云南11选5免费计划软件

南瑞纵向加密调试教程:安全策略配置

时间:2018-12-08 19:35:45 分享到:
  
纵向加密认证网关位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,为透明安全防护装置。网关的内网接口连接内部局域网,外网接口连接数据网,每个网络接口可以设置一个或者多个虚拟地址。纵向加密认证网关的安全策略设置主要包括系统配置、IP地址配置、IP路由,VLAN,规则,隧道信息,管理信息等。 
主配置界面左侧的编辑功能键描述如下,在其他的信息配置界面中编辑功能键的作用类似,下文中只以相应的图标加以表示,具体功能不再赘述。  
:打开配置或新建配置文件  
:保存配置  
:另存配置将配置信息保存至本地  
:上传配置信息至装置  
:下载装置配置信息到本地  
:建立新的配置信息  
:删除相关的配置信息  
:复制资源  
:粘贴资源  
:编辑资源  
3.4.1系统信息配置  
系统配置主要配置纵向加密认证网关的系统信息,主要包括以下几个内容:  
系统名称:装置的名称,便于远程标识装置的基本信息。  
网关地址:加密网关的外网地址或者外网卡上用于被管理或审计所设置的地址。
远程地址:远程的装置管理系统、日志审计系统或者远程调试计算机的网络地址。  
系统类型:包括装置管理、日志审计、远程调试  
证书:在系统类型配置为装置管理时必须配置相应的装置管理的证书名称  
在这个界面中可以对装置系统信息作一系列操作例如:增加、修改、删除、上传、下载等。  
点击“规则配置”-〉“系统管理”,选中某一条系统信息规则之后点击(编辑资源),若原先没有相应的网络信息规则可以先点击(新建资源)并将其选中后点  
击编辑资源进入 
3.4.2网络信息配置  
纵向加密认证网关共有5个以太网接口,其中任意网口都可以设置成内网口或者外网口。在实际的配置中,需要对纵向加密认证网关的网络接口配置虚拟地址以便和内外网进行通信,内外网虚拟地址可以为相同网段,也可以为不同网段。
在网络信息配置界面中可以对装置网络信息作一系列的配置如:增加、修改、删除、 上传、下载等。  
点击规则配置—〉“网络配置”进入配置主界面之后选中相应的网络配置信息点击 (编辑资源),若原先没有相应的网络信息规则可以先点击(新建资源)再点击编辑资源进入网络配置界面
网络接口:为所要配置的装置网口的名称,例如eth0/eth1等  
接口类型:为装置网口的类型,分别有PRIVATE(内网口)、PUBLIC(外网口)、  
BACKUP(互备口)、CONFIG(配置口)、BRIDGE(桥接口)  
IP地址:为所要配置网口的IP地址  
子网掩码:为所要配置网口的掩码  
接口描述:为所要配置网口的相关描述信息  
VLANID:为所要配置网口的VLANID信息  
3.4.3路由信息配置  
纵向加密认证网关需要对加密和解密过的IP报文进行路由选择,路由配置信息针 对加密网关的内外网虚拟地址,通过路由地址关联内外网的网络地址信息。在这个界面中可以对装置路由信息作一系列的配置例如:增加、修改、删除、上传、下载等。  
点击规则配置—〉“路由配置”进入路由配置界面,之后选中相应的路由配置信息点击,若原先没有相应的路由信息规则可以先点击(新建资源)再点击编辑资源进入路由配置界面。
路由名称:路由信息的名称描述  
网络接口:要用到路由的出口网卡的名称一般为外网口。  
目的网络:要实现通信的外网侧的所在网段。  
目的掩码:为路由信息的目的网络地址的子网掩码。  
网关地址:加密网关的外网口通信地址  
VLANID:为所要配置的网口vlan信息。  
