SMC-2000装置管理系统-用户使用手册

1 SMC-2000装置管理系统用户手册 SMC-2000装置管理系统用户手册南京南瑞集团公司信息系统分公司（版权所有 翻版必究）34 SMC-2000装置管理系统用户手册 目录目录2第一章、产品简介41.1 简介41.2 物品清单51.3 软件使用环境5第二章、软件使用说明62.1、软件安装62.2、系统登录62.3、系统初始化91、添加CA证书102、添加OP证书103、测试硬件104、修改PIN码102.4、系统设置111、设置定时查询和sping时间间隔112、设置服务器IP123、设置系统名称124、设置实时画面背景色125、设置默认布局132.5、节点管理141、增加区域节点：142、增加装置节点：153、编辑节点（地区或装置）164、删除节点（地区或装置）175、移动或复制节点172.6、装置管理181.装置查询功能182.装置管理功能223.其他功能282.7、系统服务311、启停定时查询312、查询系统日志323、Syslog日志分析324、装置时间同步33第三章、问题与解答34第四章、客户服务35第一章、产品简介1.1 简介SMC-2000装置管理系统（以下简称SMC）是南京南瑞集团信息系统公司为配合纵向加密认证装置的大规模部署和管理，遵循通用开放、功能齐全、运行稳定、简单易用和跨平台部署的设计原则，自主研制并推出的。SMC可为电力公司及下属单位所辖的加密认证装置提供集中的、在线的远程安全管理服务，它通过经认证加密的管理报文以在线方式实现对不同厂家的纵向加密认证装置的实时监测和管理。其部署示意图如下：图1.1 部署示意图1.2 物品清单u 标准1U服务器一台u 电源线两根u 网线一根u 串口线一根u 机箱钥匙一套u 智能卡两张u 使用手册一本u 光盘一张u 物品清单一张u 质检卡一张1.3 软件使用环境软件环境装有Java虚拟机（JDK1.6）的任何操作系统硬件环境CPU：1 GHz 32 位 (x86) 或 64 位 (x64) 内存：512 MB系统内存及以上显卡：标准VGA，24位真彩色 其它：光驱、鼠标第二章、软件使用说明2.1、软件安装SMC是基于Java虚拟机（JDK1.6）开发的软件产品，必须运行在Java虚拟机上，所以您的电脑必须先装光盘中附带的JDK1.6版本Java虚拟机。拷贝光盘中的smc-2000.jar，perties和Readme.txt三个文件至您的电脑中，请确保在同一目录下。其中smc-2000.jar是客户端主程序，perties是客户端配置文件，Readme.txt是客户端版本更新说明。2.2、系统登录请先确认客户端程序所在的电脑与装置管理系统服务器在网络上可达。用写字板程序打开pertier文件，修改ServerIP的值4为服务器的IP地址并保存。如下图所示：#Update SpingTime value-最新一次修改的配置项#Tue Apr 20 10:58:10 CST 2010-最新一次修改的时间ServerIP=4-服务端IP地址SysName=smc-2000-系统名字BGColor=-1-背景颜色PerformanceTime=5000-性能查询和流量查询的刷新时间（毫秒）ntpIP=3-NTP服务器IP地址SpingTime=20000-sping查询的查询间隔时间（毫秒）SocketTimeOut=5000-客户端与服务端通信的超时时间（毫秒）图2.2.1 配置文件双击smc-2000.jar启动客户端软件，出现如下界面，要求验证KEK卡：图2.2.2 KEK卡PIN码验证对话框请先在服务端读卡器上插入KEK卡，然后输入初始密码：1234abcd通过KEK卡验证后出现请求操作员卡PIN码验证对话框，如下图所示：图2.2.3 操作员卡PIN码验证对话框请在服务器读卡器上插入操作员卡，然后输入初始密码：1234abcd注意：如果连续三次输错KEK卡密码，则KEK卡会锁死失效，需要重新制作！如果连续三次输错操作员卡密码，客户端会自动退出。输入正确的密码后即成功登陆装置管理系统。