百兆型纵向加密

纵向加密认证装置百兆型

  <a href=http://www.disenadorwebsevilla.com/zxjm/ target=_blank class=infotextkey>纵向加密</a>认证装置百兆型

纵向加密认证装置百兆型参数:

标准1U机架,冗余电源;5个10/100/1000M BASE-TX端口,2个RJ-45串口,1个IC卡接口,1个USB口;最大并发加密隧道数:1024条,明文数据包吞吐量:2000Mbps,密文数据包吞吐量:480Mbps

相关阅读:

  厂站电力专用网络安全设备配置要点
厂站侧电力专用网络安全设备主要包括加密装置、正向和反向隔离装置及横向NAT防火墙3大类。多数厂站安全Ⅱ区与Ⅲ区间因无数据传输需求而直接采用物理隔离,不装设正向和反向隔离装置。图2所示的加密装置与横向防火墙设备直接承载厂站上送的大量业务数据,是厂站网络安全工作的重点。正确制定并执行此类设备的配置是有效保障业务功能、防范潜在网络攻击的技术基础。
厂站侧电力专用纵向加密装置配置要点加密装置采用电力专用硬件加密算法将各业务系统发来的IP数据包整体加密后,应用隧道技术将其封装为在加密装置间传输的IP数据包,经调度数据网到达对侧加密装置后解密为原数据包并转发给对侧业务系统主机,从而实现电力生产业务数据的可靠加密传输。对加密装置进行配置时除应满足基本的3层路由功能要求外,更应重点考虑加密隧道和报文过滤策略的配置。厂站侧加密装置多工作在桥接模式以简化设备配置过程并降低设备接入及变更对其他网络设备的影响。在3层路由配置中应完全覆盖流经该装置的厂站各业务系统所有数据流,且不宜过窄以便后续扩建。具体配置要素包括目标网段、下一跳地址(一般为路由器或交换机相应接口的IP地址)和出接口。加密隧道应覆盖流经该装置的厂站各业务系统所有数据流对侧的相应加密装置,不得多余或遗漏。具体配置要素包括本侧加密装置IP地址、对侧加密装置IP地址及对侧加密装置数字证书。

实施前应将本侧地址及已由相应调控机构签发的本侧装置数字证书以加密且安全的方式提交给与本站存在业务联系的调度机构及邻近厂站的网络安全管理人员,并获取对侧加密装置的IP地址及已签发的数字证书供本侧加密隧道配置时使用。若对侧无加密装置,则应显式指定明文隧道,去向不同的业务数据宜关联不同的明文隧道并在配置中明确标注以备后续改扩建。报文过滤策略应覆盖流经该装置的厂站各业务系统所有数据流的特征,不得多余或遗漏。具体配置要素包括本侧网段、对侧网段、本侧端口、对侧端口和关联隧道。报文过滤策略是切实根据业务实际需要,控制厂站与调度数据网的网络边界的核心技术手段,应严格按各业务实际情况配置,不应直接按SPDC统一分配的业务网段配置以免增大网络暴露面。以表1为例,改造后某变电站A平面安全Ⅰ区加密装置地址为10.10.60.250,SPDC实时主站加密装置地址为10.10.1.200,调度侧3安全Ⅰ区加密装置地址为10.80.0.250。在加密装置地址10.10.60.250上应分别配置地址为10.10.1.200和10.80.0.250的加密隧道a和b。另一方面,某变电站A平面安全Ⅱ区加密装置地址为10.20.60.250,SPDC非实时主站加密装置地址为10.20.1.240,调度侧3的安全Ⅱ区仍为防火墙。在加密装置10.20.60.250上应配置地址为10.20.60.250的加密隧道c和指向调度侧3安全Ⅱ区的明文隧道d。按SPDC统一部署,;ば畔⒁滴袷褂贸д静郥CP3100端口,对侧端口应配置为全通。某变电站该业务实际共接入2台主机,IP地址为10.10.60.1和10.10.60.2,在安全Ⅱ区经NAT转换后的IP地址为10.20.60.1和10.20.60.2。某变电站A平面加密装置上的报文过滤策略如表3所列。

厂站侧NAT防火墙配置要点厂站侧横向NAT防火墙应采用各项性能均满足电力系统要求的通用型硬件防火墙,主要用于实现Ⅰ、Ⅱ区之间的有效隔离及特定数据流互通。调度侧Ⅱ区主站不能与厂站Ⅰ区业务机之间直接3层互通,因此必须借助NAT技术[16]将实际存在的厂站Ⅰ区业务机映射为虚拟的Ⅱ区业务机,仅能通过防火墙的NAT功能进行配置实现。已给出某变电站NAT防火墙的Eth1、Eth2接口IP地址,对防火墙完成3层路由功能配置后,安全策略应先指定为alldeny以确保隔离所有跨区数据流,再根据需在Ⅰ、Ⅱ区之间传输的所有数据流的特征配置相应的permit安全策略及NAT策略。安全策略的配置较为简单,此处着重论述NAT策略的配置。以表1为例,NAT防火墙应配置源NAT转换策略将由10.10.60.1/28发往10.20.1.1/28和10.85.0.1/28的报文的源IP地址段映射为10.20.60.1/28,且固定源端口;还应配置目的NAT转换策略,将由10.20.1.1/28和10.85.0.1/28发至10.20.60.1/28报文的目的IP地址段映射为10.10.60.1/28,且固定目的端口。

配置端口固定的目的是确保此类数据流后续不会被相应加密装置拦截而导致业务中断。具体配置方法因不同厂商产品而略有不同,现场实施过程中应严格按产品技术资料执行。完成纵向加密装置及NAT防火墙配置后,若实际业务系统可用则由厂站侧人员与调度侧人员进行业务联调联试,确保该业务系统数据通信及各有关功能正常。若实际业务系统尚不具备调试条件,则可由厂站侧人员采用专用调试电脑及传输层端口仿真器等工具与调度侧人员联合开展端口测试以验证相关配置的正确性。若发现业务数据不通则可借助ping、traceroute等工具,或采取监视纵向加密装置会话表、防火墙会话表等技术手段进行逐段排查。

纵向加密装置
百兆型纵向加密
千兆型纵向加密
微型纵向加密
网络安全隔离装置
正向隔离装置
反向隔离装置
网络安全监测装置
II型网络安全监测装置
探针软件
新闻资讯
公司新闻
行业资讯
市场动态
关于我们
联系我们
网站地图
百度地图

版权所有 2015 纵向加密装置:www.disenadorwebsevilla.com