過路由地址關(guān)聯(lián)內(nèi)外網(wǎng)的網(wǎng)絡(luò)地址信息。 點擊規(guī)則配置 — 〉“路由配置”進入路由配置界面，之后選中相應(yīng)的路由配置信息點擊 ，若原先沒有相應(yīng)的路由信息規(guī)則可以先點擊 （新建資源）再點擊編輯資源進入路由配置界面，如下圖所示 。 目的網(wǎng)絡(luò)： 要實現(xiàn)通信的外網(wǎng)側(cè)的所在網(wǎng)段。 網(wǎng)關(guān) 地址： 加密網(wǎng)關(guān)的外網(wǎng)口通信地址 隧道配置 隧道為加密認(rèn)證網(wǎng)關(guān)之間協(xié)商的 安全 傳輸通道 ，隧道成功協(xié)商之后會生成通信密鑰 ， 進入該隧道通信的數(shù)據(jù)由通信密鑰進行加密 ， 隧道可以設(shè)置隧道周期和隧道容量，當(dāng)隧道 的 通信時間達到 指定傳輸周期后 或者數(shù)據(jù)通信量達到 指定容量 后 ，加密網(wǎng)關(guān)之間會重新進行隧道密鑰的協(xié)商，保證數(shù)據(jù)通信的安全。 隧道 ID: 隧道的標(biāo)識，關(guān)聯(lián)隧道的所有信息。明通模式下，隧道兩端裝置不進行密鑰協(xié)商，隧道中的所有數(shù)據(jù)只能通過明通方式（但可以對數(shù)據(jù)包進行安全過濾與檢查，即只有配置了相關(guān)的通信策略的數(shù)據(jù)傳輸才能通過裝置，否則裝置會將不合法的報文全部丟棄）進行傳輸；加密模式下，隧道中的數(shù)據(jù)報文會根據(jù)協(xié)商好的密鑰將相關(guān)通信策略的數(shù)據(jù)報文進行封裝和加密，保證數(shù)據(jù) 傳輸 的 安全性 。 隧道對端主地址： 為對端隧道的主地址，即對端加密網(wǎng)關(guān)（主機）的外網(wǎng)虛擬 IP 地址。對端加密網(wǎng)關(guān)的主設(shè)備證 書名稱需 與初始化導(dǎo)入的對端加密網(wǎng)關(guān)證書名稱一致。如果對端無備用裝置，則隧道備地址為 0。 對端加密網(wǎng)關(guān)的備設(shè)備證 書名稱需 與初始化導(dǎo)入的對端備加密網(wǎng)關(guān)證書名稱一致 NetKeeper2020II 縱向加密認(rèn)證網(wǎng)關(guān)用戶手冊 23 隧道周期： 隧道密鑰的存活周期（以小時為基本計量單位） 。 隧道容量 ：為隧道內(nèi)可加解密報文總字節(jié)數(shù)的最大值，在隧道內(nèi)加解密報文 的總字節(jié)數(shù)一旦超過此值，隧道密鑰立刻失效，裝置會自動重新協(xié)商密鑰。過濾策略支持： 源 IP 地址（范圍）控制； 目的 IP 地址（范圍）控制； 源 IP（范圍）＋目的 IP 地址（范圍）控制； 協(xié)議控制； TCP、 UDP 協(xié)議＋端口（ 范圍）控制； 源 IP 地址（范圍）＋ TCP、 UDP 協(xié)議＋