SJW77电力系统专用纵向加密认证装置(WT125-6P-AA)用户手册

SJW77电力系统纵向加密认证装置用户 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 SJW77电力系统纵向加密认证装置用户手册(WT125-6P-AA)二〇一四年制申明本手册阐述卫士通SJW77电力系统纵向加密认证装置(WT125-6P-AA)的整机特性、功能特点、操作说明和部署模式。本手册的所有解释权归中国电子科技集团30所、成都卫士通信息产业股份有限公司所有。本手册的任何部分被转印、影印或者复印必须通过本公司许可。Allrightsreserved访问卫士通公司网站：http://www.westone.com.cn了解更多产品信息您对本手册有任何的 意见 文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见 和建议请发送至：xie.da@westone.com.cn成都卫士通信息产业股份有限公司地址：四川省成都市高新区天府二街云华路333号，610041电话：800-62386222前言随着国家经济实力不断的增强，公民用电量持续上升。建立一套具有高可靠性、高冗余性，能够抵御病毒、黑客等各种恶意破坏和攻击的安全电力调度数据网络是保障国家经济建设最为基础和重要的措施。卫士通SJW77电力系统纵向加密认证装置是中国电子科技集团30研究所、卫士通信息产业股份有限公司受国家电力调度通信中心委托研制的。装置根据全国电力二次系统安全防护专家组制定的《电力系统专用纵向加密认证装置技术规范》进行开发，采用商密局批准的电力系统专用密码算法以及规范制定的特有封装格式，在协议IP层实现数据的封装、机密性、完整性和数据源鉴别等安全功能。卫士通SJW77电力系统纵向加密认证装置网络适应性好，能够很好地与其它厂商的纵向加密产品互通。装置主要部署在电力调度系统中各级调度中心、各级变电站和电厂，通过端对端方式实现了对电力调度关键业务数据（EMS，PMU等）的选择性保护。目录11概述11.1产品简介21.2产品形态31.3产品组成42产品部署42.1电力信息系统简介42.2部署原则52.3全国范围部署62.4省级范围部署72.5各个网点部署73技术特点84技术指标95产品优势96配置管理96.1纵向加密认证装置安装说明96.1.1开箱检查96.1.2管理软件安装136.1.3设备连接与管理器登录146.2纵向加密认证装置操作说明146.2.1系统初始化216.2.2灾难恢复226.2.3设备管理276.2.4账户管理296.2.5网络配置管理406.2.6证书管理456.2.7安全策略管理546.2.8设备信息查询566.2.9日志管理577典型应用环境配置案例577.1常规环境配置587.1.1模拟拓扑图587.1.2配置信息627.1.3注意事项637.2地址借用637.2.1模拟拓扑图647.2.2配置信息687.2.3注意事项697.3标准双机697.3.1模拟拓扑图697.3.2配置信息757.3.3注意事项757.4双机冗余767.4.1模拟拓扑图767.4.2配置信息827.4.3注意事项827.5单隧道多VLAN837.5.1模拟拓扑图837.5.2配置信息867.5.3注意事项867.6多隧道多VLAN877.6.1模拟拓扑图877.6.2配置信息917.6.3注意事项927.7双进双出927.7.1模拟拓扑图927.7.2配置信息967.7.3注意事项1概述1.1产品简介SJW77电力系统纵向加密认证装置(商密局鉴定型号：SJW77网络密码机，以下统称为纵向加密认证装置)属于行业专用产品，主要部署在各级电力调度网络(见图1)中，是保护国家电力调度通讯信息基础而重要的数据加密设备。SJW77电力系统纵向加密认证装置严格按照《电力专用加密认证装置技术规范》进行设计和开发，该设备采用专门的加密封包格式，在IP层实现数据的机密性、完整性和数据源鉴别等安全功能。同时也支持与其它厂家纵向加密装置互联互通。为了方便产品的维护和管理，纵向加密认证装置支持符合技术规范的加密装置管理中心的配置和管理。各级调度中心和变电站、厂站的纵向加密装置接受其装置管理中心的统一管理配置。见图2：图1纵向加密认证装置的管理模式SJW77电力系统纵向加密认证装置支持各种LAN和WAN线路和拓扑，透明接入用户网络，无须修改用户网络原有配置。并且能够实现双机冗余与双机热备，在实现高可用性时还能提高网络的兼容性。1.2产品形态SJW77电力系统纵向加密认证装置(WT125-6P-AA)硬件平台板载6个以太网接口，加密卡与硬件主板采用平插式相连，大大提供了整机产品的稳定性和可靠性。SJW77电力系统纵向加密认证装置前视图 状态模块 标记 说明 备注 指示灯 电源 设备上电状态 设备上电后亮绿色灯；慢闪表示一个电源槽位没有电源模块；快闪表示一个槽位的电源模块异常，模块未接电源或者故障。 告警 设备告警状态 状态 设备初始化状态 未初始化亮橙色灯；初始化完成亮绿色。 加密卡 加密卡工作状态 加密卡工作时橙色灯闪烁。 