《纵向加密认证装置培训幻灯片课件》由会员分享,可在线阅读,更多相关《纵向加密认证装置培训幻灯片课件(79页珍藏版)》请在金锄头文库上搜索。
1、二代纵向加密认证装置培训,目录,二代纵向加密认证装置简介 设计目的 产品概述 功能特点 装置安装及使用 本地管理 系统初始化 装置配置,目 录,目录,工程实施典型拓扑环境案例 双机热备-负载均衡 常见问题及解决办法,目 录,二代纵向加密认证装置简介,电力系统二次系统安全防护的目标 抵御病毒、黑客等通过各种形式发起的恶意破坏和攻击,尤其是集团式攻击,重点保护电力实时闭环监控系统及电力调度数据网络的安全。防止由此引起电力系统事故,保证国家重要基础设施的安全。,设计目的,二代纵向加密认证装置简介,产品设计目标 装置满足二次系统安全防护要求 装置严格安装电力系统专用纵向加密认证装置技术规范 设计 装置
2、之间互连互通 装置能与符合电力系统专用纵向加密认证装置技术规范 的装置互通 装置可管理 装置能接受本地终端和装置管理系统的管理,设计目的,二代纵向加密认证装置简介,产品组成 纵向加密认证装置:位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,用于安全区I/II的广域网边界保护,可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。 本地管理终端:提供给操作员在当地对装置进行设置及管理的计算机终端系统。 调度证书服务系统(CA):为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务,
3、以解决网络应用中的机密性、完整性、不可否认性等安全问题。该系统由北京电力科学院开发完成。 管理中心系统:位于电力调度中心,完成对所辖的多厂商的装置进行统一管理的计算机系统。,产品概述,二代纵向加密认证装置简介,产品硬件平台介绍 卫士通百兆纵向加密认证装置-前面板,产品概述,二代纵向加密认证装置简介,产品硬件平台介绍 卫士通百兆纵向加密认证装置-后面板 A: 1个毁钥按键 N:1个复位开关 B: 1个旁路按键 M: 1个机箱锁(C520L-1) C: 1个初始化按键 D: 1个控制口 E: 1个RJ45网口-配置 F: 1个RJ45网口-心跳 G: 1个RJ45网口-外网 H: 1个RJ45网口
4、-内网 O: 2个交流电源输入及开关,交流输入参数:AC 220V/50Hz,产品概述,二代纵向加密认证装置简介,产品硬件平台介绍 卫士通千兆纵向加密认证装置-前面板,产品概述,二代纵向加密认证装置简介,产品硬件平台介绍 卫士通千兆纵向加密认证装置-后面板 A B C D E F G H I B: 1个控制口 C: USB口 I: 扩展槽 D: 1个RJ45网口-配置 E: 1个RJ45网口-扩展 F: 1个RJ45网口-心跳 G: 1个RJ45网口-外网 H: 1个RJ45网口-内网 A: 2个交流电源输入及开关,交流输入参数:AC 220V/50Hz,产品概述,二代纵向加密认证装置简介,产
5、品体系设计 纵向加密认证装置主要由VPN报文处理模块、加密卡驱动模块、IP报文过滤模块、密钥协商模块、网络管理维护模块、双机冗余/热备模块六大部分组成。,产品概述,二代纵向加密认证装置简介,安全隧道:在两台网络密码机之间建立一条虚拟的安全隧道,用户数据通过密码机建立的安全隧道进行安全的网络传输。 数据包加密:除了对原有IP包进行封装外,还要对原有IP包(包括用户数据、TCP/UDP协议头、IP包头)进行加密,保障数据在网络上传输的机密性。 设备和管理员身份认证:设备之间支持X.509证书认证,管理员采用IC卡、证书、口令三重认证机制。 访问控制:支持基于IP地址、协议、端口的网络访问控制,并与
