电力通讯网络安全分区隔离配置——科东StoneWall-2000网络安全隔离设备(正,反向) 隔离内外网络

作者:杭州领祺科技有限公司 日期:2022-11-15 阅读量:

一、设备配置

隔离设备(波特率19200)单向发送数据(内外网不同时联通)

1. 网络安全隔离设备(正向型)

1.1 设备相关信息

正向隔离[ 内网 ✍ 外网 ](只能使用内网口配置console):

发送数据方式:数据流

1.2 设备配置

1) 进入 StoneWall-2000网络安全隔离设备正向型管理工具4.5

2)登陆界面:

登录名:root

口令:111111

串口设置:实际端口

通讯频率:19200

3)登陆进入主界面 规则配置 ✍ 规则管理:

规则名称:“数字”,“ _”,“ 字母” 组成

方向:从内到外

协议:TCP

控制类型:SYN连接

内网IP(外网IP):业务机实际IP

内网虚拟IP:外网虚IP(即与外网实际IP相同网段的IP)

外网虚拟IP:内网虚IP

MAC地址:业务机MAC地址

IP与MAC绑定:否

其余默认。

2. 网络安全隔离设备(反向型)

2.1 设备相关信息

反向隔离[ 外网 ✍ 内网 ](只能使用外网口配置console):

数据发送形式:文本数据

2.2 设备配置

1) 进入StoneWall-2000网络安全隔离设备反向型管理工具4.5

2) 登陆界面:

登录名:root

口令:111111

串口设置:实际端口

通讯频率:19200

3)设备配置 –> 设备基本配置:

网口I协商IP要与隧道协商IP一样,且与发送端的IP同网段:

4)登陆到主界面 规则配置 ✍ 规则管理 ✍ 新建规则:

规则名称:“数字”,“ _”,“ 字母” 组成

方向:从外到内

协议:TCP

控制类型:SYN连接

内网IP(外网IP):业务机实际IP

内网虚拟IP:外网虚IP(即与外网实际IP相同网段的IP)

外网虚拟IP:内网虚IP

MAC地址:业务机MAC地址

IP与MAC绑定:否

其余默认。

2.3证书的导入及使用:

1)进入 StoneWall-2000反向文件传输软件发送端

2)第一次进入出现以下界面:

口令:111111 (可以自己进行录入,为了好记使用六个一)

3)确定之后显示以下界面:

操作员的密码:

密钥保护口令:111111

1)公钥证书

导出公钥证书(StoneWall-2000反向文件传输软件发送端 ✍ 管理 ✍ 密钥管理 ✍导出密钥 ✍ (密码是第一次进入时设置的密码),并选择证书导出路径)

密钥保护口令:111111

保存的证书后缀为“.cer”的文件类型

点击保存 ✍ 确定 出现保存成功页面,即密钥保存成功

2)设备证书

1)进入 StoneWall-2000网络安全隔离设备反向型管理工具4.5

导出设备证书(StoneWall-2000网络安全隔离设备反向型管理工具4.5 ✍ )规则配置 ✍ 设备密钥数据管理 ✍ 导出设备证书 ✍ 选择路径并保存“设备证书”

3)设备证书导入隧道

在主界面点击 设定 ✍ 配置加密隧道

点击“添加”

隧道名称:英文字母

隧道的协商地址:与外网业务机同网段的且与其实虚地址均不同。

隔离设备证书的路径:导入设备证书。

其余默认。

4)配置公钥证书:

配置规则 ✍ 发送端证书管理:

发送端IP:外网业务机IP(反向型是从外网向内网发送数据)

证书文件标示:公钥证书。

2.4测试发送

安装加密包

1) 找到BC.jar包

首先请先确认在要安装数据传输软件的两台主机上的java虚拟机的版本为1.4或1.4以上。然后请从我们的光盘上的 /反向型/JCE/ 中找到BC.jar和java.security文件。

2) 拷贝jar文件和java.security

a) UNIX系统:如果使用的是UNIX,请拷贝BC.jar到$JAVA_HOME/jre/lib/ext/;拷贝java.security到$
JAVA_HOME/jre/lib/security/下覆盖原文件。$JAVA_HOME为安装jdk时指定的目录,通常是类似于这样的目录:/user/local/jdk1.4/

b) Windows 系统:在windows 中JAVA通常安装在两个目录下:一个用于开发,包括所有的JDK开发工具,而另一个则只是JAVA的运行环境。JDK通常安装在C:/java1.4这样的目录下(也有可能安装于其他目录,又安装者在安装jdk时决定)而运行环境则在C:Program FilesJavaj2re1.4目录下。每个目录下都有一个lib/ext/ 这样的目录,则拷贝BC.jar到这个目录下,并拷贝java.security到lib/security/目录下覆盖原有文件。

c) 更简单的,运行我们传输软件目录下/先运行/中的jreUpdate.jar文件。我们的程序将自动为您进行配置。命令为:

java –jar jreUpdate.jar

客户端配置

运行 StoneWall-2000反向文件传输软件发送端

本地资源中的文件 ✍ 右键“发送”

