不卡AV韩国在线|国产九九九九九福利|婷婷怡红院在线|国产亚洲高清视频在线观看

電力通訊網(wǎng)絡(luò)安全分區(qū)隔離配置——科東StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備(正,反向) 隔離內(nèi)外網(wǎng)絡(luò)

作者:杭州領(lǐng)祺科技有限公司 日期:2023-03-25 閱讀量:

wps15.png

一、設(shè)備配置

隔離設(shè)備(波特率19200)單向發(fā)送數(shù)據(jù)(內(nèi)外網(wǎng)不同時(shí)聯(lián)通)

參考1 :分布式光伏風(fēng)電新能源電站并網(wǎng)必備須知:正反向隔離裝置組網(wǎng)

參考2: 杭州領(lǐng)祺通訊管理機(jī)-正向隔離TCP轉(zhuǎn)發(fā)

1. 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)

1.1 設(shè)備相關(guān)信息

正向隔離[ 內(nèi)網(wǎng) 外網(wǎng) ](只能使用內(nèi)網(wǎng)口配置console):

發(fā)送數(shù)據(jù)方式:數(shù)據(jù)流

1.2 設(shè)備配置

1) 進(jìn)入 StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備正向型管理工具4.5

2)登陸界面:

登錄名:root

口令:111111

串口設(shè)置:實(shí)際端口

通訊頻率:19200

3)登陸進(jìn)入主界面 規(guī)則配置 ? 規(guī)則管理:

規(guī)則名稱:數(shù)字,_,字母組成

方向:從內(nèi)到外

協(xié)議:TCP

控制類型:SYN連接

內(nèi)網(wǎng)IP(外網(wǎng)IP):業(yè)務(wù)機(jī)實(shí)際IP

內(nèi)網(wǎng)虛擬IP:外網(wǎng)虛IP(即與外網(wǎng)實(shí)際IP相同網(wǎng)段的IP

外網(wǎng)虛擬IP:內(nèi)網(wǎng)虛IP

MAC地址:業(yè)務(wù)機(jī)MAC地址

IPMAC綁定:否

其余默認(rèn)。

2. 網(wǎng)絡(luò)安全隔離設(shè)備(反向型)

2.1 設(shè)備相關(guān)信息

反向隔離[ 外網(wǎng) ? 內(nèi)網(wǎng) ](只能使用外網(wǎng)口配置console):

數(shù)據(jù)發(fā)送形式:文本數(shù)據(jù)

2.2 設(shè)備配置

1) 進(jìn)入StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備反向型管理工具4.5

2) 登陸界面:

登錄名:root

口令:111111

串口設(shè)置:實(shí)際端口

通訊頻率:19200

3)設(shè)備配置 > 設(shè)備基本配置:

網(wǎng)口I協(xié)商IP要與隧道協(xié)商IP一樣,且與發(fā)送端的IP同網(wǎng)段:

4)登陸到主界面 規(guī)則配置 ? 規(guī)則管理 ? 新建規(guī)則:

規(guī)則名稱:數(shù)字_,字母組成

方向:從外到內(nèi)

協(xié)議:TCP

控制類型:SYN連接

內(nèi)網(wǎng)IP(外網(wǎng)IP):業(yè)務(wù)機(jī)實(shí)際IP

內(nèi)網(wǎng)虛擬IP:外網(wǎng)虛IP(即與外網(wǎng)實(shí)際IP相同網(wǎng)段的IP

外網(wǎng)虛擬IP:內(nèi)網(wǎng)虛IP

MAC地址:業(yè)務(wù)機(jī)MAC地址

IPMAC綁定:否

其余默認(rèn)。

2.3證書的導(dǎo)入及使用:

1)進(jìn)入 StoneWall-2000反向文件傳輸軟件發(fā)送端

2)第一次進(jìn)入出現(xiàn)以下界面:

口令:111111 (可以自己進(jìn)行錄入,為了好記使用六個(gè)一)

3)確定之后顯示以下界面:

操作員的密碼:

密鑰保護(hù)口令:111111

1)公鑰證書

導(dǎo)出公鑰證書(StoneWall-2000反向文件傳輸軟件發(fā)送端 ? 管理 ? 密鑰管理 ?導(dǎo)出密鑰 ? (密碼是第一次進(jìn)入時(shí)設(shè)置的密碼),并選擇證書導(dǎo)出路徑)

密鑰保護(hù)口令:111111

保存的證書后綴為.cer的文件類型

點(diǎn)擊保存 ? 確定 出現(xiàn)保存成功頁(yè)面,即密鑰保存成功

2)設(shè)備證書

1)進(jìn)入 StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備反向型管理工具4.5

導(dǎo)出設(shè)備證書(StoneWall-2000網(wǎng)絡(luò)安全隔離設(shè)備反向型管理工具4.5 ? )規(guī)則配置 ? 設(shè)備密鑰數(shù)據(jù)管理 ? 導(dǎo)出設(shè)備證書 ? 選擇路徑并保存設(shè)備證書

3)設(shè)備證書導(dǎo)入隧道

在主界面點(diǎn)擊 設(shè)定 ? 配置加密隧道

點(diǎn)擊添加

隧道名稱:英文字母

隧道的協(xié)商地址:與外網(wǎng)業(yè)務(wù)機(jī)同網(wǎng)段的且與其實(shí)虛地址均不同。

隔離設(shè)備證書的路徑:導(dǎo)入設(shè)備證書。

其余默認(rèn)。

4)配置公鑰證書:

配置規(guī)則 ? 發(fā)送端證書管理:

發(fā)送端IP:外網(wǎng)業(yè)務(wù)機(jī)IP(反向型是從外網(wǎng)向內(nèi)網(wǎng)發(fā)送數(shù)據(jù))

證書文件標(biāo)示:公鑰證書。

2.4測(cè)試發(fā)送

安裝加密包

1) 找到BC.jar

首先請(qǐng)先確認(rèn)在要安裝數(shù)據(jù)傳輸軟件的兩臺(tái)主機(jī)上的java虛擬機(jī)的版本為1.41.4以上。然后請(qǐng)從我們的光盤上的 /反向型/JCE/ 中找到BC.jarjava.security文件。

2) 拷貝jar文件和java.security

a) UNIX系統(tǒng):如果使用的是UNIX,請(qǐng)拷貝BC.jar$JAVA_HOME/jre/lib/ext/;拷貝java.security$

JAVA_HOME/jre/lib/security/下覆蓋原文件。$JAVA_HOME為安裝jdk時(shí)指定的目錄,通常是類似于這樣的目錄:/user/local/jdk1.4/

b) Windows 系統(tǒng):在windows JAVA通常安裝在兩個(gè)目錄下:一個(gè)用于開發(fā),包括所有的JDK開發(fā)工具,而另一個(gè)則只是JAVA的運(yùn)行環(huán)境。JDK通常安裝在C:/java1.4這樣的目錄下(也有可能安裝于其他目錄,又安裝者在安裝jdk時(shí)決定)而運(yùn)行環(huán)境則在C:Program FilesJavaj2re1.4目錄下。每個(gè)目錄下都有一個(gè)lib/ext/ 這樣的目錄,則拷貝BC.jar到這個(gè)目錄下,并拷貝java.securitylib/security/目錄下覆蓋原有文件。

c) 更簡(jiǎn)單的,運(yùn)行我們傳輸軟件目錄下/先運(yùn)行/中的jreUpdate.jar文件。我們的程序?qū)⒆詣?dòng)為您進(jìn)行配置。命令為:

java jar jreUpdate.jar

客戶端配置

運(yùn)行 StoneWall-2000反向文件傳輸軟件發(fā)送端

本地資源中的文件 ? 右鍵發(fā)送

目的IP地址:接收端虛IP

目的端口號(hào):要與接收端端口號(hào)一致

接收端打開即可,要求端口與發(fā)送端端口相同。

管理工具中的配置更改后,設(shè)備需要斷電重啟

二、 隔離組網(wǎng)設(shè)置——StoneWall-2000隔離內(nèi)外網(wǎng)絡(luò)

StoneWall-2000連接網(wǎng)絡(luò)的方式可分為以下三種:

wps2.png

接入過(guò)程:

1.)首先確定要安全隔離的內(nèi)外兩個(gè)網(wǎng)絡(luò)(或計(jì)算機(jī)主機(jī))。

2.)將StoneWall-2000PUBLIC以太網(wǎng)口連接至外部網(wǎng)絡(luò)的交換機(jī)或路由器;如果外部網(wǎng)絡(luò)只是一臺(tái)計(jì)算機(jī)主機(jī),那么就將StoneWall-2000PUBLIC以太網(wǎng)口與被連接的計(jì)算機(jī)主機(jī)的以太網(wǎng)口直接相連并查看本設(shè)備PUBLICLINK燈是否顯示。

