纵向加密认证装置
令狐文艳
用户手册
2013年 7月
目录
1概述 (4)
1.1编写目的 (4)
1.2阅读对象 (4)
1.3装置组成 (4)
1.4装置状态介绍 (4)
1.5部署阶段 (5)
2规划阶段 (1)
2.1 网络拓扑.................................. - 1 -2.2确定安装位置............................... - 1 -2.2 规划IP地址............................... - 2 -2.2调查安全需求............................... - 2 -3准备阶段.. (2)
3.1设备管理................................... - 2 -
3.1.1 设备连接 .............................. - 2 -
3.1.2 连接图 ................................ - 2 -
3.2设备初始化................................. - 3 -3.3配置装置策略............................... - 6 -
3.3.1 包过滤规则 ............................ - 6 -
3.3.2 本机IP配置 ........................... - 7 -
3.3.3 路由配置 .............................. - 7 -
3.3.4 隧道配置 .............................. - 7 -
3.3.5 隧道策略配置........................... - 8 -
3.2.6 添加隧道 .............................. - 8 -
3.2.7 添加隧道策略........................... - 9 -3.3装置管理.................................. - 10 -
3.3.1 系统加电 ............................. - 10 -
3.3.2 设备初始化 ........................... - 10 -
3.3.3 登录纵向装置.......................... - 10 -
3.3.4 设置工作模式.......................... - 10 -
3.3.5 事件配置 ............................. - 11 -
3.3.6 审计配置 ............................. - 11 -
3.3.7 安全管理 ............................. - 12 -
3.3.8 双机热备 ............................. - 12 -4实施阶段. (13)
4.1安装...................................... - 13 -4.2加电启动.................................. - 13 -4.3检查状态.................................. - 13 -
4.3.1 查看网卡状态.......................... - 13 -
4.3.2 查看装置状态.......................... - 13 -
4.3.3 察看监控信息.......................... - 14 -
4.3.4 调试工具 ............................. - 15 -
4.3.5 查看策略 ............................. - 15 -
4.3.6 检查装置加解密状态.................... - 15 -
4.3.7 检查数据通信是否正常.................. - 16 -4.4装置配置.................................. - 16 -
4.4.1 透明模式对通拓扑...................... - 16 -
4.4.2 导入对端装置证书...................... - 16 -
4.4.3 接口配置 ............................. - 16 -4.5 报警..................................... - 17 -
4.5.1开关.................................. - 17 -
4.5.2指示灯................................ - 17 -5调试和检验阶段. (18)
5.1《故障排查手册》.......................... - 18 -5.2维护阶段.................................. - 19 -6附录.. (20)
6.1《事件信息对应表》........................ - 20 -
1 概述
1.1编写目的
通过阅读本手册,用户可以掌握基本的装置配置及管理方法。通过一个装置部署案例,按流程简要的介绍装置系统的实施,使用及维护方法。
1.2阅读对象
本手册面向装置系统管理人员、维护人员、及项目实施工程师和产品售后工程师。
1.3装置组成
装置系统为C-S架构即客户端-服务器架构,用户使用客户端管理器通过配置串口对装置进行管理及配置。
1.4装置状态介绍
纵向装置共有两种工作状态:1 初始化状态;2 管理状态。
1 初始化状态
未导入本机相关证书及完成相关初始化操作的装置会进入到初始化状态,该状态下用户不能管理装置,只能进行相应的初始化操作,等装置完成初始化操作时,重启装置即可进入管
理状态。完成初始化操作的功能有
(1)生成装置装置证书请求;
(2)生成用户证书请求;
(3)初始化;
(4)导入CA证书;
