NetKeeper-2000用户手册(105页).doc

《NetKeeper-2000用户手册(105页).doc》由会员分享，可在线阅读，更多相关《NetKeeper-2000用户手册(105页).doc（103页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-NetKeeper-2000L加密认证网关用户手册2007年7月第 103 页-注意：本白皮书中的内容是南瑞加密认证关用户手册。本材料的相关权利归南瑞集团公司信息系统分公司所有。白皮书的任何部分未经本公司许可，不得转印、影印或复印。南瑞加密认证网关用户手册Version31.0 20087-97-20南瑞集团公司信息系统分公司All rights reserved本资料将定期更新，如预获取最新相关信息，请访问南瑞集团公司网站：您的意见和建议请发送至：南瑞集团公司信息系统分公司南京南瑞路8号，210003电话（TEL）:025-83096601(市场部) 025-83096702025-830

2、96712(技术支持) 传真（FAX）:025-83096701目 录一、产品介绍61.1产品部署环境61.2 产品外观与结构6二、产品分发与安装8三、加密认证网关配置管理93.1 系统初始化93.1.1 通信初始化93.1.2 初始化113.2证书申请143.3 安全管理153.3.1证书管理153.3.2 远程监控173.4 安全策略配置173.4.1 系统信息配置183.4.2 网络信息配置193.4.3 路由信息配置203.4.4 隧道配置213.4.5 策略配置233.4.6 地址转换配置253.4.7桥接配置（多进多出配置）263.4.8 MAC地址绑定273.5 信息查询283.

3、5.1 隧道管理283.5.2 链路管理293.6 系统调试303.6.1 网关硬件诊断303.6.2 SPING调试313.7 日志管理313.8 配置备份和恢复32四、典型应用环境配置案例334.1 明通模式配置334.1.1 系统配置344.1.2 网络配置344.1.3 路由配置344.1.4 隧道配置354.1.5 策略信息配置354.2 路由配置354.2.1 系统配置364.2.2 网络配置364.2.3 路由配置364.2.4 隧道配置374.2.5 策略配置374.3 VLAN环境配置374.3.1 系统配置384.3.2 网络配置384.3.3 路由配置384.3.4 隧道

4、配置394.3.5 策略配置394.4 NAT模式配置394.4.1 系统配置404.4.2 网络配置404.4.3 路由配置414.4.4 隧道配置414.4.5 地址转化配置414.4.6策略配置434.5网桥模式配置434.5.1系统配置444.5.2桥接配置444.5.3网络配置454.5.4路由配置464.5.5隧道配置464.5.6策略配置474.6 借用地址配置474.6.1 网络配置484.6.2 MAC地址绑定配置484.7 双机配置484.7.1 网络配置494.7.2 MAC地址绑定配置504.7.3 隧道配置505 系统指标505.1 硬件指标505.2性能指标：51附

5、录1:证书签发说明（v1.0）51一、产品介绍51.1产品部署环境51.2 产品外观与结构6二、产品分发与安装8三、加密认证网关配置管理93.1 系统初始化93.1.1 通信初始化93.1.2 初始化103.2证书申请143.3 安全管理153.3.1证书管理153.3.2 远程监控173.4 安全策略配置173.4.1 系统信息配置183.4.2 网络信息配置193.4.3 路由信息配置203.4.4 隧道配置213.4.5 策略配置223.4.6 地址转换配置243.4.7桥接配置（多进多出配置）253.4.8 MAC地址绑定263.5 信息查询273.5.1 隧道管理273.5.2 链路

6、管理283.6 系统调试293.6.1 网关硬件诊断293.6.2 SPING调试303.7 日志管理303.8 配置备份和恢复31四、典型应用环境配置案例324.1 明通模式配置324.1.1 系统配置334.1.2 网络配置334.1.3 路由配置334.1.4 隧道配置344.1.5 策略信息配置344.2 路由配置344.2.1 系统配置354.2.2 网络配置354.2.3 路由配置354.2.4 隧道配置364.2.5 策略配置364.3 VLAN环境配置364.3.1 系统配置374.3.2 网络配置374.3.3 路由配置374.3.4 隧道配置384.3.5 策略配置384.

