MVS-工业防火墙产品技术培训

MVS工业防火墙产品技术培训

2015年7月内容纲要工业防火墙功能介绍FAQ工业防火墙典型配置案例MVS产品需求收集系统工业防火墙概述工业防火墙所涉及领域

制造业、资源、化工、交通、能源、金融行业安全事件

2010年：“网络超级武器”Stuxnet 2008年：荷兰地铁脱轨事件 2011年：美国伊利诺伊州供水系统破坏事件安全事件发生的原因

自动化建设早，重点注重物理安全

工业以太网推广、两化（信息化和工业化）融合趋势

工业防火墙硬件介绍硬件介绍工业环境中对硬件的要求无风扇宽温（-40-70℃）湿度（5％-95％无凝结）防护等级IP40（防尘不防水）产品型号星辰：201D、203D、1100R星云：F201D、F203D、F1100R

工业防火墙硬件介绍硬件产品导轨式F201D：二串口+二口以太网（bypass）

工业防火墙硬件介绍硬件产品导轨式F302D：二串口+五口以太网

串口以太网口（bypass）以太网口工业防火墙硬件介绍硬件产品机架式F1100R

适用于工业现场的机房环境工业防火墙功能介绍安全防护-模式全通模式

所有报文通过，安全策略不生效调试模式

所有报文通过，记录日志防护模式

根据策略进行流量匹配（通过或丢弃）工业防火墙功能介绍安全防护-安全策略具有方向性

基于接口进行策略控制基于MAC进行策略控制基于IP进行策略控制

工业防火墙功能介绍安全防护-策略动作允许

禁止DPI（只针对工业协议）

工业业防防火火墙墙功功能能介介绍绍安全全防防护护-协议议1工业业防防护护模型型（（内内置置知知名名工工业业厂厂商商协议议，，可可根根据据用用户户进进行行自自定定义义））工业业防防火火墙墙功功能能介介绍绍安全全防防护护-协议议2自定定义义协协议议（（新新增增二二层层协协议议））工业业防防火火墙墙功功能能介介绍绍安全全防防护护-协议议3预置置上上百百种种工工业业协协议议工业业防防火火墙墙功功能能介介绍绍安全全防防护护-协议议4预置置通通用用协协议议（（传传统统协协议议保保留留））动态态协协议议（（传传统统协协议议保保留留））工业业防防火火墙墙功功能能介介绍绍工业业DPI-OPCOPC核心心技技术术为为动动态态端端口口解解析析与与FTP协议议相相类类似似目前前OPC只实实现现了了底底层层端端口口解解析析未未做做应应用用层层数数据据过过滤滤工业业防防火火墙墙功功能能介介绍绍工业业DPI-Modbus-1基本本功功能能RESET回复复（（异异常常、、丢丢弃弃报报文文进进行行回回复复））异常常回回复复（（中中断断连连接接时时回回复复Modbus异常常功功能能码码））合规性性检检查查状态态检检查查工业防火火墙功能能介绍工业DPI-Modbus-2过滤机制制黑白名单单机制（（非白即即黑）单/多个功能能码进行行控制功能码输输入范围围进行细细粒度控控制工业防火火墙功能能介绍工业DPI-IEC104控制报文文类型/事件（五五遥一脉脉）遥调、遥遥控、遥遥信、遥遥测、遥视、遥脉控制帧格式S、I、U（I：数据帧帧为、S：确认帧帧、U：保活帧帧）细粒度控控制信息体地地址控制制控制值进进行控制制工业防火火墙功能能介绍串行DPI-1串行链路路之Modbus协议议本本身身无无变变化化，，只只是是物物理理媒媒介介为为串串行行总总线线串行行接接口口为为console切换换为为通通信信口口管理理与与通通信信不不能能同同时时共共存存机架架式式设设备备不不支支持持工业业防防火火墙墙功功能能介介绍绍串行行DPI-2ModbusRTU配置置异：：需需要要指指定定Master接口口同：：与与以以太太网网共共用用Modbus策略略模模块块工业业防防火火墙墙功功能能介介绍绍工业业VPN工业业VPN=IPSecVPN（裁剪版）支持sitetosite模式支持预共享秘秘钥认证支持国际算法法工业防火墙功功能介绍高可用性HA只支持主备模模式内容纲要工业防火墙功能介绍FAQ工业防火墙典型配置案例MVS产品需求收集系统登录管理界面面WEB管理工业防火火墙浏览器证书导入设备随机光盘盘找到工业防防火墙管理证证书，拷贝到到管理PC上，本地双击击证书，按照提示进进行安装，需需要输入密码时输入“hhhhhh”或“123456”，当出现导入成功后点击击确定完成。登录管理界面面WEB管理VPN登录管理页面面Pc与设备的eth0或eth1相连（eth0与eth1出厂默认在brg0中）管理PC配置IP：00/24(VPN默认管理主机机)IE浏览器输入54:8889弹出证书选择择时，选择刚刚导入浏览器器的证书登录用户名：：administrator、密码默认为lion@LL99Modbus配置拓朴工业防火墙透透明接入用二台pc安装Modbus防真软件模拟拟流量IFWModbus-slaveModbus-mastereth0eth1IP:00IP:01Modbus配置Modbus配置思路-1了解用户组网网，我们设备备以何种模式式接入用户现场流量量分布用户现场Modbus协议策略实现现是否需要产生生日志及日志志采集方式Modbus配置Modbus配置思路-2配置基本网网络（（接口口IP、路由由、模块制制授权权）新建Modbus策略（（此实实例中中只放放行功功能码码1、2）新建防火墙墙策略略（引引用Modbus策略））产生日日志，，日志志保存存在本本地Modbus配置第一步步：基基本网网络配配置1）设备备透明明接入入（eth0与eth1加入入到到brg0中））2）开开户户Modbus模块块许许可可。。