netkeeper-2000l用户手册

netkeeper-2000l用户手册内容摘要：

计算机上。 （ 注：配置计算机 必须要有java 运行 环境 支持 ）。 安装完成后，启动配置管理软件，软件界面如 下 图所示。 图表 4 加密网关配置软件 NetKeeper2020II 纵向加密认证网关用户手册 9 加密认证网关用于安全区 I/II 的广域网边界保护， 网关 部署对应用完全透明。 通过 加密网关的 内网接口和外网接口，分别与内部 局域网和外部广域网连 接，为网关机之间的广域网通信提供具有认证、 加密功能的 VPN，实现数据传输的机密性、完整性保护。 用户 可以 通过配置管理程序对加密网关进行 相应的 设置， 具体的配置管理请参见下节。 三、加密认证网关配置管理 系统初始化 加密认证网关投入使用前， 需要 进行设备的初始化操作，初始化操作内容包括安装调度证书服务系统根证书、装置管理系统证书、 本装置的主备操作员证书 、与本装置通信的 对端 设备证书以及本装置的设备私钥。 上述证书由调度证书服务系统生成并签名，存储在纵向加密认证网关 的安全存储区 中。 通信初始化 1) 将本地 配置计算机地址设置为 , 掩码为 ，用随机附带的网络配置线（交叉线）连接到加密认证网关的配置接口 (PE6)。 2) 启动加密认证网关的配置软件，出现如下的软件主界面： 图表 5 加密认证网关配置软件启动界面 3) 点击用户登录 — 〉连接网关 ， 软件系统会自动和加密网关服务程序建立连接，并提NetKeeper2020II 纵向加密认证网关用户手册 10 示成功或是失败消息。 装置的地址信息可点击右侧按钮进行选择 (默认的用户名是test,密码是 123456),如下图所 示 : 图表 6 登陆界面 图表 7 非安全 用户登陆 4）第一次登陆加密装置是非安全用户，需要先进行用户管理，添加安全用户并保存上传。 图表 8 安全用户添加并保存上传 5）上传之后，退出程序重新连接，输入刚刚添加的安全用户，初试密码是 123456 NetKeeper2020II 纵向加密认证网关用户手册 11 6） 成功连接后，系统会提示等待系统初始化 . 图表 7 系统检测提示信息 7） 系统登陆成功后 ,所有菜单都激活 ,可以配置 . 图表 10 系统认证通过后的配置界面 初始化 下面结合电力二次系统实际情况 对初始化的 过程 进行描述 ： 图表 11 系统初始化的配置界面 1. 导入调度 CA 根证书。 2. 导入网省调的根证书（二级 CA 证书）。 3. 导入 与本装置通信的对端节点设备证书。 NetKeeper2020II 纵向加密认证网关用户手册 12 4. 导入装置管理系统证书。 以上的步骤，第 3 部 是初始化过程必须的操作，不可忽略，其它 的操作步骤由用户根据现场实际情况进行选择。 1) 点击密钥管理  “初始化网关 ” ， 生成装置公私密钥对。 如下图所示。 图表 12 加密网关初始化界面 加密卡密钥生成成功后提示成功信息 ,然后可以生成加密卡的证书请求 (装置的证书请求 ). 2) 制作加密网关设备证书请求文件。 点 击密钥管理  “ 初始化网关 ” ，则弹出填写设备证书请求的对话框，如下图所示： 图表 13 生成证书请求 主体名称 ： 加密网关的唯一标识 ， 建议采用装置所在厂站名 组织名 ： GDD（默认） 所在地名称 ： 厂站所在地 名称 中国： CN（默认） 单位代码 ：签发单位名称 EMail: NetKeeper2020II 纵向加密认证网关用户手册 13 按照上述说明填写后，点击“生成证书请求”按钮，将生成的证书请求文件保存在本地安全存储介质中并提交给调度证书管理系统进行签发。 具体签发过程请参见 节证书申请。 证书请求生成成功后 后弹出成功信息 ,紧接着下载证书请求到 配置机器上 . 图表 14 CSR生成提示 图表 8 文件下载目录 图表 9 CSR下载成功提示 3) 导入调度 CA 的根证书。 这是后续对其它 实体证书进行验证的基础， 点击密钥管理— 〉“证书管理”， 则主界面会转入证书管理界面， 如 下 图所示 ,选择 上传证书 系统会弹出上传证书界面如图 12 所示，选择证书类型为一级证书并 导入 ， 则系统会提示成功验证与否。 