一���、設(shè)備配置
隔離設(shè)備(波特率19200)單向發(fā)送數(shù)據(jù)(內(nèi)外網(wǎng)不同時(shí)聯(lián)通)
參考1 :分布式光伏風(fēng)電新能源電站并網(wǎng)必備須知:正反向隔離裝置組網(wǎng)
參考2: 杭州領(lǐng)祺通訊管理機(jī)-正向隔離TCP轉(zhuǎn)發(fā)
1. 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)
1.1 設(shè)備相關(guān)信息
正向隔離[ 內(nèi)網(wǎng) 外網(wǎng) ](只能使用內(nèi)網(wǎng)口配置console):
發(fā)送數(shù)據(jù)方式:數(shù)據(jù)流
1.2 設(shè)備配置
1) 進(jìn)入 StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備正向型管理工具4.5
2)登陸界面:
登錄名:root
口令:111111
串口設(shè)置:實(shí)際端口
通訊頻率:19200
3)登陸進(jìn)入主界面 規(guī)則配置 ? 規(guī)則管理:
規(guī)則名稱:“數(shù)字”���,“ _”��,“ 字母” 組成
方向:從內(nèi)到外
協(xié)議:TCP
控制類型:SYN連接
內(nèi)網(wǎng)IP(外網(wǎng)IP):業(yè)務(wù)機(jī)實(shí)際IP
內(nèi)網(wǎng)虛擬IP:外網(wǎng)虛IP(即與外網(wǎng)實(shí)際IP相同網(wǎng)段的IP)
外網(wǎng)虛擬IP:內(nèi)網(wǎng)虛IP
MAC地址:業(yè)務(wù)機(jī)MAC地址
IP與MAC綁定:否
其余默認(rèn)。
2. 網(wǎng)絡(luò)安全隔離設(shè)備(反向型)
2.1 設(shè)備相關(guān)信息
反向隔離[ 外網(wǎng) ? 內(nèi)網(wǎng) ](只能使用外網(wǎng)口配置console):
數(shù)據(jù)發(fā)送形式:文本數(shù)據(jù)
2.2 設(shè)備配置
1) 進(jìn)入StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備反向型管理工具4.5
2) 登陸界面:
登錄名:root
口令:111111
串口設(shè)置:實(shí)際端口
通訊頻率:19200
3)設(shè)備配置 –> 設(shè)備基本配置:
網(wǎng)口I協(xié)商IP要與隧道協(xié)商IP一樣����,且與發(fā)送端的IP同網(wǎng)段:
4)登陸到主界面 規(guī)則配置 ? 規(guī)則管理 ? 新建規(guī)則:
規(guī)則名稱:“數(shù)字”,“ _”���,“ 字母” 組成
方向:從外到內(nèi)
協(xié)議:TCP
控制類型:SYN連接
內(nèi)網(wǎng)IP(外網(wǎng)IP):業(yè)務(wù)機(jī)實(shí)際IP
內(nèi)網(wǎng)虛擬IP:外網(wǎng)虛IP(即與外網(wǎng)實(shí)際IP相同網(wǎng)段的IP)
外網(wǎng)虛擬IP:內(nèi)網(wǎng)虛IP
MAC地址:業(yè)務(wù)機(jī)MAC地址
IP與MAC綁定:否
其余默認(rèn)�。
2.3證書的導(dǎo)入及使用:
1)進(jìn)入 StoneWall-2000反向文件傳輸軟件發(fā)送端
2)第一次進(jìn)入出現(xiàn)以下界面:
口令:111111 (可以自己進(jìn)行錄入�,為了好記使用六個(gè)一)
3)確定之后顯示以下界面:
操作員的密碼:
密鑰保護(hù)口令:111111
1)公鑰證書
導(dǎo)出公鑰證書(StoneWall-2000反向文件傳輸軟件發(fā)送端 ? 管理 ? 密鑰管理 ?導(dǎo)出密鑰 ? (密碼是第一次進(jìn)入時(shí)設(shè)置的密碼),并選擇證書導(dǎo)出路徑)
密鑰保護(hù)口令:111111
保存的證書后綴為“.cer”的文件類型
點(diǎn)擊保存 ? 確定 出現(xiàn)保存成功頁(yè)面��,即密鑰保存成功
2)設(shè)備證書
