一���、設備配置
隔離設備(波特率19200)單向發(fā)送數(shù)據(jù)(內(nèi)外網(wǎng)不同時聯(lián)通)
參考1 :分布式光伏風電新能源電站并網(wǎng)必備須知:正反向隔離裝置組網(wǎng)
參考2: 杭州領祺通訊管理機-正向隔離TCP轉(zhuǎn)發(fā)
1. 網(wǎng)絡安全隔離設備(正向型)
1.1 設備相關信息
正向隔離[ 內(nèi)網(wǎng) 外網(wǎng) ](只能使用內(nèi)網(wǎng)口配置console):
發(fā)送數(shù)據(jù)方式:數(shù)據(jù)流
1.2 設備配置
1) 進入 StoneWall-2000網(wǎng)絡安全隔離設備正向型管理工具4.5
2)登陸界面:
登錄名:root
口令:111111
串口設置:實際端口
通訊頻率:19200
3)登陸進入主界面 規(guī)則配置 ? 規(guī)則管理:
規(guī)則名稱:“數(shù)字”,“ _”��,“ 字母” 組成
方向:從內(nèi)到外
協(xié)議:TCP
控制類型:SYN連接
內(nèi)網(wǎng)IP(外網(wǎng)IP):業(yè)務機實際IP
內(nèi)網(wǎng)虛擬IP:外網(wǎng)虛IP(即與外網(wǎng)實際IP相同網(wǎng)段的IP)
外網(wǎng)虛擬IP:內(nèi)網(wǎng)虛IP
MAC地址:業(yè)務機MAC地址
IP與MAC綁定:否
其余默認���。
2. 網(wǎng)絡安全隔離設備(反向型)
2.1 設備相關信息
反向隔離[ 外網(wǎng) ? 內(nèi)網(wǎng) ](只能使用外網(wǎng)口配置console):
數(shù)據(jù)發(fā)送形式:文本數(shù)據(jù)
2.2 設備配置
1) 進入StoneWall-2000網(wǎng)絡安全隔離設備反向型管理工具4.5
2) 登陸界面:
登錄名:root
口令:111111
串口設置:實際端口
通訊頻率:19200
3)設備配置 –> 設備基本配置:
網(wǎng)口I協(xié)商IP要與隧道協(xié)商IP一樣���,且與發(fā)送端的IP同網(wǎng)段:
4)登陸到主界面 規(guī)則配置 ? 規(guī)則管理 ? 新建規(guī)則:
規(guī)則名稱:“數(shù)字”,“ _”�����,“ 字母” 組成
方向:從外到內(nèi)
協(xié)議:TCP
控制類型:SYN連接
內(nèi)網(wǎng)IP(外網(wǎng)IP):業(yè)務機實際IP
內(nèi)網(wǎng)虛擬IP:外網(wǎng)虛IP(即與外網(wǎng)實際IP相同網(wǎng)段的IP)
外網(wǎng)虛擬IP:內(nèi)網(wǎng)虛IP
MAC地址:業(yè)務機MAC地址
IP與MAC綁定:否
其余默認����。
2.3證書的導入及使用:
1)進入 StoneWall-2000反向文件傳輸軟件發(fā)送端
2)第一次進入出現(xiàn)以下界面:
口令:111111 (可以自己進行錄入,為了好記使用六個一)
3)確定之后顯示以下界面:
操作員的密碼:
密鑰保護口令:111111
1)公鑰證書
導出公鑰證書(StoneWall-2000反向文件傳輸軟件發(fā)送端 ? 管理 ? 密鑰管理 ?導出密鑰 ? (密碼是第一次進入時設置的密碼)���,并選擇證書導出路徑)
密鑰保護口令:111111
保存的證書后綴為“.cer”的文件類型
點擊保存 ? 確定 出現(xiàn)保存成功頁面����,即密鑰保存成功
2)設備證書
1)進入 StoneWall-2000網(wǎng)絡安全隔離設備反向型管理工具4.5
導出設備證書(StoneWall-2000網(wǎng)絡安全隔離設備反向型管理工具4.5 ? )規(guī)則配置 ? 設備密鑰數(shù)據(jù)管理 ? 導出設備證書 ? 選擇路徑并保存“設備證書”
3)設備證書導入隧道
在主界面點擊 設定 ? 配置加密隧道
點擊“添加”
隧道名稱:英文字母
隧道的協(xié)商地址:與外網(wǎng)業(yè)務機同網(wǎng)段的且與其實虛地址均不同。
隔離設備證書的路徑:導入設備證書���。
其余默認��。
4)配置公鑰證書:
配置規(guī)則 ? 發(fā)送端證書管理:
發(fā)送端IP:外網(wǎng)業(yè)務機IP(反向型是從外網(wǎng)向內(nèi)網(wǎng)發(fā)送數(shù)據(jù))
證書文件標示:公鑰證書�。
2.4測試發(fā)送
安裝加密包
1) 找到BC.jar包
首先請先確認在要安裝數(shù)據(jù)傳輸軟件的兩臺主機上的java虛擬機的版本為1.4或1.4以上����。然后請從我們的光盤上的 /反向型/JCE/ 中找到BC.jar和java.security文件。
2) 拷貝jar文件和java.security
