工业防火墙产品技术培训课件

MVS工业防火墙产品技术培训

2015年7月内容纲要工业防火墙功能介绍FAQ工业防火墙典型配置案例MVS产品需求收集系统工业防火墙概述工业防火墙所涉及领域

制造业、资源、化工、交通、能源、金融行业安全事件

2010年：“网络超级武器”Stuxnet 2008年：荷兰地铁脱轨事件 2011年：美国伊利诺伊州供水系统破坏事件安全事件发生的原因

自动化建设早，重点注重物理安全

工业以太网推广、两化（信息化和工业化）融合趋势

工业防火墙硬件介绍硬件介绍工业环境中对硬件的要求无风扇宽温（-40-70℃）湿度（5％-95％无凝结）防护等级IP40（防尘不防水）产品型号星辰：201D、203D、1100R星云：F201D、F203D、F1100R

工业防火墙硬件介绍硬件产品导轨式F201D：二串口+二口以太网（bypass）

工业防火墙硬件介绍硬件产品导轨式F302D：二串口+五口以太网

串口以太网口（bypass）以太网口工业防火墙硬件介绍硬件产品机架式F1100R

适用于工业现场的机房环境工业防火墙功能介绍安全防护-模式全通模式

所有报文通过，安全策略不生效调试模式

所有报文通过，记录日志防护模式

根据策略进行流量匹配（通过或丢弃）工业防火墙功能介绍安全防护-安全策略具有方向性

基于接口进行策略控制基于MAC进行策略控制基于IP进行策略控制

工业防火墙功能介绍安全防护-策略动作允许

禁止DPI（只针对工业协议）

工业防火墙墙功能介绍绍安全防护-协议1工业防护模型（内置置知名工业业厂商协议，可根根据用户进进行自定义义）工业防火墙墙功能介绍绍安全防护-协议2自定义协议议（新增二二层协议））工业防火墙墙功能介绍绍安全防护-协议3预置上百种种工业协议议工业防火墙墙功能介绍绍安全防护-协议4预置通用协协议（传统统协议保留留）动态协议（（传统协议议保留）工业防火墙墙功能介绍绍工业DPI-OPCOPC核心技术为为动态端口口解析与FTP协议相类似似目前OPC只实现了底底层端口解解析未做应应用层数据据过滤工业防火墙墙功能介绍绍工业DPI-Modbus-1基本功能RESET回复（异常常、丢弃报报文进行回回复）异常回复（（中断连接接时回复Modbus异常功能码码）合规性检查状态检查工业防火墙墙功能介绍绍工业DPI-Modbus-2过滤机制黑白名单机机制（非白白即黑）单/多个功能码码进行控制制功能码输入入范围进行行细粒度控控制工业防火墙墙功能介绍绍工业DPI-IEC104控制报文类类型/事件（五遥遥一脉）遥调、遥控控、遥信、、遥测、遥视、遥脉控制帧格式S、I、U（I：数据帧为为、S：确认帧、、U：保活帧））细粒度控制制信息体地址址控制控制值进行行控制工业防火墙墙功能介绍绍串行DPI-1串行链路之之Modbus协议本身无无变化，只只是物理媒媒介为串行行总线串行接口为为console切换为通信信口管理与通信信不能同时时共存机架式设备备不支持工业防火墙墙功能介绍绍串行DPI-2ModbusRTU配置异：需要指指定Master接口同：与以太太网共用Modbus策略模块工业防火墙墙功能介绍绍工业VPN工业VPN=IPSecVPN（裁剪版））支持sitetosite模式支持预共享享秘钥认证证支持国际算算法工业防火墙墙功能介绍绍高可用性HA只支持主备备模式内容纲要工业防火墙功能介绍FAQ工业防火墙典型配置案例MVS产品需求收集系统登录管理界界面WEB管理工业防防火墙浏览器证书导入设备备随随机机光光盘盘找找到到工工业业防防火火墙墙管管理理证证书书，，拷拷贝贝到到管管理理PC上，，本本地地双双击击证证书书，按按照照提提示示进进行行安安装装，，需需要要输输入入密码码时输输入入“hhhhhh”或““123456”，，当出出现现导导入成成功功后后点点击击确定定完完成成。。登录录管管理理界界面面WEB管理理VPN登录录管管理理页页面面Pc与设设备备的的eth0或eth1相连连（（eth0与eth1出厂厂默默认认在在brg0中））管理理PC配置置IP：00/24(VPN默认认管管理理主主机机)IE浏览览器器输输入入54:8889弹出出证证书书选选择择时时，，选选择择刚刚导导入入浏浏览览器器的的证书书登录录用用户户名名：：administrator、密码码默认认为为lion@LL99Modbus配置置拓朴朴工业业防防火火墙墙透透明明接接入入用二二台台pc安装装Modbus防真真软软件件模模拟拟流流量量IFWModbus-slaveModbus-mastereth0eth1IP:00IP:01Modbus配置置Modbus配置置思思路路-1了解解用用户户组组网网，，我我们们设设备备以以何何种种模模式式接接入入用户户现现场场流流量量分分布布用户户现现场场Modbus协议议策策略略实实现现是否否需需要要产产生生日日志志及及日日志志采采集集方方式式Modbus配置置Modbus配置置思思路路-2配置置基本本网网络络（（接接口口IP、路路由由、模块块制制授授权权）新建建Modbus策略略（（此此实实例例中中只只放放行行功功能能码码1、2）新建建防火火墙墙策策略略（（引引用用Modbus策略略））产生生日日志志，，日日志志保保存存在在本本地地Modbus配置置第一一步步：：基基本本网网络络配配置置1）设设备备透透明明接接入入（（eth0与eth1加入入到到brg0中））2）开开户户Modbus模块块许许可可。。