《工业网络技术与应用（微课版）》 课件 第8章 工业网络安全技术

天津中德应用技术大学李颖工业控制系统与工业网络第8章工业网络安全技术8.1访问控制列表工业以太网可以将现场层与企业管理层连接起来，但同时给生产现场带来了网络安全隐患。为工业以太网设置访问控制策略是比较基础的网络安全防范方法。工业现场网络具有规模大、用户密集等特点，容易导致高峰时段网络流量剧增，另一方面，用户类型较多，不同类型应该有不同的网络访问权限。为了对网络流量和用户权限实施有效控制,，需要应用访问控制技术，通过设置访问控制列表来实施访问控制。8.1访问控制列表8.1.1ACL概述访问控制列表（AccessControlList，ACL）是包过滤技术的核心内容，通过获取IP数据包的包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行处理，合法的允许通过，不合法的阻截并丢弃，以达到提高网络安全性能的目的。8.1访问控制列表访问控制列表也是包过滤防火墙的基础技术，但是在防火墙和交换机、路由器中默认的转发和拦截规则是不一样的。交换机、路由器以转发数据包为主要任务，因此常使用“宽松规则”，也就是“只要不是禁止的就是允许的”，默认情况下会转发所有数据包，仅仅拦截访问控制列表中定义的特定数据包。而防火墙则以安全控制为主要任务，因此常使用“严谨规则”，即“只要不是允许的就是禁止的”，只转发在防火墙规则中允许的数据包。8.1访问控制列表ACL可以通过定义规则来允许或拒绝流量的通过，其应用场景如图8-1所示。通过设置ACL可以限制内部主机对服务器和Internet网络之间的访问操作。8.1访问控制列表8.1.2ACL工作原理ACL定义了一组规则，可配置为应用于入端口或出端口。入口ACL：传入数据包经过处理之后才会被路由到出站接口。因为如果数据包被丢弃，就节省了执行路由查找的开销，所以入口ACL非常高效。如果ACL允许该数据包，则会处理该数据包以进行路由。当与入接口连接的网络是需要检测的数据包的唯一来源时，最适合使用入口ACL来过滤数据包。出口ACL：传入数据包路由到出接口后，由出口ACL进行处理。在来自多个入接口的数据包通过同一出接口之前，对数据包应用相同过滤器时，最适合使用出站ACL。8.1访问控制列表

