拨号网关简易操作说明.doc

1、系统现状 目前电力调度信息系统有4个业务系统： EMS系统、MIS系统，同时还下辖地调的SCADA系统，其网络结构示意如下： 从上面的描述中可以看到，EMS厂家及自动化维护人员采用了MODEM拨号的方式进入安全区I进行防护工作，存在严重的安全隐患。2、远程拨号安全防护实施方案 根据《全国电力二次安全防护方案》的要求，对于远程拨号维护需要在安全区I、II中增加拨号安全服务器，具体规划如下图： 3、远程拨号安全防护的不同接入方式 在电力系统专用安全拨号服务器使用过程中，可以有多种接入方式，针对现场不同的环境以及客户不同的要求，可以采用不同的接入方案。 3．1、电话网单（多）用户接入同一网段（无防火墙）： 此方案可实现多台远程客户端同时通过电话转网络技术接入内网的同一网段进行调试和维护。因为此方案的目的是将远程移动客户端虚拟成内网的一台PC机，所以需要给每个用户都配置一个虚拟的IP，此IP为内网网段的一个还未被占用的IP，如图所示：内网子网为：/24，其中70，71均未被占用，则远程移动客户端的虚拟IP可配置为：0或1。其与内网的通讯路径为：0（1）→0（2）→1→→/24。从逻辑上来讲，远程移动客户端就是内网上的一台普通PC机。它们通讯的数据包会被VPN软件重新封装并加密成VPN数据包，通过PPP电话线链路进行传输后解密拆封，在移动客户端直接递交到操作系统，在安全拨号服务器一端通过接口发送到内部网络的对应机器。 1、登录 接入装置的eth0，在IE中打开:1001打开拨号服务器的设置页面。 用户名admin 密码 admin 2、接口管理 点击对应网口的链接，修改相应的IP参数，因在此例中仍然使用的这个IP，所以无需修改eth0口的IP地址。 3、设置证书 根证书 在用户没有特殊要求的情况下，直接点“将安全网关自带CA的根证书作为IPSEC-VPN根证书”采用网关的CA证书做为根证书。 颁发证书 用户证书 在根证书的基础上颁发的给客户端拨号使用。 图上：颁发安全网关的用户证书 图上：下载生成的用户证书 图上：选择安全网关的用户证书 服务证书 图上：颁发安全网关的服务端证书 图上：下载生成的服务端证书 图上：上传生成的服务端证书 图上：设置服务端证书模式，并写入证书口令 图上：设置服务端证书模式完成后，服务器证书的状态显示 4、VPN拨号用户 3．2、电话网单（多）用户接入同一网段（带防火墙）： 此方案与方案一大致相同，其区别为：在拨号安全服务器与生产控制大区之间架设了一台防火墙，这样导致配置时就会与方案一有些差异，在配置远程客户端虚拟IP的时候，虚拟IP并不是与内网处在同一网段了，而是与防火墙连接拨号安全服务器的接口IP处在同一网段。需要注意的是，在配置对方子网IP的时候，输入的还是想要通讯的内网的子网IP。 其与内网通讯的具体路径为：0（1）→0（2）→1→→→→/24 从其通讯路径可以看到，其与方案一在通讯路径方面也有区别，其数据包经过VPN软件重新封装并加密后经过PPP电话链路传输后解密拆封，在移动客户端直接递交给操作系统，在拨号安全服务器端，并非由拨号安全服务器直接转交到内网，而是由拨号安全服务器传递给防火墙的接口，再由放火墙的接口传递给内网的相应计算机上。 1、登录 接入装置的eth0，在IE中打开:1001打开拨号服务器的设置页面。 用户名admin 密码 admin 2、接口管理 点击对应网口的链接，修改相应的IP参数，因在此例中仍然使用的这个IP，所以无需修改eth0口的IP地址。 3、路由设置 测试网络 4、设置证书 A、根证书 在用户没有特殊要求的情况下，直接点“将安全网关自带CA的根证书作为IPSEC-VPN根证书”采用网关的CA证书做为根证书。 颁发证书 用户证书 在根证书的基础上颁发的给客户端拨号使用。 服务证书 在根证书的基础上颁发的给安全网关使用。 上传证书文件 设置证书模式，并输入打开证书的密码 5、VPN拨号用户 3．3、电话网多用户分别接入不同网段 此方案中需要接入的不同网段的两个（多个）内网处于同一网络当中，分别连在路由器或者是三层交换机的不同网段上，再由路由器或者三层交换机与防火墙相连（也可以不带防火墙），然后再跟拨号安全服务器连接。 在此方案中，多台远程客户端可以同时拨入同一个网段，也可以同时拨入不同的网段（但一个客户端一次只能拨一个网段，不可能同时处于两个网段中），这取决于对远程移动客户端的配置，在配置的时候，只要填入的对端子网IP不同，即可拨入不同的网段。如果不同的远程客户端同时分别拨入不同的网段，则其通讯路径也不同，这一过程由安全拨号服务器、放火墙和路由器（三层交换机）来共同完成。以上图为例，如果移动客户端1和移动客户端2分别拨入/24和/24，则其完整的通讯路径为：