Modbus配置置第二二步步：：添加加Modbus策略略工业业DPI>>Modbus>>“新新建建””采采用用白白名名单单方方式式允允许许功功能能码码1和2通过过，，丢丢弃弃其其它它所所有有Modbus流量量Modbus配置置第三三步步：：添加加防防火火墙墙规规则则安全全防防护护>>“资产产”新新建建Modbus_slave地址址为为01，Modbus_master地址为00Modbus配置第四步：添加防火火墙策略略安全防护护>>安全策略略新建策略并引引用Modbus策略，动动作为DPI、记录日日志新建策略选择感兴兴趣流（（资产））并配置置流量方方向选择预置置工业协协议（Modbus-tcp）选择策略略方向（（DPI）并引用用Modbus策略记录日志Modbus配置第五步：：测试-slave配置测试PC-slave配置，以以功能码码1为例Modbus配置第六步：：测试-Master配置测试PC-Master配置，以以功能码码1为例Modbus配置第七步：：测试在PC-Master软件poll上查看功功能码1和2连接成功功，功能能码3和4未连接成成功在防火墙墙上查看看日志，，功能码码1和2的流量通通过，功功能码3和4的流量被被丢弃ModbusRTU配置拓朴工业防火火墙串行行总线接接入用二台pc安装Modbus防真软件件模拟流流量（RS-232)IFWModbus-slaveModbus-masterttyS1ttyS0consoleconsoleModbus配置Modbus配置思路路-1RS-232不受防火火墙策略略控制，，不考虑虑防火墙墙模式串行总线线流量分分布（单单一流量量）用户现场场Modbus协议策略略实现是否需要要产生日日志及日日志采集集方式Modbus配置Modbus配置思路路-2配置基本网络络（接口波特特率、数数据位、、校验等等）新建Modbus策略（此此实例中中只放行行功能码码1、2）策略配置置（指定定Master接口，并并引用DPI策略）产生日志志，日志志保存在在本地ModbusRTU配置第一步：基本本网络配置1）设备串行接接入（CONSOLE1与CONSOLE2分别与pc的COM口相连）2）开户ModbusRTU模块许可。ModbusRTU配置第二步：添加ModbusRTU策略串行DPI>>ModbusRTU>>“新建”采用用白名单方式式允许功能码码1和2通过，丢弃其其它所有Modbus流量ModbusRTU配置第三步：接口设置串行DPI>>接口设置““切换工作模模式”将串口口管理模式配配置为通信模模式波特率、数据据位、奇偶校校验等与用户户现场设备保保持一致ModbusRTU配置第四步：策略略配置串行DPI>>ModbusRTU设置master接口、引用DPI策略、记录日日志master接口设置：master接口端对应ModbusRTU设备的“master”端，别一个个接口对应slave端。此应用实例例中CONSOLE0与master设备相连，CONSOLE1与slave设备相连ModbusRTU配置第五步：测试试-slave配置测试PC-slave配置，以功功能码1为例Modbus配置第六步：测测试-Master配置测试PC-Master配置，以功功能码1为例Modbus配置第七步：测测试在PC-Master软件poll上查看功能能码1和2连接成功，，功能码3和4未连接成功功在防防火火墙墙上上查查看看日日志志，，功功能能码码1和2的流流量量通通过过，，功功能能码码3和4的流流量量被被丢丢弃弃内容容纲纲要要VPN功能介绍FAQVPN典型配置案例MVS产品需求收集系统MVS需求求收收集集系系统统使使用用MVS已创创建建产产品品需需求求收收集集系系统统，，各各办办事事处处可可将将用用户户提提出出的的需需求求提提交交给给公公司司，，也也可可对对比比其其它它产产品品将将本本公公司司产产品品功功能能不不满满足足之之处处提提出出，，待待审审核核之之后后会会及及时时给给出出答答复复，，若若需需求求被被采采纳纳，，将将会会有有礼礼品品赠赠送送！！MVS需求求收收集集系系统统使使用用提交交方方式式：：访问问公公司司VPN地址址：：84使用用各各自自的的VPN账号号或或使使用用需需求求收收集集账账号号进进行行认认证证：：用户户名名：：xuqiu密码码：：xuqiu选择择MVS产品品需需求求收收集集管管理理系系统统MVS需求求收收集集系系统统使使用用进入入需需求求系系统统之之后后选选择择““需需求求列列表表””》“新新增增””将标标题题、、产产品品线线、、需需求求方方、、作作者者、、描描述述清清楚楚即即可可提提交交需需求求，，待待审审核核之之后后会会及及时时回回复复内容容纲纲要要VPN功能介绍FAQVPN典型配置案例MVS产品需求收集系统FAQ1.管理理端端访访问问不不了了？本地PC的IP是否是是00本地PC是否能能ping通VPN设备brg0口本地PC浏览器器是否否导入入了正正确的的管理理员证证书。。2.防火墙墙策略略不生生效？？防火墙墙模式式是否否为防防护模模式FAQ3.源目的的相同同的Modbus策略不向下下匹配配。新建二二条Modbus策略M1与M2，M