8.1访问控制列表8.1.3ACL分类根据工作方式的不同，访问控制列表分为基于MAC地址的ACL、基于IP地址的ACL和管理ACL三种类型。1.基于MAC地址的ACL当数据通过设置ACL规则的网络设备时，网络设备会查看设备内的ACL规则表，判断此数据携带的MAC地址是否能通过ACL规则由指定接口转发。8.1访问控制列表2.基于IP地址的ACL当数据通过设置ACL规则的网络设备时，网络设备会查看设备内的ACL规则表，判断此数据携带的IP地址是否能通过ACL规则由指定接口转发。如图8-4所示，定义规则时使用的是第3层的源IP地址和目的IP地址。8.1访问控制列表3.管理ACL要指定具有哪个IP地址的工作站允许访问设备，必须组态相应的IP地址或一个地址范围，这就需要用到管理ACL8.2工业防火墙8.2.1防火墙概述1.防火墙系统的组成防火墙通常是由专用硬件和相关软件组成的一套系统，也有纯软件的防火墙。一般来说，防火墙由四大要素组成。（1）防火墙规则集：在防火墙上定义的规则列表，是一个防火墙能否充分发挥作用的关键，这些规则决定了哪些数据不能通过防火墙、哪些数据可以通过防火墙。（2）内部网络：需要受保护的网络。（3）外部网络：需要防范的外部网络。（4）技术手段：具体的实施技术。8.2工业防火墙2.防火墙与OSI参考模型的关系绝大多数防火墙系统工作在OSI参考模型的4个层次上：数据链路层、网络层、传输层和应用层。（1）根据第2层数据链路层的MAC地址进行过滤（2）根据第3层网络层的IP地址进行过滤（3）根据第4层传输层的端口号进行过滤8.2工业防火墙3.防火墙和路由器实现安全控制的区别路由器与交换机的本质是转发，防火墙的本质是控制。8.2工业防火墙防火墙规则集由一组防火墙规则组成，是防火墙实现过滤功能的基础。1.防火墙规则的组成一条防火墙规则通常由以下部分组成：（1）网络协议：如ALL、ICMP、TCP、UDP、GRE等。（2）发送方的IP地址；接收方的IP地址。（3）发送方的端口号；接收方的端口号。（4）操作（Action）：对满足规则的数据包的处理方式，允许（Accept）、拒绝（Reject）和丢弃（Drop）三个选项。8.2工业防火墙2.规则集的应用流程8.2工业防火墙8.2.3VPN技术1.VPN概述VPN是一种是在公用网络上建立专用网络的技术。之所以称为虚拟网络，是因为VPN网络中两个节点之间的连接并不是传统专用网络所需的端到端的物理链路，而是架构在第三方网络平台之上的逻辑链路，用户数据在逻辑链路中进行传输。8.2工业防火墙VPN主要具有以下优势：（1）可降低成本。通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备。（2）连接方便灵活。VPN技术能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接到企业网络。（3）容易扩展。设计良好的宽带VPN是模块化的和可升级的。（4）传输数据安全可靠。VPN能提供高水平的安全，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据。（5）完全控制主动权。虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。8.2工业防火墙2.VPN的分类VPN可以按照以下几个标准进行类别划分。（1）按照数据传输方式分类隧道模式（TunnelingMode）：通过在原始数据包外包含新的数据包头，将数据加密后传输，通常用于远程访问、连接不同地区的私有网络等场景。透明模式（TransparentMode）：在不修改数据包的情况下，直接对数据包进行加密，通常用于保障公共网络传输的安全性。（2）根据网络类型分类远程访问VPN：用于远程工作人员访问企业内部网络资源。例如，PPTP、L2TP、SSLVPN等。点对点VPN：两个设备之间建立VPN连接，用于连接分布在不同地方的局域网。例如，IPSec适用于点对点场景。8.2工业防火墙2.VPN的分类（3）根据安全协议分类PPTP协议：使用GRE协议封装，加密强度较低，适用不需要太高安全度的场景。L2TP协议：基于PPTP协议，加入L2TP协议使其更安全，适用于需要中等安全度的场景。IPSec协议：加密强度高，安全性好，但设置较为复杂，适用于需要高度安全保障的场景。8.2工业防火墙8.2.4IPSecVPNIPSecVPN是一种通过互联网建立虚拟专用网络（VPN）的技术，也是目前应用最多的一种VPN技术。它使用IPSec协议来提供安全的远程访问解决方案，加密和认证网络数据包，以确保数据在传输过程中的安全性和完整性。

1.IPSec概述IPsec是一种开放标准的框架结构，特定的通信方之间在IP层通过加密和数据摘要等手段，来保证数据包在Internet上传输时的私密性、完整性和真实性。IPsec工作在OSI第3层，即网络层，可以保护和验证所有参与IPsec的设备之间的IP数据包，也可以在第4层到第7层上实施保护。通常，IPsec可以保护网关与网关之间、主机与主机之间或网关与主机之间的路径。IPsec可在所有的第2层协议中运行，例如以太网、ATM或帧中继等。IPsec的特征可归纳如下：（1）IPsec是一种与算法无关的开放式标准框架。（2）IPsec提供数据机密性、数据完整性和来源验证。（3）IPsec在网络层起作用，保护和验证IP数据包。8.2工业防火墙2.IPsec的基本模块IPsec协议框架包含安全协议、加密、数字摘要、身份验证和对称密钥交换五个基本组成模块，这些模块的组合可以为IPsecVPN提供机密性、完整性和身份验证等功能。3.IPSec的封装模式IPsec必须将IP数据包进行封装，才能通过Internet等不安全网络进行传输，封装模式主要有传输模式和隧道模式两种。

4.IPSecVPN的协商过程当需要保护的流量流经VPN网关时，就会触发VPN网关启动IPsecVPN相关的协商过程，启动IKE（InternetKeyExchange，Internet密钥交换）阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道；启动IKE阶段2，在上述安全通道上协商IPsec参数，并按协商好的IPsec参数对数据流进行加密、Hash等保护。8.3实训为了进一步熟悉掌握访问控制列表和防火墙的具体应用，本章实训要基于西门子工业网络设备完成如下安全功能配置：一是基于SCALANCEXM408第3层工业交换机实现ACL访问控制列表的功能配置；二是在SCALANCES615工业防火墙上实现安全策略和用户管理功能配置。1.实训目的（1）了解访问控制列表ACL的基本概念和工作原理；

