2024工控防火墙产品标准

GB/T37933-2019GB/T18336.1-20151GB/T18336.2-20152GB/T18336.3-20153 GB/T25069-2010 2894 19286-2015

GB/T3047.2高度进制为44.45mmGB/T15395-1994 2423 4208—1993外壳防护等级（IP 9254—2008GB/T

GB/T14733-1993GB/T15629.3-19953 4798-90电子电工产品应用环境条件机械和试验环境条件 9254-1998信息技术设备的发射要求GB/T4064-1983GB/T12501-1990GB/T3873-1983GB/T13426-1992 2828逐批检查计数抽样程序及抽样表(适用于连续批的检查)

Powersystemsmanagementandassociatedinformationexchange-Dataandsecurity

Precisionclocksynchronizationprotocolfornetworkedmeasurementand IEEE

Information

IPC-A-610EnglishChineseCommandLineDenialofGraphicalUserLightweightDirectoryAccessPostOfficeRoutingInformationTransferControlSecureSecuritySocketUserDatagramUniformResourceIndustrialControlSupervisoryControlAndDataAcquisitionDistributedControlProcessControlProgrammableLogicIntelligentElectronicManufactoringExecutionEnterpriseResourceObjectLinkingandOLEforProcessDeepPacketIndustrialSStandard，定位为该档次的标准型产品，具有该档次完整功能。强调性价MMiddle，定位为该档次的中间型产品，具有该档次完整功能，同时在硬件AAdvanced，定位为该档次的高级型产品，具有该档次完整功能，并提供高EEnhanced，定位为该档次的增强型产品，具有该档次完整功能，并提供高DPtechIFW1000-MA双电源ACDPtechIFW1000-MADualAC整机高度符合GB/T3047.2应符合GB4943相关规定。对下面相关的危险采取适当的防护措施，减少或避免由于下列各种危险 IEEEIEEEIEEE1PingofTearTCPICMPICMPIPSYN支持syncookie(达到阈值自ICMPUDPDNSNATOPCClassicOPCClassicOPCUAOPCUAx.509ARPARP依据GJB908-90、GJB726A-2004、GJB1442-1992及IPC-A-610、SJ/T10630-19952BOMBOM;3456用电网供电的产品机箱内无≥3mm7振动：按照GB/T2423.10“试验Fc”的试验方法进行。冲击：按照GB/T2423.5“试验Ea”的试验方法进行。碰撞：按照GB/T2423.6“试验Eb”的试验方法进行。123三层组网测试拓扑4管理功能测试拓扑802.1QVLANAccess验证DUT对vlanInside区域gige0_0Accessvlan10区域gige0_1Accessvlan20PC2ip：00，用于测试Access的三层转发；Outside_2区域gige0_2Accessvlan20PC3IP：01，与Outside_1Access的二层转发；vlan10加入安全域Inside100，将vlan20加入安全域Outside_150，“三层转发”安全域需使用PC1PC2/PC3的ICMP、FTP默认情况下PC2/PC3访问PC1的ICMP/FTP配置包过滤Outside_1到Inside全通策略之后，PC2/PC3PC1的ICMP/FTP将gige0_1Outside_150，将gige0_2Outside_2优20，“二层转发”安全域需加入二层接口；使用PC2PC3ICMP/FTP默认情况下，使用PC3PC2ICMP/FTPPC3的ICMP/FTPAccess3中默认情况下PC2/PC3（Outside）到Access4中配置完全通包过滤后，PC2/PC3可正常访问PC1的业务；Access6中，PC2访问PC3Access7中，默认情况下，PC3无法访问PC2的业802.1QVLANTrunk802.1QVLANTrunk验证DUT对vlanTrunk口的二层组网模式，DUT与SW使用Trunk相连接，Trunk链路均允许vlan10；测试DUTTrunk按照拓扑搭建测试环境，PC1Inside区域（gige0_0），PC2属于Outside区域（gige0_1），二层转发安全域加入物理接口；使用PC1PC2ICMP/FTP使用PC2PC1ICMP/FTPDUT配置Outside到Inisde3，记录测Trunk2中，PC1PC2Trunk3中，PC2无法访问PC1Trunk4中，PC2PC1验证DUT按照拓扑搭建测试环境，PC1Inside区域（gige0_0），PC2属于Outside区域（gige0_1），gige0_0、gige0_1IP地使用PC1PC2ICMP/FTP使用PC2PC1ICMP/FTPDUT配置Outside到Inisde3，记录测2中，PC1可正常访问PC23中，PC2PC14中，PC2可正常访问PC1验证DUT测试IFWRIPv1/2、OSPF协议，PC1RIP协议测试：IFW1与IFW2开启RIPv1/2协议，发布各自网段，IFW2是否学习到PC1PC2对PC1的ICMP/FTP业务访问情况；OSPF协议测试：IFW1与IFW2开启OSPF0里发布各自网段，同时引入默认路由（带always），查看IFW1是否学习到PC2OSPF路由，IFW2是否学习到PC1网段的路由与默认路PC2对PC1ICMP/FTP业务访问情况；1）IFW1IFW2能学习到路由，PC1PC2测试DUT的策略路由功能，PC1/24网段，PC2/24网段；1）/240_1，下一跳地址为PC2对PC1的ICMP/FTP验证DUTDUT基于透明模式组网，使用透明接口对与PC1、PC2使用PC1PC2ICMP/FTP使用PC2PC1ICMP/FTPDUT配置PC1到PC22，记录测试结2后，PC1可正常访问PC23后，PC2可正常访问PC14后，PC1可正常访问PC2DUT的源NAT验证DUT对源NAT2）Telnet/web登陆管理DUT2个公网IP为：“0-1）PC1~PC300的HTTP2）PC1~PC300的HTTP用出接口1）1后，PC1~PC3HTTP请求全部成功，在DUT话，能看到各自的NATNAT转换后的源IP池内随机2）2后，PC1~PC3HTTP请求全部成功，在DUTNATNAT转换后的源DUTNAT验证DUT对静态一对一NAT使用Telnet/web登陆管理DUT内网PC1IP“00”映射为公网IP：“0PC1PC2的HTTP访问，查看DUT的sessionPC2PC1IP的FTPDUT的session1中，HTTPNAT转换记录，能看到对应的NATNAT转换规则，000，端口号不转换；2中，HTTPNAT转换记录，能看到对应的NATNAT转换规则，000，端口号不转换；DUT的NATServer验证DUT对NATServer使用Telnet/web登陆管理DUT1：公网IP：“0”端口“21”映射为内网PC1IP口“8080PC1IP“00”端口“80”，以提PC1PC2的HTTPDUT的session转换表项，以及PC2PC1IP的FTPDUT的sessionPC2PC1IP的WEB8080DUT的1中，PC1访问PC2，DUT不进行NAT转换，业务不通（PC22中，FTP访问请求成功，查看被测设备NAT转换记录，能看到对应的NATNAT转换规则，0002121；2中，HTTPNAT转换记录，能看到对应的NATNAT转换表，DUT的端口块NAT验证DUT对端口块NAT使用Telnet/web登陆管理DUT配置DUT配置静态端口块NAT，PC1 NAT转换0端口块固定为“2000-3999”，PC2 0端口块固定为“4000-1）PC100访问PC4的HTTPFTPDUT转换2）PC201访问PC4的HTTPFTPDUT转换1中，PC1访问PC4NAT2000~39992中，PC2访问PC4NAT4000~5999DUT的NAT支持FTP_ALG验证DUT对NATFTP_ALG使用Telnet/web登陆管理DUTNAT开启防火墙4）内网 IP：00，源NAT借用出接口DUT第一条配置Inside到OutsideFTP协议通过，第二条配置Inside到Outside全部丢弃；PC1PC2FTP（主动模式）业务访问，下载大文件同时查看DUT的session情况；2中，FTP业务访问正常，在DUT上可查看到PC2到PC1的反向的数据通道TCP20的session；验证DUT使用Telnet/webDUT3）内网 IP：00，外网PC2IP：00PC2上启ModSim与00到Outside全部丢弃；PC2ModScan向PC1的ModSim发起Modbus的访问，查看业务PC2PC1发起HTTP2中，Modbus业务正常，可正常交互数据，有包过滤匹配计3中，HTTP业务访问不通，访问流量全部丢弃，有包过滤计IPIP验证DUT使用Telnet/webDUT内网 IP：00，外网PC2IP：00PC2上启ModSim与DUTOutside到Inside,IP为：00，目的IP为：00，只允许Modbus协议通过，时间：10：30~10:40，第二条配置InsideOutside,源IP为：00，0010:40~10:50，第三条配置Inside到Outside全部丢弃；10:30~10:40之内，PC1向PC2发起Modbus/HTTP的访问，查看业10:40~10:50之内，PC1向PC2发起Modbus/HTTP的访问，查看业10：50之后，PC1向PC2发起Modbus/HTTP的访问，查看业务情2中，10:30~10:40之内，Modbus业务正常，HTTP业务不可3中，10:40~10:50之内，Modbus业务正常，HTTP业务不可验证DUT使用Telnet/webDUT内网 IP：00，外网PC2IP：00PC2上启ModSim与DUTOutside到Inside,IP为：00，目的IP为：00Modbus/HTTP协议通过，开启会话PC1PC2发起Modbus/HTTP查看sessionClient/ServerRst、FIN的时验证DUT按照组网拓扑搭建测试环境，Inside区域PC1往Outside使用XcapUDPICMPPingofICMPIPDdos验证DUT对Ddos1）Inside区域PC1往OutsidePC1Anysend或Iris（测试仪器也可发出Ddos攻击拓扑21G流量，查看DUT的Ddos的处理情况；Wireshark5个/秒，PC2UDPFlood测试：PC1向PC23000个/UDPFlood，PC2Wireshark5个/秒，ICMPFlood测试：PC1PC23000个/秒的ICMPFlood，PC2Wireshark5个/秒，PC2上抓包查看限速结果，防火墙上配置阻断策略，PC2上抓使用TestCenter1GSYN1G1中，TCPFlood防御，PC25个情况下，抓包只FloodPC2PC1发过来的攻击报文，防火墙有相关日志记1中，UDPFlood防御，PC25个情况下，抓包只5个/秒的PC1发过来的ICMPFlood，阻断的情况下，PC2PC15个/秒的PC1发过来的ICMPFlood，阻断的情况下，PC2PC1记录防火墙的限速/阻断的Ddos验证DUTModbusPC2ModScan客户端，PC1ModSim手动黑名单功能测试，将PC1手动加入黑名单，PC1ping/FTPPC2PC1后，PC1ping/FTPPC2；开启扫描攻击防御自动黑名单功能，PC2发起对PC1的命中ModbusModbus扫描攻击，查看防火墙黑名PC2的通信情况；PC1加入黑名单，PC1DUT通信，删除黑名单之后PC1通信正常；PC2（配置老化时间内）无法通过DUTPC2又可正常通信；验证ARP配置ARPARP表中PC1的信息，ARP监控端口为gige0_0，gige0_1；址为PC2的MACARP表与PC2ping1ARPPC1的信息正确，没有根据欺骗报文为PC1的MAC地址，欺骗MAC为PC2MAC2）PC2pingPC1MAC/IP验证DUT的MAC/IP按照组网拓扑搭建测试环境，Inside区域PC1区域PC2开启MAC/IP绑定功能，PC1MAC/IP业务访问结果，然后修改PC1的IP01，再PC1ping/FTPPC2的业务访问，记录业务访问结果；开启MAC/IP绑定功能，PC1MAC/IP业务访问结果，将PC1的MAC11:11:11:11:11:11MAC/IP绑定，再次发起PC1ping/FTPPC2，记PC1的IP地址为01MAC/IP的绑定关系，PC1PC2的任何业务；2）2中，在错误的MAC/IP绑定时，PC1PC2的任何业务，PC1修改MAC地址或删除错误的MAC/IP绑定列表后，PC1可正常访问PC2的业务；式，Inside区域PC1的ModSim服务器与Outside区域PC2的ModScanModbus报文交互；Inside区域PC1的KEPServerExV4.0服务器与Outside区域的KEPServerExV4.0客户端建立连接，进行OPCClassic3）PC1Wireshark1；Modbus2；命中白名单：PC2向PC1OPCClassic报3；策略集之后，PC2向PC1发送不能命中白名单的Modbus请求4；PC2向PC1发送白名单5；学习策略集之后，PC2向PC1Modbus6；PC2向PC1发送白名单7；1后，自学习白名单页面生成对应通过报文内容的白名2后，PC1PC23后，PC1PC24后，PC1不能收到PC25后，PC1不能收到PC26后，PC1能收到PC27）7后，PC1能收到PC2式，Outside区域PC2向InsidePC1发送工业协议报文；PC1WiresharkPC2议报文，PC1上使用Wireshark1；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2式，Outside区域PC2向InsidePC1发送工业协议报文；基础协议为UDP9999，并设置应用特征；名称为test3MACPC2的MAC0x1111，并设置应用特征；test1test2，PC1Wireshark命中策略中的协议：PC2向PC1发送test1，test2，test3协议报文，PC1Wireshark1；test1协议，PC2向PC1发送test2，test3协议2；3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2式，Outside区域PC2向InsidePC1发送工业协议报文；议，配置选定允许通过的接口为gige0_0和gige0_1，方向为3）PC1WiresharkPC2议报文，PC1上使用Wireshark1；的接口选定为非gige0_0和gige0_1的组合，PC2向PC1发送2； 的接口选定为非gige0_0和gige0_1的组合，PC2向PC1发送3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2式，Outside区域PC2向InsidePC1IP地址为PC2的IP，目的IPPC1IP地址，PC1Wireshark2；3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2式，Outside区域PC2向InsidePC1发送工业协议报文；12:00-13.00；PC1WiresharkPC2向PC1发送能命1；时间内，PC2向PC1发送不能命中安全策略中工业协议报文，2； 时间内，PC2向PC1发送不能命中安全策略中工业协议报文，3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2IPv6验证IPv6式，Outside区域PC2向InsidePC1发送工业协议报文；议，源地址选择PC2的IPv6PC1IPv6PC1WiresharkPC2PC2IPv6地址，PC2向PC1发送能命中安全2；PC2IPv6地址，PC2向PC1发送能命中安全3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2地址访问控制支持IPv4，IPv6，MACS7式，Inside区域PC1的Snap7服务器与Outside区域PC2的Snap7S7common报文交互；配置S7PC1和PC2WiresharkPDU类型：PC2向PC1S7PDU类型S7报文，PC1Wireshark1；功能码：PC2向PC1发送不能命中S7安全规则中功能码限制PC11；地址范围：PC2向PC1S7安全规则地址范围限制的S7PDU类型和功能码在规则限制内，有预期数据区域：PC2向PC1S7安全规则数据区域范1；PC2PC1S7S7报文，其中PDU类型、功能码和地址范围在规则限制内，有1；格式校验：PC2向PC1发送S7PDU1；状态校验：PC2PC1发起S7PC2向PC1S7S7安全规则配置范围，有2；PC1式为测试模式的情况下，PC1能收到PC2PC1PC2PC2OPCClassicOPC验证OPC式，Inside区域PC1的OPC服务器与Outside区域PC2的OPC客户端建立连接，进行OPCclassic协议报文交互；配置OPCClassic安全规则，允许读操作报文通过，在工业协PC1和PC2Wireshark工作模式选择为防护模式，PC2与PC1OPC报文交互，开发者视图输入[DPTECH-Developer]icss-debugmodule工作模式选择为防护模式，PC1与PC2OPC读操作，有2；工作模式为防护模式，PC1与PC2进行OPC写操作，有预期4；1后，生成协商结果，串口窗口生成调试信息，有协商设备重启后需重启OPCModbus验证Modbus式，Inside区域PC1的ModSim服务器与Outside区域PC2的ModScanModbus.TCP报文交互；Inside区域PC1的脚本工具与Outside区域PC2的脚本工具建Modbus.UDP报文交互；配置ModbusPC1和PC2Wireshark功能码：PC2向PC1发送不能命中Modbus安全规则中功能码Modbus.TCP和Modbus.UDP请求报文，其中Unit-ID在规则限制内，PC1上使用Wireshark地址范围：PC2向PC1Modbus安全规则地址范围限制的Modbus.TCP和Modbus.UDPUnit-ID1；值：PC2向PC1Modbus安全规则值范围限制的Modbus.TCP和Modbus.UDP请求报文，其中Unit-ID、功能码1；Unit-ID：PC2向PC1ModbusUnit-Modbus.TCP和Modbus.UDP格式校验：PC2向PC1发送Modbus.TCP和Modbus.UDP请求报文，其中Unit-ID、功能码、地址范围和值范围在规则限制2；状态校验：PC2向PC1发起Modbus报文重放攻击，有预期结1；PC2向PC1ModbusModbus安全规则配2；PC1式为测试模式的情况下，PC1能收到PC2PC1PC2PC2若规则中选择的动作为异常响应，PC2会收到异常响应报Modbus.TCP与Modbus验证Modbus式，Inside区域PC1的ModSim服务器与Outside区域PC2的ModScanModbus报文交互；配置ModbusPC1和PC2WiresharkModbus1；1PC1不能收到PC2发送的报2后，PC1能收到PC2若规则中动作选择为黑名单，防护模式下，PC2的IP地址DNP3验证DNP3式，Inside区域PC1的DNP服务器与Outside区域PC2的DNP客户端建立连接，进行DNP协议报文交互；PC1和PC2Wireshark工作模式选择为防护模式，PC2与PC1进行读对象class03操1；切换工作模式为测试模式，PC2与PC1进行读对象class03操1；1；工作模式选择为防护模式，PC2与PC1进行读对象class01操2；切换工作模式为测试模式，PC2与PC1进行读对象class01操3；PC2PC23；5、7后，报文不能通过设备，PC1不能抓到对应报文，6、8后，报文能通过设备，PC1能抓到对应报文，在工IEC104验证IEC104式，Inside区域PC1的IEC104Outside区域PC2的IEC104客户端建立连接，进行IEC104协议报文交互；配置IEC104安全规则，允许遥控报文通过，在工业协议安全PC1和PC2Wireshark工作模式选择为防护模式，PC1向PC2发送遥控报文，有预1；切换工作模式为测试模式，PC1向PC2发送遥控报文，有预2；工作模式为防护模式，PC1向PC23；切换工作模式为测试模式，PC1向PC2进行发送遥调报文，4；VPNVPNVPNIPsec​1）PC1和PC2能相互访问，PC1在内网IP，PC2IP，,PC1和PC2IPsecVPNIFW1和IFW2建立网关对网关的IPsec策略方式，对称配置绑定接gige0_5，保护网段为内网网段，认证共享秘钥；IPSECAES-128+MD5+DH1，预共享密钥方式连3DES+MD5；使用PC1访问PC2的业务，在IFW1和IFW2静默双机热备组网，主设备与配置的配置一致，包括接口IP地InsidePC1；OutsideEth0_1接口IP，PC2IP00网；SW的STPSW于DUT相连接的接口配置为Portfast端口，防止STP影响到主备切换响应时间，且SW开启免费ARP学习（一般情况下免费ARP学习默认开启）；PC1到PC2PC1看PC1到PC2PING丢包个数，FTPDATA数换状况，查看PC1到PC2PING丢包个数，FTPDATA数据传输是否可续传情况；整机重启DUT1，PC1持续pingPC2DUT1整个启动过程中的丢包情况，记录PING丢包个数，DUT1重启时刻PC1FTPPC2DATA的数据续传情况；观察主备切换时刻的主DUT三层接口的免费ARP的发送情况，在PC1上使用Wireshark抓包查看切换时刻的免费ARP发送情况，1中PC1可以正常访问PC2的ICMP/FTP，备防火墙上成功GET数据可以根据备