1)進(jìn)入 StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備反向型管理工具4.5
導(dǎo)出設(shè)備證書(StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備反向型管理工具4.5 ? )規(guī)則配置 ? 設(shè)備密鑰數(shù)據(jù)管理 ? 導(dǎo)出設(shè)備證書 ? 選擇路徑并保存“設(shè)備證書”
3)設(shè)備證書導(dǎo)入隧道
在主界面點(diǎn)擊 設(shè)定 ? 配置加密隧道
點(diǎn)擊“添加”
隧道名稱:英文字母
隧道的協(xié)商地址:與外網(wǎng)業(yè)務(wù)機(jī)同網(wǎng)段的且與其實(shí)虛地址均不同��。
隔離設(shè)備證書的路徑:導(dǎo)入設(shè)備證書�����。
其余默認(rèn)���。
4)配置公鑰證書:
配置規(guī)則 ? 發(fā)送端證書管理:
發(fā)送端IP:外網(wǎng)業(yè)務(wù)機(jī)IP(反向型是從外網(wǎng)向內(nèi)網(wǎng)發(fā)送數(shù)據(jù))
證書文件標(biāo)示:公鑰證書���。
2.4測(cè)試發(fā)送
安裝加密包
1) 找到BC.jar包
首先請(qǐng)先確認(rèn)在要安裝數(shù)據(jù)傳輸軟件的兩臺(tái)主機(jī)上的java虛擬機(jī)的版本為1.4或1.4以上。然后請(qǐng)從我們的光盤上的 /反向型/JCE/ 中找到BC.jar和java.security文件�����。
2) 拷貝jar文件和java.security
a) UNIX系統(tǒng):如果使用的是UNIX,請(qǐng)拷貝BC.jar到$JAVA_HOME/jre/lib/ext/;拷貝java.security到$
JAVA_HOME/jre/lib/security/下覆蓋原文件����。$JAVA_HOME為安裝jdk時(shí)指定的目錄,通常是類似于這樣的目錄:/user/local/jdk1.4/
b) Windows 系統(tǒng):在windows 中JAVA通常安裝在兩個(gè)目錄下:一個(gè)用于開發(fā)���,包括所有的JDK開發(fā)工具���,而另一個(gè)則只是JAVA的運(yùn)行環(huán)境。JDK通常安裝在C:/java1.4這樣的目錄下(也有可能安裝于其他目錄��,又安裝者在安裝jdk時(shí)決定)而運(yùn)行環(huán)境則在C:Program FilesJavaj2re1.4目錄下�����。每個(gè)目錄下都有一個(gè)lib/ext/ 這樣的目錄�,則拷貝BC.jar到這個(gè)目錄下,并拷貝java.security到lib/security/目錄下覆蓋原有文件�����。
c) 更簡(jiǎn)單的���,運(yùn)行我們傳輸軟件目錄下/先運(yùn)行/中的jreUpdate.jar文件���。我們的程序?qū)⒆詣?dòng)為您進(jìn)行配置。命令為:
java –jar jreUpdate.jar
客戶端配置
運(yùn)行 StoneWall-2000反向文件傳輸軟件發(fā)送端
本地資源中的文件 ? 右鍵“發(fā)送”
目的IP地址:接收端虛IP
目的端口號(hào):要與接收端端口號(hào)一致
接收端打開即可���,要求端口與發(fā)送端端口相同���。
管理工具中的配置更改后,設(shè)備需要斷電重啟
二�����、 隔離組網(wǎng)設(shè)置——StoneWall-2000隔離內(nèi)外網(wǎng)絡(luò)
StoneWall-2000連接網(wǎng)絡(luò)的方式可分為以下三種:
接入過(guò)程:
1.)首先確定要安全隔離的內(nèi)外兩個(gè)網(wǎng)絡(luò)(或計(jì)算機(jī)主機(jī))��。
2.)將StoneWall-2000的PUBLIC以太網(wǎng)口連接至外部網(wǎng)絡(luò)的交換機(jī)或路由器�����;如果外部網(wǎng)絡(luò)只是一臺(tái)計(jì)算機(jī)主機(jī)�����,那么就將StoneWall-2000的PUBLIC以太網(wǎng)口與被連接的計(jì)算機(jī)主機(jī)的以太網(wǎng)口直接相連并查看本設(shè)備PUBLIC之LINK燈是否顯示�。