（2）理解工业防火墙的基本概念和工作原理；

（3）掌握在SCALANCEXM408工业交换机上部署访问控制列表的配置方法；（4）掌握SCALANCES615工业防火墙上部署安全策略的配置方法。8.3实训2.实训准备（1）复习本章内容；

（2）熟悉西门子SCALANCEXM-408第3层工业交换机ACL基本配置；

（3）熟悉SCALANCES615工业防火墙的基本配置3.实训设备（1）1台电脑：已安装博途和PRONETA软件（2）2台SIMATICS7-1200PLC（3）2台SCALANCEXB-208第2层工业交换机（4）1台SCALANCEXM-408第3层工业交换机（5）1台SCALANCES615工业防火墙（6）网线若干8.3实训8.3.1第3层工业交换机访问控制列表配置实验任务1基于MAC地址的访问控制列表配置8.3实训首先完成所有设备IP地址配置，在此基础上在第3层交换机XM408上配置基于MAC地址访问控制列表，实现如下访问控制：（1）只有S71200-A能通过P3端口访问上位机，具有其他MAC地址的设备均不能通过P3端口访问上位机；（2）只有S71200-B能通过P5端口访问上位机，具有其他MAC地址的设备均不能通过P5端口访问上位机。8.3实训1.各设备IP地址配置步骤1按照实验拓扑图将XM408的P3端口连接到S71200-A；将P5端口连接到S71200-B；将P8端口与上位机相连。步骤2使用博途软件分别为S71200-A和S71200-B设置IP地址为1和2。步骤3使用PRONETA为XM-408复位并配置IP地址，配置后的结果如图8-14所示8.3实训在图形视图中显示设备间的连接状态；在设备表中逐行显示出交换机和两台PLC的概要信息，其中能清晰看到其MAC地址，这个地址将在后续ACL配置中被应用。步骤4为上位机配置IP地址并查看其MAC地址，结果如图8-15所示。8.3实训2.在三层交换机XM-408上配置MACACL步骤1通过浏览器访问第3层交换机XM408（），登录后进入其配置界面。步骤2在左侧选择“Security”项目下的“MACACL”，进入“MACAccessControlListConfiguration”界面，双击三次“Create”按钮，产生三条默认规则。对这三条规则修改后，点击“SetValues”按钮8.3实训规则1： SourceMAC：源MAC地址8c:f3:19:10:23:9f是S71200-A的MAC地址；Dest.MAC：

目的MAC地址50-7B-9D-E9-CF-12是上位机的MAC地址。规则2： SourceMAC：源MAC地址8c:f3:19:10:26:53是S71200-B的MAC地址；Dest.MAC：目的MAC地址也是上位机的MAC地址。规则3： SourceMAC：源MAC地址00-00-00-00-00-00b代表的是任意MAC地址；Dest.MAC：目的MAC地址也是上位机的MAC地址。“Action”栏下拉列表中的“Forward”表示：

如果报文满足ACL规则就允许报文通过；“Discard”表示：如果报文满足ACL规则就不允许报文通过。8.3实训步骤3选择“IngressRules”，进入对具体端口“入站（ingress）”配置界面。两条规则表示：只有S71200-A能通过P3端口访问上位机，具有其他MAC地址的设备均不能通过P3端口访问上位机。8.3实训步骤4以同样方法，将规则2和规则3添加到P5口中，两条规则表示：只有S71200-B能通过P5端口访问上位机，具有其他MAC地址的设备均不能通过P5端口访问上位机。8.3实训3.基于MAC地址的访问控制列表测试步骤1正常通讯测试。在上位机的“命令提示符”环境中，分别输入指令“ping1”和“ping2”，结果