a) UNIX系統(tǒng):如果使用的是UNIX,請拷貝BC.jar到$JAVA_HOME/jre/lib/ext/����;拷貝java.security到$
JAVA_HOME/jre/lib/security/下覆蓋原文件。$JAVA_HOME為安裝jdk時指定的目錄����,通常是類似于這樣的目錄:/user/local/jdk1.4/
b) Windows 系統(tǒng):在windows 中JAVA通常安裝在兩個目錄下:一個用于開發(fā),包括所有的JDK開發(fā)工具�����,而另一個則只是JAVA的運行環(huán)境���。JDK通常安裝在C:/java1.4這樣的目錄下(也有可能安裝于其他目錄���,又安裝者在安裝jdk時決定)而運行環(huán)境則在C:Program FilesJavaj2re1.4目錄下。每個目錄下都有一個lib/ext/ 這樣的目錄��,則拷貝BC.jar到這個目錄下����,并拷貝java.security到lib/security/目錄下覆蓋原有文件。
c) 更簡單的���,運行我們傳輸軟件目錄下/先運行/中的jreUpdate.jar文件�。我們的程序?qū)⒆詣訛槟M行配置����。命令為:
java –jar jreUpdate.jar
客戶端配置
運行 StoneWall-2000反向文件傳輸軟件發(fā)送端
本地資源中的文件 ? 右鍵“發(fā)送”
目的IP地址:接收端虛IP
目的端口號:要與接收端端口號一致
接收端打開即可,要求端口與發(fā)送端端口相同���。
管理工具中的配置更改后�,設備需要斷電重啟
二���、 隔離組網(wǎng)設置——StoneWall-2000隔離內(nèi)外網(wǎng)絡
StoneWall-2000連接網(wǎng)絡的方式可分為以下三種:
接入過程:
1.)首先確定要安全隔離的內(nèi)外兩個網(wǎng)絡(或計算機主機)����。
2.)將StoneWall-2000的PUBLIC以太網(wǎng)口連接至外部網(wǎng)絡的交換機或路由器;如果外部網(wǎng)絡只是一臺計算機主機���,那么就將StoneWall-2000的PUBLIC以太網(wǎng)口與被連接的計算機主機的以太網(wǎng)口直接相連并查看本設備PUBLIC之LINK燈是否顯示����。
3.) 將StoneWall-2000的PRIVATE以太網(wǎng)口連接至內(nèi)部網(wǎng)絡的交換機或路由器�����;如果內(nèi)部網(wǎng)絡只是一臺計算機主機�����,那么就將StoneWall-2000的PRIVATE以太網(wǎng)口與被連接的計算機主機的以太網(wǎng)口直接相連并查看本設備PRIVATE之LINK燈是否顯示�����。
4.) 聯(lián)機安裝完畢����。
2隔離裝置管理工具的配置及使用
示例:
A:192.168.1.1----------- -----------192.168.2.1:B
如圖,假設三區(qū)外網(wǎng)主機B與一區(qū)內(nèi)網(wǎng)主機A之間通信。我們需要知道以下信息:
a)需要知道一區(qū)內(nèi)網(wǎng)主機A的MAC地址a1:a1:a1:a1:a1:a1和三區(qū)外網(wǎng)主機mac地址b1:b1:b1:b1:b1:b1
b)需要為一區(qū)內(nèi)網(wǎng)主機A分配一個虛擬地址192.168.2.254��,此地址應與三區(qū)主機同一個網(wǎng)段
c)需要為三區(qū)外網(wǎng)主機B分配一個虛擬地址192.168.1.254����,此地址應與一區(qū)主機同一個網(wǎng)段
d) 需要為隔離裝置分配一個協(xié)商地址192.168.2.250����,協(xié)商地址應與隔離裝置PUBLIC相連設備在同一網(wǎng)段
備注:新分配的地址不能產(chǎn)生地址沖突,即網(wǎng)絡中新地址沒有被使用����。
管理工具:
首先將隔離設備主機的PUBLIC端的串口與管理主機的串口相連(通過隨設備附帶的串口線)。打開隔離設備主機的電源開關����,隔離設備系統(tǒng)啟動。
1)登陸管理工具
啟動網(wǎng)絡安全隔離設備管理工具���。會詢問您用戶名和密碼����,系統(tǒng)默認登錄名為root���,口令為111111��。
如圖2-1所示:
圖2-1登錄界面
2)設備基本配置
登錄成功后�,顯示管理器的主窗口,我們先配置設備配置>>設備基本配置
這里主要填寫協(xié)商IP地址��,其中網(wǎng)口I和網(wǎng)口II分別對應裝置PUBLIC端的eth0口和eth1口����。一般我們連接裝置的eth0口。按例子�,我們網(wǎng)口I協(xié)商IP地址為192.168.2.250,(國能日新在實施時盡量都把改口設為192.168.1.240,第2個為241)網(wǎng)口II沒有填寫為0.0.0.0���,加密模式選擇軟件加密��。填寫完成后點擊“寫入”�����。
