《横向隔离设备培训ppt课件.ppt》由会员分享,可在线阅读,更多相关《横向隔离设备培训ppt课件.ppt(24页珍藏版)》请在三一办公上搜索。
1、网络安全隔离装置技术培训,电力二次系统安全防护总体策略,安全分区:根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内;对实时控制系统等关键业务采用认证、加密等技术实施重点保护。网络专用:建立调度专用数据网络,实现与其它数据网络物理隔离,并以技术手段在专网上形成多个相互逻辑隔离的子网,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。横向隔离:采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将实时监控系统与办公自动化系统等实行有效安全隔离,隔离强度应接近或达到物理隔离。纵向认证:采用认证、加密、访问控制等手段实现数据的远
2、方安全传输以及纵向边界的安全防护。,电网二次系统安全防护总体示意图,专用安全隔离装置,电力专用安全隔离装置作为安全区I/II与安全区III的必备边界,要求具有最高的安全防护强度,是安全区I/II横向防护的要点。安全隔离装置(正向)用于安全区I/II到安全区III的单向数据传递;安全隔离装置(反向)用于安全区III到安全区I/II的单向数据传递。,安全隔离装置的部署:,正向隔离装置的硬件结构及网络连接,内外网不同时接通,具有物理隔离能力的硬件结构,硬件数据流向控制,多级过滤的立体访问控制,非INTEL的RISC处理器,专门裁剪的LINUX内核,支持实时报警,正向隔离装置的功能要求,实现两个安全区
3、之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;单Bit返回,即返回数据为1个字节,且必须是0 x00或0 xFF;透明工作方式,虚拟主机IP地址、隐藏MAC地址;基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;支持NAT;防止穿透性TCP连接:禁止内网、外网的两个应用网关之间直接建立TCP连接,应将内外两个应用网关之间的TCP连接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许以物理方式实现数据数据单向传输;,反向隔离装置的工作过程,安全区III内的数据发送端
4、首先对需发送的数据签名,然后发给反向型专用隔离装置;,专用隔离装置接收数据后,进行签名验证,并对数据进行内容过滤、有效性检查等处理;,将处理过的数据转发给安全区I/II内部的接收程序。,I/II区,区,唯一途径,应满足正向隔离装置的所有基本功能,示例分析,新增的虚拟IP地址不能在本侧有相同的地址存在,会产生IP冲突。,示例分析:正向数据流程,主机A主机B流程:192.168.1.1-192.168.2.1,示例分析:正向数据流程,管理工具,Windows软件 xp/win7/win8,系统默认登录名:root口 令:111111波特率:115200(千兆正向/百兆正向大设备):19200(百兆
5、正向/百兆反向),主界面,正向:Private侧Console口反向:Public侧Console口,规则配置,菜单规则配置规则管理,规则名称:每条记录不能相同,方向选择:从内到外(正向)/从外到内(反向),协议:TCP/UDP,新版反向仅支持UDP,控制类型:SYN连接(TCP),数据流向,内网计算机信息:内网侧主机信息。,外网计算机信息:外网侧主机信息。,IP地址:主机IP地址,内网虚拟IP:主机IP在另一侧所对应的IP地址信息。,MAC地址:主机IP的MAC地址。,端口号:0代表所有。,网口:1对应eth0,2对应eth1,IP与MAC地址绑定:针对1个IP多个MAC的情况。,备份,恢复
6、,读取,写入,添加,复制,修改,删除,重启生效,反向管理配置,菜单设备配置设备基本配置,协商IP:用于反向隔离装置与配套发送端软件之间的协商,与纵向协商IP类似。网口:对应Public侧eth0口。网口:对应Public侧eth1口。加密模式:默认软件加密。,配置填写完成,点击“写入”,重启生效。,菜单规则配置发送端证书管理,反向管理配置,发送端IP:配套发送端软件的主机IP地址。证书:配套发送端软件的证书。,菜单规则配置设备密钥数据管理,生成,删除,备份,恢复,导出,恢复,公私钥对,公钥证书,先生成“公私钥对”,再导出“公钥证书”。,正向传输软件,Windows:双击快捷方式Windows/
