电力系统专用纵向加密认证装置用户手册

1、纵向加密认证装置用户手册2013年 7 月 目录1 概述41.1编写目的41.2阅读对象41.3装置组成41.4装置状态介绍41.5部署阶段52 规划阶段- 1 -2.1 网络拓扑- 1 -2.2确定安装位置- 1 -2.2 规划IP地址- 2 -2.2调查安全需求- 2 -3准备阶段- 2 -3.1设备管理- 2 -3.1.1 设备连接- 2 -3.1.2 连接图- 2 -3.2设备初始化- 3 -3.3配置装置策略- 6 -3.3.1 包过滤规则- 6 -3.3.2 本机IP配置- 7 -3.3.3 路由配置- 7 -3.3.4 隧道配置- 8 -3.3.5 隧道策略配置- 8 -3.2.6 添加隧道- 8 -3.2.7 添加隧道策略- 9 -3.3装置管理- 10 -3.3.1 系统加电- 10 -3.3.2 设备初始化- 10 -3.3.3 登录纵向装置- 11 -3.3.4 设置工作模式- 11 -3.3.5 事件配置- 11 -3.3.6 审计配置- 12 -3.3.7 安全管理- 12 -3.3.8 双机热备- 13 -4实施阶段- 13 -4.1安装- 13 -4.2加

2、电启动- 13 -4.3检查状态- 14 -4.3.1 查看网卡状态- 14 -4.3.2 查看装置状态- 14 -4.3.3 察看监控信息- 14 -4.3.4 调试工具- 15 -4.3.5 查看策略- 16 -4.3.6 检查装置加解密状态- 16 -4.3.7 检查数据通信是否正常- 16 -4.4装置配置- 17 -4.4.1 透明模式对通拓扑- 17 -4.4.2 导入对端装置证书- 17 -4.4.3 接口配置- 17 -4.5 报警- 18 -4.5.1开关- 18 -4.5.2指示灯- 18 -5调试和检验阶段- 18 -5.1故障排查手册- 18 -5.2维护阶段- 20 -6 附录- 21 -6.1事件信息对应表- 21 -1 概述1.1编写目的通过阅读本手册，用户可以掌握基本的装置配置及管理方法。通过一个装置部署案例，按流程简要的介绍装置系统的实施，使用及维护方法。1.2阅读对象本手册面向装置系统管理人员、维护人员、及项目实施工程师和产品售后工程师。1.3装置组成装置系统为C-S架构即客户端-服务器架构，用户使用客户端管理器通过配置串口对装置进行管理及配置。1.

3、4装置状态介绍纵向装置共有两种工作状态：1 初始化状态 ；2 管理状态。1 初始化状态未导入本机相关证书及完成相关初始化操作的装置会进入到初始化状态，该状态下用户不能管理装置，只能进行相应的初始化操作，等装置完成初始化操作时，重启装置即可进入管理状态。完成初始化操作的功能有（1）生成装置装置证书请求；（2）生成用户证书请求；（3）初始化；（4）导入CA证书；（5）导入管理中心证书；（6）导入设备证书；（7）导入用户证书；（8）导入对端装置证书；经过上述8个操作步骤， 完成设备初始化，重启设备；2 管理状态通过初始化装置操作之后，装置正常启动，此时系统中用户口令为dianli123，登录之后用户可以验证、修改口令；管理配置策略。1.5部署阶段提示：装置的部署包括以下五个阶段：规划阶段、准备阶段、实施阶段、调试和检验阶段、维护阶段。以下内容将为您介绍每个阶段的具体任务，和操作流程。2 规划阶段2.1 网络拓扑网络拓扑实例：在图1-1中包括3个要部署装置的网点A、B、C。CBA图 1-12.2确定安装位置 装置安放于Quidway NE80 路由器，和S8016 路由交换机之间，采用双机热备

4、拓扑，如图：1-2 每个网点两台装置同时工作。图 1-22.2 规划IP地址每台装置需要一个IP地址。例如：A节点装置分配：主10.0.0.3/24 ，备 10.0.0.4/24。B节点装置分配：主10.0.1.3/24 ，备 10.0.1.4/24。C节点装置分配：主10.0.2.3/24 ，备 10.0.3.4/24。2.2调查安全需求调查实际网络拓扑中每个节点的安全需求，和业务需求，IP地址范围等信息，做好汇总和记录。3准备阶段3.1设备管理3.1.1 设备连接1. 准备一台pc机，xp或win7系统。将DLCryptClient.exe管理器程序拷贝到pc机。2. 设置PC机管理地址192.56.56.56。3. 网线连接PC机和设备的管理口，在pc上ping 192.56.56.1，可ping通设备。 4. 打开管理器，选择网口连接，点击连接，连接设备。5. 使用登录密码dianli123登录。3.1.2 连接图3.2设备初始化管理器登录后：（1）生成装置证书请求；（2）生成用户证书请求；（3）初始化；（4）导入CA证书；（5）导入管理中心证书；（6）导入设备证书；（7）导入

