当前位置：文档之家› 先一正向型隔离装置配置

先一正向型隔离装置配置

智能隔离装置（正向型）用户手册

1 产品介绍 (1)

2 产品分发与安装 (3)

3 正向隔离装置配置管理 (5)

3.1 安全策略配置 (5)

3.2 用户管理 (9)

3.3 日志管理 (11)

3.4 系统调试 (12)

4 典型应用环境配置案例 (15)

4.1 二层交换机模式配置 (16)

4.2 三层交换机模式配置 (17)

5 附录 (18)

5.1 串口故障诊断 (18)

5.2 网络故障诊断 (19)

5.3 虚拟主机IP、静态NAT 介绍 (20)

5.4 使用安全隔离装置的建议 (22)

1 产品介绍

电力专用网络安全隔离装置（正向型）用于安全区 I/II 到非安全区III 的单向数据传递。

智能隔离装置网络安全隔离产品(正向型)的硬件结构如下图1 所示。本产品硬件采用X86体系结构高性能嵌入式计算机芯片，双机之间通过高速物理光纤隔离模块进行物理连接。外网串口可以用来连接配置终端，方便管理人员对网络安全隔离设备的控制。

图1 网络安全隔离装置硬件结构图

正向隔离装置的前面板图如下图 2 所示。前面板上网和外网各有 4 个

10M/100M的以太网接口以及各一个配置串口，网配置串口用来配置正向隔离装置网端链路规则，并监控网侧的状态信息，外网配置串口用来配置外网链路规则，并监控外网侧的状态信息，网网口用来连接网，外网网口用来连接外网，外网口的网卡指示灯绿灯亮，表示网口与网络正确连接，黄灯亮表示网络速率是100M，暗表示网络速率是10M，闪烁表示有数据正在接收或发送。

图2 网络安全隔离装置(正向型)前面板图图3 网络安全隔离装置(正向型)后面板图

2 产品分发与安装

网络安全隔离装置（正向型）产品分发包括硬件和软件两大部分。用户在使用本产品时，应先检查硬件产品是否具有先一科技的标志，外观是否有损坏现象。如有以上现象，请勿使用并及时与本公司取得联系，处理相关事宜。为了产品稳定、可靠的运行，请勿私自打开隔离装置机箱。隔离装置随机带有一配置软件安装光盘、一根串口配置线，用于在安装Windows2000/XP/win7/等操作系统的计算机上进行配置。安装完成后，启动配置管理软件，软件界面如下图4 所示。

图 4 正向隔离装置配置软件主界面

网络安全隔离装置的安装和部署非常简单，隔离装置部署在网络的唯一出口

处，通过网接口和外网接口，分别与网和外网相连。网和外网的数据交换必须通过隔离装置，以便保护安全的部网络，安装拓扑图如下图5所示。

图5 隔离装置安装网络拓扑图

3 正向隔离装置配置管理

3.1 安全策略配置

1) 用随机附带的配置串口线连接到安全隔离装置的外网配置串口(console)。

2) 启动安全隔离装置的配置软件，然后点击‘串口配置’菜单，在点击‘串口配置’选项，选择相应的串口，一般配置软件会自动识别本机串口，界面如下图6所示，接着设置好波特率，数据位，超时等(串口配置按默认界面即可)。

图6 安全隔离装置配置软件启动界面

3) 点击‘连接’选项。如果连接成功，系统将会提示成功连接串口(图7)，点击OK即可；如果连接失败，系统也会提示连接串口失败(图8)。程序会反复重连5 次，5 次都失败后，程序会自动退出。用户请参考《附录 5.1 串口故障诊断》一节仔细检查串口设置。排除故障后，再次重试连接。

图7

图8

4) 点击主界面‘规则配置’菜单下的‘配置规则’选项，系统会提示输入用户名和口令(图9)进行权限认证。隔离装置默认的系统管理员用户名为root，密码为root。用户在第一次使用隔离装置后，请立刻修改系统管理员口令。

图9

5) 用户登录成功后，隔离装置会自动导出本地已存在的配置规则(此规则为模板规则，用户安装此规则规配置也可自行配置)，导出成功后进入‘配置系统规则主界面’(图10)配置用户规则。(注意：界面导出的规则是本地的默认规则文件rule.buf，在配置程序的rule文件夹下)

