南瑞反向隔离SYSKEEPER-2000有卖 安全防护强度高

反向隔离装置技术规范
功能和性能
序号
名称
单位
数值
1
*网络接口

10/100M通信接口?2(内网)
10/100M通信接口?2(外网)
内网配置接口1
外网配置接口1(或与双机热备接口复用)
2
外设接口

终端管理接口(RS-232)2
usb接口2
3
设备厚度
U
1
4
*数据包有效网络吞吐率
Mbit/s
≥35(100条安全策略,1024字节报文长度)
5
数字签名速率
个/秒
268
6
数据转发延时
ms
≤10
7
满负荷数据包丢弃率

0
8
平均无故障时间(MTBF)
h
>50000(100%负荷)
9
*返回确认报文长度
bit
≤1
10
*日志规范
满足《电力二次系统安全告警日志格式规范》要求
南瑞反向隔离SYSKEEPER-2000哪里有卖
5.3?日志审计?



隔离装置随机配置光盘上带有“日志审计系统”软件。可以接收隔离装置输?出的系统日志,方便用户查看隔离装置的运行状态。
具体使用方法如下所述:


1、配置日志输出专用规则,保证内网日志服务器和隔离装置通讯正常。规?则名为“syslog”,协议类型为?UDP,内网?IP?地?}为日志服务器的?IP?地?},?内网端口为?514,内网?MAC?地?}、外网虚拟?IP?根据实际网络环境设置;内?网虚拟?IP、外网?IP?地?}、外网端口、外网?MAC?地?}设置为合法参数即可。?完成上述规则设置后,在日志服务器上能够?ping?通外网虚拟?IP,表示规则




设置正确,外网虚拟?IP?地?}实际上就是软件中显示的日志发送主机的?IP。


2、将“日志审计系统”软件安装到内网日志服务器上,设置好日志文件的?保存位置,启动软件开始接收系统日志。注意:“日志审计系统”软件接收?端口锁定为?UDP?协议?514?端口,请保证日志服务器上此协议端口能够使用。

图?38?日志窗口
反向隔离装置的前面板图如图?2?所示。前面板有?8?个指示灯,分别是电源指


示灯、内网灯、外网灯、告警灯、加密卡状态灯、数据加密灯、智能卡读写器状?态灯、智能卡读写灯。内网灯亮表示有数据从内网传输到外网;外网灯亮表示有?数据从外网传输到内网,如果内外网数据传输的流量太小,可能观察不到内外网?灯的闪烁,此时可以根据后面板网卡指示灯的情况观察是否有数据接收和发送。?告警灯亮并伴有声音告警表示隔离装置正受到网络恶意攻击。加密卡状态灯亮表?示隔离装置内置有数据加密卡,数据加密灯闪烁表示加密卡正在加解密数据;智?能卡读写器状态灯闪烁表示隔离装置内置有智能卡读写器,智能卡读写器状态灯?亮表示智能卡读写器插槽中有智能?IC?卡,智能卡读写灯亮表示智能卡上的用户?数据正在被读取。


图?2????SysKeeper-2000?网络安全隔离装置(反向型)前面板图


后面板图如图?3?所示。隔离装置设计有双电源,一个电源作为主电源供电,?另一个作为辅电源备份,两个电源可以在线无缝切换。内网配置口用来监控内网?侧的状态信息;外网配置口用来配置反向隔离装置,并监控内网侧的状态信息。?内网网口用来连接内网;外网网口用来连接外网。内外网口的网卡指示灯绿灯亮?表示网口与网络正确连接;黄灯亮表示网络速率是??100M,暗表示网络速率是
10M,闪烁表示有数据正在接收或发送。双机接口支持隔离装置的双机热备。告?警接口支持使用专用协议输出报警信息。

图?3?SysKeeper-2000?网络安全隔离装置(反向型)后面板图
南瑞反向隔离SYSKEEPER-2000哪里有卖
3.4?日志管理?



‘日志管理’功能(图?21)查看隔离装置的运行日志,以供用户分析隔离装?置的运行状况。登录成功后,会出现导出日志进度条(图?22)。导出成功后会自?动弹出‘日志列表’窗口(图?23)。

图?21









图?22





图?23
隔离装置也可以将系统日志输出到用户指定的计算机上保存。具体使用方法?参考《附录??5.3?日志审计系统》。
3.5?系统调试?



隔离装置提供了一个非常实用的系统诊断工具,用来诊断隔离装置与网络的?连接是否正常。点击‘系统调试’菜单下的‘系统诊断工具’选项诊断网络连接?情况(图?24)。
1)???Ping?诊断命令:


“诊断命令”提供了“ping”命令。由于隔离装置没有?TCP/IP?协议栈,所?以这个命令不是?Unix/Linux?下常用的调试网络的命令,而是采用专用报文构造?的一个仿?ping?命令,用来诊断隔离装置是否与内外网络物理连接正常。

图?24??系统诊断工具
以下是一个网络连接诊断示例:





图?25??网络连接诊断示例图
内网主机真实地?}为?10.144.1.1,虚地?}为?202.102.1.2;外网主机真?实地?}为?202.102.1.1,虚地?}为?10.144.1.2。假设隔离装置与内外网络已?经连接好,?}且在隔离装置内已经配置好规则。
具体诊断步骤如下所述:


a、首先测试隔离装置与内网的连接是否正常。将配置串口线连接到隔离装?置的内网配置口,连接串口成功后,选择系统诊断界面中的?ping?命令,?源地?}输入外网主机的虚地?},目的地?}输入内网主机的真实地?}。本例中
源地?}输入?10.144.1.2,目的地?}输入?10.144.1.1。


b、点击‘开始调试’按钮,系统会提示正在导出系统调试信息。如果诊断?信息为?ping?success:??10.144.1.1??to?10.144.1.1,则表示隔离装置与
内网网络连接正常(图?26)。否则诊断信息应为?ping?error。



图?26??网络连接诊断结果?c、测试隔离装置与外网的连接是否正常,与测试内网连接类似。将配置串口?线连接到隔离装置的外网配置口,源地?}应该输入?内网主机的虚地?}?(202.102.1.2),目的地?}输入外网主机的真实地?}(202.102.1.1)。
2)???远?{?Ping?诊断命令:?为了方便用户进行网络链路诊断,隔离装置支持有限的远?{?ping?诊断。
具体诊断步骤如下所述:




a、首先测试隔离装置与内网的连接是否正常。在内网通信计算机(如上图


所示的计算机?10.144.1.1)上打开命令行窗口,运行??ping?命令,目标?地?}为外网的虚拟?IP?地?}(10.144.1.2),ping?命令的长度选择为?996?个?字节。
Windows?操作系统:ping?10.144.1.2??–l?996


Unix?操作系统:ping?10.144.1.2??–s?996


如果能?ping?通外网的虚拟地?},则表示隔离装置与内网网络连接正常


。否则请检查隔离装置与内网的网络连接。


b、测试隔离装置与外网的连接是否正常,与测试内网连接类似。在外网的通?信计算机(如上图所示的计算机??202.102.1.1)上打开命令行窗口,运?行?ping?命令,目标地?}为内网的虚拟?IP??地?}(202.102.1.2),?ping?命令的长度选择为?996?个字节。如果能?ping?通内网的虚拟地?},则表示?隔离装置与外网网络连接正常,否则请检查隔离装置与外网的网络连接。
5.2?网络故障诊断?



用户在使用隔离装置的时候,如果内外网无法正常通讯,请按照以下步骤对?网络进行诊断:
1、确认隔离装置与网络物理连接正常。因为隔离装置支持双机热备功能,?如果隔离装置与网络物理连接不正常,隔离装置会切换到备机模式。使用“超级?终端”观察正向隔离装置内网的启动信息,如果有“I??want??change??to??main?machine”信息显示,表示隔离装置工作在主机模式,隔离装置与网络连接正常;?否则工作在备机模式,请仔细检查隔离装置与网络的物理连接。
2、确认内外网主机与隔离装置物理连接正常。隔离装置现在支持有限的?ping?诊断功能,具体诊断方法请参考本手册?3.5?节《系统调试》,如果诊断成功?说明内外网主机与隔离装置物理连接正常。如果?ping?失败,请仔细检查内外网?主机与网络的物理连接。
3、隔离装置规则配置参数错误。请仔细阅读第四章《典型应用隔离方案规?则设定范例》一节,确认规则配置正确。或者寻求本公司的技术支持。
4、内外网通讯?{序没有按照隔离装置的编?{原则设计。请使用随机光盘上?的测试软件测试内外网的数据通讯是否正常。
南瑞反向隔离SYSKEEPER-2000哪里有卖
交流电源
序号
名称
数值
1
额定电压
220V
2
允许偏差
-20%~+15%
3
纹波系数
不大于5%
4
额定频率
50Hz


可靠性
序号
电磁兼容项目
等级
1
辐射电磁场抗扰度
三级(a)
2
快速瞬变抗扰度
三级(a)
3
脉冲群抗扰度
三级(a)
4
静电放电抗扰度
三级(a)
5
浪涌(冲击)抗扰度
三级(a)
6
工频磁场抗扰度
四级(a)
7
脉冲磁场抗扰度
四级(a)
8
介质强度
三级(a)
9
电压跌落
500ms
10
机械振动
一级


——根据2012年《二次系统安全防护设备—物理隔离装置通用技术规范》,其它未明确规定项目按三级(a)要求。
南瑞反向隔离SYSKEEPER-2000哪里有卖