1、基本操作
1.1、登錄准備
1)設置電腦的IP地址為11.22.33.43/24
2)連接設備的“配置口”,電腦ping設備配置口的IP地址11.22.33.44
3)打開設備配置軟件
,啟動成功后如下圖:
1.2、初始化網關
1、新設備初次登錄,會提示“初始化失敗,請上傳操作員證書”,如下圖:
2、主操作員key的制作
1)點擊【初始化管理】->【初始化網關】,如下圖:
2)選擇【主操作員卡】,點擊【密鑰生成】:
3)點擊【生成證書請求】,根據各地規范填寫相關信息,導出證書請求,保存至本地:
3、設備證書請求的導出
1)點擊【初始化管理】->【初始化網關】,如下圖:
2)選擇【加密卡】或者【sm2加密卡】,點擊【密鑰生成】,如下圖
2)點擊【生成證書請求】,填寫相關信息后將證書請求保存至本地:
【注】至此初始化網關步驟結束,將保存至本地的主操作員證書請求test-op.pem和設備證書請求CQ-T.pem發送至調度進行簽發。調度會將簽完成的操作員證書和調度側加密裝置、管理裝置等證書,一起發回。
1.3、上傳證書
接收到主站發回的證書:
-------------本機操作員證書
--------------調度主站加密裝置證書
---------------調度主站管理裝置或內網監視平台證書
證書鏈驗證:一般加密裝置需要使用並導入的是對端加密裝置證書和裝置管理系統證書。但是在南瑞2015年之前的的加密裝置,是不能隨便導入另一台加密裝置或裝置管理系統的證書的。因為在導入時,本台設備需要驗證自己的證書鏈中是否存在待導入的證書的CA根證書。如果沒有,在導入時會提示“證書驗證錯誤”。由於規范里沒有強制規范這一點,所以在2015年以后南瑞取消了證書鏈的驗證,加密裝置可以導入任意一台設備的證書。
1)點擊【初始化管理】->【證書管理】->,如下圖:
導入主操作員證書,下圖:
導入主站加密裝置證書:
導入主站裝置管理證書:
1.4、設備登錄
上傳完所有證書后,重新登錄設備【用戶登錄】->【連接網關】->輸入操作員pin碼Nari6702
登錄成功,如下圖:
1.5、規則配置
1.5.1、遠程配置
加密網關名稱:根據需要進行描述,建議不用中文
加密網關地址:加密裝置IP地址
遠程地址:裝置管理機地址,或者內網監視平台(日志服務)地址
系統類型:①若選擇“裝置管理”,則遠程地址為主站裝置管理機地址;②若選擇“日志審計”,則遠程地址為內網監視平台地址;③若內網監視平台具備管理和審計功能,則兩行的遠程地址為同一個。
證書:選擇主站裝置管理機或者內網監視平台的證書。日志審計這一行證書可以隨便選擇。
1.5.2、網絡配置
配置思路:網絡配置即為設備配置一個IP地址。加密裝置最普遍的為橋接模式,分別選擇eth1和eth2為內網口和外網口(PRIVATE和PUBLIC),預先不在物理接口上配置IP地址和掩碼。配置一個虛擬網卡,命名為br,定義網絡接口和接口類型為BRIDGE,將分配給加密裝置的地址和掩碼,配置在虛擬網卡br上。VLANID的內容取決於加密裝置位於交換機與路由器中間哪個邏輯子鏈路。如果路由器與交換機間不存在多個邏輯子鏈路,那此處寫0
1.5.3、橋接配置
配置思路:將eth1和eth2打鈎,即虛擬成一個網卡,為網絡配置中的br。
虛擬網卡:一定是網絡配置中的br。
網卡ID:橋接eth1和eth2,網卡ID為6。橋接eth3和eth4,網卡ID為24。
1.5.4、路由配置
路由名稱:此條路由規則的描述
網絡接口:選擇的eth1和eth2都已被橋接,所以只能選擇br
VlanID:有網絡配置中的VLANID決定
目的網絡、目的掩碼:決定加密裝置出去的數據與哪些網段能夠通訊
網關地址:就是此條路由條目的下一跳,一般為路由器地址
1.5.5、隧道配置
隧道名稱:隧道的描述
隧道ID:阿拉伯數字,隧道的序號,可以不從1開始
隧道模式:取決為隧道加密和明通,明通隧道不對數據進行加密
隧道本端地址:本台加密裝置的地址
隧道對端地址:跟本台加密裝置建立隧道的對端加密裝置地址
主裝置證書:對端加密裝置的證書
1.5.6、策略配置
策略名稱:策略的描述
隧道ID:匹配本條策略的報文,通過哪條隧道進行加密,隧道號不可寫錯
內網起始地址、內網終止地址:規定了通訊報文中源IP地址段
外網起始地址、外網終止地址:規定了通訊報文中目的IP地址段
內網起始端口、內網終止端口:規定了通訊報文的源端口范圍,或被訪問端口范圍
外網起始端口、外網終止端口:規定了通訊報文的目的端口范圍
2、工作原理簡介
2.1、 加密算法
1、對稱密鑰算法:加密和解密函數都是用同一個密鑰,常見的對稱密鑰算法有:SDBI\IDEA\RC4\DES\3DES
優點:
① 加密解密速度快
② 密鑰管理簡單
③ 適用於一對一的信息加密傳輸過程
缺點:
① 加密算法簡單,密鑰長度有限,加密強度不高
② 密鑰分發困難,不適宜一對多的加密信息傳輸
2、非對稱密鑰算法:加密和解密函數使用不同密鑰,常見的非對稱密鑰算法有:RSA\ECC\sm2
優點:
① 加密算法復雜,密鑰長度任意,加密強度很高
② 適用於一對多的信息加密交換
缺點:
① 加解密速度慢
② 密鑰管理復雜
2.2、秘鑰協商
說明:加密A向加密B發送一個協商請求,加密B收到后加密並驗證通過后,向加密A發送協商回復。加密A收到加密B的協商回復后,進行最后的確認,並將確認包發送至加密B ,加密B收到后進行相應的比對操作,比對成功后,秘鑰協商成功。
2.3、隧道加密
隧道:加密裝置通過隧道配置來建立裝置間的加密信道,並對放入其中的報文進行加密;
策略:加密裝置通過策略配置來過濾應用主機之間的通信報文;如果報文需要加密,就選擇一條加密隧道;
縱向加密認證裝置:為廣域網通信提供認證與加密功能,實現數據傳輸的機密性、完整性保護同時具有類似防火牆的安全過濾功能,還實現對電力系統數據通信應用層協議及報文的處理功能進行選擇性加密。
2.4、數據包加密
說明:加密隧道協商成功后,將隧道中的數據包進行加密。加密內容包括數據包的源目的IP、協議、數據內容等。在傳輸過程中加密包將實際通訊數據的源目的IP修改為隧道兩端的加密裝置IP。
2.5、策略匹配
說明:加密裝置對接受的數據報文的五元主進行分析,並匹配自身的動態的策略規則列表(訪問控制列表),如果匹配成功,則加入相應的加密隧道進行數據加密或加密。如若匹配失敗,則將數據包丟棄。南瑞加密裝置按照從上至下的順序進行策略匹配。
3、通訊報文的分析
3.1、隧道狀態查詢
1)登錄設備成功后,進行【系統工具】->【隧道管理】進行隧道狀態查詢,熱備狀態是否為彩色:
2)使用SSH(用戶名11.22.33.44、端口6702、用戶名nari、密碼Nari.6712)或者串口(南瑞設備波特率為115200)登錄后台,輸入tunnel命令:
查看state值是否為3,如圖中3代表隧道協商成功。
3.2、數據鏈路查詢
1)【系統工具】->【隧道管理】進行隧道狀態查詢,查看加解密次數
2)【系統工具】->【鏈路管理】進行報文通訊鏈路的查詢,可以看到正在通訊的報文的源目的地址,源目的端口,進出口數據包的數目
3)同樣在后台輸入cat /proc/netkeeper/device可查看加解密的次數,加解密出錯,以及加解密發送和接受報文大小的總和
4)在后台輸入命令linkstate,也可以查詢報文通訊鏈路的信息,同上面的鏈路管理
5)在后台輸入命令rulelist,可以顯示通訊報文匹配了哪條策略,匹配了多少次
4、工作狀態查詢
1)當有通訊報文在通訊,並設備在實現加解密是,設備的Encrypt燈亮起
2)當配置中指定的通信網口的網線掉落,或相應的網卡down掉,設備的Alarm告警燈會閃爍:
5、后台基本命令操作
5.1、后台配置
1)使用配置軟件界面的規則配置擺包括:遠程配置、網絡配置、路由配置、隧道配置、策略配置、橋接配置等,都以相應的txt文件存放在/log目錄下,具體對應為:
遠程配置:
網絡配置:
路由配置:
隧道配置:
隧道配置:
橋接配置:
透傳配置:
證書管理列表:
證書庫(所有配置界面上傳的證書,全部存放於/log/cert_files中):
說明:通過后台編輯、刪除相應的txt文件,同樣可以達到更新加密裝置配置的目的
5.2、查看網卡IP信息
輸入ifconfig命令,查看界面配置的IP地址:
5.3、查看系統進程
輸入ps -ef命令,查看后台主要進程運行情況
說明:/netkeeper/sbin/secgate:為加密裝置進行隧道協商,數據加密的主進程,此進程起不來或掉了,加密裝置會自動重啟系統,以便重啟此進程;/netkeeper/sbin/tcpserver_ssl:此進程為加密裝置JAVA配置客戶端軟件連接系統的服務端進程,此進程不在,配置軟件連接裝置失敗,從而無法進行界面配置。
5.4、查看路由表
輸入route -n命令,查看設備生成的路由表,來判斷網絡可達的情況
5.5、快速清空配置
在后台粘貼一下命令,即可迅速刪除配置:
1 cd /log 2 ture >dms.txt 3 ture >ip.txt 4 ture >route.txt 5 ture >tunnel.txt 6 ture >rule.txt 7 ture >bridge.txt 8 ture >certlist.txt 9 rm -rf cert_files/op1.crt 回車
6、常見故障處理
6.1、隧道協商失敗
1)再次查看設備的網絡、路由、隧道配置是否正確,隧道配置中的證書是否選擇正確對端加密裝置證書,配置完是否重啟過。
2)排查網絡連通性:登錄加密裝置后台ping本端網關、對端網關、對端加密裝置IP
3)后台輸入ifconfig命令,查看網絡配置的信息后台是否生效,如若配置的橋接模式,網絡配置中的橋接口的名稱,是否與橋接配置中的一致。
4)后台輸入route –n命令,查看設備路由表,查看路由配置是否生效。配置軟件路由配置中網卡是否選擇正確。
5)若本端加密裝置與對端加密裝置的網絡連通性沒問題,則判斷證書是否正確。通過后台輸入以下命令再次分析隧道協商失敗的原因:
cd /netkeeper/sbin killall secgate ./secgage & debug –i
例如上圖中顯示:Maybe reason: I got a wrong cert of her,代表本端導錯了對端證書
6.2、內網監管平台管理不到
1)排查網絡連通性,排查點如上一故障點類似
2)如若管理不到的是廠站加密裝置,先查看主站內網監管平台是否在主站加密裝置的內網測,如果是,則主站加密裝置透傳配置中需要添加內網監管平台至廠站加密裝置管理的透傳規則,透傳協議號為254的管理報文:
3)如1)2)中檢查無問題,在后台輸入以下命令:
1 cd /netkeeper/sbin 2 killall secgate 3 ./secgage & 4 debug –d
例如上圖顯示Maybe I got a wrong cert of the DMS,代表本台設備導錯了內網監管平台的證書
6.3、內網監管平台收不到日志
1)排查網絡的連通性,排查步驟同上
2)首先判斷裝置的遠程配置里面,日志審計對應的遠程地址是否正確。
如若內網監管平台收不到廠站加密裝置日志,主站內網監管平台在主站加密裝置的內網測,廠站加密裝置的日志需要穿過主站加密裝置后傳輸至內網監管平台,則主站加密裝置的策略配置里添加內網監視平台至廠站加密裝置的規則
如上圖中第三條標紅的策略
6.4、廠站主機至主站主機間業務不通
1)使用廠站主機ping主站主機判斷網絡的連通性
如若ping不通,則分段進行ping測試,如廠站主機ping本端加密、本端網關、對端網關、對端加密、對端主機來判斷哪一段網絡連通性有問題。建議如若沒有嚴格特殊的規定,建議在配置南瑞加密裝置的策略時第一條策略為ICMP的大明通策略,以便將所有的ping包都放過而不影響網絡連通性的測試
2)排查兩端加密裝置的策略,定位負責業務通訊的相應的策略。查看策略IP地址,端口等是否正確。如若是密文策略則檢查策略中的隧道后是否掛錯。
6.5、告警觸發
1)內網監視平台收到了某台加密裝置日志“不符合安全策略的訪問”,代表了加密裝置收到了一條報文卻無法匹配到相應的策略,如下圖策略
規定了本端只能是40.0.0.41這台主機訪問對端172.16.1.1這台主機的2404端口,如果本端有主機40.0.0.42試圖訪問對端主機172.16.1.1,所發出的報文會被加密裝置攔截。從而向內網監視平台發送日志“不符合安全策略的訪問”。
2)內網監視平台收到了加密裝置日志“隧道沒有建立”,代表兩台網絡可達的加密裝置A和B,A沒有建立到B的隧道,B卻建立了到A的隧道。A受到了B的協商請求,觸發了加密裝置A發出日志“隧道沒有建立”。如下圖分別是加密A和B的隧道配置:
3)內網監視平台收到加密裝置日志“隧道建立錯誤”,只要加密有隧道建立失敗,就會報出此類日志。