#原创分享#银行实施方案
  

新手769346 51702人觉得有帮助

{{ttag.title}}
本帖最后由 4AM 于 2020-11-7 20:43 编辑



一、项目背景
  XX银行
业务流程:
1.     XX银行应用系统发起请求,请求包先到安全网关SSL,由安全网关负载2台验签服务器,验签服务器进行签名验证之后,在转发给业务系统,到这一块验签完成了(验签的数据是HTTP)。
对应的虚拟服务配置:既可以配置四层TCP虚拟服务 或者7层虚拟服务,对应的节点池地址为验签服务器的地址和端口轮询算法以及源ip会话保持。
XX银行访问社保过程:
2.业务系统将数据包转发给前置服务器,前置机在将数据包(数据包是TCP/IP协议,socket进行通信)交给安全网关,由安全网关进行加密(双向认证)发送给xx局那边进行卸载验签在返回来;
对应的虚拟服务配置:配置七层TCP协议进行加密,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX局给的专线地址和端口,轮询算法以及源ip会话保持。
2.     sftp数据加密。XX银行前置机需要去访问XX局的sftp服务器,会先访问安全网关,由安全网关进行加密(双向认证)
对应的虚拟服务配置:配置七层TCP协议进行加密,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX局给的专线地址和端口。轮询算法以及源ip会话保持。

3.     XX局去访问XX银行数据,由安全网关SSL做卸载,将数据包由SSL卸载变成TCP数据流在转发给前置机。
对应的虚拟服务配置:配置七层SSL协议进行卸载,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX银行前置机,轮询算法以及源ip会话保持。
1、确认设备型号
国密设备与普通设备在软硬件及功能上均存在较大差别,普通AD设备无法通过升级或定制支持国密。我司支持做SSL加解密的SSL安全网关型的SJJ设备有以下几种型号:

①  SJJ-1823(4电8光2万兆)
②  SJJ-1824(6电4光)

除了以上几款型号之外其他的设备都不属于支持国家商用密码标准的SSL安全网关,不能用于国密应用的加解密。所以在确认要使用国密的项目中首先要确认设备型号是否是这两款设备,若不是则要尽早确认是否使用国家商用密码标准算法或更换设备。

2、确认随机附件
国密设备因为管理的特殊性,除了常见的耳片、网线、电源线外还有其他几样重要的配件下面将一一予以说明:

1)       加密卡IC卡或UKEY

一种国密型号的设备,会对应几个管理国密加密卡的UKEY或IC卡(初始密码均为:12345678),根据产品平台不同,设备会配置IC卡或UKEY,两种形式的设备仅外部形式不同,但使用方式与功能基本相同。主要功能是验证管理员或操作员身份以使用国密相关功能。
如果是KEY那么会是至少2个蓝色的UKEY,一个管理UKEY,一个备份UKEY
如果是IC卡,一般是4IC卡,3张管理员IC卡,1张操作员IC卡;
管理员与操作员的权限划分如下:
  
管理类别
  
操作项
所需权限
权限管理
查看登录状态
查看权限设置表
增加第一个管理员
增加管理员
管理员权限
删除管理员
管理员权限
增加操作员
管理员权限
删除操作员
管理员权限
密钥管理
查看密钥对状态
操作员权限
产生密钥对
管理员权限
删除密钥对
管理员权限
导入密钥对
管理员权限
设置私钥访问控制码
管理员权限
备份恢复
密钥备份
管理员权限
密钥恢复
管理员权限
管理员IC卡基本等价于管理UKEY,操作员IC卡基本等价于备份UKEY,因为IC卡步骤稍多且最常见,在后文的叙述中以IC卡的操作为例。
因为备份恢复操作对管理员顺序有要求,建议准备带编号的标签纸将管理员IC卡或KEY进行标记以区分3个管理员。
在有多个管理员的环境下,登录一半以上的管理员即可获得管理员权限
国密设备激活后将一直保持激活状态直到设备关机,重启后设备处于非激活状态,在该状态下,国密功能不能使用其他功能不受影响,此时需要插上UKEYIC卡登录用户,直至设备具有管理员权限或操作员权限后才能。
综上所述需要把操作员KEYIC卡保持插入到设备上,在设备重启后才能直接登录相关用户权限,否则将要去机房插IC卡才能正常使用国密相关功能;严重影响故障恢复时间。
2)       用户登录KEY
另外还会随设备带有3枚红色KEY,它的功能是在登录设备控制台时将用户名密码与KEY结合一起使用登录,以实现用户登录的双因子,需要注意的是。
用户启用了KEY认证之后,一定记得要让客户保留好KEY,如果相对应的红色的KEY丢失,就会导致登不上设备控制台;

