纵向加密认证装置培训课件.ppt

二代纵向加密认证装置培训,目录,二代纵向加密认证装置简介 设计目的 产品概述 功能特点装置安装及使用 本地管理 系统初始化 装置配置,目 录,目录,工程实施典型拓扑环境案例双机热备-负载均衡 常见问题及解决办法,目 录,二代纵向加密认证装置简介,电力系统二次系统安全防护的目标 抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击，尤其是集团式攻击，重点保护电力实时闭环监控系统及电力调度数据网络的安全。防止由此引起电力系统事故，保证国家重要基础设施的安全。,设计目的,二代纵向加密认证装置简介,产品设计目标 装置满足二次系统安全防护要求装置严格安装电力系统专用纵向加密认证装置技术规范 设计装置之间互连互通装置能与符合电力系统专用纵向加密认证装置技术规范 的装置互通装置可管理装置能接受本地终端和装置管理系统的管理,设计目的,二代纵向加密认证装置简介,产品组成纵向加密认证装置：位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，用于安全区I/II的广域网边界保护，可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。本地管理终端：提供给操作员在当地对装置进行设置及管理的计算机终端系统。调度证书服务系统（CA）：为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务，以解决网络应用中的机密性、完整性、不可否认性等安全问题。该系统由北京电力科学院开发完成。管理中心系统：位于电力调度中心，完成对所辖的多厂商的装置进行统一管理的计算机系统。,产品概述,二代纵向加密认证装置简介,产品硬件平台介绍卫士通百兆纵向加密认证装置-前面板,产品概述,二代纵向加密认证装置简介,产品硬件平台介绍卫士通百兆纵向加密认证装置-后面板A: 1个毁钥按键 N：1个复位开关B: 1个旁路按键 M: 1个机箱锁(C520L-1)C: 1个初始化按键D: 1个控制口E: 1个RJ45网口-配置F: 1个RJ45网口-心跳G: 1个RJ45网口-外网H: 1个RJ45网口-内网O: 2个交流电源输入及开关，交流输入参数：AC 220V/50Hz,产品概述,二代纵向加密认证装置简介,产品硬件平台介绍卫士通千兆纵向加密认证装置-前面板,产品概述,二代纵向加密认证装置简介,产品硬件平台介绍卫士通千兆纵向加密认证装置-后面板 A B C D E F G H IB: 1个控制口C: USB口 I: 扩展槽D: 1个RJ45网口-配置E: 1个RJ45网口-扩展F: 1个RJ45网口-心跳G: 1个RJ45网口-外网H: 1个RJ45网口-内网A: 2个交流电源输入及开关，交流输入参数：AC 220V/50Hz,产品概述,二代纵向加密认证装置简介,产品体系设计 纵向加密认证装置主要由VPN报文处理模块、加密卡驱动模块、IP报文过滤模块、密钥协商模块、网络管理维护模块、双机冗余/热备模块六大部分组成。,产品概述,二代纵向加密认证装置简介,安全隧道：在两台网络密码机之间建立一条虚拟的安全隧道，用户数据通过密码机建立的安全隧道进行安全的网络传输。数据包加密：除了对原有IP包进行封装外，还要对原有IP包（包括用户数据、TCP/UDP协议头、IP包头）进行加密，保障数据在网络上传输的机密性。设备和管理员身份认证：设备之间支持X.509证书认证，管理员采用IC卡、证书、口令三重认证机制。访问控制：支持基于IP地址、协议、端口的网络访问控制，并与加密机制分离，独立工作。