先一正向型隔离装置配置.docx
《先一正向型隔离装置配置.docx》由会员分享,可在线阅读,更多相关《先一正向型隔离装置配置.docx(20页珍藏版)》请在冰豆网上搜索。
先一正向型隔离装置配置
智能隔离装置(正向型)用户手册
1产品介绍1
2产品分发与安装3
3正向隔离装置配置管理5
3.1安全策略配置5
3.2用户管理9
3.3日志管理11
3.4系统调试12
4典型应用环境配置案例16
4.1二层交换机模式配置16
4.2三层交换机模式配置17
5附录19
5.1串口故障诊断19
5.2网络故障诊断19
5.3虚拟主机IP、静态NAT介绍20
5.4使用安全隔离装置的建议22
1产品介绍
电力专用网络安全隔离装置(正向型)用于安全区I/II到非安全区III的单向数据传递。
智能隔离装置网络安全隔离产品(正向型)的硬件结构如下图1所示。
本产品硬件采用X86体系结构高性能嵌入式计算机芯片,双机之间通过高速物理光纤隔离模块进行物理连接。
内外网串口可以用来连接配置终端,方便管理人员对网络安全隔离设备的控制。
图1网络安全隔离装置硬件结构图
正向隔离装置的前面板图如下图2所示。
前面板上内网和外网各有4个10M/100M的以太网接口以及各一个配置串口,内网配置串口用来配置正向隔离装置内网端链路规则,并监控内网侧的状态信息,外网配置串口用来配置外网链路规则,并监控外网侧的状态信息,内网网口用来连接内网,外网网口用来连接外网,内外网口的网卡指示灯绿灯亮,表示网口与网络正确连接,黄灯亮表示网络速率是100M,暗表示网络速率是10M,闪烁表示有数据正在接收或发送。
图2网络安全隔离装置(正向型)前面板图
图3网络安全隔离装置(正向型)后面板图
2产品分发与安装
网络安全隔离装置(正向型)产品分发包括硬件和软件两大部分。
用户在使用本产品时,应先检查硬件产品是否具有先一科技的标志,外观是否有损坏现象。
如有以上现象,请勿使用并及时与本公司取得联系,处理相关事宜。
为了产品稳定、可靠的运行,请勿私自打开隔离装置机箱。
隔离装置随机带有一张配置软件安装光盘、一根串口配置线,用于在安装Windows2000/XP/win7/等操作系统的计算机上进行配置。
安装完成后,启动配置管理软件,软件界面如下图4所示。
图4正向隔离装置配置软件主界面
网络安全隔离装置的安装和部署非常简单,隔离装置部署在网络的唯一出口处,通过内网接口和外网接口,分别与内网和外网相连。
内网和外网的数据交换必须通过隔离装置,以便保护安全的内部网络,安装拓扑图如下图5所示。
图5隔离装置安装网络拓扑图
3正向隔离装置配置管理
3.1安全策略配置
1)用随机附带的配置串口线连接到安全隔离装置的内外网配置串口(console)。
2)启动安全隔离装置的配置软件,然后点击‘串口配置’菜单,在点击‘串口配置’选项,选择相应的串口,一般配置软件会自动识别本机串口,界面如下图6所示,接着设置好波特率,数据位,超时等(串口配置按默认界面即可)。
图6安全隔离装置配置软件启动界面
3)点击‘连接’选项。
如果连接成功,系统将会提示成功连接串口(图7),点击OK即可;如果连接失败,系统也会提示连接串口失败(图8)。
程序会反复重连5次,5次都失败后,程序会自动退出。
用户请参考《附录5.1串口故障诊断》一节仔细检查串口设置。
排除故障后,再次重试连接。
图7
图8
4)点击主界面‘规则配置’菜单下的‘配置规则’选项,系统会提示输入用户名和口令(图9)进行权限认证。
隔离装置默认的系统管理员用户名为root,密码为root。
用户在第一次使用隔离装置后,请立刻修改系统管理员口令。
图9
5)用户登录成功后,隔离装置会自动导出本地已存在的配置规则(此规则为模板规则,用户安装此规则规范配置也可自行配置),导出成功后进入‘配置系统规则主界面’(图10)配置用户规则。
(注意:
界面导出的规则是本地的默认规则文件rule.buf,在配置程序的rule文件夹下)
图10
数据综合过滤功能能够为隔离装置提供基本的安全保障,装置根据系统管理
员预先设定的规则检查数据包以决定哪些数据容许通过,哪些数据不能通过,保
护内部安全网络免受外部攻击。
数据过滤依据:
★数据包的传输协议类型,容许TCP和UDP。
★数据包的源端地址,目的端地址。
★数据包的源MAC地址,目的端MAC地址。
综合过滤规则提供网络安全隔离装置允许还是拒绝IP包的依据,隔离装置对收到的每一个数据包进行检查,从它们的包头中提取出所需要的信息,如源MAC址、目的MAC地址、源IP地址、目的IP地址、协议类型等,再与已建立的规则逐条进行比较,并执行所匹配规则的策略,或执行默认策略。
规则配置中,IP地址的形式为X.X.X.X的范围取0-255,MAC地址的形式为XX-XX-XX-XX-XX-XX,其中X为十二位十六进制数,延时是指本条链路数据包的发送间隔时间,单位是毫秒,默认设置是10ms,在无特殊情况下请勿更改。
常用操作步骤说明
★添加
增加新的规则。
当用户要增加了新的规则后,首先点击‘添加’按钮即可将规则添加到配置软件的规则队列中,然后在界面填写相应的配置,填写完后点“修改”按钮,如果需要保存则点击“保存配置”按钮保存到本地默认文件中。
★修改
对已有的规则进行编辑修改。
选择要修改的规则,修改规则中的参数后,
点击‘修改’按钮,确认修改;否则不会保存修改过的参数。
★删除
删除一条已有的规则。
选择要删除的规则,点击‘删除’按钮,则选定
的规则将被删除;如果需要删除全部规则,点击‘删除全部’按钮即可。
★复制
根据一条已有的规则复制出一条新的规则。
选择要复制的规则,点击‘复
制’按钮,会复制出一条与原规则相似的规则,在复制规则中修改相应的各项内容。
修改完毕后,点击‘修改’按钮确认修改。
★保存
保存操作收集各个参数的输入数据,将规则文件保存到配置终端的内存
中,还能够将规则保存在本地用户指定的规则文件中。
当用户对隔离装置的
规则配置完成后,点击‘保存配置’按钮,提示用户已保存的规则总数并将
规则文件保存在配置终端默认文件中。
如果需要保存在本地用户指定的规则文件
中,点击‘保存本地’按钮,将规则保存在本地的规则文件中。
★上传配置
将规则文件上传到隔离装置中。
在规则配置完成后,点击‘保存配置’按
钮,保存规则文件。
然后点击‘上传装置’按钮,将规则导入到隔离装置的
安全存储区中。
上传配置成功后,系统会提示“上传配置成功”。
★下载配置
导出存储在隔离装置内的规则配置文件。
点击‘下载配置’按钮,出现
导出系统规则进度条。
导出规则成功后,系统会提示成功“下载配置成功”,点击“保存配置”,此时规则文件保存在配置终端的默认配置文件中。
注意:
系统默认拒绝所有网络报文通过,只有在规则配置中允许的报文才可以通过。
隔离装置不容许出现重复规则,当两条规则的重复时,会出现报警信息,提醒用户对规则进行修改。
根据不同的隔离方案,规则有不同的配置,请参考《四、
典型应用隔离方案规则设定范例》。
3.2用户管理
为了更好地管理隔离装置,在隔离装置中可以设置两类用户:
超级用户和普
通用户。
超级用户和普通用户的权限不同:
超级用户可以增加、删除、修改隔离
装置的配置规则,可以增加或删除隔离装置的普通用户,可以查询隔离装置的日
志等;普通用户只可以查看隔离装置的配置规则和日志等。
(注意:
隔离装置现
在只能设置一个超级用户root)
1)修改口令:
点击‘用户管理’菜单下的‘修改口令’选项,系统会验证用户的合法身份(图11),身份认证成功后,自动弹出‘修改口令’窗口(图
12),同时系统会自动锁定当前已经登录的用户名,用户只需输入新口令修
改口令即可。
(注意:
用户只需要登录隔离装置一次,如果与隔离装置的连
接没有断开,登陆的用户权限一直有效)
图11
图12
2)用户察看:
点击‘用户管理’菜单下的‘察看用户’选项察看用户。
察看用户需要使用超级用户root身份登录(图13),登录成功后,会出现导出用户列表进度条。
导出成功后会自动弹出‘用户列表’窗口(图14),超级用户在这里可以添加或删除普通用户。
添加或删除用户后,点击‘上传’按钮系统会自动更新用户列表。
(注意:
系统禁止删除超级用户root)
图13
图14
3.3日志管理
‘日志管理’功能用于查看隔离装置的运行日志,以供用户分析隔离装置的运行状况。
登录成功后,会出现系统日志分析界面如下图15所示,输入你要导出日志的链路号,点击“确定”按钮,成功后会自动下载日志到‘日志列表’窗口(图16),点击‘保存分析结果’按钮可以将日志保存到本地文件。
图15
图16
3.4系统调试
隔离装置提供了一个非常实用的系统诊断工具,用来诊断隔离装置与网络的
连接是否正常。
点击‘系统调试’菜单下的‘系统诊断工具’选项诊断网络连接
情况(图17)。
1)Ping诊断命令:
“诊断命令”提供了“ping”命令。
通过此命令可以用来诊断隔离装置是否与内外网络物理连接正常。
图17系统诊断工具
以下是一个网络连接诊断示例:
图18网络连接诊断示例图
内网主机真实地址为192.168.10.100,虚地址为192.168.20.240;外网主机真实地址为192.168.20.100,虚地址为192.168.10.240。
假设隔离装置与内外网络已经连接好,并且已经配置好规则。
具体诊断步骤如下所述:
1、首先测试隔离装置与内网的连接是否正常。
将配置串口线连接到隔离装
置的内网配置口,连接串口成功后,选择系统诊断界面中的ping命令,源地址输入外网主机的虚地址,目的地址输入内网主机的真实地址。
本例中源地址输入192.168.10.240,目的地址输入192.168.10.100。
2、点击‘开始调试’按钮,系统会提示正在导出系统调试信息。
如果诊断
信息为pingsuccess:
192.168.10.100to192.168.10.100,则表示隔离装置与内网网络连接正常(图19)。
否则诊断信息应为pingerror。
图19网络连接诊断结果
3、测试隔离装置与外网的连接是否正常,与测试内网连接类似。
将配置串口线连接到隔离装置的外网配置口,源地址应该输入内网主机的虚地址(192.168.20.240),目的地址输入外网主机的真实地址(192.168.20.100)。
2)远程Ping诊断命令:
为了方便用户进行网络链路诊断,隔离装置支持远程ping诊断。
具体诊断步骤如下所述:
1、首先测试隔离装置与内网的连接是否正常。
在内网通信计算机(如上图
所示的计算机192.168.10.100)上打开windows命令行窗口,运行ping命令,目标地址为外网的虚拟IP地址(192.168.10.240)。
如果能ping通外网的虚拟地址,则表示隔离装置与内网网络连接正常,否则请检查隔离装置与内网的网络连接。
2、测试隔离装置与外网的连接是否正常,与测试内网连接类似。
在外网的通
信计算机(如上图所示的计算机192.168.20.100)上打开windows命令行窗口,运行ping命令,目标地址为内网的虚拟IP地址(192.168.10.240),如果能ping通内网的虚拟地址,则表示隔离装置与外网网络连接正常,否则请检查隔离装置与外网的网络连接。
4典型应用环境配置案例
网络安全隔离装置针对电力系统四安全区的网络拓扑结构,
采用多种形式满足二次系统安全防护体系的要求。
4.1二层交换机模式配置
网络环境描述:
内网主机为客户端,IP地址为192.168.10.100,虚拟IP为192.168.20.240,MAC地址为AA-EE-BB-EC-CD-DE;外网主机为服务端,IP地址为192.168.20.100,虚拟IP为192.168.10.240,MAC地址为AA-EE-BB-EC-CE-DF,假设Server程序数据接收端口为9000。
图20二层交换机网络拓扑图
图21
注意:
如果隔离装,虚拟置两边主机是同一网段IP地址与真实的IP地址可以设置相同。
例如主机C(192.168.10.100),与主机D(192.168.10.200)进行通信,此时可以把主机C的虚拟IP地址设置为192.168.10.100,主机D的虚拟IP地址设置为192.168.10.200。
4.2三层交换机模式配置
网络环境描述:
内网主机为客户端,IP地址为192.168.10.115;外网主机为服务端,IP地址为192.168.20.248,假设Server程序数据接收端口为9000。
隔离装置两端连接的交换机为三层交换机(具有路由功能)。
三层交换机与隔离装置内网口连接的Vlan段的IP地址为192.168.18.135,MAC地址00-E0-DE-ED-34-E5。
三层交换机与隔离装置外网口连接的Vlan段的IP地址为192.168.18.136,MAC地址为00-E0-DE-ED-78-F7。
由于隔离装置两端三层交换机路由功能的存在会修改经它转发出去的数据报文的源MAC地址,修改为三层交换机本身的MAC地址,同时隔离装置两端三层交换机之间要交换ARP报文,因此在规则设置时,需要同时配置两条规则:
一条规则为内网主机与外网主机之间实际通信的规则,其中内网MAC地址应填写与隔离装置内网口连接的三层交换机的MAC地址,外网MAC地址应填写与隔离装置外网口连接的三层交换机的MAC地址,必须设置内外网MAC地址绑定。
另外一条规则为两台三层交换机之间交换ARP报文的规则,MAC地址的设置与上一条规则相同。
(此模式用户暂时不用配置)
图22
实际通信规则配置:
图23
图24
5附录
5.1串口故障诊断
用户在配置隔离装置的时候,如果出现串口连接反复失败的情况,可能是由
于以下原因造成,请按照以下步骤对串口进行诊断:
1、串口的COM端口选择不正确。
查看串口配置线与计算机的哪一个串口连接。
一般来说计算机自带的串口A为COM1,串口B为COM2。
如果是使用USB转串口线额外增加的串口,需要打开“设备管理器”,在端口选项下具体查看串口使用的COM端口,确认COM端口选择正确。
2、隔离装置配置串口故障。
将配置程序的速率设置为‘115200’,数据流控
制设置为‘无’。
重新启动隔离装置,等待网闸重启(约1分钟左右)如果用客户端配置程序内网外均登录不了网闸规则配置界面,说明此串口连接有问题,请联系网闸技术支持人员。
3、配置计算机串口兼容性不好或串口配置线已坏。
使用配置软件始终无法连接到隔离装置,请在配置计算机的“设备管理器”的端口选项下将相应的COM端口速率设置为‘115200’,数据流控制设置为‘无’,重新换一根配置串口线后再次重试。
4、隔离装置负荷较重。
隔离装置负荷较重时,CPU使用率过高,串口通讯
进程可能无法及时得到CPU响应。
建议选择隔离装置负荷较轻时重试或重启。
5、隔离装置反复重启,请与本公司联系。
5.2网络故障诊断
用户在使用隔离装置的时候,如果内外网无法正常通讯,请按照以下步骤对
网络进行诊断:
1、确认内外网主机与隔离装置物理连接正常。
隔离装置现在支持直接ping功能,内网主机直接ping外网主机的虚拟IP,如果成功说明内网主机与隔离装置物理连接正常;外网主机直接ping内网主机的虚拟IP,如果成功说明外网主机与隔离装置物理连接正常。
如果ping失败,请仔细检查内外网主机与网络的物理连接及连接的网口信号指示灯。
2、隔离装置规则配置参数错误。
请仔细阅读《典型应用隔离方案规则
设定范例》一节,确认规则配置正确,或者寻求本公司的技术支持。
3、内外网通讯程序没有按照隔离装置的内的编程原则设计。
请使用随机光
盘上的测试软件测试内外网的数据通讯是否正常。
5.3虚拟主机IP、静态NAT介绍
为了实现处于不同网段的主机之间的相互访问,隔离装置采用了虚拟IP、
静态NAT技术。
所谓的虚拟IP,就是在隔离装置中针对内外网的两台主机,虚
拟出两个IP地址,内网主机虚拟出一个外网的IP地址,外网的主机虚拟出一个
内网的IP地址,这样内网主机就可以通过访问外网主机的虚拟IP达到访问外网
主机的目的,同时外网主机也可以通过访问内网主机的虚拟IP达到访问内网主
机的目的。
有了以上两个虚拟IP地址,内外网主机之间的通讯被映射为两个部分:
内网对内网的通讯,外网对外网的通讯。
具体示例如图47所示:
内网主机IP地址为192.168.0.39,分配一个与外网主机在同一网段的虚拟IP地址202.102.93.1;外网主机IP地址为202.102.93.54,分配一个与内网主机在同一网段的虚拟IP地址192.168.0.1。
当内网主机上的client端向外网主机上的Server端发起TCP连接请求时,报文的源IP地址为192.168.0.39,目的IP地址为外网主机的虚拟IP地址192.168.0.1。
经过隔离装置的NAT转换后,到达外网的报文的源IP地址为内网主机的虚拟IP地址202.102.93.1,目的IP地址为外网主机的IP地址202.102.93.54。
从外网主机到内网主机的TCP应答报文源IP地址是外网主机的IP地址202.102.93.54,目的IP地址是内网主机的虚拟IP地址202.102.93.1。
经过隔离装置的NAT转换后,到达内网的应答报文的源IP地址是外网主机的虚拟IP地址192.168.0.1,目的地址是内网主机的IP地址192.168.0.39。
图25虚拟IP示意图
注意:
1、在使用NAT功能时,外网主机可以同时有多个虚拟的IP地址与之对应。
2、内网多台主机访问外网同一台主机时,外网主机虚拟IP可以只设置一个,但是内网每一台主机的虚拟IP地址必须不同。
例如内网主机B也要和外网
主机通信,IP地址为192.168.0.45。
外网主机的虚拟IP地址可以设置为上例所示的虚拟IP地址192.168.0.1,内网主机B的虚拟IP地址必须与主机A的虚拟IP地址不同,可以设置为202.102.93.2。
3、如果隔离装置两边主机是同一网段,虚拟IP地址与真实的IP地址相同。
例如主机C(10.144.100.1),与主机D(10.144.100.2)进行通信,此时可以把主机C的虚拟IP地址设置为10.144.100.1,主机D的虚拟IP地址设置为10.144.100.2。
综合过滤规则提供网络安全隔离装置允许还是拒绝数据包的依据,隔离装置对收到的每一个数据包进行检查,从它们的包头中提取出所需要的信息,如源
MAC地址、目的MAC地址、源IP地址、目的IP地址、协议类型等,再与已建立的规则逐条进行比较,并执行所匹配规则的策略,或执行默认策略。
5.4使用安全隔离装置的建议
按照二次安全防护的要求,网络安全隔离装置实现了TCP数据的单向传输控制:
反向的TCP应答禁止携带应用数据。
所以经过隔离装置进行数据传输的应用软件,应遵守以下一些编程原则来进行应用程序的改造:
1、I/II区与III区之间的应用程序禁止采用SQL命令访问数据库和基于B/S方式的双向数据传输。
2、I/II区与III区之间的数据通信,传输的启动端由内网发起,反向的应答报文不容许携带数据。
3、寻求详细的技术支持请与本公司联系。