是否启用请与客户沟通清楚。不启用KEY认证直接使用超级admin的账号,是可以对设备设备进行操作以及功能使用。对设备的使用不受影响。在设备初始化及使用前期建议尽量不要先使用红色KEY便于管理及调整设备,后续满足国密检查要求或进行三权分立时再分配系统管理员、安全管理员、审计管理员三权并关联登录UKEY,本文中不讨论该UKEY的使用。
SSL密钥管理:插入key之后,先验证主控芯片,密码为12345678;在用户管理使用管理员登录,密码为12345678
98495fa50dbc79b09.png
846285fa50dca3d591.png
四、配置指导
生成证书请求
因为XX局有一套自身的证书签发系统,导入我们设备生成的.csr请求后,生成相关证书文件。所以是首先要生成证书请求。在设备上生成证书请求的方式如下
在《SSL》设置内选择《SSL证书》点击添加
532215fa50e0d2c797.png
选择添加证书请求,填写上用户的相关信息,注意的是证书的颁发给要写该业务的系统的域名,也就是我们在前文环境准备中准备好的给该业务系统使用的域名或者IP

点击下一步会生成相应的证书请求,导出CSR文件交给客户,客户能使用该证书请求生成证书。
121665fa50e2e93b17.png
4、拿到相应证书

将上文生成的csr请求交到客户,客户将在其证书系统上申请证书,申请后将获取到以下信息:
132825fa50e45190f6.png
但仅有以上信息还不行,还需要证书链,客户端会给你以下的证书链
5、合成完整证书链
因为设备导入处仅能导入单个文件,为了保证将完整的证书链都导入设备需要将3张证书合成一个完整的证书链文件,合成完整证书链文件的操作方式如下。国密与RSA的合成方式相同。合成完成后将得到国密完整的证书链文件
1)               将证书安装在PC上
双击打开证书并点击安装证书
710595fa50e5f19129.png


、在证书向导中选择手动将证书存放在《受信任的根证书颁发机构》中,完成证书导入工作。
955285fa50e7e9c7ed.png
57935fa50e8ed525c.png
按上述方式完成三张证书的导入工作。

2)               导出.cer格式证书文件

在运行中运行certmgr.msc打开证书管理器,并找到这3张证书,并确认证书的相关信息正确即:总根为自签名证书,颁发者与颁发给相同;子根的颁发者为总根;签名证书的颁发者为子根
884775fa50ead3acb0.png
选择证书并右键选择《所有任务》——《导出》按照下文所述方式将3张证书导出为.cer格式证书文件。
785405fa50ec390295.png
933135fa50ed0cd104.png
222195fa50ee2e81fc.png
、导出成功后,原有的两个个证书文件将变为两个.cer的证书文件
209945fa50ef8ee985.png
3)               合成完整证书链

将签名证书,子根,总根三张证书以及加密证书以及子根总根用NotePad++或记事本等编辑软件分别打开合成。
331595fa50f1364d99.png
建一个记事本文件并按照总根-子根-签名证书(如果出现公钥私钥不一致,合成顺序调整为 签名证书-子根-总根)的顺序粘贴在新建的记事本中。
210255fa50f352f27b.png
将上证书导入设备。
证书合成完毕后就能导入设备上可以使用了。

