《工业网络技术与应用（微课版）》-教案 第17次 1、工业防火墙概述2、工业防火墙路由及安全功能配置3、工业防火墙NAT和NAPT功能配置

第17次课程教学方案备课时间备课教师教学时间年月日教学地点周次课时数4教学内容（章、节）模块/单元第2章工业网络安全技术（2）1、工业防火墙概述2、工业防火墙路由及安全功能配置3、工业防火墙NAT和NAPT功能配置教学目标和要求1.了解工业防火墙的主要功能2.掌握工业防火墙路由功能配置方法3.掌握工业防火墙安全策略配置方法4.掌握工业防火墙NAT和NAPT功能配置方法教学重点工业防火墙路由、安全策略及NAT功能配置教学难点工业防火墙安全策略配置教学方法讲授法、直观演示法、实验法、小组讨论法等使用媒体资源√纸质材料√多媒体课件√网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习完成电子版实训报告课后记

教学内容（板书）教学步骤、方法

及学生活动一、相关知识讲授1、防火墙系统的组成防火墙通常是由专用硬件和相关软件组成的一套系统，当然也有纯软件的防火墙，但纯软件防火墙无论在功能和性能上都不如专用的硬件防火墙。一般来说，防火墙由四大要素组成。（1）防火墙规则集：在防火墙上定义的规则列表，是一个防火墙能否充分发挥作用的关键，这些规则决定了哪些数据不能通过防火墙、哪些数据可以通过防火墙。（2）内部网络：需要受保护的网络。（3）外部网络：需要防范的外部网络。（4）技术手段：具体的实施技术。2.防火墙包过滤方式1）根据第2层数据链路层的MAC地址进行过滤由于MAC地址是唯一的，这样可以对特定设备提供非常有效的保护。2）根据第3层网络层的IP地址进行过滤在组建网络时，利用IP地址和子网掩码就可以确定网络设备所在的子网，这样就可以通过IP地址对网络设备进行逻辑分组，所以根据IP地址设置过滤规则，可以很容易地过滤数据流量。3）根据第4层传输层的端口号进行过滤在传输层，TCP和UDP的不同端口号对应了不同的应用协议，可通过端口号来有效过滤特定的应用协议的数据流量。3.工业防火墙规则集防火墙规则集由一组防火墙规则组成，是防火墙实现过滤功能的基础。一条防火墙规则通常由以下部分组成：（1）网络协议：如ALL、ICMP、TCP、UDP、GRE等。（2）发送方的IP地址；接收方的IP地址。（3）发送方的端口号；接收方的端口号。（4）操作（Action）：对满足规则的数据包的处理方式，允许（Accept）、拒绝（Reject）和丢弃（Drop）三个选项。规则集是防火墙规则的集合，由一个或多个按顺序排列的规则组成，防火墙规则的排列顺序尤为重要。管理员可以根据待过滤数据包的情况在防火墙规则中定义相关参数来实现过滤的目的。防火墙有输入（Incoming）和输出（Outgoing）两个方向的规则集：输入方向的规则集：用于所有从WAN到LAN的数据包。输出方向的规则集：用于所有从LAN到WAN的数据包。教师讲解防火墙基础理论。学生可以提问，由教师进行进一步的解释和说明。4、西门子SCALANCES-615工业防火墙简介西门子SCALANCES系列是西门子工业级别防火墙，可以为工厂自动化提供安全防护，防止非法访问工业网络和自动化系统。SCALANCES系列工业防火墙通常包含如下安全功能：1）防火墙功能SCALANCES内部网段中的所有网络节点都受到其防火墙保护。2）路由器模式通过将SCALANCES用作路由器，可以将内部网络与外部网络分离。3）IPSec隧道确保通信安全4）使用RADIUS服务器进行用户验证5）使用HTTPS协议6）使用NTP协议7）使用SNMPv3协议8）实现设备和网段的保护SCALANCES-615作为工业防火墙，可以对设备、自动化单元和以太网网段提供保护功能。通过SCALANCES-615可以有效地保护生产网络，防止从内部和外部产生的威胁。SCALANCE