图10

数据综合过滤功能能够为隔离装置提供基本的安全保障，装置根据系统管理员预先设定的规则检查数据包以决定哪些数据容许通过，哪些数据不能通过，保护部安全网络免受外部攻击。

数据过滤依据：

★数据包的传输协议类型，容许TCP和UDP。

★数据包的源端地址，目的端地址。

★数据包的源MAC地址，目的端MAC地址。

综合过滤规则提供网络安全隔离装置允许还是拒绝IP 包的依据,隔离装置

对收到的每一个数据包进行检查，从它们的中提取出所需要的信息，如源MAC 址、目的MAC 地址、源IP 地址、目的IP 地址、协议类型等，再与已建立的规则逐条进行比较，并执行所匹配规则的策略，或执行默认策略。

规则配置中，IP 地址的形式为X.X.X.X的围取0-255,MAC 地址的形式为

XX-XX-XX-XX-XX-XX，其中X 为十二位十六进制数，延时是指本条链路数据包的发送间隔时间，单位是毫秒,默认设置是10ms，在无特殊情况下请勿更改。

常用操作步骤说明

★添加

增加新的规则。当用户要增加了新的规则后，首先点击‘添加’按钮即可将规则添加到配置软件的规则队列中，然后在界面填写相应的配置，填写完后点“修改”按钮，如果需要保存则点击“保存配置”按钮保存到本地默认文件中。

★修改

对已有的规则进行编辑修改。选择要修改的规则，修改规则中的参数后，

点击‘修改’按钮，确认修改；否则不会保存修改过的参数。

★删除

删除一条已有的规则。选择要删除的规则，点击‘删除’按钮，则选定

的规则将被删除；如果需要删除全部规则，点击‘删除全部’按钮即可。

★复制

根据一条已有的规则复制出一条新的规则。选择要复制的规则，点击‘复制’按钮，会复制出一条与原规则相似的规则，在复制规则中修改相应的各项容。修改完毕后，点击‘修改’按钮确认修改。

★保存

保存操作收集各个参数的输入数据，将规则文件保存到配置终端的存

中，还能够将规则保存在本地用户指定的规则文件中。当用户对隔离装置的

规则配置完成后，点击‘保存配置’按钮，提示用户已保存的规则总数并将

规则文件保存在配置终端默认文件中。如果需要保存在本地用户指定的规则文件中，点击‘保存本地’按钮，将规则保存在本地的规则文件中。

★上传配置

将规则文件上传到隔离装置中。在规则配置完成后，点击‘保存配置’按钮，保存规则文件。然后点击‘上传装置’按钮，将规则导入到隔离装置的

安全存储区中。上传配置成功后，系统会提示“上传配置成功”。

★下载配置

导出存储在隔离装置的规则配置文件。点击‘下载配置’按钮，出现

导出系统规则进度条。导出规则成功后，系统会提示成功“下载配置成功”，点击“保存配置”，此时规则文件保存在配置终端的默认配置文件中。

注意：系统默认拒绝所有网络报文通过，只有在规则配置中允许的报文才可以通过。隔离装置不容许出现重复规则，当两条规则的重复时，会出现报警信息，提醒用户对规则进行修改。根据不同的隔离方案，规则有不同的配置，请参考《四、典型应用隔离方案规则设定例》。

3.2 用户管理

为了更好地管理隔离装置，在隔离装置中可以设置两类用户：超级用户和普通用户。超级用户和普通用户的权限不同：超级用户可以增加、删除、修改隔离装置的配置规则，可以增加或删除隔离装置的普通用户，可以查询隔离装置的日志等；普通用户只可以查看隔离装置的配置规则和日志等。(注意：隔离装置现

在只能设置一个超级用户root)

1) 修改口令：点击‘用户管理’菜单下的‘修改口令’选项,系统会验证用户的合法身份（图11），身份认证成功后，自动弹出‘修改口令’窗口(图12)，同时系统会自动锁定当前已经登录的用户名，用户只需输入新口令修

改口令即可。(注意：用户只需要登录隔离装置一次，如果与隔离装置的连

接没有断开，登陆的用户权限一直有效)