5、用户证书；（8）导入对端装置证书；（9）重启装置；（10）设置系统时间；注意：以上步骤1-3在设备部署时完成。4-10用户可以重新进行。其中步骤1、步骤2 “生成装置、用户请求文件”时要添入信息如下：其中经过步骤1（生成装置证书请求）、步骤2（生成用户证书）之后必须马上进行步骤3（初始化）操作；进行步骤1、2、3的过程中不允许重启装置；其目的是为了保证密钥安全性。进行步骤3操作时界面信息如下：其中步骤4-8均为向装置导入证书；先进行步骤4然后在进行步骤5-8的证书导入；其中进行步骤4-7操作时界面信息如下：其中进行步骤8操作时界面信息如下：经过步骤1-8时，必须进行步骤9（重启装置）的操作；进过步骤9后进行步骤10（设置系统时间）操作，步骤10操作时界面信息如下：3.3配置装置策略3.3.1 包过滤规则3.3.2 本机IP配置3.3.3 路由配置3.3.4 隧道配置3.3.5 隧道策略配置本例中纵向装置1要建立到纵向装置2的隧道。3.2.6 添加隧道根据安全需要，添加加密通信隧道。本例中纵向装置1到纵向装置2的隧道，指定的加密规则为：本端地址1.1.1.1/32 访问目标1.1.1.2

6、/32 双向加密。3.2.7 添加隧道策略注意：1.在为每台纵向装置添加隧道策略时，要保证规则中的IP地址范围，不要重叠（即同样的数据包走不同的隧道），因为数据包匹配加密规则时只能匹配到位置靠前的一条。2.隧道的加密规则只有在隧道工作模式为密通时有效，隧道工作模式为明通时将不对数据进行加密。加解密过程：当纵向装置1的内网口 收到 30.1.1.100/24-30.1.1.200/24的数据包时，会匹配加密规则，决定应该加密，加密后发往通道对端的纵向装置2。当纵向装置2的外网口收到隧道中的数据包解密后，30.1.1.100/24-30.1.1.200/24将不再匹配加密规则。如果纵向装置2的外网口收到了一个1.1.1.200/24-1.1.1.100/24的数据包，将会匹配加密规则。3.3装置管理初始化设备之后系统进入管理状态；导入证书和配置策略后，系统进入工作状态。3.3.1 系统加电接好电源，确定地线已接好，按开机按钮。检查：各网口状态灯和前面板指示灯是否有故障3.3.2 设备初始化参看3.1章节。3.3.3 登录装置使用口令dianli123登录纵向装置，完成校验。3.3.4 设置

7、工作模式工作模式有安全，旁路（默认为安全，可以根据需要进行修改，建议使用安全模式）。装置工作在旁路模式时会点亮旁路信号灯。3.3.5 事件配置用户可以在这里指定报警的条件和等级，也可以在这里停止正在进行的报警。3.3.6 审计配置用户可以在这里开启装置审计配置。3.3.7 安全管理对装置的策略配置、管理信息等进行备份、回复。3.3.8 双机热备4实施阶段4.1安装戴好防静电手环，将纵向装置上架后，连接好内网口和外网口的网线。4.2加电启动检查各指示灯状态，将笔记本串口连接到装置管理口，使用管理器登录：默认密码dianli123。4.3检查状态4.3.1 查看网卡状态使用审计员通过管理器-监控管理-策略-本机IP地址，察看网卡状态是否正确。观察机箱上的数据指示灯是否正常工作，网卡接口灯是否正常工作。4.3.2 查看装置状态使用审计员登录纵向装置通过监控管理功能查看一下。查看装置状态：加解密是否成功。查看隧道状态：看隧道是否按设计规划建立成功，隧道优先级是否正确。图 1-224.3.3 察看监控信息看监控策略功能是否正常启动，有无异常信息。 图 1-23用户可以通过设置查询条件来，筛选日志

8、信息：日志类型有：人员操作，通信信息，系统信息。用户可以将查询到的日志信息导出存为txt文件。注意：日志信息保存在flash卡上，如果装置未插入flash卡，则日志保存在内存中。4.3.4 调试工具测试网络是否畅通，IP地址是否正确等。图 1-244.3.5 查看策略用户可以通过管理器的策略管理修改策略，看策略是否正确应用。图 1-264.3.6 检查装置加解密状态通过监控管理的查看系统状态功能，检查加解密数据包的数量是否正确。4.3.7 检查数据通信是否正常通过调试工具的实时监控查看通过装置的各种通信状态是否正常。4.4装置配置4.4.1 透明模式对通拓扑4.4.2 导入对端装置证书配置到拓扑中的装置必须导入对端的装置证书，才能进行IKE协商。4.4.3 接口配置外网口：10.1.1.1/24内网口：30.1.1.1/24内外网口可以任意配置，网桥配置之后内外网口都被划分到网桥之内，地址清0。子网口：30.1.1.10/24子网口的作用是为了保证子网和装置网桥在不同网段时候，装置可以获取子网PC的MAC地址，必须配置并要保证子网口地址不在子网范围内。网桥：1.1.1.1/24装置协商地址，透明模式数据通信加密端地址，必须配置。4.5 报警

《电力系统专用纵向加密认证装置用户手册》由会员hs****ma分享，可在线阅读，更多相关《电力系统专用纵向加密认证装置用户手册》请在金锄头文库上搜索。