Modbus配置置第二二步步：：添加加Modbus策略略工业DPI>>Modbus>>“新建”采用用白名单方式式允许功能码码1和2通过，丢弃其其它所有Modbus流量Modbus配置第三步：添加防火墙规规则安全防护>>“资产”新建Modbus_slave地址为01，Modbus_master地址为00Modbus配置第四步：添加防火墙策策略安全防护>>安全策略新建策略并引用Modbus策略，动作为为DPI、记录日志新建策略选择感兴趣流流（资产）并并配置流量方方向选择预置工业业协议（Modbus-tcp）选择策略方向向（DPI）并引用Modbus策略记录日志Modbus配置第五步：测试试-slave配置测试PC-slave配置，以功能能码1为例Modbus配置第六步：测试试-Master配置测试PC-Master配置，以功能能码1为例Modbus配置第七步：测试试在PC-Master软件poll上查看功能码码1和2连接成功，功功能码3和4未连接成功在防火墙上查查看日志，功功能码1和2的流量通过，，功能码3和4的流量被丢弃弃ModbusRTU配置拓朴工业防火墙串串行总线接入入用二台pc安装Modbus防真软件模拟拟流量（RS-232)IFWModbus-slaveModbus-masterttyS1ttyS0consoleconsoleModbus配置Modbus配置思路-1RS-232不受防火墙策策略控制，不不考虑防火墙墙模式串行总线流量量分布（单一一流量）用户现场Modbus协议策略实现现是否需要产生生日志及日志志采集方式Modbus配置Modbus配置思路-2配置基本网络（接口波特率、、数据位、校校验等）新建Modbus策略（此实例例中只放行功功能码1、2）策略配置（指指定Master接口，并引用用DPI策略）产生日志，日日志保存在本本地ModbusRTU配置第一步：基本本网络配置1）设备串行接接入（CONSOLE1与CONSOLE2分别与pc的COM口相连）2）开户ModbusRTU模块许可。ModbusRTU配置第二步：添加ModbusRTU策略串行DPI>>ModbusRTU>>“新建”采用用白名单方式式允许功能码码1和2通过，丢弃其其它所有Modbus流量ModbusRTU配置第三步：接口设置串行DPI>>接口设设置““切切换工工作模模式””将串串口管管理模模式配配置为为通信信模式式波特率率、数数据位位、奇奇偶校校验等等与用用户现现场设设备保保持一一致ModbusRTU配置第四步步：策策略配配置串行DPI>>ModbusRTU设置master接口、、引用用DPI策略、、记录录日志志master接口设设置：：master接口端端对应应ModbusRTU设备的的“master”端，，别一一个接接口对对应slave端。此应应用实实例中中CONSOLE0与master设备相相连，，CONSOLE1与slave设备相相连ModbusRTU配置第五步步：测测试-slave配置测试PC-slave配置，，以功功能码码1为例Modbus配置第六步步：测测试-Master配置测试PC-Master配置，，以功功能码码1为例Modbus配置第七步步：测测试在PC-Master软件poll上查看看功能能码1和2连接成成功，，功能能码3和4未连接接成功功在防火火墙上上查看看日志志，功功能码码1和2的流量量通过过，功功能码码3和4的流量量被丢丢弃内容纲纲要VPN功能介绍FAQVPN典型配置案例MVS产品需求收集系统MVS需求收收集系系统使使用MVS已创建建产品品需求求收集集系统统，各各办事事处可可将用用户提提出的的需求求提交交给公公司，，也可可对比比其它它产品品将本本公司司产品品功能能不满满足之之处提提出，，待审审核之之后会会及时时给出出答复复，若若需求求被采采纳，，将会会有礼礼品赠赠送！！MVS需求收收集系系统使使用提交方方式：：访问公公司VPN地址：：84使用各各自的的VPN账号或或使用用需求求收集集账号号进行行认证证：用户名名：xuqiu密码：：xuqiu选择MVS产品需需求收收集管管理系系统MVS需求收收集系系统使使用进入需需求系系统之之后选选择““需求求列表表”》“新增增”将标标题、、产品品线、、需求求方、、作者者、描描述清清楚即即可提提交需需求，，待审审核之之后会会及时时回复复内容纲纲要VPN功能介绍FAQVPN典型配置案例MVS产品需求收集系统FAQ1.管理端端访问问不了了？本地PC的IP是否是是00本地PC是否能能ping通VPN设备brg0口本地PC浏览器器是否否导入入了正正确的的管理理员证证书。。2.防火墙墙策略略不生生效？？防火墙墙模式式是否否为防防护模模式FAQ3.源目的的相同同的Modbus策略不向下下匹配配。新建二二条Modbus策略M1与M2，M1放行功功能码码1，M2放行功功能码码2；新建二二条安安全策策略源源目的的地址址相同同，P1引用Modbus策略M1，P2引用M2；此时只只有功功能码码为1的Modbus流量可可以通通过；；若要对对多个个功能能码做做精细细化防防护只只能在在一条条ModbusDPI策略中中实现现；工业环环境中中Modbus设备独独享IPFAQ4.IEC104模块LicenseI