7、4 NAT模式配置384.4.1 系统配置394.4.2 网络配置394.4.3 路由配置394.4.4 隧道配置404.4.5 地址转化配置404.4.6策略配置414.5网桥模式配置414.5.1系统配置424.5.2桥接配置424.5.3网络配置434.5.4路由配置444.5.5隧道配置444.5.6策略配置454.6 借用地址配置454.6.1 网络配置464.6.2 MAC地址绑定配置464.7 双机配置464.7.1 网络配置474.7.2 MAC地址绑定配置484.7.3 隧道配置485 系统指标485.1 硬件指标485.2性能指标：49附录1:证书签发说明（v1.0）49附

8、录2:图片列表51一、产品介绍61.1产品部署环境61.2 产品外观与结构6二、产品分发与安装8三、加密认证网关配置管理93.1 系统初始化93.1.1 通信初始化93.1.2 初始化113.2证书申请143.3 安全管理153.3.1证书管理153.3.2 远程监控173.4 安全策略配置173.4.1 系统信息配置183.4.2 网络信息配置193.4.3 路由信息配置203.4.4 隧道配置213.4.5 策略配置233.4.6 地址转换配置253.4.7桥接配置（多进多出配置）263.4.8 MAC地址绑定273.4.9 ARP代理273.5 信息查询293.5.1 隧道管理293.5

9、.2 链路管理303.6 系统调试303.6.1 网关硬件诊断303.6.2 SPING调试313.7 日志管理323.8 配置备份和恢复33四、典型应用环境配置案例344.1 明通模式配置344.1.1 系统配置344.1.2 网络配置354.1.3 路由配置354.1.4 隧道配置354.1.5 策略信息配置364.2 路由配置364.2.1 系统配置374.2.2 网络配置374.2.3 路由配置374.2.4 隧道配置374.2.5 策略配置384.3 VLAN环境配置384.3.1 系统配置384.3.2 网络配置394.3.3 路由配置394.3.4 隧道配置394.3.5 策略配

10、置404.4 NAT模式配置404.4.1 系统配置404.4.2 网络配置414.4.3 路由配置414.4.4 隧道配置414.4.5 地址转化配置414.4.6策略配置434.5网桥模式配置434.5.1系统配置444.5.2桥接配置444.5.3网络配置454.5.4路由配置464.5.5隧道配置464.5.6策略配置474.6 借用地址配置474.6.1 网络配置484.6.2 ARP代理配置484.6.3 MAC地址绑定配置484.7 双机配置494.7.1 网络配置494.7.2 ARP代理配置504.7.3 MAC地址绑定配置504.7.4 隧道配置505 系统指标505.1

11、硬件指标505.2性能指标：51附录1:证书签发说明（v1.0）52附录2:图片列表54一、产品介绍1.1产品部署环境电力专用加密认证网关安置在电力控制系统的内部局域网与电力调度数据网络的路由器之间，用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性和真实性。按照“分级管理”要求，纵向加密认证网关部署在各级调度中心及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构，如下图所示。图表 1 加密网关部署示意图1.2 产品外观与结构NetKeeper-2000L纵向加密认证网关是南瑞信息系统分公司在成功开发NetKeeper-

12、2000纵向加密认证网关(百兆级)的基础上，研制的新一代高性能加密认证网关。NetKeeper-2000L纵向加密认证网关在网络环境接入的适应性、数据加密性能、网络吞吐率、系统高可靠性保障技术等方面代表了加密认证网关的发展趋势，在行业内处于领先水平。（这个图片药换成3型的）图表 2 NetKeeper-2000L纵向加密认证网关NetKeeper-2000L2000加密认证网关的硬件结构如下图所示，硬件系统基于高性能RISC体系架构，主板集成57个以太网接口；串口用于对加密认证网关进行监控管理，高性能电力专用密码卡单元（内嵌电力专用密码算法和RSA公私密钥算法）对网络通信数据进行加密与认证；双

