科东反向隔离(UDP)配置过程

配置反向隔离系统网络配置图(参考)系统设备列表节点名称设备型号配置操作系统Dzsrv1服务器IBMX3650M4网卡：10/100/1000Mb以太网口×4RHEL6.364位Dzsrv2同上同上Dzweb同上同上维护工作站PC兼容机Windows操作系统准备配置过程需要的参数两台I区服务器和一台III区服务器网络参数节点名称接口IP地址接口MACDzsrv1(网络I区)eth0:192.168.1.1140:F2:E9:9F:DB:DAeth1:192.168.2.1140:F2:E9:9F:DB:DBDzsrv2(网络I区)eth0:192.168.1.1240:F2:E9:DB:1C:72eth1:192.168.2.1240:F2:E9:DB:1C:73Dzweb(网络III区)eth0:192.168.1.2140:F2:E9:9F:DB:6Aeth1:192.168.2.2140:F2:E9:9F:DB:6B在维护工作站上首次配置反向隔离装置操作过程1、在Windows工作站上安装反向隔离程序使用随设备光盘，安装程序所在路径为：G:\StoneWall-2000\反向型\反向型管理工具安装程序\反向setup(v4.6-2013-5月)；双击图标启动反向隔离程序运行，安装过程(略)2、参考网络配置图检查网络连接情况(网络主机，反向隔离装置，交换机)；3、反向隔离装置上电；4、维护工作站串口与反向隔离装置public接口中Console口连接；查看维护工作站设备管理器，确认串口名称，例如COM3，设置串口波特率1152005、启动反向隔离配置程序程序，登录用户名为root，口令111111；按照此前查串口设备信息，选择串口装置COM3(与设备管理查看为准)，通讯频率115200，单击确认；通过菜单设备配置-设备基本配置，显示操作窗口，填写网口协商IP填写完成单机写入按钮弹出写入成功设置已经写入装置；单机确定，退出设备基本配置对话框；通过菜单规则配置-规则管理删除原有规则(作为实例显示)，添加项目规则,按照项目配置规划为维护方便，将以确定的规则备份成文本以便分析；规则显示网络III区与网络I区节点通讯配置，注意同样的规则配置为两路，名称为略有差别，一路规则方向选择从外到内，一路为从内到外；单机写入规则按钮，将规则写入装置，操作完成后显示通过完成退出按钮退出规则配置界面，返回主界面；通过菜单规则配置-设备秘钥数据管理，启动设备秘钥数据管理界面单机生成设备秘钥数据按钮，显示确认对话框，单机是(Y)按钮，，确认生成秘钥数据单机确定按钮；单机导出设备证书文件按钮，显示文件保存对话框选择文件位置保存设备秘钥文件，以备后续配置使用；显示提示信息说明密钥文件已经保存，单机确定关闭提示信息回到设备密钥数据管理界面，单机退出；关闭反向隔离装置电源；在文件发送主机上配置反向隔离传输软件发送文件主机为III区网络web服务器，以root用户登录服务器操作系统，将随设备光盘放入光驱(RHEL6.3操作系统，光盘自动加载)，在如下路径/media/北京科东设备软件13-5-30/StoneWall-2000/反向型/文件传输工具软件/2008单比特版/反向1bit程序/反向UDP-v4.1.1/linux程序/反向发送端setup（4.1.1），操作命令行如下[root@dzweb反向发送端setup（4.1.1）]#pwd#确认文件路径/media/北京科东设备软件13-5-30/StoneWall-2000/反向型/文件传输工具软件/2008单比特版/反向1bit程序/反向UDP-v4.1.1/linux程序/反向发送端setup（4.1.1）[root@dzweb反向发送端setup（4.1.1）]#lsconfigjreUpdateStoneWall2000-Send.jar[root@dzweb反向发送端setup（4.1.1）]#[root@dzweb反向发送端setup（4.1.1）]#cp-r*/usr/users/df8003s/stonewall2000/（说明/usr/users/df8003s/stonewall2000/为预设目录）[root@dzweb反向发送端setup（4.1.1）]#cd/usr/users/df8003s/stonewall2000/#进入预设目录[root@dzwebstonewall2000]#lsconfigjreUpdateStoneWall2000-Send.jar[root@dzwebstonewall2000]#cdjreUpdate[root@dzwebjreUpdate]#lsbouncycastle.jarjre1.4jre1.5jre1.6jreUpdate.jar[root@dzwebjreUpdate]#/etc/alternatives/jre/bin/java-jarjreUpdate.jar#执行jreupdate.jar，更新java中间件软件弹出更新信息同时显示命令行提示[root@dzwebjreUpdate]#/etc/alternatives/jre/binjreUpdate.jarbash:/etc/alternatives/jre/bin:isadirectory[root@dzwebjreUpdate]#/etc/alternatives/jre/bin/java-jarjreUpdate.jarXlib:extensionRANDRmissingondisplay192.168.1.250:0.0.java.ext.dirs==/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/lib/ext:/usr/java/packages/lib/extjavaVersion==1.6ext==/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/lib/ext[root@dzwebjreUpdate]#说明文件更新成功完成；卸载光盘；注销到df8003s用户下，修改预设置目录属组属性，操作如下df8003s@dzwebsu-root密码：[root@dzweb~]#chown-Rdf8003s:dba/usr/users/df8003s/stonewall2000/[root@dzweb~]#chmod-R755/usr/users/df8003s/stonewall2000/[root@dzweb~]#exitlogoutdf8003s@dzweb登录到root用户下修改stonewall2000/属组属性为df8003s:dba，可读写属性为755，为以后再df8003s用户下操作反响隔离通讯软件做准备；将维护主机上拷贝出来的秘钥数据文件拷贝到预设目录df8003s@dzwebcd/media/GUOBIN/driver/iso/df8003s@dzweblsdz.cerdf8003s@dzwebcpdz.cer/usr/users/df8003s/stonewall2000/cert/df8003s@dzweb说明：/usr/users/df8003s/stonewall2000/cert/为预设目录生成运行隔离程序的脚本，如下显示脚本文件内容df8003s@dzweblscertconfigjreUpdatesend.shStoneWall2000-Send.jardf8003s@dzwebmoresend.sh/etc/alternatives/jre/bin/java-jarStoneWall2000-Send.jar脚本通过执行/etc/alternatives/jre/bin/java运行反向隔离程序StoneWall2000-Send.jar首次运行反向隔离程序，配置应用参数df8003s@dzwebshsend.sh*******************************************os.name==Linux**java.vm.vendor==SunMicrosystemsInc.**file.encoding==GB18030*****************************************单机是(Y)按钮，显示设置秘钥口令对话框，在此设置为ytdf000，单机确定按钮显示操作成功，单机确定按显示登录窗口在此操作员密码12345678(系统默认，不改)；秘钥保护口令ytdf000(刚刚设置)，为应用方便，一般会勾选报讯操作员的密码和秘钥保护口令选项；单机登录按钮，显示首次运行反向隔离发送端程序，会提示设置加密隧道，单机确定按钮，进入发送端程序主界面，菜单操作设定—配置加密隧道，如下图示菜单选择后显示单机添加按钮，显示隧道协商IP在装置配过程中提到，自动生成的隧道将在链路设置中使用；隔离设备证书路径通过后面按钮显示文件选择对话框在此选取stonewall2000/cert目录，找到认证文件；操作完成后单机保存按钮，显示操作操作成功；然后通过主界面—设定—配置链路信息链路配置信息如上；设置完毕单机保存显示操作成功对话框；单机确定完成链路设置；通过菜单操作管理—秘钥管理—导出秘钥，显示如下对话框秘钥保护口令ytdf000(之前设置提到过),单机对话按钮，显示文件保存对话框，选取文件保存位置，保存秘钥文件单机保存，单机确定；显示操作成功提示，单机确定完成秘钥导出操作；将导出的秘钥文件拷贝到U盘上，回到维护主机对装置进行操作；文件拷贝命令行如下(供参考)df8003s@dzwebcdstonewall2000/certdf8003s@dzwebls-al总用量16drwxr-xr-x2df8003sdba40969月315:27.drwxr-xr-x6df8003sdba40969月314:47..-rw-r--r--1df8003sdba13389月315:27cert.cer-rwxr-xr-x1df8003sdba8439月315:06dz.cerdf8003s@dzwebcp-pcert.cer/media/GUOBIN/driver/iso/df8003s@dzwebsu密码：df8003s@dzwebdf-h文件系统容量已用可用已用%%挂载点/dev/sda120G811M18G5%/tmpfs16G324K16G1%/dev/shm/dev/sda51.4T217G1.2T17%/oradata/dev/sda277G8.5G65G12%/usr/dev/sda697G9.1G83G10%/usr/users/dev/sdb130G21G8.4G72%/media/GUOBINdf8003s@dzwebumount/dev/sdb1#卸载U盘df8003s@dzweb在维护工作站上第二次次配置反向隔离装置操作过程返回反向隔离维护工作站，打开隔离装置电源；打开隔离维护程序，通过维护程序菜单规则配置—发送端证书管理，在发送端IP填写III区发送文件服务器IP；单机导入证书按钮，通过文件选择对话框选择在发送端导出的秘钥文件，单机保存证书按钮，完成后如下界面显示说明：由于系统是网，在发送端配置两条加密隧道，分别为III区服务器对A网和III区服务器对B网；设置四条链路，分辨是III区服务器通过A网对应I区服务器1和服务器2，III区服务器通过B网对应I区服务器1和服务器2；在导入发送端证书之后，需要重新启动装置操作系统；在内网反向隔离接受端程序安装过程光盘置加载到内网服务器上，接受端程序文件位置df8003s@dzsrv1pwd/media/北京科东设备软件13-5-30/StoneWall-2000/反向型/文件传输工具软件/2008单比特版/反向1bit程序/反向UDP-v4.1.1/linux程序/反向接收端setup（4.1.1）df8