工业控制系统信息安全技术与实践教学教案

PAGE5PAGE第1次课程教学方案备课时间2022年8月15备课教师冯俊梅教学时间2022年9月1日教学地点E2-204周次1课时数2教学内容（章、节）模块/单元课程介绍第一章工控系统信息安全概述教学目标和要求1、了解工业控制系统的基本概念2、掌握工业控制系统信息安全的特点3、了解我国工业控制行业存在的主要问题4、理解工业控制系统安全的重大意义教学重点工业控制系统架构、工控安全的特点教学难点工控安全的特点教学方法头脑风暴、互动、讲授、引导、演示、案例、小组活动等使用媒体资源√纸质材料√多媒体课件√网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习课后记

教学内容（板书）教学步骤、方法及学生活动时间课程介绍课程概述本课程利用菲尼克斯电气公司的PLC、AIO/DIO模块、PROFINET交换机、安全路由器和防火墙MGUARD等设备，构建小型工业控制系统，使学生了解利用PLC进行程序开发实现简单的工业控制，掌握工业交换机的配置方法，熟练掌握工业防火墙的安全配置方法，理解VPN、NAT的功能特点及配置。实践教学内容考核评价教材：工业控制系统信息安全技术实践引导学生了解整个课程的教学设计；了解这个课程的组成要素和实施要求。15分钟二、安全教育〖发生火灾时的应对措施〗1、发生火灾后第一时间报告老师，老师立即上报领导。2、火灾发生后，学生要保持冷静不要慌张更不要拥挤，在火势较大的情况下想办法立即逃离现场。如需要应迅速拨打119火警电话3、在火势较大，烟大，楼道拥挤的情况下，滞留在楼内的学生应大声呼救或用湿毛巾捂住嘴迅速逃生。〖实训室日常安全措施〗1、不要随意更换鼠标和键盘，机器使用有问题请及时向老师反映。2、严禁在实训室吃各种食物，请将水杯拧紧放好，注意不要将水泼洒在键盘上。3、未经允许不得随意使用实训室电源给手机充电或使用其他电子设备。4、发现有安全隐患的电子设备应及时报告老师，不要擅自动手。5、下课后请整理好桌面杂物、将机器正常关闭后再离开。6、每天课后安排2名学生整理实训室，打扫卫生、关闭电源、关好门窗。三、理论知识介绍1、工控系统及工控网络概述工业控制系统(IndustrialControlSysten，简称ICS)是指由计算机与工业过程控制部件组成的自动控制系统，它由控制器、传感器、传送器、执行器和输入输出接口等部分组成。这些组成部分通过工业通信线路，按照一定的通信协议进行连接，形成一个具有自动控制能力的工业生产制造或加工系统。工控网络简单来说，就是工业控制系统中的网络部分，是一种把工厂中各个生产流程和自动化控制系统，通过各种通信设备组织在一起的通信网络。典型的工控网络分层架构一个典型的工业工控网络通常包括：现场设备层现场控制层过程监控器制造执行系统（MES）层企业管理层外部网络以制造执行系统（MES）层为分界线，向上是通用IT领域，向下是工业控制系统领域。教育引导学生重视安全问题，掌握遇到安全问题时的应对措施。理论部分以教师讲授为主要形式学生可以提问，由教师进行进一步的解释和说明。5分钟20分钟数据采集与监控系统SCADASCADA系统是以计算机为基础的生产过程控制与调度自动化的系统，用于控制分散的资产以便进行与控制同样重要的集中数据采集。SCADA系统集成了数据采集系统，数据传输系统和HMI软件，以提供集中的监视和控制，以便进行过程的输入和输出。分布式控制系统（DCS）DCS系统是一个由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统，综合了计算机、通信、显示和控制等4C技术，其基本思想是分散控制、集中操作、分级管理、配置灵活以及组态方便。