3.4.4隧道配置  
隧道为纵向加密认证网关之间协商的安全传输通道,隧道成功协商之后会生成通信 密钥,进入该隧道通信的数据由通信密钥进行加密,隧道可以设置隧道周期和隧道容量, 当隧道的通信时间达到指定传输周期后或者数据通信量达到指定容量后,加密网关之间 会重新进行隧道密钥的协商,保证数据通信的安全。  
点击规则配置—〉“隧道配置”进入隧道配置界面,之后选中相应的隧道配置信息点击,若原先没有相应的隧道信息规则可以先点击(新建资源)再点击编辑资源进入隧道配置界面
隧道名称:隧道的相关描述。  
隧道ID:隧道的标识,关联隧道的所有信息。  
隧道模式:隧道模式分为两类:加密、明通。明通模式下,隧道两端装置不进行密钥协商,隧道中的所有数据只能通过明通方式(但可以对数据包进行安全 过滤与检查,即只有配置了相关的通信策略的数据传输才能通过装置,否  
则装置会将不合法的报文全部丢弃)进行传输;加密模式下,隧道中的数据报文会根据协商好的密钥将相关通信策略的数据报文进行封装和加密,保证数据传输的安全性。  
隧道本端地址:为本端隧道的地址,即本侧加密网关的外网虚拟IP地址。  
隧道对端主地址:为对端隧道的主地址,即对端加密网关(主机)的外网虚拟IP地址。  
主装置证书名称:对端主隧道的证书名称。对端加密网关的主设备证书名称需与初始化导入的对端加密网关证书名称一致。  
隧道对端备地址:为对端隧道的备用地址,即对端加密网关(备机)的外网  
虚拟IP地址。如果对端无备用装置,则隧道备地址为0。  
备装置证书:对端备隧道的证书名称。对端加密网关的备设备证书名称需与初始化导入的对端备加密网关证书名称一致  
隧道周期:隧道密钥的存活周期(以小时为基本计量单位)。超过设定的存 活周期,装置会自动重新协商密钥。  
隧道容量:为隧道内可加解密报文总字节数的最大值,在隧道内加解密报文  
的总字节数一旦超过此值,隧道密钥立刻失效,装置会自动重新协商密钥。  
3.4.5策略配置  
加密通信策略用于实现具体通信策略和加密隧道的关联以及数据报文的综合过滤, 纵向加密认证网关具有双向报文过滤功能,与加密机制分离,独立工作,在实施加密之  
前进行。过滤策略支持:  
源IP地址(范围)控制;  
目的IP地址(范围)控制;  
源IP(范围)+目的IP地址(范围)控制;  
协议控制;  
TCP、UDP协议+端口(范围)控制;  
源IP地址(范围)+TCP、UDP协议+端口(范围)控制;  
目标IP地址(范围)+TCP、UDP协议+端口(范围)控制。  
点击“规则配置”—〉“策略配置”进入策略配置界面,之后选中相应的策略配置 信息点击,若原先没有相应的策略信息规则可以先点击(新建资源)再点击编 辑资源进入策略配置界面,
注意:如果对端纵向加密认证网关存在备机,应该配置两条相同的策略,只是关联的隧道ID不同。  
隧道ID:为隧道配置中设定的隧道ID信息。通过此信息,可以将策略关联到具体的隧道,以便对需要过滤的报文进行加解密处理。  
工作模式:工作模式分为明通、加密或者选择性保护。  源起始地址和源目的地址:本端通信网段的起始和终止地址,如果为单一通信节点,则源起始地址和源目的地址设置为相同。  
目的起始地址和目的终止地址:对端通信网段的起始和终止地址,如果为单 一通信节点,则目的起始地址和目的终止地址设置为相同。如果对端网关启用地址转化功能,则目的地址为对端网关的外网虚拟IP地址。  
协议:支持TCP、UDP、ICMP等通信协议。  
传输方向:此配置字段可以控制数据通信的流向,分为内->外、外->内和双向。  
源起始端口和源终止端口:通信端口配置范围在0-65535之间。  