内网 内网网线连接状态 网线连接上变绿色 外网 外网网线连接状态 网线连接上变绿色 内网1 内网1网线连接状态 网线连接上变绿色 外网1 外网1网线连接状态 网线连接上变绿色 心跳 心跳网线连接状态 网线连接上变绿色 配置 配置网线连接状态 网线连接上变绿色 IC卡 IC卡插入状态 IC卡未插入到位，不亮或亮黄灯；IC卡完全插入，亮绿灯。 电源 电源连接亮起 设备采用双电源，只接单一电源时，会发出报警声1.3产品组成SJW77电力系统专用纵向加密认证装置：位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，用于安全区I/II的广域网边界保护，可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。以下简称纵向加密认证装置。本地管理终端：提供给操作员在当地对装置进行设置及管理的计算机终端系统。调度证书服务系统：为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务，以解决网络应用中的机密性、完整性、不可否认性等安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 。该系统由北京电力科学院开发完成。管理中心系统：位于电力调度中心，完成对所辖的多厂商的装置进行统一管理的计算机系统。该系统由北京电力科学院开发完成。2产品部署2.1电力信息系统简介电力系统网络由电力调度数据网和电力数据通讯网两大网络系统组成。其中，电力调度数据网属于电力系统的生产控制区,是一个典型的分层分级网络，全网主要分为五级：国家调度通信中心、省级调度通信网络、地市、县级调度通信网络。如图3所示。图2电力系统通信调度数据网络图2.2部署原则在电力系统网络中，每一级电力调度公司的本地网，根据业务重要性的不同，划分为4个不同的区域，分别是I区（控制区）、II区(生产区)、III区（生产管理区）、Ⅳ区（管理信息区）。除管理信息区与其它三个区域没有什么信息交换外，其它各区之间存在着数据的交换和传输。针对这个特点，“电力二次系统安全防护总体 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ”以“分层分区，强化边界”为原则，以“横向隔离，纵向防护”为策略，规定：在纵向I/II区（即控制区与生产区）之间的数据通信，采用纵向加密认证装置进行安全防护；在横向I/II与III区（即控制区/生产区与生产管理区）之间的数据传输，采用横向隔离装置进行安全隔离，具体情况如图4所示。图3部署原则图2.3全国范围部署全国部署方面，按照“分级管理”要求，纵向加密认证装置部署在国调、网调、省调各级调度中心及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构。如图5所示。同时，在各级调度中心设立纵向加密认证装置管理系统，由各级装置管理系统完成对所辖的纵向加密认证装置进行统一管理。纵向加密认证装置的管理采用“统一协调、分级管理”体制，由各级装置管理系统完成对所辖的多厂商的设备进行统一管理。调度中心的加密装置及下属的加密装置由装置管理系统直接管理。图4纵向加密认证装置全国部署图2.4省级范围部署在各省部署方面，纵向加密认证装置部署在省网、地/市网、县网各级调度中心及下属的各厂站，如图6所示。图5纵向加密认证装置省级部署图2.5各个网点部署在各个网点，包括各级调度中心及下属的各厂站的内部网络中，纵向加密认证装置安置在电力控制系统的内部局域网与电力调度数据网络的路由器之间。以图7为例，简要介绍纵向加密认证装置在电力系统内部业务网中的部署情况。在这个典型应用中，路由器、交换机、认证装置均采用负载均衡方式，通过设备的冗余可以很好的提高网络服务质量，给电力系统EMS业务的正常传输提供好的网络安全服务。图6纵向加密认证装置网点部署图3技术特点卫士通公司SJW77电力系统专用纵向加密认证装置为解决电力系统数据通信网络的安全需求，针对电力系统业务和网络结构特点而专门定制的安全装置，所以集中体现多项针对电力系统而定制的专用特性：·专用算法：专用的对称密码算法通过国家主管部门审查批准。·专用协议：采用电力专用的网络管理与通信协议。·专用体系设计：整机安全性设计方案通过国家主管部门审查批准，符合《电力系统专用纵向加密认证装置技术规范》。4技术指标·性能指标·物理接口：100M以太网，支持100M/1000M自适应·通信协议：IEEE802.3，TCP/IP·加密速率：40Mbit/s·加密时延：250us·支持隧道数：1024对·无故障时间:20000小时·物理特性·体积：440mm×44.4mm×390mm·重量：5.6kg·电气特性·电压：220V·允许偏差：－20％～＋10％·纹波系数：不大于5％·额定频率：50Hz·环境指标·工作温度：0(C～+40(C·存储温度：(20(C～+55(C·相对湿度：5～95%·电磁兼容 指标 标准 严酷等级 辐射电磁场干扰 GB/T15153.1 3级 快速瞬变干扰 GB/T15153.1 3级 衰减振荡波干扰 GB/T15153.1 3级 浪涌干扰 GB/T15153.1 3级 工频磁场干扰 GB/T15153.1 4级 介质强度 GB/T15153.1 3级 电压跌落 GB/T15153.1 500ms 静电放电干扰 GB/T15153.1 3级 机械振动 GB/T11287-2000中3.2 1级 稳定性 GB/T13729中3.9 72h5产品优势与国内同类产品比较，具有以下优势：·完全自主设计·密通性能高、加密时延低·设备运行稳定、可靠·可视化的管理界面、操作方便6配置管理6.1纵向加密认证装置安装说明6.1.1开箱检查在产品包装箱内附有产品装箱清单一份，用户开箱后请参见装箱清单检查配件是否齐全，然后查看设备外观是否有损坏现象，如有问题，请勿使用并及时与我公司取得联系，处理相关事宜。