精心整理
隔离网闸使用说明书
CGWAY-12/T正向型
版权?2010工业800保留所有权力
1产品概述
1.1分层分区方案
根据电力二次系统的特点,划分为生产控制大区和管理信息大区。生产控制大区分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)。信息管理大区分为生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)。
正向型网络安全隔离网闸(CGWAY-12/T)用于安全区I/II到安全区III/IV的单向数据传递。如图1所示:
图1:分层分区方案
1.2硬件结构
网络安全隔离网闸(CGWAY-12/T)的硬件结构如图2所示。本产品硬件采用RISC体系架构高性能嵌入式计算机芯片,双机之间通过高速物理传输芯片进行物理连接。底板上有两个高速10M/100M网口(NET_A和NET_B)用于连接要隔离的两个网络。
图2:硬件结构图 内网分区与内网(如监控系统DCS)相连,外网分区与外网(如管理信息系统)相连。内外分区各有一块单独的CPU板,它们之间没有网络连接,以确保网络层面的隔离。对于内外分区的通信只能通过具有物理隔离能力的安全区进行数据交互。 1.3隔离网闸接入点 电力专用安全隔离网闸作为安全区I/II与安全区III/IV的必备边界,具有最高的安全防护强度,是安全区I/II横向防护的要点。其中,正向型安全隔离网闸用于安全区I/II到安全区III的单向数据传递。NET_A口用于连接安全区I/II,NET_B口用于连接安全区III/IV。 同时NET_A口也是配置和管理安全I/II区数据采集端,简称客户端。NET_B口用于配置和管理数据接收端,简称服务端。 1.4产品功能 正向型安全隔离网闸具有以下几个功能: 1.实现两个安全区之间的非网络方式的安全的数据传输,并保证安全隔离网闸内外两个处理系统不同时联通 2.表示层与应用层数据完全单向传输,即从安全区III到安全区I/II的TCP应答禁止携带应用数据。 3.透明工作方式:虚拟主机IP地址、隐藏MAC地址。 4.基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制。 5.支持NAT。 6.防止穿透性TCP联接,禁止两个应用网关之间直接建立TCP联接,将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输。 7.具有可定制的应用层解析功能,支持应用层特殊标记识别。 8.安全、方便的维护管理方式,软件友好的图形管理界面。 1.5安全保障点 专用安全隔离网闸本身应该具有较高的安全防护能力,其安全性要求主要包括: 1.采用非INTEL指令系统的(及兼容)微处理器。 2.安全、固化的操作系统。 3.不存在设计与实现上的安全漏洞。 4.抵御除DOS以外的已知的网络攻击。 1.6安全隔离区 安全隔离分区采用了两片双口RAM,其设计原则是同一时间只允许单向写入数据,即双口RAM为单工模式,当内网A主板需要向外网发送数据时,首先数据是保存在内网A机输出缓冲区,当双口RAM单工中断模式许可时,产生输出中断,此时外网写入信号已近闭锁,即已切断外网写入内网的物理连接,在该中断服务程序中,内网向双口RAM写入数据,完成后切断内网写入外网的物理连接,并向外网B主板产生读中断,外网响应中断后读取数据,完成由内向外的数据物理交接过程。如图3所示: 图3:安全隔离区示意图 在以上的安全隔离过程中,所有的数据输出都会进行安全审核,确保数据的合法性。为了更好的增加安全强度,即只允许由内向外的单向数据传输时,可以用程序切断由外向内的数据交互,只允许一些简单的应答通信数据,从而可以确保外网数据不能进入到内网,以满足电力系统的特殊要求。 1.7防穿透连接 许多网络攻击是基于TCP协议漏洞而形成的,因此装置按如下图4防止TCP穿透连接。 图4:防穿透连接示意图 内网A机的处理:内网安装仿SERVER程序,它对需要监听的外网IP地址或NATIP地址的指定TCP端口进行监听,当内网通过隔离装置向外网发起连接时,该SERVER程序会直接冲当切断连接的角色,即发起连接的三次握手过程完全由该SERVER承担,所有的连接信号在此中止,当连接建立成功后,再用非网协议通知外网B机进行相关的数据连接处理。