反向隔离设备配置过程9.docVIP

反向隔离设备 配置过程 （一进二出） 2011-12-20 准备工作：PC机安装stonewall管理工具，使用设备自带的console线连到设备的console口，使用U转串连接console线到PC机，确保PC可以连接到设备。 一、更新发送端和接收端java文件信息 1、找到java的安装目录：app/java/ jdk1.6.0-18/jre/lib/ext/，将bouncycastle.jar这个文件拷贝进来。 2、找到java的安装目录：app/java/jdk1.6.0-18/jre/lib/security/，将java.security这个覆盖掉原有文件即可。 注意：内网服务器和外网服务器都要更新。 二、管理工具安装及配置 使用串口线连接隔离设备public模块的console口，安装数据线驱动程序。 打开隔离设备管理工具 登录管理工具，用户名：root，密码：111111 ，串口号可以通过设备管理器查看com口的配置，波特率使用默认值 进入管理工具后“规则配置”“规则管理”，（内网和外网MAC地址最好提前记录在一张纸上，数字要看仔细，这是比较容易出错的地方）其他都按图中填写,修改完毕后点击确定按钮，写入规则文件，完成退出。（退出过程中，有时会出现程序崩溃的情况，重新执行本步骤） 在规则中得要加两条策略：要求内网的两台主机不能在一个网段（如：内网主机A为192.168.3.20，则内网主机B为192.168.4.10） 在管理工具中点击“设备配置”“设备基本配置”，修改网口协商IP，该IP要求和外网的实际IP在同一网段, 单击写入规则。 设置成功后点击“规则配置”---“设备密钥数据管理”点击：“生成设备证书文件”后点击“导出设备证书文件”，导出证书并保存geli.cer。 三、发送端设置 1、将隔离设备生成的geli.cer导入外网机的/opt/setupTools中备用 2、将发送端send路径下的文件拷贝到外网服务器tools/workspace/stoneWall目录下。执行sh stonewall_fan_send start，启动发送端程序。 3、将接收端receive路径下的文件拷贝到内网服务器tools/workspace/stoneWall目录下。执行sh stonewall_fan_receive start，启动接收端程序。 4、用户名：administrator,密码密钥若是第一次启动程序，需要初始化，选择是。 创建系统密钥。口令设 5、登录发送端，输入用户名和密码后，选择保存密码，自动登录。 6、配置加密隧道，“设定”“配置加密隧道”进入加密隧道配置。隔离设备IP地址应为管理工具中设定的协商IP地址，将生成的隔离设备证书geli.cer导入，保存。 7、导出发送端证书，“管理”“密钥管理”“导出密钥”密钥保护口令设为选择路径并命名为send.cer 8、完成后退出系统。会有提示需要重新启动发送端软件，点击“确定”。最后关闭发送端软件。 9、将send.cer导出到自己电脑上备用 四、配置隔离设备发送端证书管理 1、将刚刚导出的send.cer（发送端证书）写入隔离设备： 打开管理工具，“规则配置”“发送端证书管理”，填入发送端IP：192.168.2.5，导入发送端证书send.cer。保存证书。配置好后，重启隔离设备。 五、配置传送任务 1.、部署线路： 内网机eth0--------隔离设备的private的eth0 外网机eth0--------隔离设备的public的eth0 2、隔离设备上电 3、内网机上，开启接收端receive： 执行tools/workspace/stoneWall路径下：sh stonewall_fan_send start ，启动接收端程序。用户名：administrator,密码密钥4、外网机上，开启发送端send： 执行tools/workspace/stoneWall路径下：sh stonewall_fan_receive start，启动发送端程序。用户名：administrator,密码密钥 5、任务设定： tips： 1：向两台主机发送同一文件时，可以将发送给主机A的文件要选文件备份，再将备件的文件发到B主机上 2：如果是向两台主机发送不同的文件时，可以同时设定两条发送任务； 发送目录，选择文件，右击“发送”，出现传送任务对话框； “任务名称”处任意输入命名； “目的IP地址”处输入内网IP虚拟地址192.168.3.30； “目的端口号”为7777； “目的文件夹”为