目的IP地址:接收端虚IP

目的端口号:要与接收端端口号一致

接收端打开即可,要求端口与发送端端口相同。

管理工具中的配置更改后,设备需要断电重启

二、 隔离组网设置——StoneWall-2000隔离内外网络

StoneWall-2000连接网络的方式可分为以下三种:


接入过程:

1.)首先确定要安全隔离的内外两个网络(或计算机主机)。

2.)将StoneWall-2000的PUBLIC以太网口连接至外部网络的交换机或路由器;如果外部网络只是一台计算机主机,那么就将StoneWall-2000的PUBLIC以太网口与被连接的计算机主机的以太网口直接相连并查看本设备PUBLIC之LINK灯是否显示。

3.) 将StoneWall-2000的PRIVATE以太网口连接至内部网络的交换机或路由器;如果内部网络只是一台计算机主机,那么就将StoneWall-2000的PRIVATE以太网口与被连接的计算机主机的以太网口直接相连并查看本设备PRIVATE之LINK灯是否显示。

4.) 联机安装完毕。

2隔离装置管理工具的配置及使用


示例:

A:192.168.1.1----------- -----------192.168.2.1:B

如图,假设三区外网主机B与一区内网主机A之间通信。我们需要知道以下信息:

a)需要知道一区内网主机A的MAC地址a1:a1:a1:a1:a1:a1和三区外网主机mac地址b1:b1:b1:b1:b1:b1

b)需要为一区内网主机A分配一个虚拟地址192.168.2.254,此地址应与三区主机同一个网段

c)需要为三区外网主机B分配一个虚拟地址192.168.1.254,此地址应与一区主机同一个网段

d) 需要为隔离装置分配一个协商地址192.168.2.250,协商地址应与隔离装置PUBLIC相连设备在同一网段

备注:新分配的地址不能产生地址冲突,即网络中新地址没有被使用。

管理工具:

首先将隔离设备主机的PUBLIC端的串口与管理主机的串口相连(通过随设备附带的串口线)。打开隔离设备主机的电源开关,隔离设备系统启动。

1)登陆管理工具

启动网络安全隔离设备管理工具。会询问您用户名和密码,系统默认登录名为root,口令为111111。

如图2-1所示:


图2-1登录界面

2)设备基本配置

登录成功后,显示管理器的主窗口,我们先配置设备配置>>设备基本配置



这里主要填写协商IP地址,其中网口I和网口II分别对应装置PUBLIC端的eth0口和eth1口。一般我们连接装置的eth0口。按例子,我们网口I协商IP地址为192.168.2.250,(国能日新在实施时尽量都把改口设为192.168.1.240,第2个为241)网口II没有填写为0.0.0.0,加密模式选择软件加密。填写完成后点击“写入”。

3)规则管理

点击规则配置>>规则管理。


点击“新加规则”,协议“TCP”,控制类型“SYN连接”。左侧为内网,右侧为外网。端口号默认不修改。网口号1对应ETH0,2对应ETH1,根据实际连线选择。发送端主机是否一个存在一个IP多个MAC地址的情况,如果存在,“IP和MAC地址绑定”不选择,如果不存在则选择。

按例子我们就需要配置内网192.168.1.1外网192.168.2.1的一条规则。


现在很多情况是一区内网主机A192.168.1.1还有另一个MAC地址为a2:a2:a2:a2:a2:a2,三区外网主机也有另一个MAC地址b2:b2:b2:b2:b2:b2。首先我们修改第一条规则,将内外网侧的“IP和MAC地址绑定”取消。然后选中第一条规则点击“复制规则”,将内网的MAC地址修改为a2:a2:a2:a2:a2:a2,将外网的MAC地址修改为b2:b2:b2:b2:b2:b2。


配置这两条规则就可以了,配置完成后,需点击下方的“写入规则文件”。

4)设备密钥数据管理

点击规则配置>>设备密钥数据管理。


点击“导出设备证书文件”,该证书为隔离装置的设备证书。我们这里起名为dev.cer。它将会导入到三区外网主机的发送端软件里。

5)发送端证书管理

点击规则配置>>发送端证书管理。


这里填写发送端IP地址,即三区外网主机B的IP地址192.168.2.1,点击导入证书选择从发送软件到处的send.cer的证书(下面将会讲到send.cer证书怎么获得)。填写完毕后,点击“保存证书”。

