工业控制系统安全防护 课件 第四章-工业控制系统防火墙技术与应用

工业控制系统防火墙技术与应用ICSSecurity&Protection目录CONTENTS主要工业防火墙产品0301传统防火墙概述工业防火墙特点与技术0201传统防火墙概述ICSSecurity&Protection防火墙定义防火墙是位于内外网之间的安全系统，由软硬件组成，通过预设安全策略隔离非法访问和有害数据包，保护内网设备安全，是网络安全第一道防线，常部署在网络边界。防火墙类型防火墙分为软件、硬件及软硬件结合三种形式。软件防火墙如Windows自带防火墙，运行于主机操作系统，性能受主机配置影响；硬件防火墙内置专用处理器，处理速度快、性能高。防火墙重要性防火墙能有效抵御外部攻击和入侵，保障网络数据和设备安全，防止内外部安全问题，是维护网络安全的关键设施，在系统安全中不可或缺。010203防火墙概念0102防火墙概念包过滤型防火墙状态检测型防火墙应用层防火墙应用层防火墙可检查数据包应用层信息，根据应用层内容和安全策略决定数据包转发或丢弃，安全性高，但处理速度较慢，适用于实时性要求不高但安全性要求高的场景。状态检测型防火墙是传统包过滤防火墙的扩展，能跟踪连接状态，准确判断数据包合法性，适合资源充足且安全要求较高的场景，但需占用较多资源。包过滤型防火墙是早期防火墙技术，通过配置安全规则过滤数据包。它简单高效，适合安全要求不高的场景，但无法识别复杂攻击方式。主流防火墙技术包头信息匹配包过滤型防火墙通过抓取数据包的包头信息，如源地址、目标地址、协议类型和端口等，与预设的安全规则进行匹配，以此决定数据包的转发或丢弃。适用场景该防火墙处理速度快，简单高效，但无法检测应用层面的攻击，适合安全要求相对较低的场景。包过滤防火墙工作原理包过滤防火墙工作原理状态表维护状态检测型防火墙在包过滤的基础上，维护一个连接状态表。当新连接通过时，在状态表中创建条目并记录相关信息。状态检测后续数据包通过时，防火墙根据状态表中的记录进行检测。若数据包属于正常连接流程则允许通过，否则可能判断为异常，如重放攻击。适用场景它能跟踪连接状态，准确判断数据包合法性，但需占用较多资源维护状态信息，适合资源充足且安全要求较高的场景。状态检测防火墙工作原理状态检测防火墙工作原理应用层信息检查应用层防火墙可检查数据包应用层的信息，通过与安全策略比较来决定数据包的转发或丢弃。适用场景它可根据用户需求设置更详细的安全规则，安全性高，但处理速度较慢，适用于实时性要求不高但安全性要求高的场景。应用层防火墙工作原理应用层防火墙工作原理02工业防火墙特点与技术ICSSecurity&Protection工业防火墙定义工业防火墙是专为工业控制系统设计的网络安全系统，结合硬件和软件技术，集成工业协议解析模块，支持多种工业协议，具备深度包检测和应用层通讯跟踪技术，可在恶劣环境下稳定运行。工业防火墙与传统防火墙相比，具有更低的时延（微秒级），更强的工业协议解析能力，更高的环境适应性，以及默认支持Bypass机制，以保障工业生产的连续性和稳定性。工业防火墙与传统防火墙区别工业防火墙能有效保护工业控制系统设备免受外部攻击，拦截非法指令和有风险的数据包，确保工控系统安全稳定运行，是工业网络安全的重要组成部分。工业防火墙作用工业防火墙概念工业防火墙概念01工业防火墙工作原理工业防火墙工作原理与传统防火墙基本相同，通过检查进出网络的数据包，根据预设安全策略决定数据包传输。它在技术上相比传统防火墙有更多提升，如内置工业协议解析模块，快速过滤解析工控协议。02工业防火墙技术分类工业防火墙技术总体上可分为包过滤、状态检测和应用层内容检测等几大类型，每种类型都有其特点和应用场景，可根据实际需求选择合适的技术。03工业防火墙Bypass机制工业防火墙的Bypass机制可在防火墙死机时将两个网络连通，让数据直接通过，确保生产过程不受影响，保障生产的连续性。工业防火墙原理与技术工业防火墙bypass机制03主要工业防火墙产品ICSSecurity&ProtectionFortinet飞塔工业防火墙Fortinet飞塔工业防火墙是针对工业环境加固的多合一安全设备，支持主流工业控制协议识别和威胁防御，拥有强大的管理系统，采用ASIC加速的UTM解决方案，能有效防御多层攻击，广泛应用于各种复杂工业环境。Cisco思科工业防火墙具有较高的安全性和性能，如Firepower4100系列，具有实时展示网络动态、降低管理复杂性等优点，通过RESTfulAPI支持流量卸载等，适用于大型企业工业网络环境。Cisco思科工业防火墙霍尼韦尔工业防火墙产品如CC-PCF901控制器防火墙模块，结合了霍尼韦尔在工业自动化和控制领域的技术优势，具有较高的可靠性和稳定性，能为工业控制系统提供安全的网络通信环境。霍尼韦尔工业防火墙西门子ScalanceSC646-2C是工业安全设备，用于保护设备和网络，具有防火墙和VPN功能，地址转换等功能，与西门子其他工业自动化产品兼容性好，可靠性高。西门子工业防火墙国外主要工业防火墙产品融安网络工业防火墙集成多种智能引擎，可提供L2-L7层访问控制等功能，网络适应性强，具有低延时转发、智能学习规则等优势，广泛应用于多个关键信息基础设施行业。融安网络工业防火墙迪普工控防火墙DPtechIFW1000除具备传统防火墙功能外，还能精确识别数百种工业协议，并对多种协议进行深度解析过滤，通过自学习生成指令规则及安全策略，主要应用于工业控制层级间隔离。迪普工控防火墙DPtechIFW1000力控元海工业标准防火墙HC-ISG是国内首款专用于工业控制安全领域的防火墙产品，能有效对多种工业控制系统进行信息安全防护，通过多项检测和认证，应用于多个与国计民生紧密相关的工业控制系统和网络。力控元海工业标准防火墙HC-ISG威努特工业防火墙TEG5612P搭载多种网络接口，具备全电口BYPASS等功能，独家支持硬件级安全策略写保护，采用无风扇设计等，具有高可靠性，适用于各种严苛工业环境。威努特工业防火墙TEG5612P华为坤灵USG6000E-S系列防火墙实现了全国产化，核心器件100%自研，拥有强大特征库，能大大提高入侵防御能力，可应用于工业企业网络安全防护。华为坤灵USG6000E-S系列防火墙长扬科技工业防火墙支持多种工控协议深度检测，具备动态过滤策略防护等功能，兼容性高，可有效保障工业网络安全，可用于多种网络边界安全隔离防护。长扬科技工业防火墙国内主要工业防火墙产品钱学森冲破阻力回国钱学森，著名航天科学家、空气动力学家，中国科学院、中国工程院资深院士。新中国成立后，他怀着对祖国的深厚感情，冲破美国政府的重重阻挠，历经艰难险阻回到祖国。回国后，他投身于我国的航天事业，带领科研团队从无到有，攻克了一系列航天技术难题。在他的主持下，我国成功研制出导弹、原子弹等尖端武器，使我国在国际舞台上拥有了强大的国防力量，钱学森以其卓越的学识和坚定的爱国信念，为我国的科技进步和国防现代化建设作出了不可磨灭的贡献。大国工匠谢谢大家ICSSecurity&Protection利用防火墙防护ModbusTCP协议及日志分析ICSSecurity&Protection0102防火墙日志分析CONTENTS防火墙防护ModbusTCP协议目录01防火墙防护ModbusTCP协议ICSSecurity&Protection本次任务旨在利用Windows自带防火墙模拟工控防火墙，抵御针对Modbus设备的攻击，验证防火墙规则对网络流量的管控效果。任务目标IT网络防火墙与工控防火墙在外观、应用场景及功能呈现上差异显著，但工作原理高度一致，均通过设置规则管控设备访问。