双机热备份：保障重要节点网络的可靠性。,功能特点,二代纵向加密认证装置简介,网络地址借用：支持无网络地址的工作模式，借用其它网络设备的网络地址进行密钥协商和加解密。硬旁路：千兆断电后，内外网口自动连通实现旁路功能。二代百兆正常工作时，通过硬旁路开关使内外网口连通实现旁路。开壳毁钥：防止非法用户窃取加密机密钥。本地软件升级：利用本地管理软件对加密机进行软件更新。灾难恢复：保障用户更换新设备后，达到与原有设备参数配置完全相同的目的，无需重新生成设备私钥。,功能特点,二代纵向加密认证装置简介,装置安装及使用,设备连接 本地管理软件安装在用户管理PC机上，通过PC网口与纵向加密认证装置的配置口进行连接和通信，如下图演示：,本地管理,装置安装及使用,管理器登录 启动纵向加密装置管理软件，出现软件主界面（初始化完成 后）,从登录框输入默认用户名：Admin 密码：11111111,登录管 理配置。,本地管理,装置安装及使用,输入正确的用户名、口令，登录成功后进入配置界面,本地管理,装置安装及使用,证书概述 装置在初始化过程中，导出证书请求时会调用非对称算法生成公私钥对。私钥存放在加密卡或管理员卡中，公钥存放于证书请求文件中。 生成的证书请求文件通过证书签发中心的审核、签发，生成相应的数字证书。,系统初始化,装置安装及使用,证书分类 操作员证书 用于管理员和纵向加密认证装置的人机卡认证。 设备证书 用于装置之间认证和密钥协商，一台装置只能有一个设备证书。,系统初始化,装置安装及使用,初始化实例演示导出设备正式请求,系统初始化,装置安装及使用,初始化实例演示导出操作员卡证书,系统初始化,装置安装及使用,初始化实例演示导入根证书,系统初始化,装置安装及使用,初始化实例演示导入设备证书,系统初始化,装置安装及使用,初始化实例演示导入操作员证书,系统初始化,装置安装及使用,初始化实例演示灾难恢复 当用户必须更换新设备时，可通过灾难恢复的方式将原有设备中所有配置信息导入新设备中，达到与原有设备参数配置完全相同的目的。 灾难恢复时的新设备需沿用原有设备的IC卡，导入的恢复文件为原有设备的备份文件。,系统初始化,装置安装及使用,网桥设置 纵向加密认证装置通过透明桥的方式接入用户环境中，将内、外网口划在同一个桥下即可实现桥模式。,网络配置管理,装置安装及使用,VLAN设置 根据用户实际使用的网络结构，可能需要对纵向加密认证装置配置VLAN 。,网络配置管理,装置安装及使用,网络地址设置在实际的配置中，需要对纵向加密认证装置的内外接口配置IP地址以便和内外网进行通信，内外接口可以添加在一个桥下，也可以分别为不同网段，根据用户具体需要进行配置。,网络配置管理,装置安装及使用,路由设置 包括有默认网关、子网路由及主机路由的设置。实例为添加子网路由,网络配置管理,装置安装及使用,ARP设置为接口IP地址绑定 MAC地址。,网络配置管理,装置安装及使用,根证书用于对根证书的管理,证书管理,装置安装及使用,远端设备证书 远程设备证书为对端通信设备的证书，本地加密认证装置需要导入远端设备产生的证书(包含远端设备的公钥)，用于装置通信时证书认证。,证书管理,装置安装及使用,远端管理证书 管理中心集中管理时，本地认证装置需要导入远程管理中心的证书，用于远程管理通信时的证书认证。,证书管理,装置安装及使用,隧道及安全策略管理隧道为纵向加密认证装置之间安全传输数据的通道,安全策略管理,装置安装及使用,隧道及安全策略管理 安全策略用于实现具体通信策略与加密隧道的关联以及数据报文的综合过滤。