6)备注

隔离装置配置添加修改后,需要要重新启动装置才能生效。

3传输软件发送端的配置及使用

1)安装传输软件

传输软件需要JAVA环境。如果是windows主机的情况,直接点击安装软件安装即可。而LINUX主机相对来说要麻烦一点。主要讲一下LINUX主机下怎么安装。

a)拷贝

从光盘里找到linux下的安装程序。安装光盘位置:“StoneWall-2000反向型文件传输工具软件2008单比特版反向1bit程序2.7.2”的“hp-unix&linux”,把它重命名为“fan”,拷贝到发送端主机。

如果没有JRE环境,我们将JRE环境也拷贝到发送端主机。

将刚从隔离装置导出的设备证书dev.cer拷贝到fan/send/send.cer。

目录结构:

|--/home/d5000/stonewall/

|----------------/home/d5000/stonewall/jre

|----------------/home/d5000/stonewall/fan

b)JRE的配置修改

①将“fan/先安装/bouncycastle.jar”拷贝到“jre/lib/ext/”目录下。

②找到“jre/lib/security/”目录下的“java.security”文件,vi打开这个文件进行编辑。找到“security.provider”这个部分:

security.provider.1=sun.security.provider.Sun

security.provider.2=com.sun.net.ssl.internal.ssl.Provider

security.provider.3=com.sun.rsajca.Provider

security.provider.4=com.sun.crypto.provider.SunJCE

security.provider.5=sun.security.jgss.SunProvider

Security.provider.8=….

然后我们按序号继续添加一条“
org.bouncycastle.jce.provider.BouncyCastleProvide”

例如:

Security.provider.9= org.bouncycastle.jce.provider.BouncyCastleProvide

③如果下面的启动界面无法正常现实中文,我们需要将从windos系统下找到simsun.ttc这个文件(C:WINDOWSFonts)。然后将simsun.ttc拷贝到jre/lib/fonts文件夹下。

c)启动脚本

进入“fan/send/”目录下,我们需要建立一个启动脚本“run.sh”。

我们需要再里面编辑以下信息:

cd /home/d5000/stonewall/fan/send

/home/d5000/stonewall/jre/bin/java –jar StoneWall-send.jar&

第一条是必须要进入到反向隔离装置发送端软件所在的目录,写成绝对路径。用刚才配置的jre调用send目录下的jar包。

2)运行使用传输软件

a)登陆

给刚才的启动脚本赋予启动权限,运行run.sh。

第一次运行,会提示这个


点击“是”


输入“1234567890”(国能日新的现场实施时均为这个),点击确定。


然后出现登陆框。


用户名为administrator 密码为12345678。设置为保存密码,并在“启动”中设置该程序,使其在重启后能自动进入系统。



b)导出密钥

点击菜单栏,“管理>>密钥管理>>导出密钥”。



密钥保护口令为“1234567890”,此导出的证书存为send.cer,该证书就是上面2-5所讲的“隔离装置管理工具发送端证书管理”所提到的导入的证书。我们需要将这个证书导入到隔离装置里。

c)配置加密隧道

点击菜单栏,“设定>>配置加密隧道”。


点击“添加”。

需填写“隧道名”,“隧道协商IP地址”为“192.168.2.250”,“隔离设备证书路径”为dev.cer所在的路径,我们之前把它放到了send目录下。其他的默认。然后点击“保存”。dev.cer就是从隔离装置中导出来的设备证书。

d)建立任务


传输软件界面中左上为“目的端”,左下为“本地资源”。

我们在“本地资源”下找到我们需要发送的文件夹,点击右键,再点“发送”。会弹出任务设定框。需写“任务名称”随意,“目的地址”为一区内网主机A虚拟到三区的IP地址(即“192.168.2.254”),“目的文件夹”为传输的文件存放到一区内网主机的哪个目录下,

“跨平台模式”根据实际情况选择(发送端和接收端主机是否是同一系统,具体指windows和linux的区别),“发送模式”建议选择“高级”的“周期发送”。其他默认。

传输软件的工作原理是周期扫描发送文件夹是否为空,如果不为空,就将目录下的文件发送到接收端,清空发送文件夹。如果想备份发送的文件内容可以选择“发送过的文件是否备份”,填写备份的路径。

4传输软件接收端的配置及使用

传输软件接收端的安装同上,建议将发送端的文件直接拷贝到接收端主机。我们只是需要在“fan/recv”目录下建立相应的接收端启动脚本。

接收端无需配置任务,直接运行即可。

文章知识点与官方知识档案匹配,可进一步学习相关知识


分享到: