一、设备配置
隔离设备(波特率19200)单向发送数据(内外网不同时联通)
1. 网络安全隔离设备(正向型)
1.1 设备相关信息
正向隔离[ 内网 ✍ 外网 ](只能使用内网口配置console):
发送数据方式:数据流
1.2 设备配置
1) 进入 StoneWall-2000网络安全隔离设备正向型管理工具4.5
2)登陆界面:
登录名:root
口令:111111
串口设置:实际端口
通讯频率:19200
3)登陆进入主界面 规则配置 ✍ 规则管理:
规则名称:“数字”,“ _”,“ 字母” 组成
方向:从内到外
协议:TCP
控制类型:SYN连接
内网IP(外网IP):业务机实际IP
内网虚拟IP:外网虚IP(即与外网实际IP相同网段的IP)
外网虚拟IP:内网虚IP
MAC地址:业务机MAC地址
IP与MAC绑定:否
其余默认。
2. 网络安全隔离设备(反向型)
2.1 设备相关信息
反向隔离[ 外网 ✍ 内网 ](只能使用外网口配置console):
数据发送形式:文本数据
2.2 设备配置
1) 进入StoneWall-2000网络安全隔离设备反向型管理工具4.5
2) 登陆界面:
登录名:root
口令:111111
串口设置:实际端口
通讯频率:19200
3)设备配置 –> 设备基本配置:
网口I协商IP要与隧道协商IP一样,且与发送端的IP同网段:
4)登陆到主界面 规则配置 ✍ 规则管理 ✍ 新建规则:
规则名称:“数字”,“ _”,“ 字母” 组成
方向:从外到内
协议:TCP
控制类型:SYN连接
内网IP(外网IP):业务机实际IP
内网虚拟IP:外网虚IP(即与外网实际IP相同网段的IP)
外网虚拟IP:内网虚IP
MAC地址:业务机MAC地址
IP与MAC绑定:否
其余默认。
2.3证书的导入及使用:
1)进入 StoneWall-2000反向文件传输软件发送端
2)第一次进入出现以下界面:
口令:111111 (可以自己进行录入,为了好记使用六个一)
3)确定之后显示以下界面:
操作员的密码:
密钥保护口令:111111
1)公钥证书
导出公钥证书(StoneWall-2000反向文件传输软件发送端 ✍ 管理 ✍ 密钥管理 ✍导出密钥 ✍ (密码是第一次进入时设置的密码),并选择证书导出路径)
密钥保护口令:111111
保存的证书后缀为“.cer”的文件类型
点击保存 ✍ 确定 出现保存成功页面,即密钥保存成功
2)设备证书
1)进入 StoneWall-2000网络安全隔离设备反向型管理工具4.5
导出设备证书(StoneWall-2000网络安全隔离设备反向型管理工具4.5 ✍ )规则配置 ✍ 设备密钥数据管理 ✍ 导出设备证书 ✍ 选择路径并保存“设备证书”
3)设备证书导入隧道
在主界面点击 设定 ✍ 配置加密隧道
点击“添加”
隧道名称:英文字母
隧道的协商地址:与外网业务机同网段的且与其实虚地址均不同。
隔离设备证书的路径:导入设备证书。
其余默认。
4)配置公钥证书:
配置规则 ✍ 发送端证书管理:
发送端IP:外网业务机IP(反向型是从外网向内网发送数据)
证书文件标示:公钥证书。
2.4测试发送
安装加密包
1) 找到BC.jar包
首先请先确认在要安装数据传输软件的两台主机上的java虚拟机的版本为1.4或1.4以上。然后请从我们的光盘上的 /反向型/JCE/ 中找到BC.jar和java.security文件。
2) 拷贝jar文件和java.security
a) UNIX系统:如果使用的是UNIX,请拷贝BC.jar到$JAVA_HOME/jre/lib/ext/;拷贝java.security到$
JAVA_HOME/jre/lib/security/下覆盖原文件。$JAVA_HOME为安装jdk时指定的目录,通常是类似于这样的目录:/user/local/jdk1.4/
b) Windows 系统:在windows 中JAVA通常安装在两个目录下:一个用于开发,包括所有的JDK开发工具,而另一个则只是JAVA的运行环境。JDK通常安装在C:/java1.4这样的目录下(也有可能安装于其他目录,又安装者在安装jdk时决定)而运行环境则在C:\Program Files\Java\j2re1.4目录下。每个目录下都有一个lib/ext/ 这样的目录,则拷贝BC.jar到这个目录下,并拷贝java.security到lib/security/目录下覆盖原有文件。
c) 更简单的,运行我们传输软件目录下/先运行/中的jreUpdate.jar文件。我们的程序将自动为您进行配置。命令为:
java –jar jreUpdate.jar
客户端配置
运行 StoneWall-2000反向文件传输软件发送端
本地资源中的文件 ✍ 右键“发送”
目的IP地址:接收端虚IP
目的端口号:要与接收端端口号一致
接收端打开即可,要求端口与发送端端口相同。
管理工具中的配置更改后,设备需要断电重启
二、 隔离组网设置——StoneWall-2000隔离内外网络
StoneWall-2000连接网络的方式可分为以下三种:
接入过程:
1.)首先确定要安全隔离的内外两个网络(或计算机主机)。
2.)将StoneWall-2000的PUBLIC以太网口连接至外部网络的交换机或路由器;如果外部网络只是一台计算机主机,那么就将StoneWall-2000的PUBLIC以太网口与被连接的计算机主机的以太网口直接相连并查看本设备PUBLIC之LINK灯是否显示。
3.) 将StoneWall-2000的PRIVATE以太网口连接至内部网络的交换机或路由器;如果内部网络只是一台计算机主机,那么就将StoneWall-2000的PRIVATE以太网口与被连接的计算机主机的以太网口直接相连并查看本设备PRIVATE之LINK灯是否显示。
4.) 联机安装完毕。
2隔离装置管理工具的配置及使用
示例:
A:192.168.1.1----------- -----------192.168.2.1:B
如图,假设三区外网主机B与一区内网主机A之间通信。我们需要知道以下信息:
a)需要知道一区内网主机A的MAC地址a1:a1:a1:a1:a1:a1和三区外网主机mac地址b1:b1:b1:b1:b1:b1
b)需要为一区内网主机A分配一个虚拟地址192.168.2.254,此地址应与三区主机同一个网段
c)需要为三区外网主机B分配一个虚拟地址192.168.1.254,此地址应与一区主机同一个网段
d) 需要为隔离装置分配一个协商地址192.168.2.250,协商地址应与隔离装置PUBLIC相连设备在同一网段
备注:新分配的地址不能产生地址冲突,即网络中新地址没有被使用。
管理工具:
首先将隔离设备主机的PUBLIC端的串口与管理主机的串口相连(通过随设备附带的串口线)。打开隔离设备主机的电源开关,隔离设备系统启动。
1)登陆管理工具
启动网络安全隔离设备管理工具。会询问您用户名和密码,系统默认登录名为root,口令为111111。
如图2-1所示:
图2-1登录界面
2)设备基本配置
登录成功后,显示管理器的主窗口,我们先配置设备配置>>设备基本配置
这里主要填写协商IP地址,其中网口I和网口II分别对应装置PUBLIC端的eth0口和eth1口。一般我们连接装置的eth0口。按例子,我们网口I协商IP地址为192.168.2.250,(国能日新在实施时尽量都把改口设为192.168.1.240,第2个为241)网口II没有填写为0.0.0.0,加密模式选择软件加密。填写完成后点击“写入”。
3)规则管理
点击规则配置>>规则管理。
点击“新加规则”,协议“TCP”,控制类型“SYN连接”。左侧为内网,右侧为外网。端口号默认不修改。网口号1对应ETH0,2对应ETH1,根据实际连线选择。发送端主机是否一个存在一个IP多个MAC地址的情况,如果存在,“IP和MAC地址绑定”不选择,如果不存在则选择。
按例子我们就需要配置内网192.168.1.1外网192.168.2.1的一条规则。
现在很多情况是一区内网主机A192.168.1.1还有另一个MAC地址为a2:a2:a2:a2:a2:a2,三区外网主机也有另一个MAC地址b2:b2:b2:b2:b2:b2。首先我们修改第一条规则,将内外网侧的“IP和MAC地址绑定”取消。然后选中第一条规则点击“复制规则”,将内网的MAC地址修改为a2:a2:a2:a2:a2:a2,将外网的MAC地址修改为b2:b2:b2:b2:b2:b2。
配置这两条规则就可以了,配置完成后,需点击下方的“写入规则文件”。
4)设备密钥数据管理
点击规则配置>>设备密钥数据管理。
点击“导出设备证书文件”,该证书为隔离装置的设备证书。我们这里起名为dev.cer。它将会导入到三区外网主机的发送端软件里。
5)发送端证书管理
点击规则配置>>发送端证书管理。
这里填写发送端IP地址,即三区外网主机B的IP地址192.168.2.1,点击导入证书选择从发送软件到处的send.cer的证书(下面将会讲到send.cer证书怎么获得)。填写完毕后,点击“保存证书”。
6)备注
隔离装置配置添加修改后,需要要重新启动装置才能生效。
3传输软件发送端的配置及使用
1)安装传输软件
传输软件需要JAVA环境。如果是windows主机的情况,直接点击安装软件安装即可。而LINUX主机相对来说要麻烦一点。主要讲一下LINUX主机下怎么安装。
a)拷贝