(5)导入管理中心证书;
(6)导入设备证书;
(7)导入用户证书;
(8)导入对端装置证书;
经过上述8个操作步骤,完成设备初始化,重启设备;
2 管理状态
通过初始化装置操作之后,装置正常启动,此时系统中用户口令为dianli123@,登录之后用户可以验证、修改口令;管理配置策略。
1.5部署阶段
提示:装置的部署包括以下五个阶段:
规划阶段、准备阶段、实施阶段、调试和检验阶段、维护阶段。以下内容将为您介绍每个阶段的具体任务,和操作流程。
2 规划阶段
2.1 网络拓扑
网络拓扑实例:在图1-1中包括3个要部署装置的网点A、B、C。
A
B
图 1-1
2.2确定安装位置
装置安放于Quidway NE80 路由器,和S8016 路由交换机之间,采用双机热备拓扑,如图:1-2 每个网点两台装置同时工作。
图 1-2
2.2 规划IP地址
每台装置需要一个IP地址。
例如:
A节点装置分配:主10.0.0.3/24 ,备 10.0.0.4/24。
B节点装置分配:主10.0.1.3/24 ,备 10.0.1.4/24。
C节点装置分配:主10.0.2.3/24 ,备 10.0.3.4/24。
2.2调查安全需求
调查实际网络拓扑中每个节点的安全需求,和业务需求,IP地址范围等信息,做好汇总和记录。
3准备阶段
3.1设备管理
3.1.1 设备连接
1. 准备一台pc机,xp或win7系统。将DLCryptClient.exe管理器程序拷贝到pc机。
2. 设置PC机管理地址192.56.56.56。
3. 网线连接PC机和设备的管理口,在pc上ping 192.56.56.1,可ping 通设备。
4. 打开管理器,选择网口连接,点击连接,连接设备。
5. 使用登录密码dianli123@登录。
3.1.2 连接图
3.2设备初始化
管理器登录后:
(1)生成装置证书请求;
(2)生成用户证书请求;
(3)初始化;
(4)导入CA证书;
(5)导入管理中心证书;
(6)导入设备证书;
(7)导入用户证书;
(8)导入对端装置证书;
(9)重启装置;
(10)设置系统时间;
注意:以上步骤1-3在设备部署时完成。4-10用户可以重新进行。
其中步骤1、步骤2 “生成装置、用户请求文件”时要添入信息如下:
其中经过步骤1(生成装置证书请求)、步骤2(生成用户证书)之后必须马上进行步骤3(初始化)操作;进行步骤1、2、3的过程中不允许重启装置;其目的是为了保证密钥安全性。进行步骤3操作时界面信息如下:
其中步骤4-8均为向装置导入证书;先进行步骤4然后在进行步骤5-8的证书导入;
其中进行步骤4-7操作时界面信息如下:
其中进行步骤8操作时界面信息如下:
经过步骤1-8时,必须进行步骤9(重启装置)的操作;进过步骤9后进行步骤10(设置系统时间)操作,步骤10操作时界面信息如下:
3.3配置装置策略3.3.1 包过滤规则
3.3.2 本机IP配置
3.3.3 路由配置
3.3.4 隧道配置
本例中纵向装置1要建立到纵向装置2的隧道。
3.2.6 添加隧道
根据安全需要,添加加密通信隧道。
本例中纵向装置1到纵向装置2的隧道,指定的加密规则为:本端地址1.1.1.1/32 访问目标1.1.1.2/32 双向加密。
注意:
1.在为每台纵向装置添加隧道策略时,要保证规则中的IP 地址范围,不要重叠(即同样的数据包走不同的隧道),因为数据包匹配加密规则时只能匹配到位置靠前的一条。
2.隧道的加密规则只有在隧道工作模式为密通时有效,隧道工作模式为明通时将不对数据进行加密。
加解密过程:
当纵向装置1的内网口收到30.1.1.100/24->30.1.1.200/24的数据包时,会匹配加密规则,决定应该加密,加密后发往通道对端的纵向装置2。
当纵向装置2的外网口收到隧道中的数据包解密后,30.1.1.100/24->30.1.1.200/24将不再匹配加密规则。
如果纵向装置2的外网口收到了一个 1.1.1.200/24->1.1.1.100/24的数据包,将会匹配加密规则。
3.3装置管理
初始化设备之后系统进入管理状态;导入证书和配置策略后,
系统进入工作状态。
3.3.1 系统加电
接好电源,确定地线已接好,按开机按钮。
检查:各网口状态灯和前面板指示灯是否有故障
3.3.2 设备初始化
参看3.1章节。
3.3.3 登录装置
使用口令dianli123@登录纵向装置,完成校验。
3.3.4 设置工作模式
工作模式有安全,旁路(默认为安全,可以根据需要进行修改,建议使用安全模式)。
装置工作在旁路模式时会点亮旁路信号灯。
3.3.5 事件配置
用户可以在这里指定报警的条件和等级,也可以在这里停止正在进行的报警。
3.3.6 审计配置
用户可以在这里开启装置审计配置。
3.3.7 安全管理
对装置的策略配置、管理信息等进行备份、回复。
3.3.8 双机热备
4实施阶段
4.1安装
戴好防静电手环,将纵向装置上架后,连接好内网口和外网口的网线。
4.2加电启动
检查各指示灯状态,将笔记本串口连接到装置管理口,使用管理器登录:默认密码dianli123@。
4.3检查状态
4.3.1 查看网卡状态
使用审计员通过管理器-监控管理-策略-本机IP地址,察看网卡状态是否正确。
观察机箱上的数据指示灯是否正常工作,网卡接口灯是否正常工作。
4.3.2 查看装置状态
使用审计员登录纵向装置通过监控管理功能查看一下。
查看装置状态:加解密是否成功。
查看隧道状态:看隧道是否按设计规划建立成功,隧道优先
级是否正确。
图 1-22
4.3.3 察看监控信息
看监控策略功能是否正常启动,有无异常信息。
图 1-23
用户可以通过设置查询条件来,筛选日志信息:
日志类型有:人员操作,通信信息,系统信息。
用户可以将查询到的日志信息导出存为txt文件。
注意:日志信息保存在flash卡上,如果装置未插入flash
卡,则日志保存在内存中。
4.3.4 调试工具
测试网络是否畅通,IP地址是否正确等。
图 1-24
4.3.5 查看策略
用户可以通过管理器的策略管理修改策略,看策略是否正确应用。
图 1-26
4.3.6 检查装置加解密状态
通过监控管理的查看系统状态功能,检查加解密数据包的数量是否正确。