文档介绍:纵向加密NetKeeper-2000调试手册
一、产品介绍
电力专用加密认证网关安置在电力控制系统的内部局域网与电
力调度数据网络的路由器之间, 用来保障电力调度系统纵向数据传输
过程中的数据机密性、完整性和真实性。
按照“密网关的备设备证书名称需与初始化导入的对端备加密网关证书名称一致
隧道周期:隧道密钥的存活周期(以小时为基本计量单位)。超过设定的存活周期,装置会自动重新协商密钥。
隧道容量:为隧道内可加解密报文总字节数的最大值,在隧道内加解密报文的总字节数一旦超过此值,隧道密钥立刻失效,装置会自动重新协商密钥。
策略配置
加密通信策略用于实现具体通信策略和加密隧道的关联以及数
据报文的综合过滤, 加密认证网关具有双向报文过滤功能, 与加密机
制分离,独立工作,在实施加密之前进行。
隧道ID:为隧道配置中设定的隧道 ID信息。通过此信息, 可以
将策略关联到具体的隧道 ,以便对需要过滤的报文进行加解密处理。
工作模式:工作模式分为明通、加密或者选择性保护。
源起始地址和源目的地址 :本端通信网段的起始和终止地址, 如
果为单一通 信节点,则源起始地址和源目的地址设置为相同。
目的起始地址和目的终止地址 :对端通信网段的起始和终止地
址,如果为单 一通信节点,则目的起始地址和目的终止地址设置为
相同。如果对端网关启 用地址转化功能,则目的地址为对端网关的
外网虚拟 IP地址。
协议:支持TCP、UDP、ICMP等通信协议。
传输方向:此配置字段可以控制数据通信的流向,分为内 ->外、
外->内和双 向。
源起始端口和源终止端口 :通信端口配置范围在 0-65535之间。
目的起始端口和目的终止端口 :通信端口配置范围在 0-65535
之间。对于通信进程的服务端,起始和终止端口可配置为相同。
地址转换配置
加密认证网关系统支持地址转换 (源地址转换和目的地址转换) ,
保护内网私有地址。
某些环境下内网私有地址对外提供网络服务, 为了保证内网资源
的安全,这时可以将内网的网络服务映射到加密网关的外网虚拟地址
上,外网用户可通过访问加密网关的外网虚拟地址的服务达到访问内
网服务的目的。在这种转换方式下, 需要开启加密网关的目的地址转
换功能。
桥接配置
桥接工作模式的作用相当于一个局域网交换机, 可以实现将装置
的某几个网卡虚拟成一个网卡和外界通信, 用户可以将虚拟网卡当成
具体的网卡来使用, 可以在隧道配置中设置相应的规则, 以虚拟网卡
地址和对端的加密网关协商从而实现多入多出的通信
ARP 绑定
借用地址环境下, 装置往往需要内网借用外网路由器的地址, 外
网借用内网交换机的地址, 这时候装置不能主动获得路由器和交换机
的MAC地址,所以需要我们将路由器和交换机的 MAC地址和各自的
IP 绑定。
网口MAC配置
在网络管理中, IP地址盗用现象经常发生,不仅对网络的正常
使用造成影响,同时由于被盗用的地址往往具有较高的权限, 因而也
对用户造成了大量的经济上的损失和潜在的安全隐患。为了防止 IP