科东反向隔离装置配置过程(Debian系统).pdfVIP

配置发送端程序〔第一次〕 1.1配置反向隔离装置发送端软件 1) 运行发送端软件 首先进入/home/xj/sid-801/sender/目录，打开setting.txt文件，把“Windows=false” 修改为“Windows=true”，然后再把该文件夹下的“tunnel”文件夹和“stonewall.p12” 文件删除。全部配置完成后再改为“Windows=false”。Windows为文件传输窗口。 2) 运行发送端软件 打开命令终端，首先进入/home/xj/sid-801/sender/目录，然后键入java–jar StoneWall-send.jar 命令并以回车结束，运行发送端软件。如下列图所示： 3) 运行发送端软件 成功执行步骤1后，出现提示对话框，询问是否生成密钥，点击“是”。如下列图所示： 4) 生成系统密钥 完成步骤2 后，会提示填写“保护口令”，请填写口令〔xj〕，并确保两次填写的口令一致。然后点 击确定。如下列图所示： 注意：请牢记您所填写的口令！！ 成功后会看到下列图提示： 5) 登录 完成步骤3后，会看到如上图所示登录窗口。操作员密码默认密钥保护口 令为步骤3时所填写的口令〔xj〕。请勾选保存密码和自动登录选项，然后点击登录。登录 成功后，会出现下列图提示隧道信息不存在，点击确定。 然后可以看到如下界面： 6) 导出发送端的证书 保存导出的设备密钥(设文件名为: sender.cer)，并复制到安装配置工具的电脑上，以备配置反隔离 装置时使用。 配置反向装置〔第一次〕 串口与PUBLIC一侧的Console 口相连〔只要在这个口配置就行了〕。运行 管理工具， 默认用户名密码(root/111111)。 1〕配置设备基本信息 网口I协商IP ，写入外网的同一网段的IP ，不能与其它IP重复。 如果外网与内网用网不同的段，与外网的IP保持一个网段。 注：此IP与发送端软件的隧道配置的IP保持一致。 2〕 配置规则 调试工具-》规则配置—》规则管理：如装置内有规则，可以选择读取规 则。 假设无，选择新建规则，写入相应的信息。 如要修改，选规则修改，修改后点确定。 信息完成，写入规则〔写入装置，重新启动后生效〕。 说明： 规则名称：自己定义 方向选择：从外向 协议：TCP 控制类型：SYN连接 内网IP ： IP地址：内网实际IP ； 虚拟IP ：如果内网与外网是同一个网段，应该与实际IP一致，如上 实例；如果内外网不在同一网段，虚拟IP ，写成与外网保持一致。 外网IP ： IP地址：外网实际IP ； 虚拟 IP ：如果内网与外网是同一个网段，应该与实际IP 一致，如上 实例；如果内外网不在同一网段，虚拟IP ，写成与内网保持一致。 内外网不在同一网段，例如：内网实际IP ： 虚拟IP ： 外网实际IP ： 虚拟IP ： MAC地址：实际内外网的 MAC地址〔不允许出错〕 网口：分1和2 ，分别对应的为公网0和1； IP与MAC绑定：可以选与不选。 选择 UDP协议时〔国网最新要求〕，需要配置两个规则〔test1和test2〕,传输 方向分别为从外到内和从内到外。 3〕发送端证书导入 注意：发送端IP ，实际发送端IP ： 证书：为之前发送端导出的证书〔sender.cer〕。 保存证书〔相当于写入装置，重新启动生效〕。 4) 设备密钥管理 作用:生成设备自身密钥数据，与发送端进行通讯。 操作步骤： 点击“删除设备密钥数据” - “生成设备密钥数据” - “导出设备证书 文件”,导出的设备证书为.cer(gateway.cer)文件，通过发送端软件中的隧道配 置进行导入发送端。 配置发送端程序〔第二次〕 1）配置加密隧道 点击“设定”菜单下的“配置加密隧道”子菜单，会出现下列图所示的窗口。 点击“添加”按钮，按照下列图举例填写隧道名称和隧道协商 IP地址，这里需 要根据实际反向隔离装置配置填写。 隧道协商IP地址为反向隔离装置中的网口协商IP