3.) 將StoneWall-2000PRIVATE以太網(wǎng)口連接至內(nèi)部網(wǎng)絡(luò)的交換機(jī)或路由器;如果內(nèi)部網(wǎng)絡(luò)只是一臺(tái)計(jì)算機(jī)主機(jī),那么就將StoneWall-2000PRIVATE以太網(wǎng)口與被連接的計(jì)算機(jī)主機(jī)的以太網(wǎng)口直接相連并查看本設(shè)備PRIVATELINK燈是否顯示。

4.) 聯(lián)機(jī)安裝完畢。

2隔離裝置管理工具的配置及使用

wps3.png

示例:

A192.168.1.1----------- -----------192.168.2.1B

如圖,假設(shè)三區(qū)外網(wǎng)主機(jī)B與一區(qū)內(nèi)網(wǎng)主機(jī)A之間通信。我們需要知道以下信息:

a)需要知道一區(qū)內(nèi)網(wǎng)主機(jī)AMAC地址a1:a1:a1:a1:a1:a1和三區(qū)外網(wǎng)主機(jī)mac地址b1:b1:b1:b1:b1:b1

b)需要為一區(qū)內(nèi)網(wǎng)主機(jī)A分配一個(gè)虛擬地址192.168.2.254,此地址應(yīng)與三區(qū)主機(jī)同一個(gè)網(wǎng)段

c)需要為三區(qū)外網(wǎng)主機(jī)B分配一個(gè)虛擬地址192.168.1.254,此地址應(yīng)與一區(qū)主機(jī)同一個(gè)網(wǎng)段

d) 需要為隔離裝置分配一個(gè)協(xié)商地址192.168.2.250,協(xié)商地址應(yīng)與隔離裝置PUBLIC相連設(shè)備在同一網(wǎng)段

備注:新分配的地址不能產(chǎn)生地址沖突,即網(wǎng)絡(luò)中新地址沒(méi)有被使用。

管理工具:

首先將隔離設(shè)備主機(jī)的PUBLIC端的串口與管理主機(jī)的串口相連(通過(guò)隨設(shè)備附帶的串口線)。打開隔離設(shè)備主機(jī)的電源開關(guān),隔離設(shè)備系統(tǒng)啟動(dòng)。

1)登陸管理工具

啟動(dòng)網(wǎng)絡(luò)安全隔離設(shè)備管理工具。會(huì)詢問(wèn)您用戶名和密碼,系統(tǒng)默認(rèn)登錄名為root,口令為111111

如圖2-1所示:

wps4.png

2-1登錄界面

2)設(shè)備基本配置

登錄成功后,顯示管理器的主窗口,我們先配置設(shè)備配置>>設(shè)備基本配置

wps5.png

wps6.png

這里主要填寫協(xié)商IP地址,其中網(wǎng)口I和網(wǎng)口II分別對(duì)應(yīng)裝置PUBLIC端的eth0口和eth1口。一般我們連接裝置的eth0口。按例子,我們網(wǎng)口I協(xié)商IP地址為192.168.2.250,(國(guó)能日新在實(shí)施時(shí)盡量都把改口設(shè)為192.168.1.240,2個(gè)為241)網(wǎng)口II沒(méi)有填寫為0.0.0.0,加密模式選擇軟件加密。填寫完成后點(diǎn)擊寫入。

3)規(guī)則管理

點(diǎn)擊規(guī)則配置>>規(guī)則管理。

wps7.png

點(diǎn)擊新加規(guī)則,協(xié)議TCP,控制類型SYN連接。左側(cè)為內(nèi)網(wǎng),右側(cè)為外網(wǎng)。端口號(hào)默認(rèn)不修改。網(wǎng)口號(hào)1對(duì)應(yīng)ETH0,2對(duì)應(yīng)ETH1,根據(jù)實(shí)際連線選擇。發(fā)送端主機(jī)是否一個(gè)存在一個(gè)IP多個(gè)MAC地址的情況,如果存在,IPMAC地址綁定不選擇,如果不存在則選擇。