目的起始端口和目的终止端口:通信端口配置范围在0-65535之间。对于通信进程的服务端,起始和终止端口可配置为相同。  
3.4.6地址转换配置  
纵向加密认证网关系统支持地址转换(地址伪装、源地址转换和目的地址转换),  
保护内网私有地址。  
加密网关开启IP伪装功能时,当数据包经过加密网关发送到外部网络时,会将数  
据包的源地址改变成加密网关的外网虚拟地址,而经过转换的数据包可以在外网中完整  
路由。此时内网地址为需要地址转换的内网网络地址,外网地址为伪装地址。  
有时候内网私有地址对外提供网络服务,为了保证内网资源的安全,这时可以将内  
网的网络服务映射到加密网关的外网虚拟地址上,外网用户可通过访问加密网关的外网  
虚拟地址的服务达到访问内网服务的目的。在这种转换方式下,需要开启加密网关的目  
的地址转换功能。  
点击“规则配置”—〉“地址转换”进入地址转换配置界面,之后选中相应的地址  
转换配置信息点击,若原先没有相应的地址转换信息规则可以先点击(新建资  
源)再点击编辑资源进入地址转换配置界面,如下图所示::  
图表28地址转换配置  
NAT描述:地址转换信息的描述  
类型选择:选择地址转换的类型具体类型有源地址转换、目的地址转换,地址转换纵向加密认证网关NetKeeper-2000用户手册  
-26-  
内网地址:为提供服务的内网主机地址  
内网端口:为内网服务端口  
外网地址:为加密网关的外网虚拟地址  
外网端口:为内网服务端口的映射  
网络接口:配置地址转换的网络接口名称  
3.4.7桥接配置(多进多出配置)  
多进多出工作模式其作用就相当于一个局域网交换机,可以实现将装置的某几个网  
卡虚拟成一个网卡和外界通信,用户可以将虚拟网卡当成具体的网卡来使用,可以在隧  
道配置中设置相应的规则,以虚拟网卡地址和对端的加密装置协商从而实现多入多出的  
通信,相关的网络拓扑如下图所示:  
图表29桥接示例  
具体配置如下:  
进入网桥配置界面,点击编辑资源,进入具体网桥配置界面如下图所示  
图表30桥接网络接口选择  
可以将某几个网卡(装置共有7个网卡可以使用)加入到一个虚拟网卡中,点击确  
认保存之后,虚拟网卡的名字就即可在以后的配置中使用。例如在配置网络信息时可以  
为虚拟网卡设置相应的网络地址信息。在网络配置界面中将网络接口设成BRIDGE,接纵向加密认证网关NetKeeper-2000用户手册  
-27-  
口描述为虚拟网卡的名称,配置后的界面如下图所示。  
图表31桥接配置信息  
3.4.8MAC地址绑定  
在网络管理中,IP地址盗用现象经常发生,不仅对网络的正常使用造成影响,同  
时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和  
潜在的安全隐患。为了防止IP地址被盗用,可以在代理服务器端分配IP地址时,把IP  
地址与网卡地址进行捆绑。  
MAC地址绑定模块用于实现将具体的通信地址和网卡绑定,只允许相应的mac地  
址的网卡使用某个IP地址和外界通信,如果更换网卡就必须重新进行相应的配置。  
具体配置如下:  
点击规则配置“ARP绑定”进入MAC绑定的主操作界面,界面中有IP地址和MAC  
地址选项,IP地址中填入相应地址,MAC地址中填入路由接口的地址实现ARP绑定.
版权所有:南瑞纵向加密装置 转载请注明出处
云南11选5开奖结果 云南11选5走势图 云南11选5走势图 彩牛彩票平台 云南11选5走势图 云南11选5遗漏 云南11选5走势图 云南11选5走势图 云南11选5免费计划软件 云南11选5走势图