图11

图12

2) 用户察看：点击‘用户管理’菜单下的‘察看用户’选项察看用户。察看用户需要使用超级用户root 身份登录(图13)，登录成功后，会出现导出用户列表进度条。导出成功后会自动弹出‘用户列表’窗口(图14)，超级用户在这里可以添加或删除普通用户。添加或删除用户后，点击‘上传’按钮系统会自动更新用户列表。(注意：系统禁止删除超级用户root)

图13

图14

3.3 日志管理

‘日志管理’功能用于查看隔离装置的运行日志，以供用户分析隔离装置的运行状况。登录成功后，会出现系统日志分析界面如下图15所示，输入你要导出日志的链路号，点击“确定”按钮，成功后会自动下载日志到‘日志列表’窗口(图16)，点击‘保存分析结果’按钮可以将日志保存到本地文件。

图15

图16

3.4 系统调试

隔离装置提供了一个非常实用的系统诊断工具，用来诊断隔离装置与网络的连接是否正常。点击‘系统调试’菜单下的‘系统诊断工具’选项诊断网络连接情况(图17)。

1) Ping 诊断命令：

“诊断命令”提供了“ping”命令。通过此命令可以用来诊断隔离装置是否与

外网络物理连接正常。

图17 系统诊断工具

以下是一个网络连接诊断示例：

图18网络连接诊断示例图

网主机真实地址为192.168.10.100,虚地址为192.168.20.240；外网主机真实地址为192.168.20.100,虚地址为192.168.10.240。假设隔离装置与外网络已经连接好,并且已经配置好规则。

具体诊断步骤如下所述:

1、首先测试隔离装置与网的连接是否正常。将配置串口线连接到隔离装置的网配置口,连接串口成功后,选择系统诊断界面中的ping 命令,源地址输入外网主机的虚地址,目的地址输入网主机的真实地址。本例中源地址输入

192.168.10.240,目的地址输入192.168.10.100。

2、点击‘开始调试’按钮,系统会提示正在导出系统调试信息。如果诊断信息为ping success: 192.168.10.100 to 192.168.10.100,则表示隔离装置与网网络连接正常(图19)。否则诊断信息应为ping error。

图19 网络连接诊断结果

3、测试隔离装置与外网的连接是否正常,与测试网连接类似。将配置串口线连接到隔离装置的外网配置口，源地址应该输入网主机的虚地址

(192.168.20.240)，目的地址输入外网主机的真实地址(192.168.20.100)。

2) 远程 Ping 诊断命令：

为了方便用户进行网络链路诊断，隔离装置支持远程ping 诊断。

具体诊断步骤如下所述：

1、首先测试隔离装置与网的连接是否正常。在网通信计算机（如上图

所示的计算机192.168.10.100）上打开windows命令行窗口，运行ping 命令，目标地址为外网的虚拟IP 地址(192.168.10.240)。

如果能ping 通外网的虚拟地址，则表示隔离装置与网网络连接正常，否则

请检查隔离装置与网的网络连接。

2、测试隔离装置与外网的连接是否正常,与测试网连接类似。在外网的通信计算机（如上图所示的计算机192.168.20.100）上打开windows命令行窗口，运行ping 命令，目标地址为网的虚拟IP 地址（192.168.10.240），如果能ping 通网的虚拟地址，则表示隔离装置与外网网络连接正常，否则请检查隔离装置与外网的网络连接。

4 典型应用环境配置案例

网络安全隔离装置针对电力系统四安全区的网络拓扑结构，

采用多种形式满足二次系统安全防护体系的要求。

4.1 二层交换机模式配置

网络环境描述：

网主机为客户端，IP地址为192.168.10.100，虚拟IP为192.168.20.240，MAC 地址为AA-EE-BB-EC-CD-DE；外网主机为服务端，IP地址为192.168.20.100, 虚拟IP为192.168.10.240，MAC地址为AA-EE-BB-EC-CE-DF，假设Server程序数据接收端口为9000。

图20 二层交换机网络拓扑图

图21

注意：

如果隔离装，虚拟置两边主机是同一网段IP地址与真实的IP地址可以设置相同。例如主机C(192.168.10.100)，与主机D(192.168.10.200)进行通信，此时可以把主机C的虚拟IP 地址设置为192.168.10.100，主机D的虚拟IP地址设置为

192.168.10.200。

4.2 三层交换机模式配置

网络环境描述：

网主机为客户端，IP地址为192.168.10.115；外网主机为服务端，IP地址为192.168.20.248，假设Server 程序数据接收端口为9000。隔离装置两端连接的交换机为三层交换机(具有路由功能)。三层交换机与隔离装置网口连接的Vlan 段的IP 地址为192.168.18.135 ，MAC地址00-E0-DE-ED-34-E5。三层交换机与隔离装置外网口连接的Vlan段的IP 地址为192.168.18.136，MAC 地址为

00-E0-DE-ED-78-F7。由于隔离装置两端三层交换机路由功能的存在会修改经它转发出去的数据报文的源MAC地址，修改为三层交换机本身的MAC地址，同时隔离装置两端三层交换机之间要交换ARP报文，因此在规则设置时，需要同时配置两条规则：一条规则为网主机与外网主机之间实际通信的规则，其中网MAC 地址应填写与隔离装置网口连接的三层交换机的MAC地址，外网MAC地址应填写与隔离装置外网口连接的三层交换机的MAC地址，必须设置外网MAC地址绑定。另外一条规则为两台三层交换机之间交换ARP报文的规则，MAC地址的设置与上一条规则相同。(此模式用户暂时不用配置)

图22

实际通信规则配置：

图23

图24

5 附录

5.1 串口故障诊断

用户在配置隔离装置的时候，如果出现串口连接反复失败的情况，可能是由于以下原因造成，请按照以下步骤对串口进行诊断：

1、串口的COM端口选择不正确。查看串口配置线与计算机的哪一个串口连接。一般来说计算机自带的串口A为COM1，串口B为COM2。如果是使用USB转串口线额外增加的串口，需要打开“设备管理器”，在端口选项下具体查看串口使用的COM

分析电力系统二次安全防护的设计

分析电力系统二次安全防护的设计发表时间：2019-08-29T17:21:26.750Z 来源：《建筑细部》2018年第29期作者：刘洋 [导读] 电力系统想要提升安全运行的效率，就不能忽视掉电力系统二次安全防护项目的开展。刘洋国网江苏徐州供电分公司江苏省徐州市 221000 摘要：电力系统想要提升安全运行的效率，就不能忽视掉电力系统二次安全防护项目的开展。现今的电厂非常重视电力系统二次安全防护工作，对于其设计内容的要求也在不断的提升，这对于电力系统二次安全防护设计而言是一个极大的挑战。我们只有做好电力系统二次安全防护设计，才能有效的避免网络病毒的日益侵害，防止其不断的扩展。基于此，本文将对电力系统二次安全防护的设计进行详细的分析与探究，希望可以有效的促进电力系统二次安全防护设计水平的提高。关键词：电力系统；二次安全防护；设计分析随着互联网时代的到来，电力系统中也引入了计算机和互联网技术，以便可以有效的提升电厂的工作效率。但是计算机、互联网的使用也为电厂带来了极大的隐患，网络黑客和病毒的不断增多将有可能对电力系统进行控制与破坏，为此，就需要进行电力系统二次安全防护，以便可以提升对电力系统的网络监控，避免上述情况的发生，使电力系统可以稳定、安全、可靠的运行。因此，加强对电力系统二次安全防护的设计研究是非常具有现实意义的。 1、电力系统二次安全防护设计的重要性随着我国社会与经济的共同发展与进步，人们物质生活水平的不断提高，人们对于电能的需求量也在不断的扩大。为此，就需要我们对电力系统二次安全防护进行优化设计，从而使得电力系统乐意稳定、安全的正常运行，为人们提供稳定的电力输送，并极大的满足人们电能的高需求量。故而，相关工作人员应当重视电力系统二次安全防护设计工作，并严格的按照施工步骤进行，使电力系统二次安全防护设计方案可以被准确的展现出来。与此同时，相关工作人员也要不断的提高自身的设计水平，明确电力系统二次安全防护设计的重要性，进而才能有效的提高电力系统的运行效果与质量，从而促进我国电力行业的可持续发展。 2、规划二次系统的安全分区在电力二次系统安全防护体系当中，安全分区的规划是整个结构完善的基础，因此，规划安全分区对发电厂推行二次系统安全防护具有十分重要的意义。发电厂在进行规划设计的过程中，其内部往往分为两部分，其一就是生产控制大区，另一个则为管理信息大区。其中生产控制大区还可以继续细分为非控制区和控制区两大类，在安全区内部将会安置各式各样系统，可以说安全区的稳定对电力系统的正常运行具有十分重要的意义，安全区内部的系统涉及影响到电厂各项业务之间的信息交流以及设备的正常使用等等，也就是说通过将相应的系统全部安置在安全区内能够确保电厂内部的通信稳定，避免受到其他因素的干扰和影响。 3、二次系统总体安全防护方案电力二次系统安全防护体系的构建对保障电厂电力系统的安全稳定具有十分重要的意义。为了确保电厂推行二次系统安全防护的过程能够有序的进行，需要按照下列的方案进行执行：（1）在方案的规划与设计过程中，任何涉及到电力二次系统相关系统的内容都必须严格遵）守国家所制定的相关要求，严格遵循行业所制定的规范，这是建立电力二次系统安全防护体系的重要前提。（2）为确保安全，在安全分区规划设计结束之后，生产控制大区同管理信息大区之间需要按照规定安置隔离装置一SYSKEEPER2000 正向隔离装置。（3）为加强电力系统的防护，生产控制大区内部的各项业务系统之间都将采取一系列的隔离措施和手段，通过隔离来保障各项系统之间操作工作的相互独立。（4）为了避免遭受网络病毒以及网络黑客的攻击，生产控制大区的各项系统严禁接入互联网通信，同时，只有确保在离线状态下才能够对各业务系统的防病毒系统进行升级，以免遭受病毒的侵入。（5）除去在网络系统上的诸多限制之外，任何接入电力二次系统安全区的产品也必须严格遵循有关的规定和需求，其产品的使用必须得到国家或者有关部门的认证，只有满足上述条件才能够进行产品的使用。（6）为避免遭受网络黑客和病毒的攻击，整个安全区内的服务器和工作禁止同互联网相连。 4、各业务系统安全防护措施 4.1 DCS系统及全厂辅控系统在整个电力安全防护系统当中，全厂各辅助控制系统都是彼此独立的网络系统，对于DCS 系统来说也并不例外，上述各系统中，都同SIS 系统存在在单向通讯，以防止病毒通过外部接口进行非法入侵。其中，DCS 将会提供 OPC 服务器、DMZ 交换机，其内部自身的防火墙同样会起到隔离防护的作用，也就是说 DCS 系统将会提供三种隔离方式。其中，DCS 的交换机将会同 OPC 的服务器以及 SIS的接口机进行相连，并且借助于其内部自身的防火墙来最终实现单向通讯的功能，通过采取这样的方式，使得 DCS 系统的控制信息得以传递到 SIS 系统，然而，SIS 系统则无法对DCS 系统进行控制知识，利用这样的方法，能够确保电厂内部数据信息的单向性从而保证系统的安全。 4.2 继电保护及故障信息管理系统继电保护系统的同其他系统相比，其在设计上并不存在同其他系统进行网络通讯的功能，其直接通过数据交换机与主控制系统进行通信联系。 4.3 SIS系统 SIS 系统无生产控制功能，所以在设计时将其放在控制区安全 II 区，是一个独立的网络系统。SIS 系统并无直接的生产控制功能，因此，其在安置上同其他系统相比也略有不同，SIS 系统被安置在控制区安全 II 区，其自身具备独立运作的网络系统。设计人员在对其进行设计建设时充分考虑了两方面的功能，其分别是下层控制系统层以及 MIS 层。对于 SIS 系统以及控制系统而言，其所处的位置全部属于生产控制大区之中，但二者之间却又被互相隔离。SIS 系统一份十分重要的功能就是为每个相互独立的控制系统提供相互独立的 VLAN，使其能够确保不同的控制系统彼此之间能够相互隔离，借助于这样的方式，能够帮助不同的控制系统分别采用不同的网段隔离方式，来达到隔离和减少网络负荷的作用。在对网段进行隔离的过程中，将会借助于网关来实现，为了避免受到外界网络病毒的干扰和影响，将会在每一台接口机上安装杀毒软件来对控制系统进行保护，防止遭受病毒入侵。SIS 系统所构建形成的系统网络，其仍属于电厂的内网，由于内