下图为测试环境的一个截图，在此作为参考：图2.2.4 程序主界面图2.2.5 以列表方式显示装置节点界面说明： 图2.2.4是客户端主界面，上侧是菜单及快捷图标；左侧是所辖装置的树形结构；右侧上为实时动态图标显示，右侧下为实时信息滚动显示。其中表示装置节点sping查询正常，即网络上可达；表示装置节点sping查询不正常，可能是装置问题也可能是网络问题，需要排查。蓝线表示两台装置间隧道协商正常，红线表示隧道协商不正常或者还没进行隧道状态查询。 图2.2.5是图表显示的简化，以列表方式显示所辖节点。便于在节点多的情况下通过点击列表头实现排序，从而快速找到要查询的节点。红色背景表示装置节点sping查询不正常，可能是装置问题也可能是网络问题，需要排查。2.3、系统初始化您初次登陆系统后，首先需进行系统初始化操作。初始化操作的内容包括装置管理系统密钥对生成、证书请求文件导出等（证书请求文件导出后，由数字证书服务系统签发为装置管理系统的数字证书）。具体操作步骤如下：1) 点击“初始化”中的“系统密钥初始化”菜单，系统自动生成装置管理系统公私密钥对。2) 点击“初始化”中的“生成证书请求”菜单，填写好相应的内容后，生成证书请求文件。图2.3.1 初始化菜单图2.3.2 生成证书请求文件待证书系统签发好证书后，进行部分证书的导入工作，此操作通过“安全管理”来实现，在完成这一步骤后，系统将处于正常工作状态：图2.3.3 安全管理1、 添加CA证书CA证书是由证书系统签发的根证书，主要是用来验证加密装置证书。图2.3.4 添加CA证书2、 添加OP证书OP证书是由证书系统签发的操作员证书，用来验证操作员是否合法。添加对话框与上类似。3、 测试硬件可以通过客户端来检测服务端的加密卡和读卡器是否存在故障。4、 修改PIN码修改两张智能卡的密码，修改时需要插入相应的智能卡。2.4、系统设置 这里主要是对系统进行一些基本设置，如下图所示：图2.4.1 系统设置1、 设置定时查询和sping时间间隔共分三种查询，sping查询，设备状态查询和隧道状态查询。设置的时间间隔按节点数的多少而定。Sping查询一般设为一分钟以内，装置状态查询一般设为半小时左右，隧道状态查询一般设为一小时左右。图2.4.2 设置sping间隔图2.4.3 设置查询间隔2、 设置服务器IP用来设置登陆服务器的ip，作用与手动修改配置文件一样。图2.4.4 设置服务器IP地址3、 设置系统名称用来设置软件的标题栏显示的名称。图2.4.5 设置系统名称4、 设置实时画面背景色可以根据自己的喜好来设置背景色，默认是灰色。图2.4.6 设置背景色5、 设置默认布局在节点数量多而乱的情况下，可以通过这个功能来重新对节点进行布局。2.5、节点管理节点管理是指对装置管理系统所辖的装置按照不同的类别（地域、厂站级别或资产所属等）分类进行管理，即对主界面左边的树形结构进行增删改操作。图2.5.1 节点管理您可以通过主界面的节点管理菜单进行操作。具体的操作主要有增加区域节点、增加装置节点、删除选中节点、编辑选中节点、移动或复制选中节点等。同样，您也可以通过主界面左侧的树形列表右键菜单直接实现节点管理（右键菜单比“节点管理”菜单多了一个“移动或复制节点”菜单）。1、 增加区域节点：在界面左侧的树形列表中选中根节点或某个区域节点点击右键，选择增加区域节点操作，如下图所示。配置信息填写完成后，界面左侧树形列表会实时将新加入的区域节点显示出来。这里要注意的是“SMC地址”必须准确填写服务器的ip地址。此地址用来跟此区域节点下的纵向装置进行网络通信。若填错，将导致通信失败。图2.5.2 增加区域节点2、 增加装置节点：区域节点添加完成后，可以增加本区域所管辖的装置节点，按下图所示填入相关的信息。其中装置IP地址不可以重复，证书文件为所管理加密网关的设备证书，界面左侧树形列表会实时将新加入的装置节点显示出来。图2.5.3 增加装置节点添加区域节点和装置节点后，在装置管理系统操作界面的右侧点击相应的节点会实时地显示所属区域和装置的描述信息。