配电网关简介

随着电力网络的不断发展，用电负荷的持续增长，各种新型负载不断涌现，用户更加关注电能质量问题，同时对节能减排也提出了更加严格的要求。用户需要更加有效的电力监控管理解决方案来应对上述变化带来的挑战，以实现配电系统持续可靠、、低耗的运行。电力监控系统，是斯威尔电气公司根据用户电能管理需求而提供给用户的完整电力监控管理解决方案，用以实现对电气设备和电力系统运行的优管理。

配网安全接入网关功能包括：

（1）转发请求。这是代理服务器基础的功能。网关根据用户访问的域名不同，分别转发到网关后面的不同服务器。

（2）获取身份。从架构图中可以看到，Beyondcorp架构中还包括“单点登录”。所以，网关对用户身份的判断可能也是通过单点登录的token实现的。

（3）验证身份。网关可以将访问者的发给Beyondcorp的身份管理模块。身份管理模块进行对比和判断，然后返回验证结果。

（4）放行或拦截。网关根据验证结果决定将访问请求转发到真实的服务器上，或者转发到报错页面上。（Beyondcorp的报错页面上会引导用户去自助申请权限，这个体验做得非常很好。）

配网安全接入网关通信流程

（1）客户端创建虚拟网卡，抓取用户流量。这里要限制不能全部抓取，应该只抓取用户有权访问的流量。

（2）申请隐身网关放行。

（3）与网络隧道网关建立连接。Wireguard将抓到的流量进行UDP封装，封装过程中进行加密。与传统***协议不同，wireguard的加密过程采用了更的加密方法“Cryptokey Routing”。客户端和网关各有一对公私钥，公钥发给对方。通信时先用私钥进行加密，对方再用公钥。这里面，公私钥是跟用户身份绑定的，每个用户都用单独一套公私钥。这样的加密强度基本是不可的。

（4）网络隧道网关检测用户身份。身份是在封装过程中插入数据包头部的。

（5）正常通信。

配网安全接入网关安全建设

主要围绕的安全建设有终端安全、系统安全、网络安全、存储安全、主机安全、传输安全、业务安全、应用安全和数据安全等内容，对应的安全建设能力主要分为预防、检测、响应、审计、***等内容，主要针对边界、设备、基础设施等的安全防护，当然也要对业务、应用、数据做相应的安全防护，但从整体网络安全建设的难易程度来看，业务、应用和数据的防护是***挑战的，传统的防护模式根本无法识别和保护业务流程、业务逻辑以及越权访问、账户冒用等系列问题。