从光盘里找到linux下的安装程序。安装光盘位置:“StoneWall-2000\反向型\文件传输工具软件\2008单比特版\反向1bit程序\2.7.2”的“hp-unix&linux”,把它重命名为“fan”,拷贝到发送端主机。
如果没有JRE环境,我们将JRE环境也拷贝到发送端主机。
将刚从隔离装置导出的设备证书dev.cer拷贝到fan/send/send.cer。
目录结构:
|--/home/d5000/stonewall/
|----------------/home/d5000/stonewall/jre
|----------------/home/d5000/stonewall/fan
b)JRE的配置修改
①将“fan/先安装/bouncycastle.jar”拷贝到“jre/lib/ext/”目录下。
②找到“jre/lib/security/”目录下的“java.security”文件,vi打开这个文件进行编辑。找到“security.provider”这个部分:
security.provider.1=sun.security.provider.Sun
security.provider.2=com.sun.net.ssl.internal.ssl.Provider
security.provider.3=com.sun.rsajca.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
…
Security.provider.8=….
然后我们按序号继续添加一条“
org.bouncycastle.jce.provider.BouncyCastleProvide”
例如:
Security.provider.9= org.bouncycastle.jce.provider.BouncyCastleProvide
③如果下面的启动界面无法正常现实中文,我们需要将从windos系统下找到simsun.ttc这个文件(C:\WINDOWS\Fonts)。然后将simsun.ttc拷贝到jre/lib/fonts文件夹下。
c)启动脚本
进入“fan/send/”目录下,我们需要建立一个启动脚本“run.sh”。
我们需要再里面编辑以下信息:
cd /home/d5000/stonewall/fan/send
/home/d5000/stonewall/jre/bin/java –jar StoneWall-send.jar&
第一条是必须要进入到反向隔离装置发送端软件所在的目录,写成绝对路径。用刚才配置的jre调用send目录下的jar包。
2)运行使用传输软件
a)登陆
给刚才的启动脚本赋予启动权限,运行run.sh。
第一次运行,会提示这个
点击“是”
输入“1234567890”(国能日新的现场实施时均为这个),点击确定。
然后出现登陆框。
用户名为administrator 密码为12345678。设置为保存密码,并在“启动”中设置该程序,使其在重启后能自动进入系统。
b)导出密钥
点击菜单栏,“管理>>密钥管理>>导出密钥”。
密钥保护口令为“1234567890”,此导出的证书存为send.cer,该证书就是上面2-5所讲的“隔离装置管理工具发送端证书管理”所提到的导入的证书。我们需要将这个证书导入到隔离装置里。
c)配置加密隧道
点击菜单栏,“设定>>配置加密隧道”。
点击“添加”。
需填写“隧道名”,“隧道协商IP地址”为“192.168.2.250”,“隔离设备证书路径”为dev.cer所在的路径,我们之前把它放到了send目录下。其他的默认。然后点击“保存”。dev.cer就是从隔离装置中导出来的设备证书。
d)建立任务
传输软件界面中左上为“目的端”,左下为“本地资源”。
我们在“本地资源”下找到我们需要发送的文件夹,点击右键,再点“发送”。会弹出任务设定框。需写“任务名称”随意,“目的地址”为一区内网主机A虚拟到三区的IP地址(即“192.168.2.254”),“目的文件夹”为传输的文件存放到一区内网主机的哪个目录下,
“跨平台模式”根据实际情况选择(发送端和接收端主机是否是同一系统,具体指windows和linux的区别),“发送模式”建议选择“高级”的“周期发送”。其他默认。
传输软件的工作原理是周期扫描发送文件夹是否为空,如果不为空,就将目录下的文件发送到接收端,清空发送文件夹。如果想备份发送的文件内容可以选择“发送过的文件是否备份”,填写备份的路径。
4传输软件接收端的配置及使用
传输软件接收端的安装同上,建议将发送端的文件直接拷贝到接收端主机。我们只是需要在“fan/recv”目录下建立相应的接收端启动脚本。
接收端无需配置任务,直接运行即可。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