现场总线控制系统（FCS）现场总线控制系统（FCS）是基于现场总线技术的计算机控制系统，它是集计算机技术、网络技术和控制技术为一体的先进的计算机控制系统。是一种全分散、全数字、全开放的控制系统。FCS具有以下特点：（1）FCS采用的现场总线是一个全数字化的现场通信网络。（2）FCS的现场总线网络是开放式互连网络。（3）FCS的所有现场设备直接通过一对传输线（现场总线）互连。（4）FCS普遍采用智能仪表，增强了系统的自治性。工业控制系统信息安全的特点高实时性要求高业务连续性要求工业专用协议生命周期长工控系统安全的分类工控系统的安全通常可分为功能安全、物理安全和信息安全三类。功能安全是为了实现设备和工厂安全功能物理安全是减少由于电击、着火、辐射、机械危险、化学危险等因素造成的危害信息安全是指通过计算机技术和网络技术手段，使计算机系统的硬件、软件、数据库等受到保护理论部分以教师讲授为主要形式学生可以提问，由教师进行进一步的解释和说明。15分钟15分钟我国工业控制行业存在的主要问题1.核心技术产品受制于人2.安全防护水平相对落后3.网络攻击风险持续加剧4.安全管理机制尚待健全工业控制系统安全的重大意义工业自动化和信息化系统是工业的核心组成部分，是支撑国民经济的重要基础设施，是工业各行业、企业的“神经中枢”。工业控制系统安全的核心任务是确保这些“神经中枢”的安全。工业控制系统安全与人民的生活息息相关，对国家的发展有非常重要的战略意义。四、课程总结本次课程主要完成了以下内容：工业控制系统的基本概念工业控制系统信息安全的特点我国工业控制行业存在的主要问题工业控制系统安全的重大意义五、布置作业1、复习所学内容。2、完成中国大学慕课MOOC上自主学习的内容和单元测试。理论部分以教师讲授为主要形式学生可以提问，由教师进行进一步的解释和说明。教师针对本次课内容进行总结与归纳陈述。10分钟10分钟第次课程教学方案备课时间2021年08月备课教师廖旭金教学时间年月日教学地点周次课时数2教学内容（章、节）模块/单元第2章工控安全防护体系教学目标和要求了解工业控制系统信息安全保障体系了解工业控制系统安全防护技术了解工业控制系统安全设备掌握常见的工控网络边界防护方案教学重点工业控制系统安全防护策略；工业控制系统安全防护理念；常用安全防护技术；网络边界安全防护；区域边界安全防护；常见的工控网络边界防护方案。教学难点工控安全防护理念；工控网络边界防护方案的选择。教学方法理论讲解、课堂练习使用媒体资源R纸质材料R多媒体课件R网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习复习所学内容，完成课后作业；完成中国大学慕课MOOC上自主学习的内容和单元测试。课后记（空白不够可添加附页）

教学内容（板书）教学步骤、方法及学生活动第2章工控安全防护体系2.1工业控制系统信息安全保障体系构建工业控制系统信息安全保障体系是一项复杂且长期的系统工程，需要根据工业企业自身的实际情况，从法律法规、制度、人员、资金、技术、软硬件设备等多个维度进行统筹规划，依据工业控制系统安全防护策略和理念，将网络安全的观念贯穿到工业控制系统的整个生命周期，实现工业控制系统的功能安全与信息安全的全方位深度融合。2.1.1工业控制系统安全防护策略工业控制系统可依据“网络专用、分层分域、横向隔离、纵深防御”的策略进行安全防护，搭建工业控制系统安全架构。1.工业控制网络与企业办公网络安全互联必须严格落实工业控制网络与企业办公网络及互联网等其他网络安全互联的要求，用网络安全防护设备将工控网络与办公网络进行逻辑分隔，避免办公网络与工业控制网络在同一网络平面中，层次不清。在两个网络之间建立网络壁垒，实现身份鉴别、安全隔离、加密认证、访问控制、恶意行为防范、入侵检测、安全审计等安全功能。2.