科东反向隔离配置手册.docVIP

科东反向隔离配置说明 一、隔离装置配置 首先安装科东反向隔离程序管理工具4.6版本（见附件，光盘中附带的4.5版本不能使用） 另外，安装时注意如果360提示修改注册表等信息请点击“通过”，继续安装。 安装完毕后，点击图标，打开管理工具。 输入用户名和密码，默认的用户名为：root 密码是：111111 选择所连接的串口，通讯频率保持默认不变。 点击规则配置选择规则管理 删除默认的规则：点击原来的规则，点删除规则。 点击新加规则，输入规则名称，方向选择是：从外向内，协议选择TCP协议，控制类型选择SYN连接，（4.6版本默认UDP） 输入内网（接收方）IP地址和MAC地址， 虚拟IP为外网同网段没占用的IP地址， 输入外网（发送方）IP地址和MAC地址， 虚拟IP为内网同网段没占用的IP地址， （设置双方的虚拟IP是用NAT把不同网段的双方连接起来。） 设置完成后点击确定然后点击写入规则文件，然后点击完成退出。 输入完成后点击“确认”，再点击“完成退出”，重启设备即可将规则写入设备。 （注意：内网侧的端口号默认设为：7777） 另外请注意，在配置规则时需将IP和Mac地址绑定，必须填入Mac地址并将“IP和Mac地址绑定”选上。 发送端配置（一般配置于公网前置机） 由于反向隔离的传输是通过其设备自带的软件实现的，故需要配置发送端及接收端程序。 在配置发送端程序前，应查看当前机器的java版本（java -version），一般红帽子5.8的java为1.4版本，故附件中提供1.6版本的java，直接将其解压至/usr下即可（注意，需将.cshrc中的java路径更改：一般java14改为java16）。 在安装发送端软件之前还需打开之前的东反向隔离程序管理工具4.6版本，完成以下两步： 1、打开配置设置中的设备基本配置 为public的ETH0口设置一个虚拟IP（此IP必须同之后的“隧道的协商IP”一致），点击写入完成配置。选择一个三区同网段的地址 2、打开规则配置中设备密钥数据管理 单击生成设备密钥数据生成密钥， 单击导出设备证书文件，选择密钥的存放地，保存完成后（保存后生成一个.cer证书，此证书待会需导入发送端程序）即可退出管理工具。 现在开始进行发送端程序的相关配置： 可先在发送端服务器的bin下建立一目录（如fanxiangsend）,然后在附件“反向传输Linux程序”下找到“反向发送端setup（4.1.1）”，并将其下程序拷贝至刚创建的目录下。 在jreUpdate文件夹下运行： java -jar jreUpdate.jar （注意此处需要超户权限）对java打上补丁包 然后回到上一级目录，运行： Java -jar StoneWall2000-Send.jar （非超户） 进入发送端程序： 提示：第一次运行会自动提示生成密钥 输入保护口令（此处一般设为熟悉的：open3200）点击确定，完成密钥的生成。 输入保护口令点击确定后会自动转到登陆界面，默认密码是 输入刚刚设置的密钥保护口令登陆软件。 第一次登陆会自动提示隧道不存在，单击确定进入软件画面。 选择设定→配置加密隧道， 单击添加新建一个隧道 输入隧道的协商IP地址（此地址选为反向隔离器发送方（public）ETH0的网段，即同三区同网段的任一地址，同反向隔离器管理工具的设备配置→设备基本配置中的IP地址），其余默认的即可。 拖动滚动条选择证书， 这里选择刚刚从反向隔离器管理工具中导出的证书文件（.cer文件） 点击保存完成配置加密隧道。 此时隧道还未完成，反向隔离设备还需导入证书，见后面 设定—配置链路信息 单机添加按钮 链路名称：自动生成，作为不可重复的链路标识，在之后配置任务中，可以通过在下拉列表中直接选择链路名称，将任务所使用的传输隧道选中。 目的IP地址：接收端的IP地址（一般为内网IP在外网的映射地址）。 目的端口：默认7777（同隔离设备规则中设的一致） 发送失败等待周期：当某个文件经过该链路传输失败3次后，进入等待周期，等待周期结束后，链路重新尝试发送文件。 使用隧道：为链路选择一条隧道，隧道之前已经配置。 所有区域填写完成后，单机保存，提示“操作成功”。链路保存完成，传输链路启动检测隧道。 在进行测试之前，我们还需将发送端的证书导入反向隔离设备： 选择管理→密钥管理→导出密钥 输入保护口令然后选择密钥的保存地点， 选择地点后保存密钥。 点击确定完成导出密钥配置（导出.cer证书）。 打开反向隔离设备管理工具4,.6进行导入发送端的密钥证书，建立隧道。 选择规则配置→发送端证书管理 输入发送端（外网）的IP地址（即外网的实际地址），点击导入证书。 选择从发送端软件导出来的密钥证书。 点击