3)規(guī)則管理
點擊規(guī)則配置>>規(guī)則管理�。
點擊“新加規(guī)則”�,協(xié)議“TCP”,控制類型“SYN連接”。左側(cè)為內(nèi)網(wǎng)���,右側(cè)為外網(wǎng)�。端口號默認不修改。網(wǎng)口號1對應ETH0�����,2對應ETH1�����,根據(jù)實際連線選擇�����。發(fā)送端主機是否一個存在一個IP多個MAC地址的情況�����,如果存在���,“IP和MAC地址綁定”不選擇,如果不存在則選擇�����。
按例子我們就需要配置內(nèi)網(wǎng)192.168.1.1外網(wǎng)192.168.2.1的一條規(guī)則。
現(xiàn)在很多情況是一區(qū)內(nèi)網(wǎng)主機A192.168.1.1還有另一個MAC地址為a2:a2:a2:a2:a2:a2�,三區(qū)外網(wǎng)主機也有另一個MAC地址b2:b2:b2:b2:b2:b2。首先我們修改第一條規(guī)則���,將內(nèi)外網(wǎng)側(cè)的“IP和MAC地址綁定”取消�����。然后選中第一條規(guī)則點擊“復制規(guī)則”�,將內(nèi)網(wǎng)的MAC地址修改為a2:a2:a2:a2:a2:a2,將外網(wǎng)的MAC地址修改為b2:b2:b2:b2:b2:b2�。
配置這兩條規(guī)則就可以了,配置完成后�����,需點擊下方的“寫入規(guī)則文件”����。
4)設備密鑰數(shù)據(jù)管理
點擊規(guī)則配置>>設備密鑰數(shù)據(jù)管理。
點擊“導出設備證書文件”�����,該證書為隔離裝置的設備證書�。我們這里起名為dev.cer����。它將會導入到三區(qū)外網(wǎng)主機的發(fā)送端軟件里����。
5)發(fā)送端證書管理
點擊規(guī)則配置>>發(fā)送端證書管理。
這里填寫發(fā)送端IP地址����,即三區(qū)外網(wǎng)主機B的IP地址192.168.2.1,點擊導入證書選擇從發(fā)送軟件到處的send.cer的證書(下面將會講到send.cer證書怎么獲得)。填寫完畢后��,點擊“保存證書”��。
6)備注
隔離裝置配置添加修改后���,需要要重新啟動裝置才能生效。
3傳輸軟件發(fā)送端的配置及使用
1)安裝傳輸軟件
傳輸軟件需要JAVA環(huán)境����。如果是windows主機的情況,直接點擊安裝軟件安裝即可��。而LINUX主機相對來說要麻煩一點��。主要講一下LINUX主機下怎么安裝。
a)拷貝
從光盤里找到linux下的安裝程序�。安裝光盤位置:“StoneWall-2000反向型文件傳輸工具軟件2008單比特版反向1bit程序2.7.2”的“hp-unix&linux”,把它重命名為“fan”��,拷貝到發(fā)送端主機�����。
如果沒有JRE環(huán)境�����,我們將JRE環(huán)境也拷貝到發(fā)送端主機�����。
將剛從隔離裝置導出的設備證書dev.cer拷貝到fan/send/send.cer����。
目錄結(jié)構:
|--/home/d5000/stonewall/
|----------------/home/d5000/stonewall/jre
|----------------/home/d5000/stonewall/fan
b)JRE的配置修改
①將“fan/先安裝/bouncycastle.jar”拷貝到“jre/lib/ext/”目錄下。
②找到“jre/lib/security/”目錄下的“java.security”文件�,vi打開這個文件進行編輯。找到“security.provider”這個部分:
security.provider.1=sun.security.provider.Sun
security.provider.2=com.sun.net.ssl.internal.ssl.Provider
security.provider.3=com.sun.rsajca.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
…
Security.provider.8=….
然后我們按序號繼續(xù)添加一條“
org.bouncycastle.jce.provider.BouncyCastleProvide”
例如:
Security.provider.9= org.bouncycastle.jce.provider.BouncyCastleProvide
③如果下面的啟動界面無法正?��,F(xiàn)實中文����,我們需要將從windos系統(tǒng)下找到simsun.ttc這個文件(C:WINDOWSFonts)。然后將simsun.ttc拷貝到jre/lib/fonts文件夾下�。
c)啟動腳本
400-001-8882