分层分域设计工业控制系统安全防护的重点是结构安全性，IEC62443-3标准建议通过横向分区、纵向分域，对工业控制系统的各个子系统进行分段管理，即通过安全层次和安全区域的划分以及边界防护设备的部署来实现结构安全性。通过分层分域设计，整个网络系统的安全问题就转化为各个安全区域的安全防护问题。由于各个安全区域的网络结构相对简单，具有相同或相近的安全防护需求和策略，可以在安全区域内部以及安全区域之间，采用有效的安全防护手段，更好地避免工控网络安全风险，提高安全设备的利用率。3.纵深防御架构纵深防御架构指的是采用两种或以上重叠的安全机制对工业控制系统进行保护，这样任何一种安全机制出现故障，都不会导致工业控制系统完全失去保障。纵深防御架构通常包括防火墙系统、DMZ区域和入侵检测能力，同时配置有效的安全策略、培训程序和事件响应机制。2.1.2工业控制系统安全防护理念教师讲解：构建工业控制系统信息安全保障体系。教师讲解：重点讲解工业控制系统安全防护策略。教师讲解：重点讲解分层分域设计的方法以及案例。教师提问：分层分域设计的关键点是什么？引导学生找出关键点教师讲解：简单介绍纵深防御架构教师讲解：简单介绍安全防护理念，强调三位一体，缺一不可。

教学内容（板书）教学步骤、方法及学生活动在构建工业控制系统安全防护体系时要注意的原则：水桶原则。整体性原则。均衡性原则。等级性原则。一致性原则。易操作性原则。统筹规划、分步实施原则。动态发展原则。2.2工业控制系统安全防护技术安全防护技术是工业控制系统安全防护体系中最关键的部分，工控网络安全防护的核心是建立以安全管理为中心，再配合符合工控网络特性的安全技术，进行有目的、有针对性的防护。2.2.1网络隔离和访问控制技术2.2.2身份验证技术身份验证是指通过一定的手段，完成对用户或设备身份的确认，根据用户或设备的角色或职责，分配不同的访问权限。身份验证是用户进行资源访问的先决条件，也是工业控制系统访问控制的基本要求。基于共享密钥的身份验证基于生物学特征的身份验证基于智能卡/令牌的身份验证基于公开密钥加密算法的身份验证基于位置的身份验证双因子身份验证教师讲解：简单介绍8个原则教师介绍安全防护技术，帮助学生了解这些技术的功能及特点，引导学生分析这些技术的区别及应用场景。教师介绍身份验证技术，比较不同的身份验证方法实现不同的安全性。

教学内容（板书）教学步骤、方法及学生活动2.2.3数据加密与确认技术数据加密技术实现保密性，是网络安全技术的基石。数据确认技术可以保护数据的准确性和完整性。2.2.4日常管理相关技术1.日志审核技术2.恶意代码防护技术3.入侵检测与入侵防护技术4.漏洞扫描技术5.蜜罐技术6.态势感知技术2.2.5物理安全防护技术物理安全防护是指采取一些物理措施来限制对工业控制系统资产的物理访问。1.物理安全防护技术物理保护是指利用安全防范系统进行保护，主要有访问监视系统和访问限制系统两类。其中，访问监视系统包括摄像头、传感器等识别系统；访问限制系统包括围栏、门禁、保安等。2.人员安全防护技术人员安全防护指的是减少人为造成的失误、盗窃、欺骗、有意无意滥用信息资产的可能性和风险，包括人员聘用制度、企业方针和实践、任用条款、岗位职责等。教师讲解：简单介绍常见的加密算法与确认技术，比较它们的异同。教师讲解：简单介绍日常管理相关技术，介绍它们的功能特点，比较它们的异同。教师讲解：简单介绍物理安全防护技术，介绍它们的功能特点，比较它们的异同。

教学内容（板书）教学步骤、方法及学生活动2.3工业控制系统安全设备2.3.1网络边界安全防护在工业控制系统网络与企业办公网络交界的位置，应通过具有隔离功能的网络防护设备进行严格的隔离防护，可以有以下三种方法：（1）完全隔离：这对于数据保护来说是最理想的状况，即工业工控网络和办公网络完全独立，两套网络之间没有任何的访问。（2）单向隔离：随着工业互联网的发展，实时信息共享的需求日渐增加，可使用单向隔离网闸或者防火墙对两个网络进行单向隔离防护，数据流动方向由工控网络流向办公网络。（3）双向访问：可在两套系统之间设置双向隔离网闸或者防火墙，除了提高业务运行效率所必须的信息外，所有其他的流量都需要被屏蔽。2.3.2区域边界安全防护1.防护设备在安全区域之间部署防火墙、路由器、入侵检测系统（IDS）、入侵防护系统（IPS）、隔离网闸、安全监测平台、安全审计平台等设备，实现网络隔离和边界安全防护。建议在工业控制网络的每个安全区域边界使用工业防火墙、安全检测平台和安全设计平台，因为这些设备的功能各不相同，可以实现更好的安全区域边界防护。2.防护要领（1）根据具体需求，将系统或设备划归到合适的安全区域，并严格定义区域中使用的协议、端口及服务。（2）严格保护有修改区域权限的用户。（3）所有入站和出站流量必须强制通过一个或多个已知的可被监视和控制的网络连接，尤其注意控制无线网络的使用。（4）每个连接都应该部署一个或多个安全设备。（5）在区域边界防护设备上配置合适的规则，以拒绝所有（DENYALL）的规则结束，确保所有允许规则都明确定义。（6）阻止所有格式不正确的工业网络协议包，阻止所有区域中不允许的入站或出站流量，阻止所有在协议不被允许区域中检测出的工业网络协议包，对所有的登录验证尝试进行记录，对所有的工业网络端口扫描进行报警。2.3.3区域内部安全防护1.防护设备区域内部的安全主要是通过基于主机的安全来完成的，包括主机防火墙、主机IDS、终端杀毒系统、应用程序白名单、外部控制工具等。2.防护要领（1）只允许需要的特定端口和服务，其他流量均拒绝。（2）阻止未定义的流量、恶意软件或代码等，检测并记录异常活动，若需要生成合规性报告，可以记录正常或合法的活动。（3）定期更新终端杀毒系统的病毒库。（4）确保只有安全获得审核的应用才能加入应用程序白名单。教师讲解：介绍三种隔离防护方法，比较它们的异同。教师讲解：重点介绍区域边界安全防护的设备和防护要领，介绍它们的功能特点，比较它们的异同。教师讲解：重点介绍区域内部安全防护的设备和防护要领，介绍它们的功能特点，比较它们的异同。

教学内容（板书）教学步骤、方法及学生活动2.4常见的工控网络边界防护方案办公网络与工控网络间部署单防火墙办公网络和工控网络之间部署防火墙与路由器办公网络和工控网络之间部署带DMZ的防火墙办公网络和工控网络之间部署双防火墙等课程总结：工业控制系统信息安全保障体系工业控制系统安全防护技术工业控制系统安全设备常见的工控网络边界防护方案作业布置：1、复习所学内容，完成课后作业。2、完成中国大学慕课MOOC上自主学习的内容和单元测试教师讲解：重点讲解常见的工控网络边界防护方案，引导学生分析并比较它们的异同，了解它们的应用场景。

第3-4次课程教学方案备课时间2022年8月15日备课教师冯俊梅教学时间2022年9月15日教学地点E2-204周次3课时数6教学内容（章、节）模块/单元1、PLC相关原理2、开放的自动化技术3、PLC相关实训教学目标和要求了解PLC的基本概念，掌握PLC系统的结构及硬件组态掌握IEC61131-3编程语言的基本应用了解PLCNext相关软件与基本操作掌握PLC程序的开发与应用的基本方法教学重点PLC硬件组态与基本设置、PLC程序开发与应用教学难点PLC程序的开发教学方法头脑风暴、互动、讲授、引导、演示、案例、小组活动等使用媒体资源√纸质材料√多媒体课件√网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习完成电子版实训报告课后记使用真实设备进行设置，很多同学感觉很不适应，后续就增加练习的机会

教学内容（板书）教学步骤、方法及学生活动时间一、安全教育〖发生火灾时的应对措施〗1、发生火灾后第一时间报告老师，老师立即上报领导。2、火灾发生后，学生要保持冷静不要慌张更不要拥挤，在火势较大的情况下想办法立即逃离现场。如需要应迅速拨打119火警电话3、在火势较大，烟大，楼道拥挤的情况下，滞留在楼内的学生应大声呼救或用湿毛巾捂住嘴迅速逃生。〖实训室日常安全措施〗1、不要随意更换鼠标和键盘，机器使用有问题请及时向老师反映。2、严禁在实训室吃各种食物，请将水杯拧紧放好，注意不要将水泼洒在键盘上。3、未经允许不得随意使用实训室电源给手机充电或使用其他电子设备。4、发现有安全隐患的电子设备应及时报告老师，不要擅自动手。5、下课后请整理好桌面杂物、将机器正常关闭后再离开。6、每天课后安排2名学生整理实训室，打扫卫生、关闭电源、关好门窗。特别注意关闭靠窗的三组电闸。二、理论知识介绍1、PLC简介可编程逻辑控制器（ProgrammableLogicalController）简称PLC，是一种以微处理器为基础，综合了现代计算机技术、自动控制技术和通信技术发展起来的一种通用的工业自动控制装置。2.PLC功能特点1）可靠性高2）编程容易3）组态灵活4）输入/输出功能模块齐全5）安装方便6）运行速度快3、PLC基本结构1）电源2）中央处理单元（CPU）3）存储器4）输入单元5）输出单元6）其他部分教育引导学生重视安全问题，掌握遇到安全问题时的应对措施。理论部分以教师讲授为主。学生可以提问，由教师进行进一步的解释和说明。5分钟25分钟4、IEC61131-3编程语言简介IEC61131是一个标准集，涵盖了PLC的硬件、软件、通信、安全等方方面面，并随着时间的发展添加了一些新的子集，IEC61131-3是IEC61131标准的第三部分，该部分明确了PLC的编程语言、语法、程序结构、数据类型、指令、函数等关于编程的方方面面，为PLC编程提出了明确的、可操作的指导。IEC61131-3提供了5种PLC的标准编程语言，其中有3种图形语言：梯形图（LD）功能块图（FBD）顺序功能图（SFC）；两种文本语言：结构化文本（ST）指令表（IL）三、实验环境及设备介绍1、\t"/article/202004/_blank"PLCnext技术简介\t"/article/202004/_blank"PLCnext是PhoenixContact最新推出的自动化平台，涵盖新型PLC控制器产品、PROFICLOUD服务、\t"/article/202004/_blank"PLCnextStore等产品与服务，是IT迅猛发展时代背景下的新型自动化解决方案。\t"/article/202004/_blank"PLCnext总体架构分为五大部分：硬件与操作系统、中间件、\t"/article/202004/_blank"PLCnext核心组件、内部用户组件、外部用户组件。2、菲尼克斯PLCnextAXCF21523、PLCnextEngineer的基本操作我们所使用的软件是PLCnextEngineer，它是由菲尼克斯公司所开发的，用于菲尼克斯电气自动化控制器的工程软件平台，PLCnextEngineer符合IEC61131-3，并可利用插件扩展其功能性。PLCnextEngineer界面划分为四个区域：实例区（系统）：包括本项目所用到的所有元素。如果配置正确，此处存储的所有内容也会进行调试。理论部分以教师讲授为主。学生可以提问，由教师进行进一步的解释和说明。30分钟类型区（组件）：包括理论上可用于系统调试和编程的所有元素和组件，除了编程块、程序和HMI对象，还包含PLC、总线耦合器和IO模块等设备。编辑区：用于编辑实例和类型。选择实例或类型后，可在编辑器区域中配置相应的对象。消息窗口+附加功能：显示编译期间检测到的警告和错误，并提供其他功能，如逻辑分析，断点控制和监视窗口。四、实验讲解及演示1、设置PLC的IP地址打开软件PLCnextEngineer，新建一个工程在右侧搜索框中输入2152，在弹出的下拉框中选择“AXCF2152Rev.>=00/2019.0.0”点击Project，再点击Settings设置项目的IP地址范围点击axc-f-2152:AXCF2152，然后点击Settings为PLC设置IP地址点击Project，然后点击OnlineDevices，将本地连接选成以太网（更改PC机IP的以太网）然后点击以太网右边的图标，最终将项目IP具体应用在在线设备上2、开发PLC跑马灯程序添加数字模块：在搜索框中输入DI16，选择AXLFDI16/1DO16/12H，添加模块，按住鼠标左键拖动到左边AxiolineF下添加模拟模块：在搜索框中输入AI2，选择AXLFAI2AO21H，添加模块，按住鼠标左键拖动到左边AxiolineF下定义全局变量：双击选择PLC，点击DataList，在全局变量Default中创建新的变量，DO16新建程序：在右侧选择Programming，右键选择Programs，点击AddProgram，建立一个新的程序项目点击Code，添加程序段，分别添加程序教师边讲解边演示实验操作。学生可以提问，由教师进行进一步的解释和说明。30分钟将程序下载到PLC：右键点击axc-2152-1:AXCF2152，点击WriteandStartProject，进行程序的下载3、数字量——实现“与”门逻辑步骤1创建全局变量。双击左侧的PLC，在DataList下的Default添加两个变量：GlobalBool、GlobalBoolOut，步骤2应用全局变量。变量创建完成后，在PLC的DataList标签下分别完成GlobalBool过程数据项（dio-1/IN）设置和GlobalBoolOut过程数据项（dio-1/OUT）设置。步骤3新建程序Main。步骤4新建局部变量。在Main标签下的Variables下的Default中添加一个变量LocalBool，步骤5在Main下的Code中的空白地方构建程序框架步骤6添加任务并应用程序双击左侧的\t"/article/202004/_blank"PLCnext（2）步骤7将程序写入PLC设备。4、模拟量——实现电压转换步骤1设置输入通道值。步骤2新建并应用全局变量。在PLC的DataList标签下添加一个全局变量GlobalWord，并将GlobalWord的类型（Type）改为WORD。步骤3新建功能块。步骤4分别将“input”和“Output”定义为“input”和“Output”类型步骤5把input的类型改为WORD，Output改为REAL步骤6把功能块Analog_1拖进Main程序中步骤7重新将程序写入到PLC，并查看运行时参数的变化情况教师边讲解边演示实验操作。学生可以提问，由教师进行进一步的解释和说明。60分钟5、PLC复位操作（1）在\t"/article/202004/_blank"PLCnextEngineer内对PLC程序执行复位操作（2）通过PLC面板上的复位按钮执行复位操作这种复位会删除以下数据：（1）所有程序：包括IEC61131-3程序和高级语言编写的程序（2）总线配置（3）网络配置（但不复位IP地址）执行此种复位操作步骤如下：步骤1将PLC断电，同时按住复位按钮；步骤2将PLC重新上电，这个过程一直按住复位按钮；步骤3等RUN灯和FAIL灯一起亮起来，再松开复位按钮，表示复位成功。五、学生分组实验1、按照实验拓扑进行硬件连接。2、按各自组号完成PLC和电脑IP地址的配置，测试二者之间的连通性，测试通过IE浏览器访问到PLC。3、开发PLC程序，将程序下载到PLC中，观察并记录实验结果。4、完成PLC复位操作（1）熟悉PLCnextEngineer软件的使用；（2）完成PLC的IP地址设置；（3）通过的编程实现对PLC的控制效果。（4）完成PLC的复位操作七、布置作业1、复习所学内容，完成电子版实训报告2、完成中国大学慕课MOOC上自主学习的内容和单元测试。教师边讲解边演示实验操作。学生可以提问，由教师进行进一步的解释和说明。学生进行自主练习教师针对本次课内容进行总结与归纳陈述。10分钟90分钟10分钟10分钟