S-615工业防火墙配备5个以太网端口，可以通过防火墙或虚拟专有网络VPN为各种网络拓扑提供保护，并能够灵活实现安全机制。SCALANCES-615能够通过基于网络的管理（WBM）、命令行接口（CLI）和简单网络管理协议（SNMP）进行配置、管理。可以作为动态主机配置协议（DHCP）服务器和客户端，设备可在任何虚拟局域网（VLAN）下使用，在特定情况下可以作为一个路由器，实现两个网段的设备的路由通讯。SCALANCES-615支持NAT和NAPT功能，这样可以对SCALANCES-615所连接的内网设备进行保护（内部网络）。另外，对于很多重复的网络且其内部带有相同的IP地址的设备，使用NAT的方法可以进行访行访问是非常有效的。最重要的是，它可以启用防火墙和VPN功能，这是实现工业网络安全的主要功能。教师讲解S615工业防火墙的基础知识和基本操作学生可以提问，由教师进行进一步的解释和说明。三、实验讲解、演示及分组练习1.工业防火墙SCALANCES-615的基本配置步骤1为S-615执行复位操作：S-615工业防火墙的复位需要直接操作物理设备来实现。找到设备前面板上的RESET按钮，长按10秒钟后松开，将对S-615执行复位操作并恢复到出厂配置。复位完成后会自动重启防火墙。步骤2为S-615配置IP地址，右击SCALANCES-600防火墙图标，选择“设置网络参数”，为防火墙设置IP地址和子网掩码为步骤3通过浏览器访问S-615防火墙配置界面，右击SCALANCES-600交换机图标，选择“打开Web浏览器”，进入系统登录界面。输入用户名和密码（初始都是admin）,，首次登录时同样需要设置新密码。步骤4登录成功后系统自动进入S-615防火墙的配置向导界面步骤5在配置向导界面中点击abort按钮则会退出向导，进入到S-615防火墙的详细管理及配置界面。2.工业防火墙SCALANCES-615的安全策略配置现有一个车间，包含一个工艺单元和一台生产监控服务器，工艺单元中有一台S71200PLC。防火墙模块SCALANCES615将生产网络与外部管理网络隔离开。要求实现车间内部网络可以访问外部网络，外部网络不能访问车间内部网络，以防止外部的恶意攻击。外部网络中，只有特定的用户可以访问内部生产监控服务器，不能访问其他设备。教师布置实验任务，讲解实验拓扑结构及本实验的具体内容和要求教师边讲解边演示实验操作。学生可以提问，由教师进行进一步的解释和说明。学生分组进行自主练习步骤1按照网络拓扑图将SCALANCES615的P1端口与XB208的端口相连、P5端口与PC1相连。注意防火墙上最上面的端口是P5端口，用于连接外部网络；P5端口之下依次是P1-P4端口，用于连接内网。XB208可选择任意端口分别与S615、PLC和Server连接。步骤2根据IP规划为PLC、Server和PC1配置IP地址，对XB208和S615执行复位操作并配置IP地址步骤3通过Server的浏览器访问，登录后进入S615的配置界面步骤4在S615上配置VLAN：VLAN1的Name为INT，VLAN10的Name为EXT。步骤5在S615上配置端口所属的VLAN步骤6在Layer3->Subnets的Configuration标签下分别配置外网和内网网关步骤7测试内网PLC、Server和外网PC1之间的连通性，确保在配置启动防火墙之前设备间都能互相通信。从Server去PING内网PLC和外网PC1都能PING通。步骤8规划防火墙规则步骤9启用防火墙：在Security->Firewall界面General标签下，勾选ActivateFirewall复选框步骤10在“IPRules”标签下添加IP过滤规则，如图所示。其中第一条规则表示：内网中任一主机可以访问外网的任一主机。第二条规则表示：外网访问内网方向，外网中只有IP地址为的主机可访问内网，且仅可以访问内网IP地址为的主机。教师边讲解边演示实验操作。学生可以提问，由教师进行进一步的解释和说明。学生分组进行自主练习步骤11防火墙功能测试外网IP地址为的主机能访问内网IP地址为的主机外网主机不能访问内网IP地址为的PLC当外网主机的IP地址修改为时，