3、 编辑节点（地区或装置） 在左侧树形结构上选择需要编辑的节点，右键选择编辑节点，如果选择的是区域节点，则在如下窗口中进行编辑：图2.5.4 编辑区域节点如果选择的是装置节点，则在如下窗口中进行编辑，可以对名称，ip，所属父节点，装置模式和装置证书进行修改：图2.5.5 编辑装置节点4、 删除节点（地区或装置） 删除节点分为删除区域节点和删除装置节点。如果需要删除区域节点，在装置管理系统主界面左侧选中相应区域节点，点击右键，然后选择“删除选中节点”。如果需要删除装置节点，在装置管理系统主界面左侧选中相应装置节点，点击右键，然后选择“删除选中节点”。注意：如果删除装置节点，则装置的隧道、策略信息也都会被删除。 如果删除选中区域节点，则该地区的子区域及子区域下的装置以及装置的信息都会被删除，因此执行此操作必须慎重考虑。图2.5.6 删除节点5、 移动或复制节点 此功能主要是为了方便用户修改装置节点的所属父节点，既可以直接修改父节点也可以生成个不同父节点下的备份，便于实时监控显示。如果您需要移动或复制装置节点，请在装置管理系统主界面左侧选中相应装置节点，点击右键，然后选择“移动或复制节点”。图2.5.7 移动或复制节点2.6、装置管理装置管理是指对装置管理系统所辖的纵向装置进行远程实时管理。可以在实时画面或列表中可选择节点，通过右键菜单进行操作。图2.6.1 装置管理装置管理包括如下内容：1. 装置查询功能l 装置状态查询在列表显示区需要查询的装置上点击右键，选择“加密装置查询”-“装置状态查询”。若网络或装置存在问题，则返回超时信息，如下图所示： 图2.6.2 查询装置状态超时提示框如成功，则返回相应的装置信息，如下图所示。图2.6.3 装置状态信息查询l 装置日志查询在列表显示区需要查询的装置上点击右键，选择“加密装置查询”-“装置日志查询”。有两种查询方式：按时间段查询和按条数查询。图2.6.4按时间段查询日志图2.6.5 按条数查询日志l 装置链路查询通过此功能，可以查看到装置上的链路情况，每条链路匹配到的隧道和策略也能全部列出来，能够帮助用户排查问题。图2.6.6 链路查询装置性能查询和流量查询 此功能能反映出装置的cpu和内存使用情况，以及加解密包数，实现对装置的实时监控。图2.6.7实时流量图图2.6.8实时性能图2. 装置管理功能此菜单下的子菜单能够实现对装置的各项配置的增删改查功能，以下一一介绍：l 系统配置系统配置主要是配置加密装置的装置管理系统地址，证书和日志审计服务器地址。图2.6.9 系统配置l 网络配置网络配置主要是配置加密装置的网卡地址（具体配置方法请参考加密装置使用说明书）图2.6.10 网络配置l 路由配置路由配置主要配置加密装置的路由规则，或者策略路由（具体配置方法请参考加密装置使用说明书）图2.6.11 路由配置l 装置隧道管理V1装置隧道管理包括查询隧道、遍历隧道、添加隧道、删除隧道、重置隧道、设置隧道工作模式等。这是装置管理系统使用最频繁的功能之一。a) 查询隧道在界面右侧的实时画面区，选中需要查询的装置，点击右键，选择装置隧道管理，如下图所示。在隧道管理主界面左侧显示的是装置的隧道列表，单击隧道号即可在右侧的界面中会实时显示出该条隧道的相关信息。如隧道的当前工作状态、工作模式、加解密报文统计等。隧道列表能通过点击表头进行升降序排列。图2.6.12 装置隧道管理主界面b) 添加隧道在上图所示的隧道管理主界面，选择“添加隧道”按钮，会弹出添加隧道界面，填写对端装置的IP地址、互备装置地址（没有互备则填写0）、工作模式等。图2.6.13 添加隧道点击“确认”后系统会弹出如下对话框，提示对端装置同步添加隧道：（本例是在装置1添加到装置3的隧道）图2.6.14 隧道同步点击“确定”，自动弹出对端装置的添加隧道对话框。注意：两端的隧道都添加完成后，还需要导入对端装置证书，进行协商通讯！请参见2.6.5证书替换。 c) 删除隧道在隧道管理主界面左侧选中相应的隧道号，点击“删除隧道”按钮，则会删除相关的隧道信息。d) 设置隧道工作模式隧道的工作模式分为明通、密通、选择性加密。在隧道管理主界面左侧选中相应的隧道号，点击“设置模式”按钮，将对隧道的工作模式进行设置，如下图所示。图2.6.15 设置隧道e) 遍历隧道遍历隧道用于将装置的所有相关隧道信息写入装置管理系统的数据库内，在装置添加新隧道或者初次查询装置隧道时请执行此操作。