13、机接口支持加密认证网关的双机热备和链路冗余备份，避免重要数据的丢失；硬件看门狗实时监控系统状态，保证加密认证网关稳定、可靠运行。图表 3 加密认证网关硬件结构图加密网关的前面板图有810组指示灯，分别是双电源指示灯（POWER）、告警指示灯（ALARM）、读写器指示灯（ICSTA/ICACT）、加解密指示灯（ENCSTA/ENCACT）、五七组网络接口指示灯（FE0-FE46 SPD/LNK/ACT）。电源指示灯标识双电源的工作状态，红灯亮表示电源模块工作正常；告警灯亮并伴有声音告警表示加密认证网关受到异常网络攻击或者处于非稳定工作状态，管理员可以通过日志信息综合判断网关的工作情况；加解密EN

14、CSTA灯亮表示电力专用数据密码卡处于正常状态，加解密ENCACT灯闪烁表示密码卡正在加解密数据；智能读写器ICSTA灯亮表示读写器处于正常状态，ICACT灯闪烁表示数据正在被读取。五七组网络接口LNK灯亮表示网卡与网络正确连接，网络接口ACT灯闪烁表示网卡正在接收或发送数据。加密网关的后面板图设计有双电源，有一个电源作为主电源供电，另一个做辅电源备份，这种设计可以有效地提高电源工作的可靠性及延长整个系统的平均无故障工作时间，最右边是电源开关1，然后是电源插座1，电源开关2，电源插座2；Console口用来对加密网关进行监控；57个网口（FE0FE46）可以灵活配置为内网接口或外网接口。二、产

15、品分发与安装NetKeeper-2000L2000加密认证网关完整的产品分发包包括硬件和软件两大部分。用户在使用本产品时，应先检查硬件产品是否具有NARI标志，外观是否有损坏现象。如有以上现象，请勿使用并及时与我公司取得联系，处理相关事宜。为了保障产品稳定、可靠的运行，请用户不要私自打开加密认证网关机箱。加密认证网关随机带有配置软件光盘、一根网络配置线、一根串口配置线，配置软件可以安装在Windows2000/XP/NT/9x操作系统的计算机上。（注：配置计算机必须要有java运行环境支持）。安装完成后，启动配置管理软件，软件界面如下图所示。图表 4 加密网关配置软件图表 4 加密认证网关配置

16、软件加密认证网关用于安全区I/II的广域网边界保护，网关部署对应用完全透明。通过加密网关的内网接口和外网接口，分别与内部局域网和外部广域网连接，为网关机之间的广域网通信提供具有认证、加密功能的VPN，实现数据传输的机密性、完整性保护。用户可以通过配置管理程序对加密网关进行相应的设置，具体的配置管理请参见下节。三、加密认证网关配置管理3.1 系统初始化加密认证网关投入使用前，需要进行设备的初始化操作，初始化操作内容包括安装调度证书服务系统根证书、装置管理系统证书、本装置的主备操作员证书、与本装置通信的对端设备证书以及本装置的设备私钥。上述证书由调度证书服务系统生成并签名，存储在纵向加密认证网关的

17、安全存储区中。3.1.1 通信初始化1) 将本地配置计算机地址设置为11.22.33.43, 掩码为255.255.255.0 ，用随机附带的网络配置线（交叉线）连接到加密认证网关的配置接口(etheth46)。2) 启动加密认证网关的配置软件，出现如下的软件主界面：图表 4 加密认证网关配置软件启动界面3) 点击用户登录连接网关，软件系统会自动和加密网关服务程序建立连接。，并提示成功或是失败消息。装置的地址信息可点击右侧按钮进行选择(默认的用户名是test,密码是123456),如下图所示:图表 6 登陆界面图表7非安全用户登陆4）第一次登陆加密装置是非安全用户，需要先进行用户管理，添加安全

18、用户并保存上传。图表8 安全用户添加并保存上传5）上传之后，退出程序重新连接，输入刚刚添加的安全用户，初试密码是123456图表 6 登陆装置3）成功连接后，系统会提示输入pin码等待系统初始化.图表 5 系统检测提示信息PIN码验证4）系统登陆成功后,所有菜单都激活,可以配置.图表 810系统认证通过后的配置界面3.1.2 初始化下面结合电力二次系统实际情况对初始化的过程进行描述：图表 911 系统初始化的配置界面1. 导入调度CA根证书。2. 导入网省调的根证书（二级CA证书）。3. 导入与本装置通信的对端节点设备证书。4. 导入装置管理系统证书。以上的步骤，第 1、3部是初始化过程必须的

