工业控制系统安全防护 教案-第四章 工业控制系统防火墙

课题名称第4章工业控制系统防火墙计划学时8学时内容分析本章围绕防火墙展开，分为理论+实操+拓展+思政四部分：传统防火墙：概念、原理、三大技术（包过滤/状态检测/应用层）。工业防火墙：概念、技术、国内外主流产品。实操：Windows防火墙防护Modbus、防火墙日志分析。拓展：ASPF状态防火墙原理。思政：钱学森爱国报国、攻坚克难精神。8学时适配：4学时理论+4学时实操，兼顾原理理解与动手能力。教学目标及基本要求1.知识目标掌握传统防火墙概念、工作原理、三大技术特点。掌握工业防火墙概念、核心技术、国内外产品。理解Windows防火墙规则配置、日志含义。理解ASPF状态防火墙原理与优势。2.能力目标能区分传统与工业防火墙差异。能独立配置Windows防火墙拦截Modbus攻击。能查看、分析防火墙操作日志与工作日志。能简述状态防火墙工作流程。3.素养目标树立“防火墙是工控安全第一道防线”意识。培养严谨配置、重视日志、合规防护的职业习惯。学习钱学森爱国报国、攻坚克难、无私奉献精神。教学重点传统防火墙三大技术（包过滤/状态检测/应用层）。工业防火墙特点、Bypass机制、主流产品。Windows防火墙拦截Modbus配置。防火墙日志查看与分析。ASPF状态防火墙原理。教学难点传统防火墙三种技术的区别与适用场景。工业防火墙微秒级时延、Bypass机制理解。Windows防火墙规则作用域配置。防火墙日志字段含义解析。ASPF状态表与临时ACL工作逻辑。教学方式理论讲授（PPT+示意图+对比表）实操演示（屏幕分步演示、步骤拆解）学生实操（分组练习、教师巡回指导）案例分析（真实攻击防护场景）课堂提问、小组讨论、总结思政融入（钱学森爱国事迹）教学过程第1学时：传统防火墙概述（理论）教学内容：防火墙概念、工作原理、分类。课程导入（5分钟）提问：网络边界如何防攻击？防火墙作用？案例：工控网络攻击多从边界突破，引出防火墙必要性。防火墙概念（15分钟）定义：软硬件结合、内外网隔离、按规则过滤流量。分类：软件（Windows防火墙）、硬件、软硬结合。地位：网络安全第一道防线。防火墙工作原理（15分钟）核心：检查数据包→匹配规则→允许/拒绝。流程：数据包进出→解析头部→规则库匹配→执行动作。软件vs硬件：硬件性能高、硬件加速；软件依赖主机配置。课堂小结+提问（5分钟）小结：防火墙=隔离+规则过滤，分软件硬件。提问：Windows防火墙属于哪类？第2学时：传统防火墙三大技术（理论）教学内容：包过滤、状态检测、应用层防火墙。复习回顾（5分钟）提问：防火墙工作核心？软件硬件区别？包过滤防火墙（10分钟）原理：网络层，解析源/目的IP、端口、协议。特点：快、简单；缺点：不识别应用层、易绕过。适用：低安全场景。状态检测防火墙（15分钟）原理：跟踪连接状态，维护状态表。特点：防重放、更安全；缺点：占资源。流程：新连接建表→后续包匹配状态→异常拦截。应用层防火墙（10分钟）原理：解析应用层内容（HTTP/FTP/工控协议）。特点：细粒度、安全高；缺点：慢、时延大。小结：三种技术对比（速度/安全/适用）。第3学时：工业防火墙介绍（理论）教学内容：工业防火墙概念、技术、国外产品。复习回顾（5分钟）提问：三种防火墙技术优缺点？工业防火墙概念（10分钟）定义：专为工控设计，支持Modbus/Profinet等。特点：微秒级时延、宽温、防尘、Bypass机制。区别：传统防IT攻击；工业防工控协议攻击。工业防火墙核心技术（15分钟）协议解析：深度解析Modbus/TCP、Profinet。Bypass：故障直通，保障生产不中断。环境适应：-40℃~75℃、无风扇。国外工业防火墙（10分钟）飞塔、思科、西门子、霍尼韦尔：特点、适用场景。第4学时：国内工业防火墙+思政（理论）教学内容：国内产品、钱学森思政。复习回顾（5分钟）提问：工业防火墙Bypass作用？国内工业防火墙（20分钟）融安、迪普、力控、威努特、华为、长扬：功能、优势、行业应用。特点：国产化、适配国产工控协议、性价比高。思政融入：钱学森事迹（10分钟）事迹：冲破阻挠回国、研制导弹原子弹、奠定航天基础。精神：爱国报国、攻坚克难、自主创新、无私奉献。联系：工控安全需自主可控、攻克技术难关。课堂小结+感悟（5分钟）第5学时：实操1——Windows防火墙防护Modbus教学内容：规则配置、攻击拦截验证。实操导入（5分钟）说明：用Windows防火墙模拟工控防护，拦截Modbus攻击。准备工作（10分钟）启动ModSim32（本地02）。Kali修改攻击脚本IP为02。初始攻击：Kali执行脚本，成功篡改寄存器。防火墙规则配置（15分钟）打开高级设置→入站规则→找到ModSim32。编辑规则：操作改为“阻止”→应用。规则验证：规则变红、阻止生效。攻击拦截验证（10分钟）Kali再次执行脚本→连接超时、拦截成功。学生实操：独立完成配置与验证。第6学时：实操2——防火墙操作日志教学内容：事件查看器、操作日志解析。复习回顾（5分钟）检查：防火墙规则是否阻止Modbus。打开事件查看器（10分钟）路径：开始→管理工具→事件查看器→应用程序和服务日志→WindowsFirewall。查看2099事件（15分钟）事件ID2099：规则修改日志。字段解析：规则名、操作（阻止）、程序路径、修改人。学生实操+答疑（10分钟）实操：找到自己修改规则的日志，解读关键字段。第7学时：实操3——防火墙工作日志教学内容：日志配置、拦截日志分析。复习回顾（5分钟）提问：操作日志记录什么？日志配置（10分钟）防火墙属性→公用配置文件→自定义日志。开启：记录丢弃数据包、记录成功连接。日志路径：%systemroot%\LogFiles\Firewall\pfirewall.log。日志查看与分析（15分钟）管理员打开日志→过滤源IP（Kali）。关键字段：DROP、源IP、目的IP、端口502。解析：Kali攻击被防火墙丢弃，拦截成功。实操总结（10分钟）第8学时：拓展ASPF+本章总结（理论+实操）教学内容：状态防火墙原理、本章复习、习题。拓展：ASPF状态防火墙（15分钟）概念：ApplicationSpecificPacketFilter（状态检测）。原理：建状态表+临时ACL，跟踪TCP三次握手。优势：防会话劫持、重放