横向隔离设备培训资料ppt课件.ppt

《横向隔离设备培训资料ppt课件.ppt》由会员分享，可在线阅读，更多相关《横向隔离设备培训资料ppt课件.ppt（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司网络安全隔离装置技术培训北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司电力二次系统安全防护总体策略 安全分区安全分区 ：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。网络专用网络专用 ：建立调度专用数据网络，实现与其它数据网络物理隔离，并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。横向隔离横向隔离 ：采用不同强度的安全隔离设备使各安全区中的业务

2、系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。纵向认证纵向认证 ：采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。 北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司下级调度下级调度/控制中心控制中心上级信息中心上级信息中心下级信息中心下级信息中心实时VPN SPDnet 非实时VPNIP认证加密装置安全区安全区I(实时控制区实时控制区)安全区安全区II(非控制生产区非控制生产区)安全区安全区III(生产管理区生产管理区)安全区安全区IV(管理信息区管理信息区)外部公共因特网生产VPN SPTn

3、et 管理VPN防火墙防火墙IP认证加密装置IP认证加密装置IP认证加密装置防火墙防火墙安全区安全区I(实时控制区实时控制区) 防火墙安全区安全区II(非控制生产区非控制生产区)安全区安全区III(生产管理区生产管理区) 防火墙 防火墙安全区安全区IV(管理信息区管理信息区)专线正向专用安全隔离装置反向专用安全隔离装置正向专用安全隔离装置反向专用安全隔离装置 防火墙 防火墙 防火墙电网二次系统安全防护总体示意图北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司专用安全隔离装置n 电力专用安全隔离装置作为安全区I/II与安全区III的必备边界，要求具有最高最高的安全防护强度，是安全

4、区I/II横向横向防护的要点。n 安全隔离装置（正向）用于安全区I/II到安全区III的单向单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。安全隔离装置的部署：安全隔离装置的部署： 安全区 I/II安全区 III应用网关应用网关安全隔离装置（正向）安全隔离装置（反向）北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司正向隔离装置的硬件结构及网络连接专用隔离设备专用隔离设备实时网络实时网络（内网）（内网）非实时网络非实时网络（外网）（外网）处理处理器器A处理处理器器BTCP/IPTCP/IP通断开关通断开关非网非网内外网不同时接通 具有物理隔离能力

5、的硬件结构硬件数据流向控制多级过滤的立体访问控制非INTEL的RISC处理器，专门裁剪的LINUX内核支持实时报警北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司正向隔离装置的功能要求 实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通； 单Bit返回，即返回数据为1个字节，且必须是0 x00或0 xFF； 透明工作方式，虚拟主机IP地址、隐藏MAC地址； 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制； 支持NAT； 防止穿透性TCP连接：禁止内网、外网的两个应用网关之间直接建立TCP连接，应将内外两个应用

6、网关之间的TCP连接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许以物理方式实现数据数据单向传输；北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司反向隔离装置的工作过程安全区III内的数据发送端首先对需发送的数据签名，然后发给反向型专用隔离装置；专用隔离装置接收数据后，进行签名验证，并对数据进行内容过滤、有效性检查等处理；将处理过的数据转发给安全区I/II内部的接收程序。I/II区区区区唯一途径应满足正向隔离装置的所有基本功能北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司示例分析新增的

7、虚拟IP地址不能在本侧有相同的地址存在，会产生IP冲突。北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司示例分析：正向数据流程主机A主机B流程：192.168.1.1-192.168.2.1主机A发送目的地址为192.168.1.2ARP请求，谁有192.168.1.2的MAC地址，请告诉192.168.1.1正向隔离内网侧ARP应答， 192.168.1.2的MAC是MAC3-1。MAC3-1MAC3-1MAC1-1MAC1-1IP3IP3IP1IP1TCPTCP数据数据主机A发送IP数据包至正向隔离装置内网侧目的MAC源MAC目的IP源IP协议北京科东电力控制系统有限责任公

8、司北京科东电力控制系统有限责任公司示例分析：正向数据流程正向隔离装置接收IP数据包，并进行过滤，基于。若不合法，丢弃；若合法则重新填写IP及MAC。目的MAC源MAC目的IP源IP协议MAC2-1MAC2-1MAC3-1MAC3-1IP2IP2IP4IP4TCPTCP数据数据正向隔离外网侧发送IP数据包至主机B北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司管理工具Windows软件 xp/win7/win8系统默认登录名 :root口 令:111111波特率 :115200（千兆正向/百兆正向大设备）:19200（百兆正向/百兆反向）主界面正向：正向：Private侧侧Con

9、sole口口反向：反向：Public侧侧Console口口北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司规则配置菜单规则配置规则管理规则名称规则名称：每条记录不能相同方向选择方向选择：从内到外(正向)/从外到内(反向)协议协议：TCP/UDP，新版反向仅支持UDP控制类型控制类型：SYN连接（TCP），数据流向内网计算机信息内网计算机信息：内网侧主机信息。外网计算机信息外网计算机信息：外网侧主机信息。IPIP地址地址：主机IP地址内网虚拟内网虚拟IPIP：主机IP在另一侧所对应的IP地址信息。MACMAC地址地址：主机IP的MAC地址。端口号端口号：0代表所有。网口网口：1对