19、操作，不可忽略，其它的操作步骤由用户根据现场实际情况进行选择。1) 点击密钥管理 “初始化网关”，生成装置公私密钥对。如下图所示。图表 102 加密网关初始化界面加密卡密钥生成成功后提示成功信息,然后可以生成加密卡的证书请求(装置的证书请求).2) 制作加密网关设备证书请求文件。点击密钥管理 “初始化网关”，则弹出填写设备证书请求的对话框，如下图所示： 图表 113生成证书请求主体名称：加密网关的唯一标识，建议采用装置所在厂站名组织名：GDD（默认）所在地名称：厂站所在地名称中国：CN（默认） 单位代码：签发单位名称E-Mail: 按照上述说明填写后，点击“生成证书请求”按钮，将生成的证书请求

20、文件保存在本地安全存储介质中并提交给调度证书管理系统进行签发。具体签发过程请参见3.2节证书申请。 证书请求生成成功后后弹出成功信息,紧接着下载证书请求到配置机器上.图表 124 CSR生成提示图表 8 13 文件下载目录图表 9 14 CSR下载成功提示3) 导入调度CA的根证书。这是后续对其它实体证书进行验证的基础，点击密钥管理“证书管理”，则主界面会转入证书管理界面，如下图所示,选择上传证书系统会弹出上传证书界面如图12所示，选择证书类型为一级证书并导入，则系统会提示成功验证与否。图表 1105上传证书4) 导入中级CA证书(网省调证书)。操作方法同上.5) 导入主备操作员证书。操作方法

21、同上.6) 导入装置管理系统证书。操作方法同上.7) 导入和本地加密网关通讯的对端设备证书。操作方法同上. 导入全部证书后，点击 重新检验系统的初始化工作。先插入密钥管理卡，并进行登陆，系统会检查当前的初始化状态，判断装置是否正确初始化，并提示用户。图表 11 16 初始化完成后的证书界面3.2证书申请在加密认证网关初始化的过程中，需要将生成的加密网关证书请求文件提交给电力调度证书服务系统进行签发，生成网关设备证书。具体流程如下所述。加密网关生成证书请求文件后，将证书请求文件以可存储介质形式拷贝到各级调度证书系统上（国调、网调、省调），并以系统 “录入员” 身份用UsbKey登陆证书系统；选择

22、 “导入证书请求信息” 按钮，点击 “导入” 按钮，则将请求信息输入到证书系统，根据电力证书系统操作规范的流程，经由“审核员” 审核，“签发员” 签发出设备证书和操作员证书。图表 12 17 加密认证网关证书请求信息录入与制作注：在不具备调度证书系统的条件下，可以采用配套光盘里的专用证书工具签发证书。具体使用请参考附录一证书签发说明3.3 安全管理加密认证网关的安全管理包括证书管理、远程监控等。3.3.1证书管理装置在初始化和正常工作状态下，用户均可对装置的证书列表进行查询，以便对当前合法的证书列表进行管理。单击“密钥管理”“证书管理”，进入证书管理界面后单击下载证书列表，如下所示。图表 13

23、18证书下载等待信息证书文件列表导出后，加密网关配置管理程序会自动解析信息并且显示在当前证书管理界面上，如下图所示。（表示当前加密网关已经配置了CA根证书，主、备操作员卡证书，已经基本完成了初始化，处于工作状态。）图表 19 14加密网关证书管理界面选中目标证书，并点击 “察看证书”按钮，则会显示证书详细信息，如下图所示。此时证书被下载到配置程序安装目录下的config文件夹.同样，选中目标证书，并点击“删除证书” 按钮，将删除对应证书。图表 20 15证书详细信息图表 2116 证书编码信息3.3.2 远程监控根据电力二次系统安全防护的规定和纵向加密认证装置的管理体制，加密认装网关支持远程集

