百兆SJW77网络密码机用户手册.doc

SJW77网络密码机——纵向加密认证装置 用户手册 （请在使用产品前仔细阅读本手册） 卫士通信息产业股份有限公司 二Ｏ0七年制 目 录 1 概述 1 1.1 产品简介 1 1.2 产品组成 1 1.3 主要技术指标 2 2 安装说明 2 2.1 开箱及开箱前的检查 2 2.2 纵向加密认证装置的安装和启动 3 3 操作说明 3 3.1 管理程序启动 3 3.2 系统初始化 6 3.2.1 产生管理员卡 7 3.2.2 导入根证书 8 3.2.3 导入管理员卡证书 8 3.2.4 验证管理员卡 9 3.2.5 产生设备证书 10 3.2.6 导入中心管理员证书 11 3.2.7 导入其它设备证书 12 3.2.8 初始化完成 14 3.3 系统管理 15 3.3.1 网络设置 15 3.3.2 VLAN设置 17 3.3.3 系统设置 18 3.3.4 监控设置 23 3.4 管理员在此设置日志服务器的主机地址及日志接收端口（根据实际需求端口可以任意设置）。认证管理 24 3.4.1 证书管理 24 3.4.2 用户口令 26 3.5 隧道管理 27 3.6 规则管理 27 3.7 信息查询 30 3.7.1 设备状态 30 3.7.2 隧道状态 33 3.7.3 日志信息 34 3.7.4 版本信息 35 3.8 远程监控中心 36 3.8.1 装置处理 36 3.8.2 隧道处理 36 3.8.3 隧道安全策略处理 37 3.8.4 日志处理 37 4 毁钥及换钥 37 4.1 毁钥管理 37 4.2 脱线换钥 38 4.3 在线换钥 38 5 常见问题及疑难解答 38 5.1 系统 38 5.1.1 旁路的设置 38 5.1.2 加密机的故障后的恢复 39 5.2 网络 39 5.2.1 内外网口区分错误 39 5.2.2 接入加密装置后受保护子网之间不通 39 5.3 证书 40 5.3.1 忘记证书配置地址 40 5.3.2 导入证书时报告证书不合法 40 5.3.3 密钥协商失败 40 5.4 异常事项处理 40 6 产品维护和保养 41 6.1 日常维护和保养 41 6.2 运行时的维护和保养 42 6.3 冷备机上线 42 6.4 开启硬旁路 42 6.5 长期停放时的维护和保养 43 概述 产品简介 纵向加密认证装置(即SJW77网络密码机，以下统称为纵向加密认证装置)是保护国家电力调度通讯信息的数据加密设备。该设备采用专门的加密封包格式，在IP层实现数据的机密性、完整性和数据源鉴别等安全功能。 纵向加密认证装置采用10M/100M自适应以太网接口，支持各种LAN和WAN线路和拓扑，透明接入用户网络，无须修改用户网络原有配置。 产品组成 整个纵向加密认证装置系统由纵向加密认证装置、本地管理配置软件、远程监控管理中心三大部分组成，其应用环境网络拓扑图如下所示： 图 1 纵向加密认证装置是整个安全系统中的主要设备。一般来说，它放置在本地业务系统和外出路由器或交换机之间。它接收本地以及远程监控管理中心的管理，根据它们设置的参数来完成相互之间的加密通信和访问控制，用于安全区的广域网边界保护，可为本地安全区提供一个网络屏障。同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。 纵向加密认证装置本地管理配置软件安装在加密认证装置保护的子网中的某台计算机上。它采用串口通信的方式来配置纵向加密认证装置，包括设置网络参数、访问控制规则、状态查询等。 远程监控管理中心部署在电力数据网上，可通过网络远程对纵向加密认证装置的控制、管理和查询。 主要技术指标 物理接口：100Base-T，1000Base-X； 通信协议：以太网，IEEE802.3，IEEE802.1q，10BASE-T，100BASE-Tx； 加密速率：60M/bps； 电气指标：交流220V（+10%～-15%），50Hz（±3Hz）； 物理尺寸：1U机架式结构。 旁路切换直至网络正常时间：25秒 主备切换直至网络正常时间：60秒 重新启动直至网络正常时间：3.5分 安装说明 开箱及开箱前的检查 在产品包装箱内附有产品装箱清单一份，请参见装箱清单检查配件是否完整。 纵向加密认证装置的安装和启动 在不接入纵向加密认证装置的情况下，保证网络的通畅，然后按照以下几个步骤操作。 1、接入纵向加密认证装置。装置后面板从左向右依次标示有“控制”串口以及“配置”、“心跳”、“外网”、“内网”四个网口。纵向加密认证装置内网口使用直通以太网线接局域网交换机，外网口使用交叉以太网线接路由器； 2、将RJ45串口线接到本地管理机控制口上，打开电源开关； 3、系统启动过程中会对设备进