6、加密机制分离,独立工作。 双机热备份:保障重要节点网络的可靠性。,功能特点,二代纵向加密认证装置简介,网络地址借用:支持无网络地址的工作模式,借用其它网络设备的网络地址进行密钥协商和加解密。 硬旁路:千兆断电后,内外网口自动连通实现旁路功能。二代百兆正常工作时,通过硬旁路开关使内外网口连通实现旁路。 开壳毁钥:防止非法用户窃取加密机密钥。 本地软件升级:利用本地管理软件对加密机进行软件更新。 灾难恢复:保障用户更换新设备后,达到与原有设备参数配置完全相同的目的,无需重新生成设备私钥。,功能特点,二代纵向加密认证装置简介,装置安装及使用,设备连接 本地管理软件安装在用户管理PC机上,通过PC网口
7、与纵向加密认证装置的配置口进行连接和通信,如下图演示:,本地管理,装置安装及使用,管理器登录 启动纵向加密装置管理软件,出现软件主界面(初始化完成 后),从登录框输入默认用户名:Admin 密码:11111111,登录管 理配置。,本地管理,装置安装及使用,输入正确的用户名、口令,登录成功后进入配置界面,本地管理,装置安装及使用,证书概述 装置在初始化过程中,导出证书请求时会调用非对称算法生成公私钥对。私钥存放在加密卡或管理员卡中,公钥存放于证书请求文件中。 生成的证书请求文件通过证书签发中心的审核、签发,生成相应的数字证书。,系统初始化,装置安装及使用,证书分类 操作员证书 用于管理员和纵向
8、加密认证装置的人机卡认证。 设备证书 用于装置之间认证和密钥协商,一台装置只能有一个设备证书。,系统初始化,装置安装及使用,初始化实例演示 导出设备正式请求,系统初始化,装置安装及使用,初始化实例演示 导出操作员卡证书,系统初始化,装置安装及使用,初始化实例演示 导入根证书,系统初始化,装置安装及使用,初始化实例演示 导入设备证书,系统初始化,装置安装及使用,初始化实例演示 导入操作员证书,系统初始化,装置安装及使用,初始化实例演示 灾难恢复 当用户必须更换新 设备时,可通过灾难恢 复的方式将原有设备中 所有配置信息导入新设 备中,达到与原有设备 参数配置完全相同的目 的。 灾难恢复时的新设
9、备需沿用原有设备的IC 卡,导入的恢复文件为 原有设备的备份文件。,系统初始化,装置安装及使用,网桥设置 纵向加密认证装置通过透明桥的方式接入用户环境中,将内、外网口划在同一个桥下即可实现桥模式。,网络配置管理,装置安装及使用,VLAN设置 根据用户实际使用的网络结构,可能需要对纵向加密认证装置配置VLAN 。,网络配置管理,装置安装及使用,网络地址设置 在实际的配置中,需要对纵向加密认证装置的内外接口配置IP地址以便和内外网进行通信,内外接口可以添加在一个桥下,也可以分别为不同网段,根据用户具体需要进行配置。,网络配置管理,装置安装及使用,路由设置 包括有默认网关、子网路由及主机路由的设置。
10、实例为添加子网路由,网络配置管理,装置安装及使用,ARP设置 为接口IP地址绑定 MAC地址。,网络配置管理,装置安装及使用,根证书 用于对根证书的管理,证书管理,装置安装及使用,远端设备证书 远程设备证书为对端通信设备的证书,本地加密认证装置需要导入远端设备产生的证书(包含远端设备的公钥),用于装置通信时证书认证。,证书管理,装置安装及使用,远端管理证书 管理中心集中管理时, 本地认证装置需要导入远 程管理中心的证书,用于 远程管理通信时的证书认 证。,证书管理,装置安装及使用,隧道及安全策略管理 隧道为纵向加密认证装置之间安全传输数据的通道,安全策略管理,装置安装及使用,隧道及安全策略管理
11、 安全策略用于实现具体通信策略与加密隧道的关联以及数据报文的综合过滤。,安全策略管理,装置安装及使用,VPN安全策略管理 VPN安全策略与隧道及安全策略管理模块中的策略管理一致,单独设置模块更加便于对安全策略进行管理。,安全策略管理,装置安装及使用,IP报文过滤策略管理 IP报文过滤为扩展功能,用于过滤通信数据包,可以通过源地址、目的地址、协议、源端口、目的端口等方式过滤数据包。,安全策略管理,装置安装及使用,软件升级 软件升级功能用于后期维护时,对纵向加密认证装置进行升级,完成系统软件更新。软件升级需要导入由本公司发放给用户的特定升级文件(.wpk格式),设置管理,装置安装及使用,配置备份