,安全策略管理,装置安装及使用,VPN安全策略管理 VPN安全策略与隧道及安全策略管理模块中的策略管理一致，单独设置模块更加便于对安全策略进行管理。,安全策略管理,装置安装及使用,IP报文过滤策略管理IP报文过滤为扩展功能，用于过滤通信数据包，可以通过源地址、目的地址、协议、源端口、目的端口等方式过滤数据包。,安全策略管理,装置安装及使用,软件升级软件升级功能用于后期维护时，对纵向加密认证装置进行升级，完成系统软件更新。软件升级需要导入由本公司发放给用户的特定升级文件（.wpk格式）,设置管理,装置安装及使用,配置备份配置备份功能用于将纵向加密认证装置的配置信息备份至本地管理PC。,设置管理,装置安装及使用,配置恢复当用户配置错误或操作不当时，希望恢复以前配置信息，“配置恢复”功能就可用于将备份的配置信息恢复到设备中。,设置管理,装置安装及使用,恢复出厂配置 恢复出厂配置功能用于将设备恢复到初始化前的状态，故用户执行此操作应慎重。,设置管理,装置安装及使用,设备重启用户输入正确口令确认后重启,设置管理,装置安装及使用,设备参数设置设备参数设置中可以对密钥协商、日志服务器等参数进行设置。,设置管理,装置安装及使用,设置时钟时钟设置用于修改纵向加密认证装置的系统时间,设置管理,装置安装及使用,设置诊断模式诊断模式为通过SSH方式登录纵向加密认证装置，默认为开启状态，用户如有需要可以开启/关闭该功能,设置管理,装置安装及使用,装置信息装置信息中显示设备名称、IP、类型、版本等参数信息。,设备信息查询,装置安装及使用,设备通信状态通过装置通信状态，用户能够获取纵向加密认证装置当前的通信数据状态信息。,设备信息查询,装置安装及使用,设备运行状态通过装置运行状态，用户能够获取纵向加密认证装置当前的CPU使用率、内存等状态信息。,设备信息查询,装置安装及使用,为了用户能够更加安全、可靠地管理加密设备，管理员实现“三权分立”即用户角色分为系统管理员、配置管理员和审计管理员，这3类角色分别有各自权限，用户可以根据实际需求建立管理员。 当连续5次登录失败，则用户被锁定。,账户管理,装置安装及使用,日志管理主要用于用户进行日志审计，日志信息中包含人员操作日志系统信息日志、通信信息日志以及异常日志，日志信息可以以文本（.txt）格式导出保存。,日志管理,装置安装及使用,配置界面如下：双机默认为关闭状态。,双机热备配置管理,装置安装及使用,需要开启双机热备功能，只需点击“启用双机服务”，选中后方可对双机参数进行设置，具体操作界面如下图所示：选中“启用双机服务”后，便可进行详细设置，并在“保存设置”后，开启双机服务。,双机热备配置管理,装置安装及使用,主备机数据状态：只有在“启用虚拟IP”后，才会显示主备机数据是否一致。,双机热备配置管理,装置安装及使用,本端心跳口IP：在“网络地址设置”中设置了心跳口IP地址后，便可在此处选择“本端心跳口IP”，点击 按钮进行选择。,双机热备配置管理,装置安装及使用,本端备用心跳口IP：在“网络地址设置”中，为任意通信接口设置了IP地址后，可在此处选择“本端备用心跳口IP”，点击 按钮进行选择。当心跳口失效后，备用心跳口接替其工作。,双机热备配置管理,装置安装及使用,对端心跳信息设置：根据备机的心跳口、备用心跳口的配置，在此处填入相应的信息。,双机热备配置管理,装置安装及使用,启用虚拟IP：“启用虚拟IP”后，纵向加密认证装置需要使用该虚拟IP建立隧道。不“启用虚拟IP”，其他纵向加密认证装置与双机建立隧道时，“目的地址”填入主机IP地址，“备用目的地址”填入备机IP地址。,双机热备配置管理,装置安装及使用,Ping指定IP：设置了“Ping指定IP”后，当该IP地址不可达时，判定为该链路断开，则触发主备切换。