7、Linux:1.进入主程序目录2.通过java jar命令执行相应jar包。例如:java jar StoneWall-send.jar,Java:支持跨平台,注意事项:传输软件包括两部分,发送端软件和接收端软件,两者是配套使用的。,具备JAVA环境,从本地资源中选中要发送的文件夹或文件,点击右键及,发送,正向传输软件,目的IP地址:目的主机在本侧的虚拟地址。目的端口号:默认7777,与接收端端口一致。目的文件夹:目的主机的存储目录,且接收端必须有读写该文件夹的权限。,文件是否备份:备份是指对已发送的文件进行备份。,发送模式:“立即发送”,只发送一次;“立即发送并作增量检查”,实时检查文件夹是
8、否有内容更新,如果有则立即发送。“高级”中还支持指定周期时间及定时发送等功能。文件发送成功后会自动清除该文件。,平台类型:“Same Platform”、“Windows to Unix”、“Unix to Windows”。,反向传输软件,反向传输软件初次运行,需要配置一下JAVA环境。,如果是Windows,可以执行jreUpdate.exe,如果不生效或Linux下,确认Java安装路径。,复制到jre/lib/ext目录下。,替换到jre/lib/security目录下。,手动修改,反向传输软件,首次登录,生成密钥,需要输入保护口令,建议与操作员初始密码一致。(12345678),进入
9、登录界面,输入密码后登录,操作员的密码:初始密码为12345678密钥保护口令:与中输入的保护口令一致。,登录后,与主界面一致。,反向传输软件,导出发送端软件公钥,用于隔离装置配置。,协商IP地址:反向隔离装置基本配置中的协商地址。协商端口:4558,勿动。隔离设备证书:反向隔离设备生成的证书。,目的IP地址:内网接收端IP。目的端口:7777,与接收端监听端口一致。使用隧道:选择到达接收端途径的隧道。,反向传输软件,目的文件夹:目的主机的存储目录,且接收端必须有读写该文件夹的权限。,链路配置信息:选择到达接收端可以使用的链路信息。发送端软件会根据链路信息,选择当前最优的链路进行传输。,不符合
10、发送条件文件备份:备份是指对不合法发送条件文件进行备份。不符合发送条件指二进制文件、非E语言格式文本文件。,文件是否备份:备份是指对已发送的文件进行备份。,常见问题,1、界面中文无法显示(常出现在Linux系统下),解决办法:从Windows系统下c:/windows/fonts目录下找到simsun.ttc文件,拷贝至Linux系统下jre/lib/fonts目录下,2、传输软件无界面启动。(常出现在Linux系统下),解决办法:图形界面下调试可正常传输。修改配置文件,位于主程序目录config文件夹下。,链路,隧道,配置,密钥,用户,Setting.txt,true,启用界面false,不
11、启用界面,如果保护口令忘记,删除stonewall.p12文件。,常见问题,3、网络异常。,解决办法:tcpdump命令。,源IP,目的IP,源MAC,目的MAC,内网侧抓包,确定源MAC是否匹配,是否有双方向数据包。,外网侧抓包,确定目的MAC是否匹配,是否有双方向数据包。,IP地址冲突 防火墙 地址漂移 接收端未运行,常见问题,E语言文本传输成功,二进制文本/文本文件传输失败,E语言文本校验通过,隧道建立成功,隧道建立失败,可能原因:1.发送端与隔离设备之间网络不通。2.隔离设备基本配置没有配置协商地址。3.隔离设备发送端证书管理未配置。3.发送端与隔离设备互导证书错误。,接收第一帧数据的确认帧时,读取数据包出错。,可能原因:接收超时/版本不匹配。,接收端无反应。,可能原因:1.规则有问题。(通过tcpdump分析),2.网络有问题。(通过给隔离设备配地址,进行ping排查),3.IP地址冲突。(内网侧/外网侧是否有与虚拟IP地址相同的地址存在,通过ping/arp查看;网络中是否有其他隔离装置存在,其配置的虚拟地址是否与本隔离装置相同。),谢谢!,
