横向隔离设备-培训资料-

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

北京科东电力控制系统有限责任公司网络安全隔离装置技术培训北京科东电力控制系统有限责任公司电力二次系统安全防护总体策略安全分区:根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内;对实时控制系统等关键业务采用认证、加密等技术实施重点保护。网络专用:建立调度专用数据网络,实现与其它数据网络物理隔离,并以技术手段在专网上形成多个相互逻辑隔离的子网,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。横向隔离:采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将实时监控系统与办公自动化系统等实行有效安全隔离,隔离强度应接近或达到物理隔离。纵向认证:采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。北京科东电力控制系统有限责任公司下级调度/控制中心上级信息中心下级信息中心实时VPNSPDnet非实时VPNIP认证加密装置安全区I(实时控制区)安全区II(非控制生产区)安全区III(生产管理区)安全区IV(管理信息区)外部公共因特网生产VPNSPTnet管理VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区I(实时控制区)防火墙安全区II(非控制生产区)安全区III(生产管理区)防火墙防火墙安全区IV(管理信息区)专线正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置防火墙防火墙防火墙电网二次系统安全防护总体示意图北京科东电力控制系统有限责任公司专用安全隔离装置电力专用安全隔离装置作为安全区I/II与安全区III的必备边界,要求具有最高的安全防护强度,是安全区I/II横向防护的要点。安全隔离装置(正向)用于安全区I/II到安全区III的单向数据传递;安全隔离装置(反向)用于安全区III到安全区I/II的单向数据传递。安全隔离装置的部署:安全区I/II安全区III应用网关应用网关安全隔离装置(正向)安全隔离装置(反向)北京科东电力控制系统有限责任公司正向隔离装置的硬件结构及网络连接专用隔离设备实时网络(内网)非实时网络(外网)处理器A处理器BTCP/IPTCP/IP通断开关非网内外网不同时接通具有物理隔离能力的硬件结构硬件数据流向控制多级过滤的立体访问控制非INTEL的RISC处理器,专门裁剪的LINUX内核支持实时报警北京科东电力控制系统有限责任公司正向隔离装置的功能要求实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;单Bit返回,即返回数据为1个字节,且必须是0x00或0xFF;透明工作方式,虚拟主机IP地址、隐藏MAC地址;基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;支持NAT;防止穿透性TCP连接:禁止内网、外网的两个应用网关之间直接建立TCP连接,应将内外两个应用网关之间的TCP连接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许以物理方式实现数据数据单向传输;北京科东电力控制系统有限责任公司反向隔离装置的工作过程①安全区III内的数据发送端首先对需发送的数据签名,然后发给反向型专用隔离装置;②专用隔离装置接收数据后,进行签名验证,并对数据进行内容过滤、有效性检查等处理;③将处理过的数据转发给安全区I/II内部的接收程序。I/II区Ⅲ区唯一途径应满足正向隔离装置的所有基本功能北京科东电力控制系统有限责任公司示例分析新增的虚拟IP地址不能在本侧有相同的地址存在,会产生IP冲突。北京科东电力控制系统有限责任公司示例分析:正向数据流程主机A主机B流程:192.168.1.1-192.168.2.1①主机A发送目的地址为192.168.1.2②ARP请求,谁有192.168.1.2的MAC地址,请告诉192.168.1.1③正向隔离内网侧ARP应答,192.168.1.2的MAC是MAC3-1。MAC3-1MAC1-1IP3IP1TCP数据④主机A发送IP数据包至正向隔离装置内网侧目的MAC源MAC目的IP源IP协议北京科东电力控制系统有限责任公司示例分析:正向数据流程⑤正向隔离装置接收IP数据包,并进行过滤,基于源MAC,源IP,目的IP,协议,源端口,目的端口。⑥若不合法,丢弃;若合法则重新填写IP及MAC。目的MAC源MAC目的IP源IP协议MAC2-1MAC3-1IP2IP4TCP数据⑦正向隔离外网侧发送IP数据包至主机B北京科东电力控制系统有限责任公司管理工具Windows软件xp/win7/win8系统默认登录名:root口令:111111波特率:115200(千兆正向/百兆正向大设备):19200(百兆正向/百兆反向)主界面正向:Private侧Console口反向:Public侧Console口北京科东电力控制系统有限责任公司规则配置菜单》规则配置》规则管理规则名称:每条记录不能相同方向选择:从内到外(正向)/从外到内(反向)协议:TCP/UDP,新版反向仅支持UDP控制类型:SYN连接(TCP),数据流向内网计算机信息:内网侧主机信息。外网计算机信息:外网侧主机信息。IP地址:主机IP地址内网虚拟IP:主机IP在另一侧所对应的IP地址信息。MAC地址:主机IP的MAC地址。端口号:0代表所有。网口:1对应eth0,2对应eth1IP与MAC地址绑定:针对1个IP多个MAC的情况。备份恢复读取写入添加复制修改删除重启生效北京科东电力控制系统有限责任公司反向管理配置菜单》设备配置》设备基本配置协商IP:用于反向隔离装置与配套发送端软件之间的协商,与纵向协商IP类似。网口Ⅰ:对应Public侧eth0口。网口Ⅱ:对应Public侧eth1口。加密模式:默认软件加密。配置填写完成,点击“写入”,重启生效。北京科东电力控制系统有限责任公司菜单》规则配置》发送端证书管理反向管理配置发送端IP:配套发送端软件的主机IP地址。证书:配套发送端软件的证书。菜单》规则配置》设备密钥数据管理生成删除备份恢复导出恢复公私钥对公钥证书先生成“公私钥对”,再导出“公钥证书”。北京科东电力控制系统有限责任公司正向传输软件Windows:双击快捷方式Windows/Linux:1.进入主程序目录2.通过java–jar命令执行相应jar包。例如:java–jarStoneWall-send.jarJava:支持跨平台①②③④注意事项:传输软件包括两部分,发送端软件和接收端软件,两者是配套使用的。具备JAVA环境北京科东电力控制系统有限责任公司从本地资源③中选中要发送的文件夹或文件,点击右键及发送正向传输软件目的IP地址:目的主机在本侧的虚拟地址。目的端口号:默认7777,与接收端端口一致。目的文件夹:目的主机的存储目录,且接收端必须有读写该文件夹的权限。文件是否备份:备份是指对已发送的文件进行备份。发送模式:“立即发送”,只发送一次;“立即发送并作增量检查”,实时检查文件夹是否有内容更新,如果有则立即发送。“高级”中还支持指定周期时间及定时发送等功能。文件发送成功后会自动清除该文件。平台类型:“SamePlatform”、“WindowstoUnix”、“UnixtoWindows”。北京科东电力控制系统有限责任公司反向传输软件反向传输软件初次运行,需要配置一下JAVA环境。①如果是Windows,可以执行jreUpdate.exe②如果①不生效或Linux下,确认Java安装路径。复制到jre/lib/ext目录下。替换到jre/lib/security目录下。手动修改北京科东电力控制系统有限责任公司反向传输软件首次登录,生成密钥需要输入保护口令①②③建议与操作员初始密码一致。(12345678)进入登录界面,输入密码后登录操作员的密码:初始密码为12345678密钥保护口令:与②中输入的保护口令一致。登录后,与主界面一致。北京科东电力控制系统有限责任公司反向传输软件导出发送端软件公钥,用于隔离装置配置。协商IP地址:反向隔离装置基本配置中的协商地址。协商端口:4558,勿动。隔离设备证书:反向隔离设备生成的证书。目的IP地址:内网接收端IP。目的端口:7777,与接收端监听端口一致。使用隧道:选择到达接收端途径的隧道。北京科东电力控制系统有限责任公司反向传输软件目的文件夹:目的主机的存储目录,且接收端必须有读写该文件夹的权限。链路配置信息:选择到达接收端可以使用的链路信息。发送端软件会根据链路信息,选择当前最优的链路进行传输。不符合发送条件文件备份:备份是指对不合法发送条件文件进行备份。不符合发送条件指二进制文件、非E语言格式文本文件。文件是否备份:备份是指对已发送的文件进行备份。北京科东电力控制系统有限责任公司常见问题1、界面中文无法显示(常出现在Linux系统下)解决办法:从Windows系统下c:/windows/fonts目录下找到simsun.ttc文件,拷贝至Linux系统下jre/lib/fonts目录下2、传输软件无界面启动。(常出现在Linux系统下)解决办法:①图形界面下调试可正常传输。②修改配置文件,位于主程序目录config文件夹下。链路隧道配置密钥用户Setting.txttrue,启用界面false,不启用界面如果保护口令忘记,删除stonewall.p12文件。北京科东电力控制系统有限责任公司常见问题3、网络异常。解决办法:tcpdump命令。源IP目的IP源MAC目的MAC内网侧抓包,确定源MAC是否匹配,是否有双方向数据包。外网侧抓包,确定目的MAC是否匹配,是否有双方向数据包。①IP地址冲突②防火墙③地址漂移④接收端未运行北京科东电力控制系统有限责任公司常见问题E语言文本传输成功二进制文本/文本文件传输失败E语言文本校验通过隧道建立成功隧道建立失败可能原因:1.发送端与隔离设备之间网络不通。2.隔离设备基本配置没有配置协商地址。3.隔离设备发送端证书管理未配置。3.发送端与隔离设备互导证书错误。接收第一帧数据的确认帧时,读取数据包出错。可能原因:接收超时/版本不匹配。接收端无反应。可能原因:1.规则有问题。(通过tcpdump分析)2.网络有问题。(通过给隔离设备配地址,进行ping排查)3.IP地址冲突。(内网侧/外网侧是否有与虚拟IP地址相同的地址存在,通过ping/arp查看;网络中是否有其他隔离装置存在,其配置的虚拟地址是否与本隔离装置相同。)北京科东电力控制系统有限责任公司谢谢!

1 / 24
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功