10、应eth0，2对应eth1IPIP与与MACMAC地址绑定地址绑定：针对1个IP多个MAC的情况。备份恢复读取写入添加复制修改删除重启生效北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司反向管理配置菜单设备配置设备基本配置协商协商IPIP：用于反向隔离装置与配套发送端软件之间的协商，与纵向协商IP类似。网口网口：对应Public侧eth0口。网口网口：对应Public侧eth1口。加密模式加密模式：默认软件加密。配置填写完成，点击“写入”，重启生效。北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司菜单规则配置发送端证书管理反向管理配置发送端发送端IPIP：配套发

11、送端软件的主机IP地址。证书证书：配套发送端软件的证书。菜单规则配置设备密钥数据管理生成删除备份恢复导出恢复公私钥对公私钥对公钥公钥证书证书先生成“公私钥对”，再导出“公钥证书”。北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司正向传输软件Windows： 双击快捷方式Windows/Linux：1.进入主程序目录进入主程序目录2.通过java jar命令执行相应jar包。例如：java jar StoneWall-send.jarJava: 支持跨平台注意事项:传输软件包括两部分，发送端软件和接收端软件，两者是配套使用的。具备具备JAVAJAVA环境环境北京科东电力控制系统有

12、限责任公司北京科东电力控制系统有限责任公司从本地资源中选中要发送的文件夹或文件，点击右键及发送发送正向传输软件目的IP地址：目的主机在本侧的虚拟地址。目的端口号：默认7777，与接收端端口一致。目的文件夹：目的主机的存储目录，且接收端必须有读写该文件夹的权限。文件是否备份：备份是指对已发送的文件进行备份。发送模式： “立即发送”，只发送一次；“立即发送并作增量检查”，实时检查文件夹是否有内容更新，如果有则立即发送。“高级”中还支持指定周期时间及定时发送等功能。文件发送成功后会自动清除该文件。平台类型：“Same Platform”、“Windows to Unix”、“Unix to Wind

13、ows”。北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司反向传输软件反向传输软件初次运行，需要配置一下JAVA环境。如果是Windows，可以执行jreUpdate.exe如果不生效或Linux下，确认Java安装路径。复制到jre/lib/ext目录下。替换到jre/lib/security目录下。手动修改北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司反向传输软件首次登录，生成密钥需要输入保护口令建议与操作员初始密码一致。（12345678）进入登录界面，输入密码后登录进入登录界面，输入密码后登录操作员的密码：初始密码为12345678密钥保护口令：与中输

14、入的保护口令一致。登录后，与主界面一致登录后，与主界面一致。北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司反向传输软件导出发送端软件公钥，用于隔导出发送端软件公钥，用于隔离装置配置。离装置配置。协商IP地址：反向隔离装置基本配置中的协商地址。协商端口：4558，勿动。隔离设备证书：反向隔离设备生成的证书。目的IP地址：内网接收端IP。目的端口：7777，与接收端监听端口一致。使用隧道：选择到达接收端途径的隧道。北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司反向传输软件目的文件夹：目的主机的存储目录，且接收端必须有读写该文件夹的权限。链路配置信息：选择到达接收

15、端可以使用的链路信息。发送端软件会根据链路信息，选择当前最优的链路进行传输。不符合发送条件文件备份：备份是指对不合法发送条件文件进行备份。不符合发送条件指二进制文件、非E语言格式文本文件。文件是否备份：备份是指对已发送的文件进行备份。北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司常见问题1、界面中文无法显示（常出现在Linux系统下）解决办法：从Windows系统下c:/windows/fonts目录下找到simsun.ttc文件，拷贝至Linux系统下jre/lib/fonts目录下2、传输软件无界面启动。（常出现在Linux系统下）解决办法：图形界面下调试可正常传输。修改

16、配置文件，位于主程序目录config文件夹下。链路隧道配置密钥用户Setting.txttrue，启用界面false，不启用界面如果保护口令忘记，删除stonewall.p12文件。北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司常见问题3、网络异常。解决办法：tcpdump命令。源IP目的IP源MAC目的MAC内网侧抓包，确定源MAC是否匹配，是否有双方向数据包。外网侧抓包，确定目的MAC是否匹配，是否有双方向数据包。IP地址冲突 防火墙 地址漂移 接收端未运行北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司常见问题E语言文本传输成功二进制文本/文本文件传输失

17、败E语言文本校验通过隧道建立成功隧道建立失败可能原因：1.发送端与隔离设备之间网络不通。2.隔离设备基本配置没有配置协商地址。3.隔离设备发送端证书管理未配置。3.发送端与隔离设备互导证书错误。接收第一帧数据的确认帧时,读取数据包出错 。可能原因：接收超时/版本不匹配。接收端无反应。可能原因：1.规则有问题。(通过tcpdump分析)2.网络有问题。（通过给隔离设备配地址，进行ping排查）3.IP地址冲突。（内网侧/外网侧是否有与虚拟IP地址相同的地址存在，通过ping/arp查看；网络中是否有其他隔离装置存在，其配置的虚拟地址是否与本隔离装置相同。）北京科东电力控制系统有限责任公司北京科东电力控制系统有限责任公司谢谢！