当外网B机连接生效后,该链路正式生效进行相关数据通信,如连接不成功或通信过程中连接被外网关断,则内网A机将关断响应连接。 外网B机的处理:外网安装仿CLIENT程序,当在安全隔离区收到发起连接的信号后,它通过NAT地址发起对外网IP的连接,并将连接信息通知内网A机。当连接生效后,该链路正式生效进行相关数据通信,如连接不成功或通信过程中连接被内网关断,则外网B机将关断响应连接。 由于采用防穿透技术将产生如下效果: 1.内网取得MAC只能得到A机地址或伪地址。 2.外网取得MAC只能得到B机地址或伪地址。 3.内网发起的TCP连接在A机终止。 4.B机重新对外网发起连接。
5.B机无程序设为SERVER接受外网连接。 2.产品分发与安装
正向型网络安全隔离装置(CGWAY-12/T)产品分发包括硬件和软件两大部分。 2.1硬件部分
用户在使用本产品时,应先检查硬件产品是否带有具有(CPS)标志,外观是否有损坏现象。如有以上现象,请勿使用并及时与本公司取得联系,处理相关事宜。为了产品稳定、可靠的运行,请勿私自打开隔离装置。如图5、6所示:
图5:产品正面 图6:产品背面
2.2软件部分
cps_tools.exe隔离装置随机带有一张配置软件关盘,该程序不用安装,直接使用。点击,打开配置软件主界面,如下图7所示:
图7:网闸配置工具主界面
2.3网络拓扑图
隔离网闸的配置说明以下图为例,详细说明隔离网闸如何配置。我公司会在内网侧配置一台接口机,接口机连在内网交换机上,接口机的作用是用DATAClient-OPC获取DCSOPCServer的数据,然后通过隔离网闸向外转发。 备注:虚拟IP不应该与网络上的其他地址相冲突。
图8:隔离网闸网络拓扑图
2.4内网侧配置
精心整理
打开主界面上的设备管理接口,出现如下界面: 然后点击编辑设备,出现设备主界面:
图9:设备管理主界面 图10:内网侧设备主界面
图中IP模式:静态
100(即内网侧的虚拟IP地址) 端口:4196
工作模式:TCP客户端 目的端口:502
其它选项默认配置即可。
填好这几个选项后,点击保存默认参数,然后重启设备。内网侧配置成功。 2.5外网侧配置
外网侧配置操作与内网侧一样,打开配置软件,出现如图7的主界面,然后点击设备管理,出现如图8的主界面,然后编辑设备,如下图:
图11:外网侧设备主界面 图中IP模式:静态 外网侧的虚拟IP地址) 端口:502
工作模式:TCP服务端 目的端口:4196
其它选项默认配置即可。 填好这几个选项后,点击保存默认参数,然后重启设备。外网侧配置成功。 2.6数据通信 内网侧:配置好内网侧和外网侧的隔离网闸装置后,打开接口机上的DATAClient-OPC程序,配置通讯界面,如下图所示: 图12:配置窗口主界面 IP地址:就是内网侧接口机的实际IP地址。端口号为配置网闸时内网侧的目的端口502。 外网侧:PIDB-Real实时数据库的配置界面如下: 图13:实时数据库的配置界面 通讯模式:TCP 端口号:502(与内网侧一样)。 配置好这些参数后,实时数据从内网至外网就全部接通了。 DATAClient-OPC的配置参考《DATAClient-OPC使用手册》 PIDB-Real的配置参考《PIDB-Real的使用手册》 2.7数据信号灯 图14:信号灯面板 隔离网闸电源插座采用标准插头5.5mm(内芯为正极),电压为9-24VDC。 网口为标准的RJ45接口。 详细的信号灯描述如下: Power指示灯:电源指示灯,接通电源后该指示灯显示为绿色。 100M_A指示灯:数据采集端网络接通,此灯显示为红色 Link_A指示灯:网络连接指示灯,网络连接正常时,显示为橙色。 ACK_A指示灯:数据指示灯数据发送正常时,显示为绿色,并闪烁。 100M_B指示灯:数据接收端网络接通,此灯显示为红色 Link_B指示灯:网络连接指示灯,网络连接正常时,显示为橙色。 ACK_B指示灯:数据指示灯数据发送正常时,显示为绿色,并闪烁。