12、配置备份功能用于将纵向加密认证装置的配置信息备份至本地管理PC。,设置管理,装置安装及使用,配置恢复 当用户配置错误或操作不当时,希望恢复以前配置信息,“配置恢复”功能就可用于将备份的配置信息恢复到设备中。,设置管理,装置安装及使用,恢复出厂配置 恢复出厂配置功能用于将设备恢复到初始化前的状态,故用户执行此操作应慎重。,设置管理,装置安装及使用,设备重启 用户输入正确口令确认后重启,设置管理,装置安装及使用,设备参数设置 设备参数设置中可以对密钥协商、日志服务器等参数进行设置。,设置管理,装置安装及使用,设置时钟 时钟设置用于修改纵向加密认证装置的系统时间,设置管理,装置安装及使用,设置诊断模
13、式 诊断模式为通过SSH方式登录纵向加密认证装置,默认为开启状态,用户如有需要可以开启/关闭该功能,设置管理,装置安装及使用,装置信息 装置信息中显示设备名称、IP、类型、版本等参数信息。,设备信息查询,装置安装及使用,设备通信状态 通过装置通信状态,用户能够获取纵向加密认证装置当前的通信数据状态信息。,设备信息查询,装置安装及使用,设备运行状态 通过装置运行状态,用户能够获取纵向加密认证装置当前的CPU使用率、内存等状态信息。,设备信息查询,装置安装及使用,为了用户能够更加安全、可靠地管理加密设备,管理员实现“三权分立”即用户角色分为系统管理员、配置管理员和审计管理员,这3类角色分别有各自权
14、限,用户可以根据实际需求建立管理员。 当连续5次登录失败,则用户被锁定。,账户管理,装置安装及使用,日志管理主要用于用户进行日志审计,日志信息中包含人员操作日志系统信息日志、通信信息日志以及异常日志,日志信息可以以文本(.txt)格式导出保存。,日志管理,装置安装及使用,配置界面如下: 双机默认为关闭状态。,双机热备配置管理,装置安装及使用,需要开启双机热备功能,只需点击“启用双机服务”,选中后方可对双机参数进行设置,具体操作界面如下图所示: 选中“启用双机服务”后,便可进行详细设置,并在“保存设置”后,开启双机服务。,双机热备配置管理,装置安装及使用,主备机数据状态: 只有在“启用虚拟IP”
15、后,才会显示主备机数据是否一致。,双机热备配置管理,装置安装及使用,本端心跳口IP: 在“网络地址设置”中设置了心跳口IP地址后,便可在此处选择“本端心跳口IP”,点击 按钮进行选择。,双机热备配置管理,装置安装及使用,本端备用心跳口IP: 在“网络地址设置”中,为任意通信接口设置了IP地址后,可在此处选择“本端备用心跳口IP”,点击 按钮进行选择。 当心跳口失效后,备用心跳口接替其工作。,双机热备配置管理,装置安装及使用,对端心跳信息设置: 根据备机的心跳口、备用心跳口的配置,在此处填入相应的信息。,双机热备配置管理,装置安装及使用,启用虚拟IP: “启用虚拟IP”后,纵向加密认证装置需要使
16、用该虚拟IP建立隧道。 不“启用虚拟IP”,其他纵向加密认证装置与双机建立隧道时,“目的地址”填入主机IP地址,“备用目的地址”填入备机IP地址。,双机热备配置管理,装置安装及使用,Ping指定IP: 设置了“Ping指定IP”后,当该IP地址不可达时,判定为该链路断开,则触发主备切换。,双机热备配置管理,装置安装及使用,保存设置: 当配置完成后,点击“保存设置”,双机热备功能才能生效。,双机热备配置管理,装置安装及使用,双机数据同步: “双机数据同步”功能只有在“启用虚拟IP”功能后生效。 “从本端双机对端”表示将本端数据同步到对端设备,同步成功后,对端重启。 “从双机对端本端”表示从对端设备获取数据到本端,同步成功后,本端重启。,双机热备配置管理,装置安装及使用,工程实施典型拓扑环境案例,纵向加密认证装置在网络环境中做双机冗余时,对端设备只需与冗余地址建立隧道即可。模拟拓扑图如下:,双机热备-负载均衡,工程实施典型拓扑环境案例,SJW77-1(主机)配置