如图8-19所示。测试结果表明：上位机能够访问到两个S71200PLC，且两个S71200PLC均能通过设置的MACACL规则将数据包返回给上位机，说明相关的MAC地址和允许规则是匹配的。8.3实训步骤2改变P3和P5端口连接设备测试将S71200-A和S71200-B的连接端口互换，即与XM408的P3端口连接的PLC是S71200-B，而与P5端口连接的PLC是S71200-A。测试结果表明：由于P3和P5“入口”规则允许的源MAC地址发生了改变，P3端口禁止从S71200-B发出的数据包通过P3端口传输到上位机，而P5端口也禁止从S71200-A发出的数据包通过P5端口传输到上位机。8.3实训实验任务2基于IP地址的访问控制列表配置首先完成3个交换机和PC的IP地址配置。在此基础上在第3层交换机XM408上配置访问控制列表ACL实现如下访问控制：（1）PC通过XM408的P1端口只能与XB208_1设备通信；（2）PC通过XM408的P2端口只能与XB208_2设备通信8.3实训1.网络基础配置步骤1按照网络结构逻辑拓扑图将SCALANCEXM408的P1、P2端口与两台SCALANCEXB208的端口相连，SCALANCEXM408的P8端口与PC相连。步骤2使用PRONETA为3台交换机复位并配置IP地址步骤3测试PC和XB208-1、XB208-2之间的连通性，确保在配置ACL之前设备间都能正常通信，结果如图8-23所示，通过PC均能访问到两台XB208交换机8.3实训2.基于IP地址的访问控制列表配置步骤1通过浏览器访问第3层交换机XM408（），登录后进入其配置界面。步骤2配置IPACL规则：在左侧选择Security->IPACL，在RulesConfiguration标签下完成ACL规则配置，单击Create依次创建4条规则，并设置规则相应的参数。8.3实训

SourceIP：源IP地址；

SourceSubnetMask：源子网掩码；

Dest.IP：目的IP地址；

Dest.SubnetMask：目的子网掩码；

Action：要执行的操作，Forward表示符合ACL规则，则转发数据；

Discard表示符合ACL规则，则丢弃数据不转发。

规则1：允许源IP地址为00的设备与目的IP地址为0的设备通信。

规则2：允许源IP地址为00的设备与目的IP地址为0的设备通信。

规则3：任何其他IP地址都不能与目的IP地址为0的设备通信。

规则4：任何其他IP地址都不能与目的IP地址为0的设备通信。8.3实训步骤3将IPACL应用在P1端口上步骤4用同样方法在P2入口方向上应用IPACL规则2和规则3步骤5用同样方法在P3入口方向上应用IPACL规则3和规则4步骤6为P4和P5入口方向上也应用IPACL规则3和规则48.3实训3.基于IP地址的访问控制列表测试步骤1将PC插入P1端口：能与0的设备通信（满足规则1）8.3实训3.基于IP地址的访问控制列表测试步骤2将PC插入P1端口：不能与0的设备通信（满足规则4）8.3实训3.基于IP地址的访问控制列表测试步骤3将PC插入P2端口：不能与0的设备通信（满足规则3）8.3实训3.基于IP地址的访问控制列表测试步骤4将PC插入P2端口：能与0的设备通信（满足规则2）8.3实训8.3.2西门子S615工业防火墙配置实验任务1西门子S615防火墙安全策略配置现有一个车间，包含一个工艺单元和一台生产监控服务器，工艺单元中有一台S71200PLC。防火墙模块615将生产网络与外部管理网络隔离开。要求实现车间内部网络可以访问外部网络，外部网络不能访问车间内部网络，以防止外部的恶意攻击。外部网络中，只有特定的用户可以访问内部生产监控服务器，不能访问其他设备。8.3实训8.3实训步骤1按照网络拓扑图将SCALANCES615的P1端口与XB208的端口相连、P5端口与PC1相连。注意防火墙上最上面的端口是P5端口，用于连接外部网络；P5端口之下依次是P1-P4端口，用于连接内网。XB208可选择任意端口分别与S615、PLC和Server连接。步骤2根据IP规划为PLC、Server和PC1配置IP地址，对XB208和S615执行复位操作并配置IP地址步骤3通过Server的浏览器访问，登录后进入S615的配置界面8.3实训步骤4在S615上配置VLAN：VLAN1的Name为INT，VLAN10的Name为EXT。步骤5在S615上配置端口所属的VLAN步骤6在Layer3->Subnets的Configuration标签下分别配置外网和内网网关8.3实训步骤7测试内网PLC、Server和外网PC1之间的连通性，确保在配置启动防火墙之前设备间都能互相通信。从Server去PING内网PLC和外网PC1都能PING通。8.3实训步骤8规划防火墙规则步骤9启用防火墙：在Security->Firewall界面General标签下，勾选ActivateFirewall复选框8.3实训步骤10在“IPRules”标签下添加IP过滤规则，如图8-41所示。其中第一条规则表示：内网中任一主机可以访问外网的任一主机。第二条规则表示：外网访问内网方向，外网中只有IP地址为的主机可访问内网，且仅可以访问内网IP地址为的主机。8.3实训步骤11防火墙功能测试（1）外网IP地址为的主机能访问内网IP地址为的主机8.3实训（