《工业互联网网络互联技术》 课件 任务2.5 配置工业网络安全设备

任务5配置工业网络安全设备任务描述：在工业网络中，利用工控边界防护设备对OT网与IT网或互联网之间的边界进行安全防护，禁止OT网直接与IT网或互联网连接，进而提升工控网络的安全性。本任务主要围绕防火墙、工业网闸等进行介绍，为读者具备后续实现部署工业现场网络提供工业防火墙配置的能力。任务5配置工业网络安全设备1.认识工业防火墙防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。任务5配置工业网络安全设备工业防火墙主要使用在工控安全领域，其主要作用是保护工业控制系统不受恶意攻击和意外故障的影响，同时保证工业控制系统的数据传输的保密性、完整性和可用性。任务5配置工业网络安全设备工业防火墙的功能除了具备传统防火墙的安全功能之外，最大的区别点在于内置工业通信协议的解析和过滤功能，可针对工业协议采用深度的包检测技术和应用层通信跟踪技术，做到对非法指令的阻断、非工控协议的拦截，以起到保护控制器的功能。工业防火墙一般部署在每个独立的生产单元的边界，且具备Bypass机制，其延时一般只是微秒级。任务5配置工业网络安全设备工业防火墙相比于传统防火墙能更好地满足工业现场的特殊要求，其在工业现场中的作用主要包括以下几个方面。①网络数据安全保障②业务网络策略制定③功能扩展④性能优化任务5配置工业网络安全设备①网络数据安全保障工业防火墙能够对物理网络进行安全分区，对工业控制系统（ICS）进行网络安全保护，避免非法入侵和计算机病毒的攻击，保护ICS系统的数据安全和完整性。任务5配置工业网络安全设备②业务网络策略制定工业防火墙具备在TCP/IP协议栈、端口层和应用层等多个层面上进行策略禁止和授权的能力，可以允许或拒绝从不同的IP地址和子网网络访问公用网络和厂商内部站点、限制不同协议、端口和应用程序使用，保障工业应用网络的稳定和安全。任务5配置工业网络安全设备③功能扩展工业防火墙通常具有VPN、负载均衡、DDoS攻击防御、反垃圾邮件、反病毒、审计和日志记录接口，从而进一步扩展网络设备的功能，提高网络设备的可靠性、功能性和应用性。任务5配置工业网络安全设备④性能优化工业防火墙具有优化和安全强特性的处理器，能够提高数据传输的速度和效率，并对网络负载进行平衡控制，提升网络传输速度和性能。而且支持实时报警和实时统计，同时对网络流量进行持久的流量统计，从而分析网络流量的来源和结构，为其他设备提供性能保障。任务5配置工业网络安全设备工业防火墙不仅能够保证工业网络的数据安全性、完整性和流畅性，还能为工业应用提供全面的网络数据保护支持，进而为工业控制系统的稳定运营和数字化转型提供了绿色通道。任务5配置工业网络安全设备2.认识工业网闸工业网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。任务5配置工业网络安全设备工业网闸为2+1的结构，及前后主机+隔离硬件，防火墙是单主机系统。工业网闸在数据交换时所有数据需要落地转换，数据进入摆渡区之前要经过彻底的协议剥离，到了后主机上再进行数据封装，故不存在内外网之间的回话，连接终止于内外网主机。针对工业场景的特殊要求，工业网闸在保证安全隔离的前提下，实现生产网与企业网之间的数据安全交换，满足国家及行业对于安全隔离相关政策法规要求。任务5配置工业网络安全设备工业网闸通过对工业数据的访问进行控制，有效防范恶意攻击和敏感信息泄漏，保障生产网与企业网隔离的同时，实现安全、高速、可靠的数据交换。工业网闸主要对工业网络边界进行安全防护，实现生产网与企业网间的物理隔离，彻底切断网络中木马、蠕虫等恶意程序的传播，保护工业网络中关键设施的安全，提升了工业网络边界的安全防护能力。任务5配置工业网络安全设备工业网闸一般部署在办公网和业务网之间，高安全与低安全区域之间，其功能主要为文件同步、数据库同步、组播工控协议等。工业网闸相比于普通网闸，最大的区别就在于能识别和过滤工业通信协议。任务5配置工业网络安全设备工业网闸和工业防火墙都是工业网络安全设备，它们的主要任务是保护工业网络的安全性和稳定性，防御网络攻击和恶意软件的侵入。