NetKeeper2020II 纵向加密认证网关用户手册 14 图表 10 上传证书 4) 导入中级 CA 证书 (网省调证书 )。 操作方法同上 . 5) 导入主备操作员证书。 操作方法同上 . 6) 导入装置管理系统证书。 操作方法同上 . 7) 导入和本地加密网关通讯的对端设备证书。 操作方法同上 . 导入全部证书后， 点击 重新检验系统的初始化工作。 先插入密钥管理卡，并进行登陆，系统会检查当前的初始化状态，判断装置是否正确初始化，并提示用户。 图表 11 初始化完成后的证书界面 证书申请 在加密认证网关初始化的过程中，需要将生成的加密网关证书请求文件提交给电力调度证书服务系统进行签发 ，生成网关设备证书。 具体流程如下所述。 NetKeeper2020II 纵向加密认证网关用户手册 15 加密网关生成证书请求文件后，将证书请求文件以可存储介质形式拷贝到各级调度证书系统上（国调、网调、省调），并以系统 “ 录入员 ” 身份用 UsbKey 登陆证书系统；选择 “导入证书请求信息” 按钮，点击 “导入” 按钮，则将请求信息输入到证书系统，根据电力证书系统操作规范的流程，经由“审核员” 审核，“签发员” 签发出设备证书和操作员证书。 图表 12 加密认证网关证书请求信息录入与制作 注：在 不具备 调度证书系统的条件下，可以 采用配 套光盘里的专用证书工具签发证书。 具体使用请参考附录一《证书签发说明 》 安全管理 加密认证网关的安全管理包括证书管理、远程监控等。 证书管理 装置在初始化和正常工作状态下，用户均可对装置的证书列表进行查询，以便对当前合法的证书列表进行管理。 单击“密钥管理” — 〉“证书管理”，进入证书管理界面后单击下载证书列表 ， 如下所示。 图表 13 证书下载等待信息 证书文件列表导出后，加密网关配置管理程序会自动解析信息并且显示在当前证书管理界面上，如下图所 示。 （表示当前加密网关已经配置了 CA 根证书，主、备操作员卡NetKeeper2020II 纵向加密认证网关用户手册 16 证书，已经基本完成了初始化，处于工作状态。 ） 图表 14 加密网关证书管理界面 选中目标证书，并点击 “察看证书” 按钮，则会显示证书详细信息，如下图所示。 此时证书被下载到配置程序安装目录下的 config 文件夹 .同样，选中目标证书，并点击“删除证书” 按钮，将删除对应证书。 图表 15 证书详细信息 NetKeeper2020II 纵向加密认证网关用户手册 17 图表 16 证 书编码信息 远程监控 根据电力二次系统安全防护的规定和纵向加密认证装置的管理体制，加密认装网关支持远程集中监控管理。 装置管理系统（管理中心）为调度中心所辖的加密认证装置提供 远程安全管理 服务。 调度中心的加密装置及下属的加密装置由装置管理系统直接管理。 此时，装置管理系统 (管理中心 )与加密装置是网络上通信的实体。 装置管理系统通过经过认证加密的管理报文实现对纵向加密认证网关的监测。 具体的监控内容及装置管理系统的使用见《加密认证网关装置管理系统用户使用手册》 安全策略配置 加密认证网关 位于电力控制 系统的内部局域网与电力调度数据网络的路由器之间，为透明安全防护装置。 网关的内网接口连接内部局域网，外网接口连接数据网，每个网络接口可以设置一个或者多个虚拟地址。 加密认证网关的安全策略设置主要包 括系统配置、 IP 地址配置、 IP 路由， VLAN，规则，隧道信息，管理信息等。 主配置界面如下图所示 NetKeeper2020II 纵向加密认证网关用户手册 18 图表 17 主配置界面 主配置界面左侧的编辑功能键描述如下，在其他的信息配置界面中编辑功能键的作用类似，下文中只以相应的图标加以表示 ,具体功能不再赘述。 ：打开配置或新建配置 文件 ：保存配置 ：另存配置将配置信息保存至本地 ：上传配置 信息 至装置 ：下载 装置 配置 信息 到 本地 ： 建立新的配置信息 ：删除相关的配置信息 ：复制资源 ：粘贴资源 ：编辑资源 系统信息配置 系统配置主要配置加密认证网关的系统信息，主要包括以下几个内容： 系统名称 ： 装置的名称，便于远程标识装置的基本信息。 