防火墙与工控防火墙对比防火墙规则可限制IP地址段、端口访问及协议类型，有效筛选网络流量，专业工控防火墙因集成丰富工控协议，配置更便捷高效。防火墙规则的作用任务概述将Modbus攻击脚本中tcpMaster的IP地址从修改为02，以适应Kali运行环境，其他代码保持不变。修改攻击脚本+启动modsim32模拟器，执行Kali上的attack_modbus.py脚本，验证脚本能够穿透防火墙，连接Modbus从站并篡改寄存器值。模拟器与脚本测试+确认Windows防火墙处于启用状态，查看与modsim32相关的入站规则，了解初始配置下防火墙对Modbus通信的允许情况。防火墙初始状态+准备工作修改防火墙规则打开Windows防火墙高级设置，将modsim32相关的两条允许连接的入站规则改为阻止连接，确保防火墙拦截对Modbus设备的攻击。验证防火墙效果再次执行attack_modbus.py脚本，观察连接失败超时的结果，验证防火墙规则修改后成功拦截了对Modbus设备的攻击。规则修改细节详细查看修改后的防火墙规则，包括规则名称、方向、配置文件、操作、应用程序路径等信息，理解规则对Modbus通信的具体管控作用。任务步骤02防火墙日志分析ICSSecurity&Protection查看操作日志通过Windows事件查看器，找到WindowsDefender防火墙的操作日志，查看修改防火墙规则的日志记录，了解规则变更的具体信息。日志内容解析解析操作日志中的字段，如规则ID、规则名称、原位置、活动、方向、配置文件、操作等，明确规则修改对Modbus通信权限的影响。日志记录的意义操作日志记录了防火墙规则的变更，反映了管理员对防火墙配置的操作，有助于追溯网络安全策略的调整过程，为网络安全管理提供依据。010203防火墙操作日志在WindowsDefender防火墙属性中，设置记录被丢弃的数据包和成功的连接，以便查看防火墙对Modbus攻击的拦截记录。设置日志记录查看工作日志中的字段，如日期、时间、动作、协议类型、源IP地址、目的IP地址、源端口、目的端口等，分析被防火墙阻止的Modbus攻击数据包。分析工作日志工作日志记录了防火墙对网络连接和安全事件的处理情况，通过分析日志，可以了解防火墙的运行状态，评估网络安全状况，及时发现潜在的安全威胁。日志记录的作用防火墙工作日志谢谢大家ICSSecurity&Protection防火墙ASPF技术详解ICSSecurity&Protection目录CONTENTS状态防火墙基础01状态防火墙工作原理02状态防火墙案例分析0301状态防火墙基础ICSSecurity&ProtectionASPF即应用层报文过滤，基于状态检测，跟踪连接状态，如TCP三次握手，确保数据包符合状态逻辑，异常则拒绝或警报。ASPF定义传统防火墙局限状态防火墙优势状态防火墙（ASPF）弥补了包过滤防火墙的不足，能够检查应用层协议信息，监控连接状态，动态决定数据包是否通过，有效阻止恶意入侵。包过滤防火墙基于ACL，仅关注IP层信息，处理简单，无法应对复杂协议状态转换及多通道协议，如FTP。状态防火墙概念02状态防火墙工作原理ICSSecurity&Protection状态表结构状态表包含连接标识、协议、源IP地址、源端口号、目的IP地址、目的端口号、连接状态、超时值等信息，用于维护会话状态。01TACL作用临时访问控制列表与状态表同时创建，匹配会话中返回报文，为应用返回报文构建临时返回通道，支持多通道协议正常工作。02状态管理机制ASPF通过跟踪协议状态机实现状态管理，监控协议状态转换，不符合协议定义的报文将被丢弃，确保报文符合协议状态机。03状态表与TACL状态防火墙对每个数据包进行检查，验证其是否符合当前连接状态，如TCP连接中的SYN、ACK等状态，确保数据包合法性。数据包检查根据数据包交互，状态防火墙实时更新状态表中的状态信息，如连接建立、数据传输、连接关闭等状态变化。状态更新若检测到异常数据包，如不符合状态逻辑或超时的报文，状态防火墙将采取相应措施，如丢弃数据包、触发警报或关闭连接。异常处理状态检测流程03状态防火墙案例分析ICSSecurity&ProtectionTCP建立连接流程表示初始状态。CLOSED当服务器程序启动并完成对特定端口的监听设置后，就会进入LISTEN状态。这个状态表示服务器已经准备好接收来自客户端的连接请求。客户端SOCKET执行CONNECT操作时，它首先发送SYN报文，然后状态就从CLOSED转移到SYN_SENT状态。SYN_SENT状态表示客户端已发送SYN报文。SYN_SENT当处于SYN_SENT状态时，如果接收到了SYN报文，状态就从SYN_SENT转移到SYN_RCVD状态，表示已经收到了SYN报文。SYN_RCVD当处于SYN_RCVD状态时，如果接收到了ACK，表示连接已经建立了。ESTABLISHEDLISTEN主要状态TCP连接状态机包括CLOSED、LISTEN、SYN_SENT、SYN_RCVD、ESTABLISHED等状态，描述了连接从建立到完成的过程。状态机介绍不同状态下，根据收到的报文类型（如SYN、ACK）和超时等条件，状态会发生转移，如客户端发送SYN后进入SYN_SENT状态。状态转移条件状态转换过程服务器通过socket、bind、listen等操作进入LISTEN状态，准备接收连接请求。服务器监听准备客户端执行connect操作，发送SYN报文，状态从CLOSED变为SYN_SENT。服务器收到SYN报文后，发送ACK和SYN报文，状态从LISTEN变为SYN_RCVD。服务器响应客户端收到SYN报文后，发送ACK确认，状态从SYN_SENT变为ESTABLISHED。客户端确认服务器收到ACK后，状态从SYN_RCVD变为ESTABLISHED，连接建立完成。连接建立完成客户端发起连接连接建立步骤背景假设客户端IP是0，使用的端口是50000。服务器端IP是0，端口是21。连接标识创建客户端通过connect连接服务器时，状态防火墙创建连接标识，记录源IP、源端口、目的IP、目的端口、协议等信息。状态表记录这些信息被记录到状态表中，用于后续的报文检查和放行。TCP连接中的ASPFTCP连接中的ASPF在客户端通过connect连接服务器的时候，数据包经过状态防火墙，防火墙会创建一个新的连接标识，并且记录了该连接的源IP地址（0）、源端口号（50000）、目的IP地址（0）、目的端口号（21）、连接状态以及超时值等信息。这条信息会加入状态表，连接标识协议源IP地址源端口号目的IP地址目的端口号连接状态超时值已接收数据包数已发送数据包数已接收字节数已发送字节数1TCP050000021SYN_SENT60秒010n1TCP连接中的ASPF服务端接收到客户端的SYN包后，会返回一个SYN+ACK包给客户端，此时服务端的状态变为SYN_RCVD，表示服务端已经接收到了客户端的SYN包，并发送了SYN+ACK包进行确认。连接标识协议源IP地址源端口号目的IP地址目的端口号连接状态超时值已接收数据包数已发送数据包数已接收字节数已发送字节数1TCP050000021SYN_SENT60秒010n11TCP021050000SYN_RCVD60秒11m1n2TCP连接中的ASPF客户端接收到服务端的SYN+ACK包后，会发送一个ACK包给服务端，完成三次握手，此时连接建立成功，连接状态变为ESTABLISHED，表示连接已经建立。连接标识协议源IP地址源端口号目的IP地址目的端口号连接状态超时值已接收数据包数已发送数据包数已接收字节数已发送字节数1TCP05000