3.) 將StoneWall-2000的PRIVATE以太網(wǎng)口連接至內(nèi)部網(wǎng)絡(luò)的交換機(jī)或路由器����;如果內(nèi)部網(wǎng)絡(luò)只是一臺(tái)計(jì)算機(jī)主機(jī)�,那么就將StoneWall-2000的PRIVATE以太網(wǎng)口與被連接的計(jì)算機(jī)主機(jī)的以太網(wǎng)口直接相連并查看本設(shè)備PRIVATE之LINK燈是否顯示。
4.) 聯(lián)機(jī)安裝完畢���。
2隔離裝置管理工具的配置及使用
示例:
A:192.168.1.1----------- -----------192.168.2.1:B
如圖��,假設(shè)三區(qū)外網(wǎng)主機(jī)B與一區(qū)內(nèi)網(wǎng)主機(jī)A之間通信����。我們需要知道以下信息:
a)需要知道一區(qū)內(nèi)網(wǎng)主機(jī)A的MAC地址a1:a1:a1:a1:a1:a1和三區(qū)外網(wǎng)主機(jī)mac地址b1:b1:b1:b1:b1:b1
b)需要為一區(qū)內(nèi)網(wǎng)主機(jī)A分配一個(gè)虛擬地址192.168.2.254�����,此地址應(yīng)與三區(qū)主機(jī)同一個(gè)網(wǎng)段
c)需要為三區(qū)外網(wǎng)主機(jī)B分配一個(gè)虛擬地址192.168.1.254�����,此地址應(yīng)與一區(qū)主機(jī)同一個(gè)網(wǎng)段
d) 需要為隔離裝置分配一個(gè)協(xié)商地址192.168.2.250��,協(xié)商地址應(yīng)與隔離裝置PUBLIC相連設(shè)備在同一網(wǎng)段
備注:新分配的地址不能產(chǎn)生地址沖突��,即網(wǎng)絡(luò)中新地址沒(méi)有被使用��。
管理工具:
首先將隔離設(shè)備主機(jī)的PUBLIC端的串口與管理主機(jī)的串口相連(通過(guò)隨設(shè)備附帶的串口線)。打開隔離設(shè)備主機(jī)的電源開關(guān)����,隔離設(shè)備系統(tǒng)啟動(dòng)�����。
1)登陸管理工具
啟動(dòng)網(wǎng)絡(luò)安全隔離設(shè)備管理工具���。會(huì)詢問(wèn)您用戶名和密碼�,系統(tǒng)默認(rèn)登錄名為root����,口令為111111。
如圖2-1所示:
圖2-1登錄界面
2)設(shè)備基本配置
登錄成功后��,顯示管理器的主窗口���,我們先配置設(shè)備配置>>設(shè)備基本配置
這里主要填寫協(xié)商IP地址���,其中網(wǎng)口I和網(wǎng)口II分別對(duì)應(yīng)裝置PUBLIC端的eth0口和eth1口。一般我們連接裝置的eth0口�。按例子���,我們網(wǎng)口I協(xié)商IP地址為192.168.2.250,(國(guó)能日新在實(shí)施時(shí)盡量都把改口設(shè)為192.168.1.240,第2個(gè)為241)網(wǎng)口II沒(méi)有填寫為0.0.0.0�,加密模式選擇軟件加密。填寫完成后點(diǎn)擊“寫入”��。
3)規(guī)則管理
點(diǎn)擊規(guī)則配置>>規(guī)則管理�。
點(diǎn)擊“新加規(guī)則”,協(xié)議“TCP”,控制類型“SYN連接”��。左側(cè)為內(nèi)網(wǎng)�,右側(cè)為外網(wǎng)。端口號(hào)默認(rèn)不修改��。網(wǎng)口號(hào)1對(duì)應(yīng)ETH0����,2對(duì)應(yīng)ETH1,根據(jù)實(shí)際連線選擇�����。發(fā)送端主機(jī)是否一個(gè)存在一個(gè)IP多個(gè)MAC地址的情況��,如果存在,“IP和MAC地址綁定”不選擇���,如果不存在則選擇��。
按例子我們就需要配置內(nèi)網(wǎng)192.168.1.1外網(wǎng)192.168.2.1的一條規(guī)則����。
