MVS工業防火墻產品技術培訓

2015年7月內容綱要工業防火墻功能介紹FAQ工業防火墻典型配置案例MVS產品需求收集系統工業防火墻概述工業防火墻所涉及領域

制造業、資源、化工、交通、能源、金融行業安全事件

2010年：“網絡超級武器”Stuxnet 2008年：荷蘭地鐵脫軌事件 2011年：美國伊利諾伊州供水系統破壞事件安全事件發生的原因

自動化建設早，重點注重物理安全

工業以太網推廣、兩化（信息化和工業化）融合趨勢

工業防火墻硬件介紹硬件介紹工業環境中對硬件的要求無風扇寬溫（-40-70℃）濕度（5％-95％無凝結）防護等級IP40（防塵不防水）產品型號星辰：201D、203D、1100R星云：F201D、F203D、F1100R

工業防火墻硬件介紹硬件產品導軌式F201D：二串口+二口以太網（bypass）

工業防火墻硬件介紹硬件產品導軌式F302D：二串口+五口以太網

串口以太網口（bypass）以太網口工業防火墻硬件介紹硬件產品機架式F1100R

適用于工業現場的機房環境工業防火墻功能介紹安全防護-模式全通模式

所有報文通過，安全策略不生效調試模式

所有報文通過，記錄日志防護模式

根據策略進行流量匹配（通過或丟棄）工業防火墻功能介紹安全防護-安全策略具有方向性

基于接口進行策略控制基于MAC進行策略控制基于IP進行策略控制

工業防火墻功能介紹安全防護-策略動作允許

禁止DPI（只針對工業協議）

工業防火墻墻功能介紹紹安全防護-協議1工業防護模型（內置置知名工業業廠商協議，可根根據用戶進進行自定義義）工業防火墻墻功能介紹紹安全防護-協議2自定義協議議（新增二二層協議））工業防火墻墻功能介紹紹安全防護-協議3預置上百種種工業協議議工業防火墻墻功能介紹紹安全防護-協議4預置通用協協議（傳統統協議保留留）動態協議（（傳統協議議保留）工業防火墻墻功能介紹紹工業DPI-OPCOPC核心技術為為動態端口口解析與FTP協議相類似似目前OPC只實現了底底層端口解解析未做應應用層數據據過濾工業防火墻墻功能介紹紹工業DPI-Modbus-1基本功能RESET回復（異常常、丟棄報報文進行回回復）異常回復（（中斷連接接時回復Modbus異常功能碼碼）合規性檢查狀態檢查工業防火墻墻功能介紹紹工業DPI-Modbus-2過濾機制黑白名單機機制（非白白即黑）單/多個功能碼碼進行控制制功能碼輸入入范圍進行行細粒度控控制工業防火墻墻功能介紹紹工業DPI-IEC104控制報文類類型/事件（五遙遙一脈）遙調、遙控控、遙信、、遙測、遙視、遙脈控制幀格式S、I、U（I：數據幀為為、S：確認幀、、U：?；顜┘毩６瓤刂浦菩畔Ⅲw地址址控制控制值進行行控制工業防火墻墻功能介紹紹串行DPI-1串行鏈路之之Modbus協議本身無無變化，只只是物理媒媒介為串行行總線串行接口為為console切換為通信信口管理與通信信不能同時時共存機架式設備備不支持工業防火墻墻功能介紹紹串行DPI-2ModbusRTU配置異：需要指指定Master接口同：與以太太網共用Modbus策略模塊工業防火墻墻功能介紹紹工業VPN工業VPN=IPSecVPN（裁剪版））支持sitetosite模式支持預共享享秘鑰認證證支持國際算算法工業防火墻墻功能介紹紹高可用性HA只支持主備備模式內容綱要工業防火墻功能介紹FAQ工業防火墻典型配置案例MVS產品需求收集系統登錄管理界界面WEB管理工業防防火墻瀏覽器證書導入設備備隨隨機機光光盤盤找找到到工工業業防防火火墻墻管管理理證證書書，，拷拷貝貝到到管管理理PC上，，本本地地雙雙擊擊證證書書，按按照照提提示示進進行行安安裝裝，，需需要要輸輸入入密碼碼時輸輸入入“hhhhhh”或““123456”，，當出出現現導導入成成功功后后點點擊擊確定定完完成成。。登錄錄管管理理界界面面WEB管理理VPN登錄錄管管理理頁頁面面Pc與設設備備的的eth0或eth1相連連（（eth0與eth1出廠廠默默認認在在brg0中））管理理PC配置置IP：00/24(VPN默認認管管理理主主機機)IE瀏覽覽器器輸輸入入54:8889彈出出證證書書選選擇擇時時，，選選擇擇剛剛導導入入瀏瀏覽覽器器的的證書書登錄錄用用戶戶名名：：administrator、密碼碼默認認為為lion@LL99Modbus配置置拓樸樸工業業防防火火墻墻透透明明接接入入用二二臺臺pc安裝裝Modbus防真真軟軟件件模模擬擬流流量量IFWModbus-slaveModbus-mastereth0eth1IP:00IP:01Modbus配置置Modbus配置置思思路路-1了解解用用戶戶組組網網，，我我們們設設備備以以何何種種模模式式接接入入用戶戶現現場場流流量量分分布布用戶戶現現場場Modbus協議議策策略略實實現現是否否需需要要產產生生日日志志及及日日志志采采集集方方式式Modbus配置置Modbus配置置思思路路-2配置置基本本網網絡絡（（接接口口IP、路路由由、模塊塊制制授授權權）新建建Modbus策略略（（此此實實例例中中只只放放行行功功能能碼碼1、2）新建建防火火墻墻策策略略（（引引用用Modbus策略略））產生生日日志志，，日日志志保保存存在在本本地地Modbus配置置第一一步步：：基基本本網網絡絡配配置置1）設設備備透透明明接接入入（（eth0與eth1加入入到到brg0中））2）開開戶戶Modbus模塊塊許許可可。。Modbus配置置第二二步步：：添加加Modbus策略略工業DPI>>Modbus>>“新建”采用用白名單方式式允許功能碼碼1和2通過，丟棄其其它所有Modbus流量Modbus配置第三步：添加防火墻規規則安全防護>>“資產”新建Modbus_slave地址為01，Modbus_master地址為00Modbus配置第四步：添加防火墻策策略安全防護>>安全策略新建策略并引用Modbus策略，動作為為DPI、記錄日志新建策略選擇感興趣流流（資產）并并配置流量方方向選擇預置工業業協議（Modbus-tcp）選擇策略方向向（DPI）并引用Modbus策略記錄日志Modbus配置第五步：測試試-slave配置測試PC-slave配置，以功能能碼1為例Modbus配置第六步：測試試-Master配置測試PC-Master配置，以功能能碼1為例Modbus配置第七步：測試試在PC-Master軟件poll上查看功能碼碼1和2連接成功，功功能碼3和4未連接成功在防火墻上查查看日志，功功能碼1和2的流量通過，，功能碼3和4的流量被丟棄棄ModbusRTU配置拓樸工業防火墻串串行總線接入入用二臺pc安裝Modbus防真軟件模擬擬流量（RS-232)IFWModbus-slaveModbus-masterttyS1ttyS0consoleconsoleModbus配置Modbus配置思路-1RS-232不受防火墻策策略控制，不不考慮防火墻墻模式串行總線流量量分布（單一一流量）用戶現場Modbus協議策略實現現是否需要產生生日志及日志志采集方式Modbus配置Modbus配置思路-2配置基本網絡（接口波特率、、數據位、校校驗等）新建Modbus策略（此實例例中只放行功功能碼1、2）策略配置（指指定Master接口，并引用用DPI策略）產生日志，日日志保存在本本地ModbusRTU配置第一步：基本本網絡配置1）設備串行接接入（CONSOLE1與CONSOLE2分別與pc的COM口相連）2）開戶ModbusRTU模塊許可。ModbusRTU配置第二步：添加ModbusRTU策略串行DPI>>ModbusRTU>>“新建”采用用白名單方式式允許功能碼碼1和2通過，丟棄其其它所有Modbus流量ModbusRTU配置第三步：接口設置串行DPI>>接口設設置““切切換工工作模模式””將串串口管管理模模式配配置為為通信信模式式波特率率、數數據位位、奇奇偶校校驗等等與用用戶現現場設設備保保持一一致ModbusRTU配置第四步步：策策略配配置串行DPI>>ModbusRTU設置master接口、、引用用DPI策略、、記錄錄日志志master接口設設置：：master接口端端對應應ModbusRTU設備的的“master”端，，別一一個接接口對對應slave端。此應應用實實例中中CONSOLE0與master設備相相連，，CONSOLE1與slave設備相相連ModbusRTU配置第五步步：測測試-slave配置測試PC-slave配置，，以功功能碼碼1為例Modbus配置第六步步：測測試-Master配置測試PC-Master配置，，以功功能碼碼1為例Modbus配置第七步步：測測試在PC-Master軟件poll上查看看功能能碼1和2連接成成功，，功能能碼3和4未連接接成功功在防火火墻上上查看看日志志，功功能碼碼1和2的流量量通過過，功功能碼碼3和4的流量量被丟丟棄內容綱綱要VPN功能介紹FAQVPN典型配置案例MVS產品需求收集系統MVS需求收收集系系統使使用MVS已創建建產品品需求求收集集系統統，各各辦事事處可可將用用戶提提出的的需求求提交交給公公司，，也可可對比比其它它產品品將本本公司司產品品功能能不滿滿足之之處提提出，，待審審核之之后會會及時時給出出答復復，若若需求求被采采納，，將會會有禮禮品贈贈送?。VS需求收收集系系統使使用提交方方式：：訪問公公司VPN地址：：84使用各各自的的VPN賬號或或使用用需求求收集集賬號號進行行認證證：用戶名名：xuqiu密碼：：xuqiu選擇MVS產品需需求收收集管管理系系統MVS需求收收集系系統使使用進入需需求系系統之之后選選擇““需求求列表表”》“新增增”將標標題、、產品品線、、需求求方、、作者者、描描述清清楚即即可提提交需需求，，待審審核之之后會會及時時回復復內容綱綱要VPN功能介紹FAQVPN典型配置案例MVS產品需求收集系統FAQ1.管理端端訪問問不了了？本地PC的IP是否是是00本地PC是否能能ping通VPN設備brg0口本地PC瀏覽器器是否否導入入了正正確的的管理理員證證書。。2.防火墻墻策略略不生生效？？防火墻墻模式式是否否為防防護模模式FAQ3.源目的的相同同的Modbus策略不向下下匹配配。新建二二條Modbus策略M1與M2，M1放行功功能碼碼1，M2放行功功能碼碼2；新建二二條安安全策策略源源目的的地址址相同同，P1引用Modbus策略M1，P2引用M2；此時只只有功功能碼碼為1的Modbus流量可可以通通過；；若要對對多個個功能能碼做做精細細化防防護只只能在在一條條ModbusDPI策略中中實現現；工業環環境中中Modbus設備獨獨享IPFAQ4.IEC104模塊LicenseI