第次课程教学方案备课时间备课教师教学时间教学地点周次课时数4教学内容（章、节）模块/单元第4章工业总线与以太网基础4.1现场总线4.2.工业以太网4.3以太网基础教学目标和要求理解现场总线基本概念了解现场总线产生与发展了解主流总线理解工业以太网基本概念了解工业以太网主要标准掌握OSI开放系统互连模型教学重点理解现场总线基本概念工业以太网基本概念OSI开放系统互连模型教学难点OSI开放系统互连模型教学方法头脑风暴、互动、讲授、演示、案例、小组活动等使用媒体资源eq\o\ac(□,√)纸质材料eq\o\ac(□,√)多媒体课件eq\o\ac(□,√)网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习课后记（空白不够可添加附页）PAGE5PAGE教学内容（板书）教学步骤、方法及学生活动4.1现场总线4.1.1现场总线产生与发展20世纪50年代之前，第一代气动信号控制系统（PCS）20世纪50年代，第二代电动模拟信号控制系统20世纪70年代，第三代数字计算机集中式控制系统20世纪70年代中期以来，第四代集散式分布控制系统（DCS）第五代现场总线控制系统（FCS），作为新一代控制系统4.1.2主流总线介绍1.PROFIBUS总线德国国家标准，是由Siemens公司为主的十几家德国公司、研究所共同推出。2.CAN总线控制器局域网简称CAN总线最早由德国BOSCH公司提出，用于汽车内部测量与执行部件之间的数据通信。3.DeviceNet1994年美国美国罗克韦尔自动化公司推出了DeviceNet网络，实现了低成本、高性能的工业设备的网络互连4.ControlNet1997年美国罗克韦尔自动化（RockwellAutomation)公推出的ControlNet是一种新的面向控制层的实时性现场总线网络5.CC-Link1996年11月，三菱电机为主导的多家公司以“多厂家设备环境、高性能、省配线”的理念开发和公布了控制与通信链路系统（Control&CommunicationLink）现场总线，简称CC-Link。4.2工业以太网4.2.1工业以太网基本概念工业以太网是按照工业控制的要求，发展适当的应用层和用户层协议，使以太网和TCP/IP技术真正能应用到控制层，延伸至现场层，而在信息层又尽可能采用IT行业一切有效而又最新的成果。因此，工业以太网与以太网在工业中的应用全然不是同一个概念4.2.2工业以太网主要标准1.IDA分布式自动化接口IDA（theInterfaceforDistributedAutomation）是一种完全建立在以太网基础上的工业以太网规范，它将基于Web的实时分布式自动化环境与集中的安全体系结构相结合，目标是创立一个基于TCP/IP的分散自动化的解决方案，涵盖了自动化结构中的所有层次，包括设备层。2.Ethernet/IPEthernet/IP技术采用标准的以太网芯片，并采用有源星形拓扑结构，将一组工业设备点对点地连接到交换机，应用层则采用工业界广泛应用的开放协议——控制和信息协议（CIP)。3.PROFINETPROFINET是由PROFIBUS国际组织提出的基于实时以太网技术的自动化总线标准，它将企业信息管理层IT技术和工厂自动化相结合，同时又完全保留了PROFINET现有的开放性。4.HSE1998年现场总线基金会开始起草HSE，2003年3月完成了HSE的第一版标准。HSE主要利用现有商用的以太网技术和TCP/IP协议族，通过错时调度以太网数据，达到工现场监控任务的要求。