現(xiàn)在很多情況是一區(qū)內(nèi)網(wǎng)主機(jī)A192.168.1.1還有另一個(gè)MAC地址為a2:a2:a2:a2:a2:a2�����,三區(qū)外網(wǎng)主機(jī)也有另一個(gè)MAC地址b2:b2:b2:b2:b2:b2��。首先我們修改第一條規(guī)則��,將內(nèi)外網(wǎng)側(cè)的“IP和MAC地址綁定”取消��。然后選中第一條規(guī)則點(diǎn)擊“復(fù)制規(guī)則”�,將內(nèi)網(wǎng)的MAC地址修改為a2:a2:a2:a2:a2:a2,將外網(wǎng)的MAC地址修改為b2:b2:b2:b2:b2:b2����。
配置這兩條規(guī)則就可以了,配置完成后���,需點(diǎn)擊下方的“寫入規(guī)則文件”��。
4)設(shè)備密鑰數(shù)據(jù)管理
點(diǎn)擊規(guī)則配置>>設(shè)備密鑰數(shù)據(jù)管理�����。
點(diǎn)擊“導(dǎo)出設(shè)備證書文件”��,該證書為隔離裝置的設(shè)備證書����。我們這里起名為dev.cer。它將會(huì)導(dǎo)入到三區(qū)外網(wǎng)主機(jī)的發(fā)送端軟件里�。
5)發(fā)送端證書管理
點(diǎn)擊規(guī)則配置>>發(fā)送端證書管理。
這里填寫發(fā)送端IP地址��,即三區(qū)外網(wǎng)主機(jī)B的IP地址192.168.2.1,點(diǎn)擊導(dǎo)入證書選擇從發(fā)送軟件到處的send.cer的證書(下面將會(huì)講到send.cer證書怎么獲得)�。填寫完畢后,點(diǎn)擊“保存證書”��。
6)備注
隔離裝置配置添加修改后����,需要要重新啟動(dòng)裝置才能生效。
3傳輸軟件發(fā)送端的配置及使用
1)安裝傳輸軟件
傳輸軟件需要JAVA環(huán)境�����。如果是windows主機(jī)的情況,直接點(diǎn)擊安裝軟件安裝即可�����。而LINUX主機(jī)相對(duì)來(lái)說(shuō)要麻煩一點(diǎn)����。主要講一下LINUX主機(jī)下怎么安裝。
a)拷貝
從光盤里找到linux下的安裝程序�����。安裝光盤位置:“StoneWall-2000反向型文件傳輸工具軟件2008單比特版反向1bit程序2.7.2”的“hp-unix&linux”�����,把它重命名為“fan”��,拷貝到發(fā)送端主機(jī)�。
如果沒(méi)有JRE環(huán)境��,我們將JRE環(huán)境也拷貝到發(fā)送端主機(jī)���。
將剛從隔離裝置導(dǎo)出的設(shè)備證書dev.cer拷貝到fan/send/send.cer�。
目錄結(jié)構(gòu):
|--/home/d5000/stonewall/
|----------------/home/d5000/stonewall/jre
|----------------/home/d5000/stonewall/fan
b)JRE的配置修改
①將“fan/先安裝/bouncycastle.jar”拷貝到“jre/lib/ext/”目錄下。
②找到“jre/lib/security/”目錄下的“java.security”文件���,vi打開這個(gè)文件進(jìn)行編輯�。找到“security.provider”這個(gè)部分:
security.provider.1=sun.security.provider.Sun
security.provider.2=com.sun.net.ssl.internal.ssl.Provider
security.provider.3=com.sun.rsajca.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
…
Security.provider.8=….
然后我們按序號(hào)繼續(xù)添加一條“
org.bouncycastle.jce.provider.BouncyCastleProvide”
例如:
Security.provider.9= org.bouncycastle.jce.provider.BouncyCastleProvide
③如果下面的啟動(dòng)界面無(wú)法正?�,F(xiàn)實(shí)中文���,我們需要將從windos系統(tǒng)下找到simsun.ttc這個(gè)文件(C:WINDOWSFonts)�����。然后將simsun.ttc拷貝到jre/lib/fonts文件夾下�。
c)啟動(dòng)腳本
400-001-8882