按例子我們就需要配置內(nèi)網(wǎng)192.168.1.1外網(wǎng)192.168.2.1的一條規(guī)則。

wps8.png

現(xiàn)在很多情況是一區(qū)內(nèi)網(wǎng)主機(jī)A192.168.1.1還有另一個(gè)MAC地址為a2:a2:a2:a2:a2:a2,三區(qū)外網(wǎng)主機(jī)也有另一個(gè)MAC地址b2:b2:b2:b2:b2:b2。首先我們修改第一條規(guī)則,將內(nèi)外網(wǎng)側(cè)的IPMAC地址綁定取消。然后選中第一條規(guī)則點(diǎn)擊復(fù)制規(guī)則,將內(nèi)網(wǎng)的MAC地址修改為a2:a2:a2:a2:a2:a2,將外網(wǎng)的MAC地址修改為b2:b2:b2:b2:b2:b2。

wps10.png

配置這兩條規(guī)則就可以了,配置完成后,需點(diǎn)擊下方的寫入規(guī)則文件。

4)設(shè)備密鑰數(shù)據(jù)管理

點(diǎn)擊規(guī)則配置>>設(shè)備密鑰數(shù)據(jù)管理。

點(diǎn)擊導(dǎo)出設(shè)備證書文件,該證書為隔離裝置的設(shè)備證書。我們這里起名為dev.cer。它將會(huì)導(dǎo)入到三區(qū)外網(wǎng)主機(jī)的發(fā)送端軟件里。

5)發(fā)送端證書管理

點(diǎn)擊規(guī)則配置>>發(fā)送端證書管理。

wps13.png

這里填寫發(fā)送端IP地址,即三區(qū)外網(wǎng)主機(jī)BIP地址192.168.2.1,點(diǎn)擊導(dǎo)入證書選擇從發(fā)送軟件到處的send.cer的證書(下面將會(huì)講到send.cer證書怎么獲得)。填寫完畢后,點(diǎn)擊保存證書。

6)備注

隔離裝置配置添加修改后,需要要重新啟動(dòng)裝置才能生效。

3傳輸軟件發(fā)送端的配置及使用

1)安裝傳輸軟件

傳輸軟件需要JAVA環(huán)境。如果是windows主機(jī)的情況,直接點(diǎn)擊安裝軟件安裝即可。而LINUX主機(jī)相對(duì)來(lái)說(shuō)要麻煩一點(diǎn)。主要講一下LINUX主機(jī)下怎么安裝。

a)拷貝

從光盤里找到linux下的安裝程序。安裝光盤位置:StoneWall-2000反向型文件傳輸工具軟件2008單比特版反向1bit程序2.7.2hp-unix&linux,把它重命名為fan,拷貝到發(fā)送端主機(jī)。

如果沒(méi)有JRE環(huán)境,我們將JRE環(huán)境也拷貝到發(fā)送端主機(jī)。

將剛從隔離裝置導(dǎo)出的設(shè)備證書dev.cer拷貝到fan/send/send.cer。

目錄結(jié)構(gòu):

|--/home/d5000/stonewall/

|----------------/home/d5000/stonewall/jre

|----------------/home/d5000/stonewall/fan

b)JRE的配置修改

fan/先安裝/bouncycastle.jar拷貝到jre/lib/ext/目錄下。

找到jre/lib/security/目錄下的java.security文件,vi打開這個(gè)文件進(jìn)行編輯。找到security.provider這個(gè)部分:

security.provider.1=sun.security.provider.Sun

security.provider.2=com.sun.net.ssl.internal.ssl.Provider

security.provider.3=com.sun.rsajca.Provider

security.provider.4=com.sun.crypto.provider.SunJCE

security.provider.5=sun.security.jgss.SunProvider

Security.provider.8=.

然后我們按序號(hào)繼續(xù)添加一條

org.bouncycastle.jce.provider.BouncyCastleProvide

例如:

Security.provider.9= org.bouncycastle.jce.provider.BouncyCastleProvide

如果下面的啟動(dòng)界面無(wú)法正?,F(xiàn)實(shí)中文,我們需要將從windos系統(tǒng)下找到simsun.ttc這個(gè)文件(C:WINDOWSFonts)。然后將simsun.ttc拷貝到jre/lib/fonts文件夾下。

c)啟動(dòng)腳本

分享到: