二代纵向加密认证装置培训

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

二代纵向加密认证装置培训目录二代纵向加密认证装置简介•设计目的•产品概述•功能特点装置安装及使用•本地管理•系统初始化•装置配置目录目录工程实施典型拓扑环境案例•双机热备-负载均衡常见问题及解决办法目录二代纵向加密认证装置简介电力系统二次系统安全防护的目标抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击,尤其是集团式攻击,重点保护电力实时闭环监控系统及电力调度数据网络的安全。防止由此引起电力系统事故,保证国家重要基础设施的安全。设计目的二代纵向加密认证装置简介产品设计目标装置满足二次系统安全防护要求装置严格安装《电力系统专用纵向加密认证装置技术规范》设计装置之间互连互通装置能与符合《电力系统专用纵向加密认证装置技术规范》的装置互通装置可管理装置能接受本地终端和装置管理系统的管理设计目的二代纵向加密认证装置简介产品组成纵向加密认证装置:位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于安全区I/II的广域网边界保护,可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。本地管理终端:提供给操作员在当地对装置进行设置及管理的计算机终端系统。调度证书服务系统(CA):为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务,以解决网络应用中的机密性、完整性、不可否认性等安全问题。该系统由北京电力科学院开发完成。管理中心系统:位于电力调度中心,完成对所辖的多厂商的装置进行统一管理的计算机系统。产品概述二代纵向加密认证装置简介产品硬件平台介绍卫士通百兆纵向加密认证装置-前面板产品概述二代纵向加密认证装置简介产品硬件平台介绍卫士通百兆纵向加密认证装置-后面板A:1个毁钥按键N:1个复位开关B:1个旁路按键M:1个机箱锁(C520L-1)C:1个初始化按键D:1个控制口E:1个RJ45网口-配置F:1个RJ45网口-心跳G:1个RJ45网口-外网H:1个RJ45网口-内网O:2个交流电源输入及开关,交流输入参数:AC220V/50Hz产品概述二代纵向加密认证装置简介产品硬件平台介绍卫士通千兆纵向加密认证装置-前面板产品概述二代纵向加密认证装置简介产品硬件平台介绍卫士通千兆纵向加密认证装置-后面板ABCDEFGHIB:1个控制口C:USB口I:扩展槽D:1个RJ45网口-配置E:1个RJ45网口-扩展F:1个RJ45网口-心跳G:1个RJ45网口-外网H:1个RJ45网口-内网A:2个交流电源输入及开关,交流输入参数:AC220V/50Hz产品概述二代纵向加密认证装置简介产品体系设计纵向加密认证装置主要由VPN报文处理模块、加密卡驱动模块、IP报文过滤模块、密钥协商模块、网络管理维护模块、双机冗余/热备模块六大部分组成。产品概述二代纵向加密认证装置简介加密装置VPN报文处理模块加密卡驱动模块密钥协商模块网络管理维护模块双机冗余/热备模块IP报文过滤模块纵向加密认证装置体系结构1.安全隧道:在两台网络密码机之间建立一条虚拟的安全隧道,用户数据通过密码机建立的安全隧道进行安全的网络传输。2.数据包加密:除了对原有IP包进行封装外,还要对原有IP包(包括用户数据、TCP/UDP协议头、IP包头)进行加密,保障数据在网络上传输的机密性。3.设备和管理员身份认证:设备之间支持X.509证书认证,管理员采用IC卡、证书、口令三重认证机制。4.访问控制:支持基于IP地址、协议、端口的网络访问控制,并与加密机制分离,独立工作。5.双机热备份:保障重要节点网络的可靠性。功能特点二代纵向加密认证装置简介6.网络地址借用:支持无网络地址的工作模式,借用其它网络设备的网络地址进行密钥协商和加解密。7.硬旁路:千兆断电后,内外网口自动连通实现旁路功能。二代百兆正常工作时,通过硬旁路开关使内外网口连通实现旁路。8.开壳毁钥:防止非法用户窃取加密机密钥。9.本地软件升级:利用本地管理软件对加密机进行软件更新。10.灾难恢复:保障用户更换新设备后,达到与原有设备参数配置完全相同的目的,无需重新生成设备私钥。功能特点二代纵向加密认证装置简介装置安装及使用设备连接本地管理软件安装在用户管理PC机上,通过PC网口与纵向加密认证装置的配置口进行连接和通信,如下图演示:本地管理装置安装及使用纵向加密认证装置管理PC:192.168.6.1/24配置口:192.168.6.10/24管理器登录启动纵向加密装置管理软件,出现软件主界面(初始化完成后),从登录框输入默认用户名:Admin密码:11111111,登录管理配置。本地管理装置安装及使用输入正确的用户名、口令,登录成功后进入配置界面本地管理装置安装及使用证书概述装置在初始化过程中,导出证书请求时会调用非对称算法生成公私钥对。私钥存放在加密卡或管理员卡中,公钥存放于证书请求文件中。生成的证书请求文件通过证书签发中心的审核、签发,生成相应的数字证书。系统初始化装置安装及使用纵向加密装置证书请求文件上传证书签发中心证书签发中心证书签发操作员录入、审核、签发数字证书证书分类操作员证书用于管理员和纵向加密认证装置的人机卡认证。设备证书用于装置之间认证和密钥协商,一台装置只能有一个设备证书。系统初始化装置安装及使用初始化实例演示1.导出设备正式请求系统初始化装置安装及使用初始化实例演示2.导出操作员卡证书系统初始化装置安装及使用初始化实例演示3.导入根证书系统初始化装置安装及使用初始化实例演示4.导入设备证书系统初始化装置安装及使用初始化实例演示5.导入操作员证书系统初始化装置安装及使用初始化实例演示6.灾难恢复当用户必须更换新设备时,可通过灾难恢复的方式将原有设备中所有配置信息导入新设备中,达到与原有设备参数配置完全相同的目的。灾难恢复时的新设备需沿用原有设备的IC卡,导入的恢复文件为原有设备的备份文件。系统初始化装置安装及使用网桥设置纵向加密认证装置通过透明桥的方式接入用户环境中,将内、外网口划在同一个桥下即可实现桥模式。网络配置管理装置安装及使用VLAN设置根据用户实际使用的网络结构,可能需要对纵向加密认证装置配置VLAN。网络配置管理装置安装及使用网络地址设置在实际的配置中,需要对纵向加密认证装置的内外接口配置IP地址以便和内外网进行通信,内外接口可以添加在一个桥下,也可以分别为不同网段,根据用户具体需要进行配置。网络配置管理装置安装及使用路由设置包括有默认网关、子网路由及主机路由的设置。实例为添加子网路由网络配置管理装置安装及使用ARP设置为接口IP地址绑定MAC地址。网络配置管理装置安装及使用根证书用于对根证书的管理证书管理装置安装及使用远端设备证书远程设备证书为对端通信设备的证书,本地加密认证装置需要导入远端设备产生的证书(包含远端设备的公钥),用于装置通信时证书认证。证书管理装置安装及使用远端管理证书管理中心集中管理时,本地认证装置需要导入远程管理中心的证书,用于远程管理通信时的证书认证。证书管理装置安装及使用隧道及安全策略管理隧道为纵向加密认证装置之间安全传输数据的通道安全策略管理装置安装及使用隧道及安全策略管理安全策略用于实现具体通信策略与加密隧道的关联以及数据报文的综合过滤。安全策略管理装置安装及使用VPN安全策略管理VPN安全策略与隧道及安全策略管理模块中的策略管理一致,单独设置模块更加便于对安全策略进行管理。安全策略管理装置安装及使用IP报文过滤策略管理IP报文过滤为扩展功能,用于过滤通信数据包,可以通过源地址、目的地址、协议、源端口、目的端口等方式过滤数据包。安全策略管理装置安装及使用软件升级软件升级功能用于后期维护时,对纵向加密认证装置进行升级,完成系统软件更新。软件升级需要导入由本公司发放给用户的特定升级文件(.wpk格式)设置管理装置安装及使用配置备份配置备份功能用于将纵向加密认证装置的配置信息备份至本地管理PC。设置管理装置安装及使用配置恢复当用户配置错误或操作不当时,希望恢复以前配置信息,“配置恢复”功能就可用于将备份的配置信息恢复到设备中。设置管理装置安装及使用恢复出厂配置恢复出厂配置功能用于将设备恢复到初始化前的状态,故用户执行此操作应慎重。设置管理装置安装及使用设备重启用户输入正确口令确认后重启设置管理装置安装及使用设备参数设置设备参数设置中可以对密钥协商、日志服务器等参数进行设置。设置管理装置安装及使用设置时钟时钟设置用于修改纵向加密认证装置的系统时间设置管理装置安装及使用设置诊断模式诊断模式为通过SSH方式登录纵向加密认证装置,默认为开启状态,用户如有需要可以开启/关闭该功能设置管理装置安装及使用装置信息装置信息中显示设备名称、IP、类型、版本等参数信息。设备信息查询装置安装及使用设备通信状态通过装置通信状态,用户能够获取纵向加密认证装置当前的通信数据状态信息。设备信息查询装置安装及使用设备运行状态通过装置运行状态,用户能够获取纵向加密认证装置当前的CPU使用率、内存等状态信息。设备信息查询装置安装及使用为了用户能够更加安全、可靠地管理加密设备,管理员实现“三权分立”即用户角色分为系统管理员、配置管理员和审计管理员,这3类角色分别有各自权限,用户可以根据实际需求建立管理员。当连续5次登录失败,则用户被锁定。账户管理装置安装及使用日志管理主要用于用户进行日志审计,日志信息中包含人员操作日志系统信息日志、通信信息日志以及异常日志,日志信息可以以文本(.txt)格式导出保存。日志管理装置安装及使用配置界面如下:双机默认为关闭状态。双机热备配置管理装置安装及使用需要开启双机热备功能,只需点击“启用双机服务”,选中后方可对双机参数进行设置,具体操作界面如下图所示:选中“启用双机服务”后,便可进行详细设置,并在“保存设置”后,开启双机服务。双机热备配置管理装置安装及使用主备机数据状态:只有在“启用虚拟IP”后,才会显示主备机数据是否一致。双机热备配置管理装置安装及使用本端心跳口IP:在“网络地址设置”中设置了心跳口IP地址后,便可在此处选择“本端心跳口IP”,点击按钮进行选择。双机热备配置管理装置安装及使用本端备用心跳口IP:在“网络地址设置”中,为任意通信接口设置了IP地址后,可在此处选择“本端备用心跳口IP”,点击按钮进行选择。当心跳口失效后,备用心跳口接替其工作。双机热备配置管理装置安装及使用对端心跳信息设置:根据备机的心跳口、备用心跳口的配置,在此处填入相应的信息。双机热备配置管理装置安装及使用启用虚拟IP:“启用虚拟IP”后,纵向加密认证装置需要使用该虚拟IP建立隧道。不“启用虚拟IP”,其他纵向加密认证装置与双机建立隧道时,“目的地址”填入主机IP地址,“备用目的地址”填入备机IP地址。双机热备配置管理装置安装及使用Ping指定IP:设置了“Ping指定IP”后,当该IP地址不可达时,判定为该链路断开,则触发主备切换。双机热备配置管理装置安装及使用保存设置:当配置完成后,点击“保存设置”,双机热备功能才能生效。双机热备配置管理装置安装及使用双机数据同步:“双机数据同步”功能只有在“启用虚拟IP”功能后生效。“从本端→双机对端”表示将本端数据同步到对端设备,同步成功后,对端重启。“从双机对端→本端”表示从对端设备获取数据到本端,同步成功后,本端重启。双机热备配置管理装置安装及使用工程实施典型拓扑环境案例纵向加密认证装置在网络环境中做双机冗余时,对端设备只需与冗余地址建立隧道即可。模拟拓扑图如下:双机热备-负载均衡工程实施典型拓扑环境案例电力调度数据网R1R3R2SJW77-1(主)10.1.1.10/24SJW77-2(备)10.1.1.20/24PC110.1.1.100/24SJW77-320.1.1.10/24PC220.1.1.100/24心跳口192.168.11.2心跳口192.168.11.110.1.1.253/2410.1.1.254/2420.1.1.254/24Virtuaip10.1.1.252心跳线1.1.1.21.1.1.

1 / 79
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功