为了保障产品稳定、可靠的运行，请用户不要私自打开纵向加密认证装置的机箱。6.1.2管理软件安装SJW77电力系统专用纵向加密认证装置随机带有管理软件安装光盘，将光盘插入用户管理PC机，进入文件夹“本地管理安装程序”，双击文件夹中的安装执行文件（Setup.exe），具体安装步骤如下图所示：点击”下一步”；点击“是”；输入用户名和公司名称后，点击“下一步”；选择安装目录后，点击”下一步”；管理器正在安装中；安装成功。点击”完成”退出管理软件安装界面，自动生成桌面快捷方式如下图所示：6.1.3设备连接与管理器登录管理软件安装成功后，通过管理PC机网口与纵向加密认证装置的配置口进行连接和通信，如下图所示：登录管理时需要进行以下操作：1)因为设备配置口地址为192.168.6.10/24，所以将本地管理PC网络地址设置为192.168.6.0/24网段，例如上图将本地管理PC的IP地址设置为192.168.6.1，掩码为255.255.255.0；2)管理PC机用随机附带的网络配置线（交叉线或直连线）连接到加密认证装置的配置口；3)确认管理PC机与纵向加密认证装置连通后，启动纵向加密装置管理软件，出现软件主界面（初始化完成后），如下图所示：从登录框输入默认用户名：admin密码：11111111；所选择的管理员卡应该与插入的管理员卡匹配，如下图所示：点击确认后登录，进入管理配置界面，如下图所示：如果登录不成功，请确认用户名和密码是否正确后，重新登录。6.2纵向加密认证装置操作说明6.2.1系统初始化纵向加密认证装置在初次使用时，需要首先进行设备初始化，初始化完成后才可对纵向加密认证装置进行配置，初始化流程如下：1)导出设备证书请求；2)导出管理员卡证书请求；3)导入根证书；4)签发设备证书；5)签发管理员卡证书；6)导入并验证设备证书；7)导入并验证管理员卡证书。6.2.1.1导出设备证书请求导出设备证书请求前需要先添加证书主题，用户需要完整填写所有的证书主题信息（信息不全，无法成功导出设备证书请求），然后选择本地管理PC路径点击“导出设备证书请求”，操作成功会弹出提示框，如下图所示：点击“确定”按钮后，自动跳转到下一操作界面，并且“导出设备证书请求”操作标示已成功。6.2.1.2导出管理员卡证书请求导出管理员卡证书请求需选择管理员卡（有主卡、副卡之分），操作示范选择主管理员卡，然后添加证书主题，主题不能为空，选择本地管理PC路径点击“导出管理员卡证书请求”，操作成功会弹出提示框，如下图所示：点击“确定”按钮后，“导出管理员证书请求”后标示操作成功，自动跳转到下一操作界面。建议：一台设备出厂时标配两张管理员空白IC卡，为了区分两张IC卡，初始化时标示为主卡/副卡，建议主/副管理员卡都进行初始化操作。6.2.1.3导入根证书用户从保存的根证书路径中选择需要导入的根证书后，点击“导入根证书”按钮，操作成功后系统会弹出提示框，如下图所示：点击“确定”按钮后，“导入根证书”标示操作成功，自动跳转到下一操作界面。6.2.1.4导入设备证书导入的设备证书为该设备证书请求通过签发中心审核、签发后生成的，用户从本地路径中选择与该设备匹配的设备证书，点击“导入本设备证书”按钮，会弹出操作成功提示框，如下图所示：点击“确定”按钮后，“导入设备证书”后标示操作成功，自动跳转到下一操作界面。6.2.1.5导入管理员卡证书导入的管理员证书为管理员证书请求通过签发中心审核、签发后生成的，用户从本地路径中选择与该设备中插入的管理员IC卡匹配的管理员证书，点击“导入管理员卡证书”按钮，操作成功，系统弹出提示框，如下图所示：点击“确定”按钮后，“导入管理员卡证书”标示操作成功，“完成”按钮被激活，如下图所示：点击“完成”按钮，初始化完成，初始化界面关闭，并自动跳转到登录界面，如下图所示：6.2.2灾难恢复当用户必须更换新设备时，可通过灾难恢复的方式将原有设备中所有配置信息导入新设备中，达到与原有设备参数配置完全相同的目的。注意：灾难恢复时，新设备需沿用原有设备的IC卡，导入的恢复文件为原设备的备份文件。在双机热备（负载均衡）的环境中，备机灾难恢复时需要使用主备数据同步前的备份文件，在备机灾难恢复成功后，需手动执行一次主备数据同步操作。在设备初始化界面中，点击“灾难恢复”按钮弹出灾难恢复的操作界面，选择与插入IC卡匹配的管理员类型，并且从本地选择备份文件，具体操作界面如下图所示：点击”确定”，会弹出提示信息，如下图所示：点击”是”后，如弹出灾难恢复成功的窗口，表明操作成功，设备将自动重启。6.2.3设备管理设备管理为设备重要配置之一，包含子模块如下图所示：6.2.3.1软件升级软件升级功能用于后期维护时，对纵向加密认证装置进行升级，完成系统软件更新。软件升级需要导入由本公司发放给用户的特定升级文件（.wpk格式），升级完成后设备自动重启，如下图所示：选择升级文件，并单击“启动软件升级”后，需要验证管理员口令，输入正确口令点击“确认”，弹出提示框：升级成功，设备自动重启，如下图所示：6.2.3.2配置备份配置备份功能用于将纵向加密认证装置的配置信息备份至本地管理PC，具体操作界面如下图所示，选择备份文件的保存路径并输入备份文件名（建议备份文件以备份时间命名，便于以后恢复用），在备注信息输入框内输入备注信息，确认完成后，点击“启动系统备份”按钮，进行系统配置备份，如下图所示：备份成功后弹出系统备份成功对话框，点击确定后完成系统备份，如下图所示：6.2.3.3配置恢复当用户配置错误或操作不当时，希望恢复到之前的配置，“配置恢复”功能就可用于将备份的配置信息恢复到设备中。选择本地PC保存的备份文件，点击“启动系统恢复”后弹出用户口令验证框，输入正确的口令，恢复成功后设备自动重启，如下图所示：6.2.3.4恢复出厂配置恢复出厂配置功能用于将设备恢复到初始化前的状态，故用户执行此操作应慎重。恢复出厂配置需要用户输入口令验证，输入正确的用户口令后操作成功，设备自行重启，具体操作界面如下图所示：注意：如不慎误操作，导致设备恢复到出厂配置状态，可以在初始化操作时进行“灾难恢复”，具体操作请参见6.2.26.2.3.5设备参数设置设备参数设置中可以对密钥协商、日志服务器等参数进行设置，具体操作界面如下图所示：1)设备名称：用户可自行设置，建议不重名，便于区分。2)封装IP：用于管理中心远程管理时，添加隧道的源IP地址。3)远程管理借用地址：用于无远程管理地址，在接受管理中心远程管理时，配置为设备后面交换机或者PC地址。4)密钥协商参数：用户可根据情况设置。a)密钥使用最大时间：默认为24小时，设置范围为1~24小时；b)密钥加密包数：默认为100000个，设置范围为10000~1000000；c)密钥解密错误包数：默认为16个，设置范围为6~1000。5)日志服务器参数：根据用户Syslog服务器的IP地址、端口填写，本装置标识为本设备上传日志信息的标识信息，为必填项。6.2.3.6装置重启单击“装置重启”后，系统弹出下图所示界面，需要用户输入口令确认，输入正确用户口令操作成功后纵向加密认证装置重启，如下图所示：注意：设备在重启过程中会造成短暂的网络通信中断，故请用户酌情考虑是否需要重启操作。6.2.3.7设置时钟时钟设置用于修改纵向加密认证装置的系统时间，修改系统时间后点击“设置”按钮，如下图所示：6.2.3.8设置诊断模式诊断模式为通过SSH方式登录纵向加密认证装置，默认为开启，用户如有需要可以开启/关闭该功能，如下图所示：6.2.4账户管理为了用户能够更加安全、可靠地管理加密设备，管理员实现“三权分立”即用户角色分为系统管理员、配置管理员和审计管理员，这3类角色分别有各自权限，用户可以根据实际需求建立管理员。6.2.4.1新建/编辑用户账户管理用于新建、编辑用户并设置特定的操作权限，点击添加按钮，添加界面如下图所示：1)用户名称：即登录名，由字母开头，字母与数字的组合，不可修改；2)口令：为8位或8位以上，由字母或数字组成；3)用户角色：即用户权限，用户登录后只能进行权限范围内的操作，用户可以拥有单一或多种权限；4)是否启用：只有在启用的情况下此用户才能够登录系统，缺省为是；5)描述信息：即用户备注信息。注意：用户信息可修改，不可删除，数量上限为100个。在用户列表中，除默认用户admin外，其它用户的配置信息均可修改，如下图所示：6.2.4.2用户解锁用户连续5次登录失败则用户被锁定，锁定时间默认为半个小时，具有系统管理员权限的管理员可以手动对用户进行解锁操作，选择要进行解锁的用户点击解锁按钮，该用户状态显示为“未锁定”即解锁成功，如下图所示：注意：用户数上限为100个，可修改，可以删除用户。6.2.5网络配置管理网络配置管理包括对设备网络参数的配置，包含子模块有网络地址设置，如下图所示：6.2.5.1网络地址设置纵向加密认证装置共有6个以太网接口，控制口后依次为配置口、心跳口、内网口、外网口、内网口1、外网口1。在实际的配置中，需要对纵向加密认证装置的内、外网口配置IP地址以便和内外网进行通信，内外接口可以添加在一个桥下配置IP地址（桥模式），也可以分别添加不同网段的IP地址（路由模式），根据用户具体需要进行配置。在网络地址设置界面，用户可以进行添加、删除、修改操作，具体操作界面如下图所示：·添加：点击添加按钮，可以为接口添加网络地址，添加界面如下图所示：1)接口名称：所要配置的网口名称，从下拉列表中选择（如果需要配置的为桥接口，需要先添加桥接口）。2)IP地址：所要配置网口的IP地址。3)子网掩码：所要配置网口的掩码。·修改：选中相应网络配置信息，点击编辑按钮修改网络配置信息，修改项包括接口名称、IP地址、子网掩码，如下图所示：·删除：选取要删除的网络地址，点击删除按钮，删除相应的配置信息注：配置口配置信息不能进行修改和删除操作。6.2.5.2VLAN设置根据用户实际使用的网络结构，可能需要对纵向加密认证装置配置VLAN。加密装置的VLAN设置包括VLAN的添加、修改及删除，具体操作界面如下图所示：·添加：点击添加按钮，选择接口并输入VLANID号，点击“确认”为接口添加VLAN。如下图所示：1)接口名称：所要配置的装置网口的名称，从下拉列表中选择；2)VLANID：所要配置网口的VLANID信息，范围1~4094。·修改：选中相应VLAN配置信息，点击编辑按钮，修改VLAN配置信息，修改项包括接口名称、VLANID，如下图所示：·删除：选中要删除的VLAN配置信息，点击删除按钮，删除相应的VLAN配置信息。6.2.5.3网桥设置纵向加密装置可以采用透明的方式接入用户环境中，即将内、外网口划在同一个桥下，网桥设置包括网桥的添加、修改及删除。具体操作界面如下图所示：·添加：点击添加按钮，添加网桥编号并选取桥成员，点击“确认”，为桥添加成员。如下图所示：1)网桥编号：配置网桥ID，桥ID范围1~1024；2)成员接口：包含内网口、外网口。·修改：选取相应桥配置信息，点击编辑按钮，修改桥配置信息，修改项包括桥编号、接口成员。如下图所示：·删除：选取要删除的桥信息，点击删除按钮，删除相应的桥配置信息。注：如加密装置配置了多个VLAN，此处可以添加子接口的桥成员。6.2.5.4路由设置路由设置包括添加路由、删除路由、修改路由，根据用户需要可以选择路由类型进行添加。具体操作界面如下图：·添加子网路由：根据用户具体网络环境，需要添加子网路由时，点击添加按钮，类型选择子网路由。如下图所示：1)路由类型：路由信息的名称描述，包括子网路由、主机路由、缺省网关。2)接口名称：为所要配置网口名称。3)目的地址：所要到达网段的IP地址。4)目的地址掩码：为所要配置目的地址的掩码。5)网关地址：配置为外网口的通信地址。·添加主机路由：根据用户具体网络环境，需要添加主机路由路由时，点击添加按钮，类型选择主机路由。如下图所示：·添加默认网关：需要添加默认网关时，点击添加按钮，类型选择默认网关。建议在双进双出的网络环境中尽量少使用缺省网关，最好配置为子网路由的形式。如下图所示：·添加子网路由：需要添加子网路由时，点击添加按钮，类型选择子网路由。建议在双进双出的网络环境中尽量少使用缺省网关，最好配置为子网路由的形式。如下图所示：·修改：选中相应路由配置信息，点击编辑按钮，修改路由配置信息，修改项包括:路由类型、接口名称、目的地址、目的地址掩码、网关地址。如下图所示：·删除：选取要删除的路由，点击删除按钮，删除相应的路由配置信息。注：接口设置IP地址后，自动生成对应的接口路由。当接口IP地址修改或删除时、与该接口相关的路由信息自动删除。6.2.5.5ARP设置用于设置加密装置的APR信息，将IP地址与MAC地址绑定，包括为接口添加、修改、删除MAC地址。具体操作界面如下图：·添加：点击添加按钮，选取接口名称并添加IP地址、MAC地址，点击“确认”，为桥添加成员。如下图所示：1)接口名称：为所要配置网口名称。2)IP地址：为所选网口的IP地址。3)MAC地址：为所选网口绑定的MAC地址。·修改：选取相应ARP配置信息，点击编辑按钮，修改接口名称、IP地址、MAC地址。如下图所示：·删除：选取要删除的ARP信息，点击删除按钮，删除相应的ARP配置信息。6.2.6证书管理证书管理用于对证书的配置与管理，包含子模块如下图所示：6.2.6.1根证书“根证书”用于对纵向加密认证装置中根证书的添加、删除管理，具体操作界面如下图所示：：用于导出证书于本地管理PC，选取要导出的根证书点击按钮，弹出保存界面，选取保存路径，点击“确认”，导出该根证书。·添加：点击添加按钮，选择正确的根证书路径，点击“确认”，界面如下图：·删除：选中相应根证书点击删除按钮，删除相应的根证书。6.2.6.2远程设备证书“远程设备证书”为对端通信设备的证书，本地加密认证装置需要导入远端设备产生的证书(包含远端设备的公钥)，用于装置通信时证书的认证。操作界面如下图所示：：用于导出设备证书至本地管理PC，选取要导出的设备证书后点击按钮，弹出保存界面，选取保存路径，点击“确认”，导出该设备。·添加：点击添加按钮，添加相应证书名称、绑定的IP地址并且选择正确的设备证书路径，点击“确认”，界面如下图：证书名称：用于配置证书的信息。绑定的IP：对端加密装置的IP地址。·修改：选取相应远程设备证书点击修改按钮，修改项包括：证书名称、绑定IP地址、设备证书文件路径，如下图所示：·删除：选取相应远程设备证书点击删除按钮，删除该设备证书。6.2.6.3远程管理证书管理中心集中管理时，本地认证装置需要导入远程管理中心的设备证书，用于远程管理通信时的认证。操作界面如下图所示：：用于导出证书于本地管理PC，选取要导出的管理中心证书点击按钮弹出保存界面，选取保存路径，点击“确认”，该管理中心证书导出。·添加：点击添加按钮，添加相应证书名称、绑定的IP地址、选择操作权限并且选择正确的设备证书路径，点击“确认”，操作界面如下图：证书名称：用于配置证书的信息。绑定的IP：远程管理中心的IP地址。操作权限：默认为可修改配置，远程调试为扩展功能，用于远程调试装置。·修改：选取相应远程设备证书点击修改按钮，修改项包括：证书名称、绑定IP地址、操作权限、设备证书文件路径，如下图所示：·删除：选取相应远程管理证书点击删除按钮，删除该管理证书。6.2.7安全策略管理安全策略管理用于对隧道、策略和防火墙策略的配置与管理，包含子模块如下图所示：6.2.7.1隧道及安全策略管理隧道为纵向加密认证装置之间安全传输数据的通道，其设置项包括：隧道名、源地址、目的地址、备用目的地址及隧道通信模式等。隧道管理包括隧道的添加、修改和删除等操作，具体操作界面如下图所示：：隧道SPING探测用于探测对端设备状态，选取相应隧道点击探测按钮，进行SPING探测并获取探测结果。隧道信息中动态显示隧道状态，用户可以通过观察隧道协商状态来判断隧道工作是否正常。隧道协商状态分别为4种：1)INIT，初始状态。纵向加密认证装置刚启动时，处于该状态。2)REQU_SENT。已发出协商请求状态。该状态表示装置已经向对方发出协商请求包。3)RESP_SENT。已发出响应包状态。该状态表示装置已经收到对方的请求包，并已向其发出响应。4)OPENED。会话密钥协商完成，进入正常加密通信状态。·添加隧道：点击添加隧道，并设定相关参数，添加界面如下图所示：1)隧道ID：默认生成，用户无法修改。2)隧道源地址：本地端(或源端)纵向加密认证装置IP地址。3)隧道目的地址：对端（或目的端）纵向加密认证装置IP地址。4)备用目的地址：用于配置备用隧道目的IP地址，当对端隧道存在主备情况时使用。5)通讯模式：包括加密、明文、可选，默认为加密。建议：隧道对端旁路自适应 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 默认开启，建议开启此功能，用于对端设备旁路后，本地设备探测及时切换通讯状态。·修改隧道：只能修改隧道通信模式、隧道名称以及是否开启旁路自适应检测。选中需要修改的隧道，点击修改按钮，具体操作界面去下图所示：·删除隧道：选中相应隧道信息点击删除按钮，删除相应的隧道以及隧道内的策略信息。·隧道信息导出：点击将隧道信息导出为csv文件，可在excel中查看隧道的信息。·隧道中界面切换：点击隧道前面的符号展开隧道，默认显示内容为策略信息，点击切换按钮可以切换显示内容，便于查看隧道信息，如下图所示：·隧道中添加策略：加密通信策略用于实现具体通信策略和加密隧道的关联以及数据报文的综合过滤，加密认证装置具有报文过滤功能，过滤策略支持：1)源IP地址（范围）控制；2)目的IP地址（范围）控制；3)源IP（范围）＋目的IP地址（范围）控制；4)协议控制；5)TCP、UDP协议＋端口（范围）控制；6)源IP地址（范围）＋TCP、UDP协议＋端口（范围）控制；7)目标IP地址（范围）＋TCP、UDP协议＋端口（范围）控制。点击隧道前面的符号展开隧道，点击策略界面的添加按钮，为隧道添加相应策略，具体操作界面如下图所示：1)源地址范围：本地通信IP受保护地址范围。2)目的地址范围：对端通信IP受保护地址范围。3)协议：用于配置策略过滤协议，包括ALL/ICMP/TCP/UDP4)源端口：用于配置源端口范围5)目的端口：用于配置目的端口范围6)处理方式：用于设置策略通信方式，包括允许、丢弃7)描述：策略的描述信息·隧道中修改策略：点击隧道前面的符号展开隧道，选取相应策略，点击策略界面的修改按钮为隧道修改相应策略，具体操作界面如下图所示：·隧道中删除策略：点击隧道前面的符号展开隧道，选取要删除的相应策略点击策略界面的删除按钮，删除该策略。6.2.7.2VPN安全策略VPN安全策略与隧道及安全策略管理模块中的策略管理一致，便于对安全策略进行更好的管理，可以添加、修改、删除策略，具体操作界面如下图所示：·添加策略：点击策略界面的添加按钮，为隧道添加相应策略，具体操作界面如下图所示：1)隧道：选择隧道ID号，当不存在相应的隧道时，可以点击“添加隧道”按钮，添加所需的隧道；2)源地址范围：本地通信IP受保护地址范围；3)目的地址范围：对端通信IP受保护地址范围；4)协议：用于配置策略过滤协议，包括ALL/ICMP/TCP/UDP；5)源端口：用于配置源端口范围；6)目的端口：用于配置目的端口范围；7)处理方式：用于设置策略通信方式，包括允许、丢弃。8)描述：策略的描述信息。·修改策略：选取相应策略点击修改按钮，修改项包括：源地址范围、目的地址范围、协议、方向、处理方式、描述，具体操作界面如下图所示：·删除策略：选取要删除的相应策略点击删除按钮，删除该策略。·VPN安全策略信息导出：点击将VPN安全策略信息导出为csv文件，可在excel中查看隧道的信息。6.2.7.3IP报文过滤策略管理IP报文过滤为扩展功能，用于过滤通信数据包，可以通过源地址、目的地址、协议、源端口、目的端口等方式过滤数据包。·添加过滤策略：点击添加按钮，具体操作界面如下图：1)：上移IP报文过滤策略，优先匹配；2)：下移IP报文过滤策略；3)源地址：用于配置源IP地址范围；4)目的地址：用于配置目的IP地址范围；5)协议：用于配置过滤协议，包括ALL/ICMP/TCP/UDP；6)方向：包括正向、反向、双向；7)源端口：用于配置源端口范围；8)目的端口：用于配置目的端口范围；9)处理方式：用于设置过滤方式，包括允许、丢弃。·修改过滤策略：选取相应过滤策略点击添加按钮，修改项包括：源地址范围、目的地址范围、协议、方向、处理方式、备注，具体操作界面如下图所示：注意：添加或修改过滤策略时，若协议为TCP或UDP：1.需指明源目的端口，0~65535表示任意端口2.若只限定目的端口，源端口必须设置为0~65535；3.若只限定的源端口，目的端口必须设置为0~65535。·删除过滤策略：选取要删除的相应过滤策略点击删除按钮，删除该过滤策略。·IP报文过滤策略信息导出：点击将IP报文过滤策略导出为csv文件，可在excel中查看隧道的信息。建议：1.纵向加密认证装置优先匹配IP报文过滤策略，然后匹配VPN安全策略，故在设置IP报文过滤策略时，建议不要添加VPN安全策略保护的IP地址。2.地址借用模式(无IP模式)下，必须配置一条借用地址到对端设备的转发策略，协议为all6.2.8设备信息查询用户通过查看设备信息、设备状态，能够及时了解设备运行状态。包含子模块如下图所示：6.2.8.1装置信息设备信息中显示设备名称、IP、类型、版本等参数信息，具体查看界面如下图所示：：用于导出本设备证书。点击按钮，选择本地路径，导出设备证书于本地管理PC。6.2.8.2装置通信状态通过装置通信状态，用户能够获取纵向加密认证装置当前的通信数据状态信息，如下图所示：注意：为隧道重置按钮，将重置纵向加密认证装置当前所有隧道的状态。6.2.8.3装置运行状态通过装置运行状态，用户能够获取纵向加密认证装置当前的CPU使用率、内存等状态信息，如下图所示：6.2.9日志管理日志管理主要用于用户进行日志审计，日志信息中包含人员操作日志、系统信息日志、通信信息日志以及异常日志，用户可以及时有效的获取日志信息，具体界面如下图所示：：按条件搜索日志信息，用户可以通过日志类型、发生时间、日志内容3种搜索方式来获取相应日志信息。：翻至“首页”；：翻至“上一页”；：翻至“下一页”；：翻至“尾页”；：用于指定跳转到任意页；：用于将日志信息保存于本地管理PC，点击按钮，选择本地路径，导出日志信息至本地PC。7典型应用环境配置案例7.1常规环境配置该案例主要用于演示具体的配置流程。7.1.1模拟拓扑图图1常规环境配置拓扑图7.1.2配置信息7.1.2.1SJW77-1配置信息1)网桥设置2)网络地址设置3)路由设置4)绑定远端设备证书5)添加隧道6)添加规则7.1.2.2SJW77-2配置信息1、网桥设置2、网络地址设置3、路由设置4、绑定远端设备证书5、添加隧道6、添加规则7.1.3注意事项常规环境配置主要介绍纵向加密认证装置的配置流程，工程实施过程中，需根据具体的网络环境进行配置。7.2地址借用在网络环境中，时常存在30位掩码的情况，对于透明接入的国电纵向加密认证装置是无法分配IP地址的，那么纵向加密认证装置便需要借用后端设备的IP地址来建立隧道。7.2.1模拟拓扑图拓扑图2地址借用拓扑图7.2.2配置信息7.2.2.1SJW77-1配置信息1)VLAN设置2)网桥设置3)网络地址设置4)路由设置5)ARP绑定6)绑定远端设备证书7)添加隧道8)添加规则9）添加IP报文过滤策略因缺省报文处理策略为丢弃，设备要将协商包、探测包放行才能正常协商通信，须在地址借用备机上配置一条借用地址IP到对端纵向加密认证装置(或对端纵向加密认证装置虚IP或对端借用地址IP)、协议为all的双向转发策略。本例中IP报文过滤策略设置为源地址：20.1.1.253~20.1.1.253，目的地址：30.1.1.10~30.1.1.10，协议：ALL，方向：双向；处理方式：转发。7.2.2.2SJW77-2配置信息1)网络地址设置2)路由设置3)绑定远端设备证书4)添加隧道5)添加规则7.2.3注意事项1、SJW77-1解密后经三层路由转发，所以需要设置相应的子网路由。2、因为SJW77-1采用地址借用模式，所以隧道源地址为20.1.1.253。3、SJW77-2导入SJW77-1的证书，绑定的地址需要设置为借用的地址，即20.1.1.253，隧道的目的地址同样为该地址。4、在IP报文过滤页面，SJW77-1上必须配置一条20.1.1.253到30.1.1.10的双向转发策略，协议为all7.3标准双机纵向加密认证装置在网络环境中做标准双机时，对端设备需要与主备机均建立隧道。建议将与主机之间的隧道设置为主隧道，与备机之间的隧道设置为备隧道，具体设置请参见如下配置信息。7.3.1模拟拓扑图拓扑图3标准双机拓扑图7.3.2配置信息7.3.2.1SJW77-1（主机）配置信息1)网络地址设置2)路由设置3)绑定远端设备证书4)双机配置信息5)添加隧道6)添加规则7.3.2.2SJW77-2（备机）配置信息1)网络地址设置2)路由设置3)绑定远端设备证书4)双机配置信息5)添加隧道6)添加规则2.3.2.3SJW77-3（对端机）配置信息1)网络地址设置2)路由设置3)绑定远端设备证书4)添加隧道5)添加规则7.3.3注意事项1、添加隧道时，主隧道使用“目的地址”，备隧道使用“备用目的地址”。2、标准双机环境中的两台纵向加密认证装置，能够相对独立地工作，能同时对经过自身且命中策略的数据包进行加解密操作。3、心跳口IP地址大的纵向加密认证装置为主机。7.4双机冗余纵向加密认证装置在网络环境中做双机冗余时，对端设备只需与冗余地址建立隧道即可。具体设置请参见如下配置信息。7.4.1模拟拓扑图拓扑图4双机冗余拓扑图7.4.2配置信息7.4.2.1SJW77-1（主机）配置信息1、网络地址设置2、路由设置3、绑定远端设备证书4、双机配置信息5、添加隧道6、添加规则7.4.2.2SJW77-2（备机）配置信息1、网络地址设置2、路由设置3、双机配置信息4、数据同步（该步骤在主机上执行“从本端→双机对端”，或在备机上执行“从双机对端→本端”）7.4.2.3SJW77-3（对端机）配置信息1、网络地址设置2、路由设置3、绑定远端设备证书4、添加隧道5、添加规则7.4.3注意事项1、冗余端的主备机视为一台设备，对端设备只需知晓虚拟地址即可。2、备机无需导入远端设备证书，也不需要添加隧道与规则，在双机配置界面，使用配置信息同步功能，便可从主机上获取以上配置信息。同步成功后，备机自动重启，备机的私钥也将会被主机的私钥替换。3、心跳口IP地址大的纵向加密认证装置为主机。4、主备机之间会自动同步隧道状态与会话密钥。5、纵向加密认证装置在用于双机冗余环境中时，只能使用外网、内网建立桥，外网1和内网1保留不用。6、在双机设备上(SJW77-1/2)配置一条虚地址IP到对端纵向加密认证装置(或对端纵向加密认证装置虚IP或对端借用地址IP)、协议为all的双向转发策略。本例中IP报文过滤策略设置为源地址：10.1.1.30~10.1.1.30，目的地址：20.1.1.10~20.1.1.10，协议：ALL，方向：双向；处理方式：转发。7.5单隧道多VLAN根据电网部署环境要求，需要通过单隧道，实现多VLAN业务保护。7.5.1模拟拓扑图拓扑图5单隧道多VLAN拓扑图7.5.2配置信息7.5.2.1SJW77-1配置信息7)VLAN设置8)网桥设置9)网络地址设置10)路由设置11)绑定远端设备证书12)隧道及规则信息7.5.2.2SJW77-2配置信息7、VLAN设置8、网桥设置9、网络地址设置10、路由设置11、绑定远端设备证书12、隧道及规则信息7.5.3注意事项1、单条隧道内，建立多条规则，达到单一隧道保护多网段业务的目的。2、案例中的网络环境较为简单，所以在工程实施时，需要根据具体的网络情况，配置相应的路由信息。7.6多隧道多VLAN该环境与单隧道多VLAN环境实现的功能相同，区别在于需要为每个网段配置相应的隧道，并在隧道内建立对应的策略。7.6.1模拟拓扑图拓扑图6多隧道多VLAN拓扑图7.6.2配置信息7.6.2.1SJW77-1配置信息1、VLAN设置2、网桥设置3、网络地址设置4、路由设置5、绑定远端设备证书6、隧道及规则信息7.6.2.2SJW77-2配置信息1、VLAN设置2、网桥设置3、网络地址设置4、路由设置5、绑定远端设备证书6、隧道及规则信息7.6.3注意事项单隧道多VLAN与多隧道多VLAN完成相同的功能，区别在于隧道与规则匹配不同，多隧道多VLAN的配置是以一条隧道对应一条规则，而单隧道多VLAN则是一条隧道对应多条规则。7.7双进双出该环境与基本配置功能类似，区别在于需要一台设备上要配置两套网络地址、路由、隧道及策略及证书。7.7.1模拟拓扑图拓扑图7双进双出拓扑图7.7.2配置信息7.7.2.1SJW77-1配置信息1、网桥设置2、网络地址设置3、路由设置4、远端设备证书设置5、隧道及规则设置7.7.2.2SJW77-2配置信息1、网桥设置2、网络地址设置3、路由设置4、证书设置5、隧道设置7.7.2.3SJW77-3配置信息1、网桥设置2、网络地址设置3、路由设置4、证书设置5、隧道设置7.7.3注意事项双进双出设备应尽量配置子网或主机路由以避免因配置缺省网关带来的麻烦。公司总部：中国•四川省成都市高新区云华路333号（610041）电话：028-62386000传真：028-62386030http://www.westone.com.cnE-mail：westone@westone.com.cn北京分公司：中国•北京市南四环西路188号18区6号楼5-9F（100070）电话：010-57533444传真：010-57533385上海子公司：中国•上海市天目西路547号联通国际大厦2508室（200070）电话：86-21-63531663传真：86-21-63541209广州子公司：中国•广州市天河区天河北路898号信源大厦1921室电话：020-38182150传真：020-38182150转0新疆子公司中国•新疆乌鲁木齐人民路1号国际置地B2栋1单元1803室电话：0991-2619630传真：0991-2619630昆明子公司中国•云南省昆明市青年路387号华一广场13楼C座电话：0871-3381602纵向加密认证装置部署PAGE_1341315889.vsd���������_1428234308.vsd�������R1_1428234309.vsd�������R1_1355736341.vsd���������_1414580913.vsd�������_1334647308.vsd���������_1337692947.vsd���_1334647312.vsd���������_1334647306.vsd�证书签发中心