,双机热备配置管理,装置安装及使用,保存设置：当配置完成后，点击“保存设置”，双机热备功能才能生效。,双机热备配置管理,装置安装及使用,双机数据同步：“双机数据同步”功能只有在“启用虚拟IP”功能后生效。“从本端双机对端”表示将本端数据同步到对端设备，同步成功后，对端重启。“从双机对端本端”表示从对端设备获取数据到本端，同步成功后，本端重启。,双机热备配置管理,装置安装及使用,工程实施典型拓扑环境案例,纵向加密认证装置在网络环境中做双机冗余时，对端设备只需与冗余地址建立隧道即可。模拟拓扑图如下：,双机热备-负载均衡,工程实施典型拓扑环境案例,SJW77-1（主机）配置信息：网络地址设置：网桥的成员由内网口、外网口构成。IP地址大的纵向加密认证装置为主机。,双机热备-负载均衡,工程实施典型拓扑环境案例,路由设置：缺省网关，保证能够与其他网段的设备正确通信。,双机热备-负载均衡,工程实施典型拓扑环境案例,绑定远端设备证书：导入对端纵向加密认证装置的设备证书，并绑定其IP地址，确保密钥协商的正确性。,双机热备-负载均衡,工程实施典型拓扑环境案例,双机配置信息：根据模拟拓扑图进行相应的配置，并保存设置。“双机数据同步”在所有配置完成后执行。,双机热备-负载均衡,工程实施典型拓扑环境案例,添加隧道：此处需要注意的是，隧道的源IP为虚拟IP 。,双机热备-负载均衡,工程实施典型拓扑环境案例,添加规则：根据模拟拓扑图，设置需要保护的IP地址。,双机热备-负载均衡,工程实施典型拓扑环境案例,SJW77-2（备机）配置信息：网络地址设置：路由设置,双机热备-负载均衡,工程实施典型拓扑环境案例,双机配置信息：,双机热备-负载均衡,工程实施典型拓扑环境案例,数据同步：该步骤在主机上执行“从本端双机对端” ，或在备机上执行“从双机对端本端”。数据同步将主机的证书、隧道、规则同步到备机上，同步成功后，备机重启。,双机热备-负载均衡,工程实施典型拓扑环境案例,SJW77-3（对端机）配置信息：网络地址设置：路由设置,双机热备-负载均衡,工程实施典型拓扑环境案例,绑定远端设备证书：添加隧道,双机热备-负载均衡,工程实施典型拓扑环境案例,添加规则：注意事项：冗余端的主备机视为一台设备，对端设备只需知晓虚拟地址即可。备机无需导入远端设备证书，也不需要添加隧道与规则，在双机配置界面，使用配置信息同步功能，便可从主机上获取以上配置信息。同步成功后，备机自动重启，备机的私钥也将会被主机的私钥替换。心跳口IP地址大的纵向加密认证装置为主机。主备机之间会同步隧道状态与会话密钥。,双机热备-负载均衡,工程实施典型拓扑环境案例,常见问题及解决办法,接入加密装置后受保护子网之间不通 网络本身问题。有时候用户网络本身就不通，这时候可以通过分段ping、抓包分析、tracert(路由追踪)等方法，或者将本地和对端设备都置为旁路，来查看网络是否可达。 密钥不一致。有时候在需要通信的两台加密装置之间密钥可能出现不一致，导致加解密错误。解决这个问题可以采取两个办法：利用界面的手动密钥协商功能重新发起协商； 隧道策略配置错误，管理员需要保证安全策略的配置正确无误。 密钥协商失败。到对端加密设备的网络不可达；或者证书绑定的IP 地址有误；或者设备加密卡本身问题。,网络,常见问题及解决办法,接入加密装置后受保护子网之间明通隧道策略添加有误。添加的隧道策略没有包含受保护子网的IP地址。 以上这些为常见问题，在用户环境中可能会碰到很多特殊情况，技术人员可以结合日志信息来分析可能出现故障的原因。,网络,常见问题及解决办法,谢 谢,成都卫士通信息产业股份有限公司,