隔离设备(波特率19200)单向发送数据(内外网不同时联通)
参考1 :分布式光伏风电新能源电站并网必备须知:正反向隔离装置组网
正向隔离[ 内网 外网 ](只能使用内网口配置console):
发送数据方式:数据流
1) 进入 StoneWall-2000网络安全隔离设备正向型管理工具4.5
2)登陆界面:
登录名:root
口令:111111
串口设置:实际端口
通讯频率:19200
3)登陆进入主界面 规则配置 ✍ 规则管理:
规则名称:“数字”,“ _”,“ 字母” 组成
方向:从内到外
协议:TCP
控制类型:SYN连接
内网IP(外网IP):业务机实际IP
内网虚拟IP:外网虚IP(即与外网实际IP相同网段的IP)
外网虚拟IP:内网虚IP
MAC地址:业务机MAC地址
IP与MAC绑定:否
其余默认。
反向隔离[ 外网 ✍ 内网 ](只能使用外网口配置console):
数据发送形式:文本数据
1) 进入StoneWall-2000网络安全隔离设备反向型管理工具4.5
2) 登陆界面:
登录名:root
口令:111111
串口设置:实际端口
通讯频率:19200
3)设备配置 –> 设备基本配置:
网口I协商IP要与隧道协商IP一样,且与发送端的IP同网段:
4)登陆到主界面 规则配置 ✍ 规则管理 ✍ 新建规则:
规则名称:“数字”,“ _”,“ 字母” 组成
方向:从外到内
协议:TCP
控制类型:SYN连接
内网IP(外网IP):业务机实际IP
内网虚拟IP:外网虚IP(即与外网实际IP相同网段的IP)
外网虚拟IP:内网虚IP
MAC地址:业务机MAC地址
IP与MAC绑定:否
其余默认。
1)进入 StoneWall-2000反向文件传输软件发送端
2)第一次进入出现以下界面:
口令:111111 (可以自己进行录入,为了好记使用六个一)
3)确定之后显示以下界面:
操作员的密码:
密钥保护口令:111111
1)公钥证书
导出公钥证书(StoneWall-2000反向文件传输软件发送端 ✍ 管理 ✍ 密钥管理 ✍导出密钥 ✍ (密码是第一次进入时设置的密码),并选择证书导出路径)
密钥保护口令:111111
保存的证书后缀为“.cer”的文件类型
点击保存 ✍ 确定 出现保存成功页面,即密钥保存成功
2)设备证书
1)进入 StoneWall-2000网络安全隔离设备反向型管理工具4.5
导出设备证书(StoneWall-2000网络安全隔离设备反向型管理工具4.5 ✍ )规则配置 ✍ 设备密钥数据管理 ✍ 导出设备证书 ✍ 选择路径并保存“设备证书”
3)设备证书导入隧道
在主界面点击 设定 ✍ 配置加密隧道
点击“添加”
隧道名称:英文字母
隧道的协商地址:与外网业务机同网段的且与其实虚地址均不同。
隔离设备证书的路径:导入设备证书。
其余默认。
4)配置公钥证书:
配置规则 ✍ 发送端证书管理:
发送端IP:外网业务机IP(反向型是从外网向内网发送数据)
证书文件标示:公钥证书。
2.4测试发送
安装加密包
1) 找到BC.jar包
首先请先确认在要安装数据传输软件的两台主机上的java虚拟机的版本为1.4或1.4以上。然后请从我们的光盘上的 /反向型/JCE/ 中找到BC.jar和java.security文件。
2) 拷贝jar文件和java.security
a) UNIX系统:如果使用的是UNIX,请拷贝BC.jar到$JAVA_HOME/jre/lib/ext/;拷贝java.security到$
JAVA_HOME/jre/lib/security/下覆盖原文件。$JAVA_HOME为安装jdk时指定的目录,通常是类似于这样的目录:/user/local/jdk1.4/
b) Windows 系统:在windows 中JAVA通常安装在两个目录下:一个用于开发,包括所有的JDK开发工具,而另一个则只是JAVA的运行环境。JDK通常安装在C:/java1.4这样的目录下(也有可能安装于其他目录,又安装者在安装jdk时决定)而运行环境则在C:Program FilesJavaj2re1.4目录下。每个目录下都有一个lib/ext/ 这样的目录,则拷贝BC.jar到这个目录下,并拷贝java.security到lib/security/目录下覆盖原有文件。
c) 更简单的,运行我们传输软件目录下/先运行/中的jreUpdate.jar文件。我们的程序将自动为您进行配置。命令为:
java –jar jreUpdate.jar
客户端配置
运行 StoneWall-2000反向文件传输软件发送端
本地资源中的文件 ✍ 右键“发送”
目的IP地址:接收端虚IP
目的端口号:要与接收端端口号一致
接收端打开即可,要求端口与发送端端口相同。
管理工具中的配置更改后,设备需要断电重启
StoneWall-2000连接网络的方式可分为以下三种:
接入过程:
1.)首先确定要安全隔离的内外两个网络(或计算机主机)。
2.)将StoneWall-2000的PUBLIC以太网口连接至外部网络的交换机或路由器;如果外部网络只是一台计算机主机,那么就将StoneWall-2000的PUBLIC以太网口与被连接的计算机主机的以太网口直接相连并查看本设备PUBLIC之LINK灯是否显示。
3.) 将StoneWall-2000的PRIVATE以太网口连接至内部网络的交换机或路由器;如果内部网络只是一台计算机主机,那么就将StoneWall-2000的PRIVATE以太网口与被连接的计算机主机的以太网口直接相连并查看本设备PRIVATE之LINK灯是否显示。
4.) 联机安装完毕。
2隔离装置管理工具的配置及使用
示例:
A:192.168.1.1----------- -----------192.168.2.1:B
如图,假设三区外网主机B与一区内网主机A之间通信。我们需要知道以下信息:
a)需要知道一区内网主机A的MAC地址a1:a1:a1:a1:a1:a1和三区外网主机mac地址b1:b1:b1:b1:b1:b1
b)需要为一区内网主机A分配一个虚拟地址192.168.2.254,此地址应与三区主机同一个网段
c)需要为三区外网主机B分配一个虚拟地址192.168.1.254,此地址应与一区主机同一个网段
d) 需要为隔离装置分配一个协商地址192.168.2.250,协商地址应与隔离装置PUBLIC相连设备在同一网段
备注:新分配的地址不能产生地址冲突,即网络中新地址没有被使用。
管理工具:
首先将隔离设备主机的PUBLIC端的串口与管理主机的串口相连(通过随设备附带的串口线)。打开隔离设备主机的电源开关,隔离设备系统启动。
1)登陆管理工具
启动网络安全隔离设备管理工具。会询问您用户名和密码,系统默认登录名为root,口令为111111。
如图2-1所示:
图2-1登录界面
2)设备基本配置
登录成功后,显示管理器的主窗口,我们先配置设备配置>>设备基本配置
这里主要填写协商IP地址,其中网口I和网口II分别对应装置PUBLIC端的eth0口和eth1口。一般我们连接装置的eth0口。按例子,我们网口I协商IP地址为192.168.2.250,(国能日新在实施时尽量都把改口设为192.168.1.240,第2个为241)网口II没有填写为0.0.0.0,加密模式选择软件加密。填写完成后点击“写入”。
3)规则管理
点击规则配置>>规则管理。
点击“新加规则”,协议“TCP”,控制类型“SYN连接”。左侧为内网,右侧为外网。端口号默认不修改。网口号1对应ETH0,2对应ETH1,根据实际连线选择。发送端主机是否一个存在一个IP多个MAC地址的情况,如果存在,“IP和MAC地址绑定”不选择,如果不存在则选择。
按例子我们就需要配置内网192.168.1.1外网192.168.2.1的一条规则。
现在很多情况是一区内网主机A192.168.1.1还有另一个MAC地址为a2:a2:a2:a2:a2:a2,三区外网主机也有另一个MAC地址b2:b2:b2:b2:b2:b2。首先我们修改第一条规则,将内外网侧的“IP和MAC地址绑定”取消。然后选中第一条规则点击“复制规则”,将内网的MAC地址修改为a2:a2:a2:a2:a2:a2,将外网的MAC地址修改为b2:b2:b2:b2:b2:b2。
配置这两条规则就可以了,配置完成后,需点击下方的“写入规则文件”。
4)设备密钥数据管理
点击规则配置>>设备密钥数据管理。
点击“导出设备证书文件”,该证书为隔离装置的设备证书。我们这里起名为dev.cer。它将会导入到三区外网主机的发送端软件里。
5)发送端证书管理
点击规则配置>>发送端证书管理。
这里填写发送端IP地址,即三区外网主机B的IP地址192.168.2.1,点击导入证书选择从发送软件到处的send.cer的证书(下面将会讲到send.cer证书怎么获得)。填写完毕后,点击“保存证书”。
6)备注
隔离装置配置添加修改后,需要要重新启动装置才能生效。
3传输软件发送端的配置及使用
1)安装传输软件
传输软件需要JAVA环境。如果是windows主机的情况,直接点击安装软件安装即可。而LINUX主机相对来说要麻烦一点。主要讲一下LINUX主机下怎么安装。
a)拷贝
从光盘里找到linux下的安装程序。安装光盘位置:“StoneWall-2000反向型文件传输工具软件2008单比特版反向1bit程序2.7.2”的“hp-unix&linux”,把它重命名为“fan”,拷贝到发送端主机。
如果没有JRE环境,我们将JRE环境也拷贝到发送端主机。
将刚从隔离装置导出的设备证书dev.cer拷贝到fan/send/send.cer。
目录结构:
|--/home/d5000/stonewall/
|----------------/home/d5000/stonewall/jre
|----------------/home/d5000/stonewall/fan
b)JRE的配置修改
①将“fan/先安装/bouncycastle.jar”拷贝到“jre/lib/ext/”目录下。
②找到“jre/lib/security/”目录下的“java.security”文件,vi打开这个文件进行编辑。找到“security.provider”这个部分:
security.provider.1=sun.security.provider.Sun
security.provider.2=com.sun.net.ssl.internal.ssl.Provider
security.provider.3=com.sun.rsajca.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
…
Security.provider.8=….
然后我们按序号继续添加一条“
org.bouncycastle.jce.provider.BouncyCastleProvide”
例如:
Security.provider.9= org.bouncycastle.jce.provider.BouncyCastleProvide
③如果下面的启动界面无法正常现实中文,我们需要将从windos系统下找到simsun.ttc这个文件(C:WINDOWSFonts)。然后将simsun.ttc拷贝到jre/lib/fonts文件夹下。
c)启动脚本
400-001-8882