24、中监控管理。装置管理系统（管理中心）为调度中心所辖的加密认证装置提供远程安全管理服务。调度中心的加密装置及下属的加密装置由装置管理系统直接管理。此时，装置管理系统(管理中心)与加密装置是网络上通信的实体。装置管理系统通过经过认证加密的管理报文实现对纵向加密认证网关的监测。具体的监控内容及装置管理系统的使用见加密认证网关装置管理系统用户使用手册3.4 安全策略配置加密认证网关位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，为透明安全防护装置。网关的内网接口连接内部局域网，外网接口连接数据网，每个网络接口可以设置一个或者多个虚拟地址。加密认证网关的安全策略设置主要包括系统配置、IP地址

25、配置、IP路由，VLAN，规则，隧道信息，管理信息等。主配置界面如下图所示图表 2217 主配置界面主配置界面左侧的编辑功能键描述如下，在其他的信息配置界面中编辑功能键的作用类似，下文中只以相应的图标加以表示,具体功能不再赘述。：打开配置或新建配置文件：保存配置：另存配置将配置信息保存至本地：上传配置信息至装置：下载装置配置信息到本地：建立新的配置信息：删除相关的配置信息：复制资源：粘贴资源：编辑资源3.4.1 系统信息配置系统配置主要配置加密认证网关的系统信息，主要包括以下几个内容：系统名称：装置的名称，便于远程标识装置的基本信息。网关地址：加密网关的外网地址或者外网卡上用于被管理或审计所设

26、置的地址。远程地址：远程的装置管理系统、日志审计系统或者远程调试计算机的网络地址。系统类型：包括装置管理、日志审计、远程调试证书：在系统类型配置为装置管理时必须配置相应的装置管理的证书名称在这个界面中可以对装置系统信息作一系列操作例如：增加、修改、删除、上传、下载等。点击“规则配置”-“系统管理”，选中某一条系统信息规则之后点击（编辑资源），若原先没有相应的网络信息规则可以先点击（新建资源）并将其选中后点击编辑资源进入具体界面如下图所示图表 2318 装置系统配置信息3.4.2 网络信息配置加密认证网关共有57个7以太网接口，其中任意网口都可以设置成内网口或者外网口。在实际的配置中，需要对加密

27、认证网关的网络接口配置虚拟地址以便和内外网进行通信，内外网虚拟地址可以为相同网段，也可以为不同网段。在网络信息配置界面中可以对装置网络信息作一系列的配置如：增加、修改、删除、上传、下载等。点击规则配置“网络配置”进入配置主界面之后选中相应的网络配置信息点击（编辑资源），若原先没有相应的网络信息规则可以先点击（新建资源）再点击编辑资源进入网络配置界面，如下图所示。图表 24 19装置地址配置网络接口：为所要配置的装置网口的名称，例如eth0/eth1等接口类型：为装置网口的类型，分别有PRIVATE（内网口）、PUBLIC（外网口）、BACKUP（互备口）、CONFIG（配置口）、BRIDGE（

28、桥接口）IP地址：为所要配置网口的IP地址子网掩码：为所要配置网口的掩码接口描述：为所要配置网口的相关描述信息VLANID：为所要配置网口的VLAN ID信息3.4.3 路由信息配置加密认证网关需要对加密和解密过的IP报文进行路由选择，路由配置信息针对加密网关的内外网虚拟地址，通过路由地址关联内外网的网络地址信息。在这个界面中可以对装置路由信息作一系列的配置例如：增加、修改、删除、上传、下载等。点击规则配置“路由配置”进入路由配置界面，之后选中相应的路由配置信息点击，若原先没有相应的路由信息规则可以先点击（新建资源）再点击编辑资源进入路由配置界面，如下图所示。图表 20 25 路由信息配置路由

29、名称：路由信息的名称描述网络接口：要用到路由的出口网卡的名称一般为外网口。目的网络：要实现通信的外网侧的所在网段。目的掩码：为路由信息的目的网络地址的子网掩码。网关地址：加密网关的外网口通信地址 VLANID:为所要配置的网口vlan信息。 3.4.4 隧道配置隧道为加密认证网关之间协商的安全传输通道，隧道成功协商之后会生成通信密钥，进入该隧道通信的数据由通信密钥进行加密，隧道可以设置隧道周期和隧道容量，当隧道的通信时间达到指定传输周期后或者数据通信量达到指定容量后，加密网关之间会重新进行隧道密钥的协商，保证数据通信的安全。点击规则配置“隧道配置”进入隧道配置界面，之后选中相应的隧道配置信息点

30、击，若原先没有相应的隧道信息规则可以先点击（新建资源）再点击编辑资源进入隧道配置界面，如下图所示:图表 21 26 隧道配置隧道名称:隧道的相关描述。隧道ID: 隧道的标识，关联隧道的所有信息。隧道模式:隧道模式分为两类：加密、明通。明通模式下，隧道两端装置不进行密钥协商，隧道中的所有数据只能通过明通方式（但可以对数据包进行安全过滤与检查，即只有配置了相关的通信策略的数据传输才能通过装置，否则装置会将不合法的报文全部丢弃）进行传输；加密模式下，隧道中的数据报文会根据协商好的密钥将相关通信策略的数据报文进行封装和加密，保证数据传输的安全性。隧道本端地址：为本端隧道的地址，即本侧加密网关的外网虚拟

31、IP地址。隧道对端主地址：为对端隧道的主地址，即对端加密网关（主机）的外网虚拟IP地址。主装置证书名称：对端主隧道的证书名称。对端加密网关的主设备证书名称需与初始化导入的对端加密网关证书名称一致。隧道对端备地址：为对端隧道的备用地址，即对端加密网关（备机）的外网虚拟IP地址。如果对端无备用装置，则隧道备地址为0。备装置证书：对端备隧道的证书名称。对端加密网关的备设备证书名称需与初始化导入的对端备加密网关证书名称一致隧道周期：隧道密钥的存活周期（以小时为基本计量单位）。超过设定的存活周期，装置会自动重新协商密钥。隧道容量：为隧道内可加解密报文总字节数的最大值，在隧道内加解密报文的总字节数一旦超过

32、此值，隧道密钥立刻失效，装置会自动重新协商密钥。3.4.5 策略配置加密通信策略用于实现具体通信策略和加密隧道的关联以及数据报文的综合过滤，加密认证网关具有双向报文过滤功能，与加密机制分离，独立工作，在实施加密之前进行。过滤策略支持：源IP地址（范围）控制；目的IP地址（范围）控制；源IP（范围）目的IP地址（范围）控制；协议控制；TCP、UDP协议端口（范围）控制；源IP地址（范围）TCP、UDP协议端口（范围）控制；目标IP地址（范围）TCP、UDP协议端口（范围）控制。点击“规则配置”“策略配置”进入策略配置界面，之后选中相应的策略配置信息点击，若原先没有相应的策略信息规则可以先点击（新

33、建资源）再点击编辑资源进入策略配置界面，如下图所示:图表 22 27 策略配置注意：如果对端加密认证网关存在备机，应该配置两条相同的策略，只是关联的隧道ID不同。隧道ID：为隧道配置中设定的隧道ID信息。通过此信息，可以将策略关联到具体的隧道,以便对需要过滤的报文进行加解密处理。工作模式：工作模式分为明通、加密或者选择性保护。源起始地址和源目的地址：本端通信网段的起始和终止地址，如果为单一通信节点，则源起始地址和源目的地址设置为相同。目的起始地址和目的终止地址：对端通信网段的起始和终止地址，如果为单一通信节点，则目的起始地址和目的终止地址设置为相同。如果对端网关启用地址转化功能，则目的地址为对

34、端网关的外网虚拟IP地址。协议：支持TCP、UDP、ICMP等通信协议。传输方向：此配置字段可以控制数据通信的流向，分为内-外、外-内和双向。源起始端口和源终止端口：通信端口配置范围在065535之间。目的起始端口和目的终止端口：通信端口配置范围在065535之间。对于通信进程的服务端，起始和终止端口可配置为相同。3.4.6 地址转换配置加密认证网关系统支持地址转换（地址伪装、源地址转换和目的地址转换），保护内网私有地址。 加密网关开启IP伪装功能时，当数据包经过加密网关发送到外部网络时，会将数据包的源地址改变成加密网关的外网虚拟地址，而经过转换的数据包可以在外网中完整路由。此时内网地址为需要

35、地址转换的内网网络地址，外网地址为伪装地址。有时候内网私有地址对外提供网络服务，为了保证内网资源的安全，这时可以将内网的网络服务映射到加密网关的外网虚拟地址上，外网用户可通过访问加密网关的外网虚拟地址的服务达到访问内网服务的目的。在这种转换方式下，需要开启加密网关的目的地址转换功能。点击“规则配置”“地址转换”进入地址转换配置界面，之后选中相应的地址转换配置信息点击，若原先没有相应的地址转换信息规则可以先点击（新建资源）再点击编辑资源进入地址转换配置界面，如下图所示:：图表 2328桥接网络接口选择地址转换配置NAT描述：地址转换信息的描述类型选择：选择地址转换的类型具体类型有源地址转换、目的

36、地址转换，地址转换内网地址：为提供服务的内网主机地址内网端口：为内网服务端口外网地址：为加密网关的外网虚拟地址外网端口：为内网服务端口的映射网络接口：配置地址转换的网络接口名称3.4.7桥接配置（多进多出配置）多进多出工作模式其作用就相当于一个局域网交换机，可以实现将装置的某几个网卡虚拟成一个网卡和外界通信，用户可以将虚拟网卡当成具体的网卡来使用，可以在隧道配置中设置相应的规则，以虚拟网卡地址和对端的加密装置协商从而实现多入多出的通信，相关的网络拓扑如下图所示：图表 2429桥接示例具体配置如下：进入网桥配置界面，点击编辑资源，进入具体网桥配置界面如下图所示图表 3025 桥接网络接口选择可以

37、将某几个网卡（装置共有7个网卡可以使用）加入到一个虚拟网卡中，点击确认保存之后，虚拟网卡的名字就即可在以后的配置中使用。例如在配置网络信息时可以为虚拟网卡设置相应的网络地址信息。在网络配置界面中将网络接口设成BRIDGE，接口描述为虚拟网卡的名称，配置后的界面如下图所示。图表 3126 桥接配置信息3.4.8 MAC地址绑定在网络管理中，IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。为了防止IP地址被盗用，可以在代理服务器端分配IP地址时，把IP地址与网卡地址进行捆绑。MAC地址绑定模块用于

38、实现将具体的通信地址和网卡绑定，只允许相应的mac地址的网卡使用某个IP地址和外界通信，如果更换网卡就必须重新进行相应的配置。具体配置如下：点击规则配置“ARP绑定”进入MAC绑定的主操作界面，界面中有IP地址和MAC地址选项，IP地址中填入相应地址，MAC地址中填入路由接口的地址实现ARP绑定.3.4.9 ARP代理.当加密网关采用透明模式时需要配置ARP代理。内网（可以仍含有路由器或子网，依次类推）、加密网关、路由器的位置大致如下：内网加密网关路由器内网主机要想实现透明访问路由器，必须能够传送其和路由器之间的ARP包，而此时由于内网和路由器之间无法连通，加密网关就必须配置成一个 ARP代理

39、（ARP Proxy）在内网主机和路由器之间传递ARP包。加密网关所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时，加密网关用和路由器相连接口的MAC地址回送ARP包；内网内某一主机发送ARP广播包询问路由器的硬件地址时，加密网关用和内网相连接口的MAC地址回送ARP包，因此路由器和内网主机都认为将数据包发给了对方，而实际上是交给了加密网关进行转发。.IP地址: 与该网络接口相连的内网或外网的网络地址（如果是单台设备，则为所代理的设备IP地址） 网络接口:启用ARP代理的网络接口接口信息（与IP地址同侧的网络接口） 启动代理:设置静态路由启动ARP代理,反之删除路由禁止AR

40、P代理.图表 27 ARP代理配置3.5 信息查询3.5.1 隧道管理图表 32 28隧道列表示意图加密网关配置管理软件可以实时浏览装置的隧道信息,只要点击左侧的更新按钮. 隧道信息按照列表和图标两种显示方式方便用户审阅.选中某个隧道后可以通过重置按钮,对隧道重置,让其重新协商. ID: 隧道的ID信息;状态: 隧道正常 , 隧道异常;热备: 对端装置是主机 对端装置是备机;统计信息:图表 33 29隧道拓扑示意图3.5.2 链路管理加密网关配置管理软件实时显示装置链路信息,链路的状态和链路的统计信息。用户只需点击左侧的更新按钮就可以实时查询链路信息.ID:按照顺序标记链路的记数；协议:链路的

41、协议,目前只支持TCP,UDP,ICMP三种；状态: 链路状态正常 , 链路状态异常,其中异常主要针对TCP协议,一旦出现三步握手没有成功则显示链路异常。源地址和源端口：装置所在内网侧应用信息目的地址和目的端口:装置所在外网侧应用信息 统计信息:IN 为内向外报文个数, OUT 为外向内报文个数图表 34 30链路实时浏览3.6 系统调试3.6.1 网关硬件诊断加密网关内嵌电力专用密码模块和智能IC接口模块，为了排查加密网关系统有可能出现的数据通信错误，配置管理软件提供了对数据加密模块和智能读写器设备的调试诊断功能。1) 加密单元设备调试点击工具栏中的“加密卡调试”，则出现下面的界面，选择硬件

42、类型中的”加密卡硬件”,点击“测试”，加密网关自动对加密单元进行检测，测试结果显示到调试界面上。图表 3135 加密单元调试测试界面2) 智能IC卡单元测试点击硬件测试的IC卡测试按钮，加密网关自动对智能IC读写器单元进行检测，测试结果显示到调试界面上。图表 32 36 智能IC卡调试界面如果提示测试失败，请检查您的卡片是否插到位，面板上的CRW读卡器指示灯是否正常闪烁，如果在测试过程中，CRW灯不闪烁，请与我们及时联系。3.6.2 SPING调试SPING调试用于确认和对端加密网关的连通情况，在SPING调试界面中输入对端加密网关的外网虚拟IP地址、测试次数和时间，点击“开始”，网关自动探测

43、对端装置并返回测试结果，如下图所示。图表 33SPING37 SPING诊断3.7 日志管理加密网关具备专用安全日志存储单元，可以对装置日志进行审计。点击导航栏或者菜单中的“日志审计”，则将从装置中载入加密日志并自动解密分析其内容，为安全审计提供基础数据源，如下图所示。点击可以刷新当前页面，点击可以审计历史日志。图表38 34日志分析界面3.8 配置备份和恢复加密网关配置备份模块用于将装置中的相关配置信息备份至本地，配置恢复模块用于将本地的配置文件同步更新到加密网关中，具体操作界面如下图所示：图表 39 35配置备份导出和导入恢复点击“备份配置信息”“规则包导出”选择相应的保存路径如下图所示：

44、图表 40 36选择备份目录保存成功后回弹出保存成功对话框，在所选择目录下生成netkeeper.cfg相应的文件，如下图所示：图表 41 37成功备份文件四、典型应用环境配置案例4.1 明通模式配置当对端通信节点没有部署加密网关时，可以采用明通模式。此时加密网关具备硬件防火墙的基本功能，只转发配置通信策略的报文实现报文过滤，但数据不能进行加密保护，明通网络拓扑如下图所示。加密网关配置如下。图表 4238明通模式拓扑图4.1.1 系统配置图表 43 39明通模式-系统配置4.1.2 网络配置图表 44 40 明通模式-网络配置 4.1.3 路由配置图表 41 45 明通模式-路由配置4.1.4 隧道配置图表 42 46 明通模式-隧道配置注意：由于对端无加密网关，因此对端主、备隧道地址为0，隧道模式为明通。4.1.5 策略信息配置图表 47 43明通模式-策略配置注意：由于对端无加密网关，因此策略配置中策略模式选择为明文。4.2 路由配置纵向加密认证网关部署在各级调度中心及下属的各厂站，根据电力调度通信关系建立