首先在设备上找到之前的生成的证书请求可以看到是处于【缺少证书】的状态,打开该请求并进入下一步,将合成好的证书粘贴到【接收到的签名证书】栏中。点击完成。
584495fa50f4dd00b6.png
完成后设备上看,之前显示处于【缺少证书】的状态变成了【完整】双机点开该证书可以看大是一个完整的证书了。


加密证书:采用导入的方式,采用notepad++将加密证书,子根 总根合成,导入公钥和私钥
935535fa50f9d04614.png
334335fa50faf402a4.png
基础网络配置:配置接口ip地址以及开启wan口入站路由转发等功能(省略)
7、配置SSL卸载策略与加密策略并关联虚服务
证书完成后即需要使用策略关联证书已实现应用的加解密。
创建SSL策略,RSA服务器证书选择前面配置的RSA签名证书,国密服务器证书选择前面配置的国密签名与加密证书。因为要验证客户端的合法性需要启用客户端验证,并选择前面配置的CA证书。其余参数保持默认即可。
SSL卸载策略配置如下:
401475fa50ff702c5c.png
608285fa510032c3c8.png
SSL加密策略配置如下:
239625fa5101fa5715.png
配置SLL虚拟服务

1.XX银行应用系统发起请求,请求包先到安全网关SSL,由安全网关负载2台验签服务器,验签服务器进行签名验证之后,在转发给业务系统,到这一块验签完成了(验签的数据是HTTP)。

对应的虚拟服务配置:既可以配置四层TCP虚拟服务 或者7层虚拟服务,对应的节点池地址为验签服务器的地址和端口,轮询算法以及源ip会话保持。
245535fa5104a08c6b.png
2.XX银行业务系统将数据包转发给前置服务器,前置机在将数据包(数据包是TCP/IP协议,socket进行通信)交给安全网关,由安全网关进行加密(双向认证)发送给XX局那边进行卸载验签在返回来;
对应的虚拟服务配置:配置七层TCP协议进行加密,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX局给的专线地址和端口,轮询算法以及源ip会话保持。
557205fa5109632f94.png
3.sftp数据加密。XX银行前置机需要去访问XX局的sftp服务器,会先访问安全网关,由安全网关进行加密(双向认证)
对应的虚拟服务配置:配置七层 TCP服务进行加密,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX局给的专线地址和端口。轮询算法以及源ip会话保持。
920295fa510aed0228.png
4.     XX局去访问银行数据,由安全网关SSL做卸载,将数据包由SSL卸载变成TCP数据流在转发给前置机。
对应的虚拟服务配置:配置七层SSL协议进行卸载,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX银行前置机,轮询算法以及源ip会话保持。

打赏鼓励作者,期待更多好文!

打赏
31人已打赏

新手885392 发表于 2020-11-9 23:11
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
新手650001 发表于 2020-11-11 09:16
  
图文并茂,方案很详细,
酒慰风尘 发表于 2020-11-11 18:36
  
很详细的方案,值得学习
新手170263 发表于 2020-11-11 18:47
  

评论是对作者最大的鼓励! +8 S豆 详情>

感谢分享
guafeng00 发表于 2020-11-11 18:54
  
分享辛苦,谢谢
新手260505 发表于 2020-11-12 09:04
  
很详细的方案,值得学习
yim 发表于 2020-11-12 09:05
  
非常感谢分享
新手650001 发表于 2020-11-12 09:10
  
我看到比任务还早,方案很详细  干活满满
angelccn 发表于 2020-11-12 09:13
  
图文很详细,感谢分享
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
产品连连看
新版本体验
自助服务平台操作指引
安装部署配置
秒懂零信任
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
通用技术
技术晨报
社区帮助指南
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人