网关 地址： 加密网关的外网 地址 或者外网卡 上 用于被管理或审计 所 设置的地址。 NetKeeper2020II 纵向加密认证网关用户手册 19 远程地址： 远程的装置管理 系统 、日志审计 系统 或者远程调试 计算机 的网络地址。 系统类型： 包括 装置管理、日志审 计、远程调试 证书： 在 系统类型 配置 为 装置管理时必须配置相应的装置管理的证书名称 在这个界面中可以对装置系统信息作一系列 操作 例如：增加、修改、删除、上传、下载等。 点击“规则配置” 〉“系统管理”，选中某一条系统信息规则之后点击 （编辑资源） ，若原先没有相应的网络信息规则可以先点击 （新建资源）并将其选中后点击编辑资源进入 具体界面如下图所示 图表 18 装置系统配置信息 网络信息配置 加密认证网关共有 7 个 7 以太网 接口，其中 任意网口都可以设置成内网口或 者外网口。 在实际的配置中， 需要对加密认证网关的网络接口配置虚拟地址以便和内外网进行通信，内外网虚拟地址可以为相同网段，也可以为不同网段。 在 网络信息配置 界面 中可以对装置网络信息作一系列的配置 如：增加、修改、删除、上传、下载等。 点击规则配置 — 〉“网络配置”进入 配置主界面之后选中相应的网络配置信息点击（编辑资源） ，若原先没有相应的网络信息规则可以先点击 （新建资源）再点击编辑资源进入网络配置界面，如下图所示。 NetKeeper2020II 纵向加密认证网关用户手册 20 图表 19 装置地址配置 网络接口： 为所要配置的装置网 口的名称，例如 eth0/eth1 等 接口类型： 为装置网口的类型，分别有 PRIVATE（内网口）、 PUBLIC（外网口）、BACKUP（互备口）、 CONFIG（配置口）、 BRIDGE（桥接口） IP 地址 ： 为所要配置网口的 IP 地址 子网掩码 ： 为所要配置网口的掩码 接口描述： 为所要配置网口的相关描述信息 VLANID： 为所要配置网口的 VLAN ID 信息 路由信息配置 加密认证网关需要对加密和解密过的 IP 报文进行路由选择 ， 路由配置信息针对加密网关的内外网虚拟地址，通过路由地址关联内外网的网络地址信息。 在这个界面中可以对装置路由信息作一系列的配置例如：增加、修改、删除、上传、下载等。 点击规则配置 — 〉“路由配置”进入路由配置界面，之后选中相应的路由配置信息点击 ，若原先没有相应的路由信息规则可以先点击 （新建资源）再点击编辑资源进入路由配置界面，如下图所示。 NetKeeper2020II 纵向加密认证网关用户手册 21 图表 20 路由信息配置 路由名称： 路由信息的名称描述 网络接口： 要用到路由的出口网卡的名称一般为外网口。 目的网络： 要实现通信的外网侧的所在网段。 目的掩码： 为路由信息的目的网络地址的子网掩码。 网关 地址： 加密网关的外网口通信地址 隧道配置 隧道为加密认证网关之间协商的 安全 传输通道 ，隧道成功协商之后会生成通信密钥 ， 进入该隧道通信的数据由通信密钥进行加密 ， 隧道可以设置隧道周期和隧道容量，当隧道 的 通信时间达到 指定传输周期后 或者数据通信量达到 指定容量 后 ，加密网关之间会重新进行隧道密钥的协商，保证数据通信的安全。 点击规则配置 — 〉“隧道配置”进入隧道配置界面，之后选中相应的隧道配置信息点击 ，若原先没有相应的 隧道 信息规则可以先点击 （新建资源）再点击编辑资源进入隧道配置界面，如下图所示 : NetKeeper2020II 纵向加密认证网关用户手册 22 图表 21 隧道配置 隧道名称 :隧道的相关描述。 隧道 ID: 隧道的标识，关联隧道的所有信息。 隧道模式 :隧道模式分为两类：加密、明通。 明通模式下，隧道两端装置不进行密钥协商，隧道中的所有数据只能通过明通方式（但可以对数据包进行安全过滤与检查，即只有配置了相关的通信策略的数据传输才能通过装置，否则装置会将不合法的报文全部丢弃）进行传输；加密模式下，隧道中的数据报文会根据协商好的密。