保存装置的隧道之后，就可以在实时界面中监控查询各个隧道的状态，观察隧道工作是否正常等。l 装置隧道管理V2此功能跟隧道管理V1差不多，区别在于V1侧重于查询单条隧道的详细信息，V2侧重于查询全部隧道的总览信息（增删改查功能与V1类似，这里不重复了）图2.6.16 隧道管理V2l 装置策略管理V1装置策略管理包括查询策略、添加策略、删除策略、保存策略等。策略从属于隧道，因此需要先选中相关的隧道后再进行策略的操作。这也是装置管理系统使用最频繁的功能之一。a) 查询策略在策略管理主界面左侧选中某条隧道，右侧就会列出所选隧道的所有安全策略，如下图所示。策略内容包括源起始地址、源终止地址、目标起始地址、目标终止地址、方向、协议、加密方式、源起始端口和源终止端口、目的起始端口和目的终止端口等。隧道列表能通过点击表头进行升降序排列。图2.6.17 隧道安全策略管理主界面b) 添加策略在策略管理主界面左侧选中相应的隧道号，点击“添加策略”按钮，如下图所示。图2.6.18 添加策略点击“确认”，弹框提示是否同步更新对端装置策略：图2.6.19 策略同步若需要同步更新，则自动转到对端装置的策略添加对话框。具体填写要求可以参考加密认证网关用户手册中的相关说明。c) 删除策略选择相应的策略号，点击“删除策略”按钮，删除选中的安全策略。删除完毕弹框提示修改对应策略。d) 编辑策略选择相应的策略号，点击“编辑策略”，即可修改策略各参数。删除完毕弹框提示修改对应策略。e) 复制策略选择相应的策略号，点击“复制策略”，即可以选中的策略为基础，进行必要修改后生成为新的策略。同“添加策略”,也会提示是否同步更新对端装置策略。l 装置策略管理V2此功能跟策略管理V1差不多，区别在于V1侧重于查询单条隧道上的策略信息，V2侧重于查询全部隧道上的全部策略信息（增删改查功能与V1类似，这里不重复了）图2.6.20 策略管理V23. 其他功能l 证书替换 装置管理系统支持采用加密管理报文对所管辖的纵向加密网关进行证书替换操作，如果选择的证书与已有证书名不重复，则为添加证书。替换证书操作用于对加密装置的的证书进行更新。在界面右侧的实时画面区，选中需要查询的装置，点击右键，选择“装置证书替换”，如下图所示图2.6.21 证书替换l 装置重启在所属区域加密网关出现异常或者需要调试时，可以使用此命令。装置重启成功或失败都会返回相应的消息。装置重启需要一段时间（大约20秒），等装置完全启动后，可以对装置进行其它的操作。图2.6.22 装置重启l 重置装置策略ID此功能用来整理加密装置的策略ID编号，特别在经过多次增删策略后。图2.6.23 重置装置策略IDl 导出规则备份此功能可以用来远程导出加密装置的规则备份，便于统一管理，便于加密装置出现问题后及时恢复。图2.6.24 导出规则备份l Syslog日志分析请参考2.7.3 syslog日志分析.2.7、系统服务系统服务主要是一些显示的设置，包括刷新实时画面，设置显示模式和设置自动查询选项。还包括日志查询和时间同步功能。图2.7.1 系统服务1、 启停定时查询启停定时查询是指对定时查询的项目进行设置，包括sping查询，装置查询和隧道查询。打勾表示停止。图2.7.2 启停定时查询这里的定时查询是指装置管理系统能够通过定时器自动去对所辖装置进行如上三种查询，并把装置的运行状态在右侧的实时画面中动态刷新。2、 查询系统日志查询系统日志包括用户操作的内容和相关操作的完成情况，可以手动的将这些日志信息删除。系统会以不同颜色区分不同类型的日志。查询结果能通过点击表头进行升降序排列。图2.7.3 系统日志查询3、 Syslog日志分析Syslog日志分析是指对各个加密装置发往装置管理系统的日志进行统计分析，能够分析出哪种类型的日志占的比重大；哪些加密装置操作频繁等等情况。图2.7.4 syslog的TOP10图2.7.5 查询到的syslog日志4、 装置时间同步此功能可以使装置管理系统跟NTP服务器进行对时，然后再把时间同步到所辖的各个加密装置，确保各个装置的时间是准确的。首先修改NTP服务器地址，然后点击“修改信息