虽然两者目标相同，但是它们的工作原理和应用场景有所不同，主要区别一般包括以下几个方面。①不同功能面向②不同应用场景③安全策略选择任务5配置工业网络安全设备①功能方面工业网闸主要工作在数据链路层或传输层，它能够隔离和管理网络流量，并控制从一个网络到另一个网络的数据传输，对上层应用程序没有太多的影响；而工业防火墙则能够支持更高层次的协议过滤和应用过滤，能够检测和过滤一些应用层数据，如HTTP、FTP、SMTP等。工业防火墙是一种基于策略实现安全防护的设备，会根据规定的策略来控制数据的流动。因此，不同的功能面向，决定了其应用场景的差异。任务5配置工业网络安全设备②应用场景工业网闸一般用于在层次化的工业网络中调节流量和隔离不同区域来保障协议和数据的安全性，而工业防火墙一般用于保障专属工业控制网络的通信安全，通常应用于核心区域和重点设备之间的交互区域，或在公网与工业控制网之间部署的边界位置。任务5配置工业网络安全设备③安全策略工业网闸最强大的功能之一，就是物理隔离和逻辑分区，根据不同的网络规则来过滤网络流量，限制不必要的数据流，防止未经授权的访问。工业防火墙基于高级策略管理和各种检测功能，将所有入口点、出口点和内部交换点看做潜在攻击点，对规则进行细致审查、加强策略控制，以确保网络安全。任务5配置工业网络安全设备工业网闸与工业防火墙都是工业网络安全设备，它们各自有自己的任务和优劣点。在实际的应用环境中，根据实际的需求和目标，灵活的选择和部署才是最佳的方案。课程结束Endofcourse工业互联网技术专业教学资源库IndustrialInternetTechnologySpecialtyTeachingResourceLibrary任务实践：工业防火墙基本配置①实践目的掌握工业防火墙配置的基本方法，具备用户管理、日志查看、网络配置、策略配置等相关操作技能。②实践环境实践环境搭建包括TQ-2000-M110防火墙1个、网线1根、PC1台等。任务实践：工业防火墙基本配置实践内容1.登录设备第一步，设备连接。使用网线将TQ-2000-M110的0网口与PC网口相连接第二步，本地连接。关闭PC防火墙和杀毒软件，关闭与本次测试无关的网卡，只保留一个本地连接。任务实践：工业防火墙基本配置第三步，设置静态IP。TQ-2000-M110直连PC情况下，PC设置一个静态IP，确保PC与TQ-2000-M110在同一个网段，例如：。任务实践：工业防火墙基本配置第四步，登录网管系统打开电脑浏览器，地址栏中输入IP：50，显示输入用户名密码（默认管理员用户名admin，默认密码inspur123；系统默认的审计员用户为audit，密码为inspur123；系统默认的用户管理员用户为useradmin，密码为inspur123），输入正确即登入成功。任务实践：工业防火墙基本配置2.管理用户点击“系统＞管理员＞管理员”，可进入用户管理界面，点击“新建”按钮，可进行新用户添加操作，并配置用户的访问权限等，完成后点击“提交”。任务实践：工业防火墙基本配置3.查看日志点击顶部“日志”选项卡，可进入日志显示界面，在左侧树目录可以分别点击“系统日志”、“审计日志”、“安全日志”、“VPN日志”、“流日志”等进行各类日志查询。任务实践：工业防火墙基本配置4.配置网络点击顶部“网络”选项卡，可进网络管理界面，在左侧树目录可以分别点击“接口”、“安全域”、“路由”等，可对各网络参数进行设置。任务实践：工业防火墙基本配置第一步，设置接口点击左侧“接口＞物理接口”。点击接口名称“ge0/2(ge0/2)”，进入接口2设置界面。在IP地址栏填入“”点击“添加”按钮；在下方“配置”栏勾选我们想要的权限服务。任务实践：工业防火墙基本配置第二步，设置安全域点击左侧“安全域”，进入安全域设置。点击“新建”按钮，在基本属性里填入安全域名称，在接口成员里选择划为本域的接口，并点击提交。任务实践：工业防火墙基本配置5.配置策略点击顶部“策略”选项卡，可进入策略配置界面，在左侧树目录可以分别对“防火墙”、“本地安全”、“安全防护”等选项进行设置。任务实践：工业防火墙基本配置防火墙策略设置。点击左侧“防火墙＞策略”。点击“新建策略”按钮，填