4.3以太网基础1.OSI开放系统互连模型为了构建一个标准化的数据通信和网络世界，1979年国际标准化组织ISO开发了一个开放系统互连参考模型（OSI）。OSI模型的目标是可以使两个系统（如两台计算机）之间进行相互通信。2.局域网局域网（LAN）是指计算机、工作站和外围设备之间在非常有限的地理位置区域内进行的通信。3.以太网以太网是局域网的基础，目前局域网协议还未达成标准化，尽管以太网存在一些缺点，但它比其他所有技术都要成熟。以太网只是OSI模型中第1层和第2层的一种特殊形式。它不是一个完整的网络协议，而是一个子网，其他协议（如TCP/IP套件）可以在该子网上工作。以太网最重要的功能是： 填写物理层：通过介质发送和接收串行位流；检测碰撞。 填写数据链路层：MAC介质访问控制子层：提供网络访问机制CSMA/CD；建立数据帧。LLC逻辑链路控制子层：确保数据可靠性；为更高级别的应用程序提供数据通道。教师讲解，学生完成笔记要求学生背默

第次课程教学方案备课时间备课教师教学时间教学地点周次课时数4教学内容（章、节）模块/单元第4章工业总线与以太网基础4.3.1物理层4.3.2数据链路层4.3.3相关设备4.3.4虚拟局域网VLAN4.3.5网络冗余教学目标和要求理解物理层基于同轴电缆的以太网、基于双绞线的以太网、基于光纤的以太网和无线局域网掌握数据链路层以太网数据帧格式掌握MAC地址结构理解CSMA/CD和CSMA/CA掌握集线器、交换机的基本原理掌握虚拟局域网VLAN概念、类型和帧格式掌握网络冗余技术：生成树协议了解介质冗余协议和并行冗余协议教学重点数据链路层以太网数据帧格式MAC地址结构虚拟局域网VLAN概念、类型和帧格式网络冗余技术：生成树协议教学难点虚拟局域网VLAN概念、类型和帧格式网络冗余技术：生成树协议教学方法头脑风暴、互动、讲授、演示、案例、小组活动等使用媒体资源eq\o\ac(□,√)纸质材料eq\o\ac(□,√)多媒体课件eq\o\ac(□,√)网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习课后记（空白不够可添加附页）PAGE5PAGE教学内容（板书）教学步骤、方法及学生活动复习OSI开放系统互连模型4.3.1物理层1.基于同轴电缆的以太网2.基于双绞线的以太网1）快速以太网2）千兆以太网3.基于光纤的以太网4.无线局域网4.3.2数据链路层1.以太网数据帧2.MAC地址3.CSMA/CD以太网在数据链路层MAC子层使用IEEE802.3载波监听多路访问/冲突检测CSMA/CD协议。4.CSMA/CA有线以太网的CSMA/CD技术不能应用于无线以太网。无线以太网采用的半双工无线电，在发送数据时，无法检查是否发生碰撞。为了解决这一问题，我们采用了另一种技术，即CSMA/CA，它不检测碰撞，而是避免碰撞，CA代表碰撞避免。4.3.3相关设备1.集线器（Hub）2.交换机（Switch）4.3.4虚拟局域网VLAN1.VLAN类型VLAN可以分为两种类型：静态VLAN和动态VLAN。2.IEEE802.1Q标记帧4.3.5网络冗余1.生成树协议（SpanningTreeProtocol）与快速生成树协议（RapidSpanningTreeProtocol）生成树协议（STP）是IEEE802.1d中描述的开放协议。它是一个OSI第2层协议，保证了无闭环局域网。它基于RadiaPerlman开发的算法。生成树协议使网络允许冗余链路，如果链路出于任何原因损坏，则会自动恢复并提供非闭环的备份路径。2.介质冗余协议（MediaRedundancyProtocol）MRP是Profinet标准的一部分。在MRP的情况下，环状网络通过阻塞环中的一个端口以获得一个线状结构。在发生网络错误的情况下，网络分成两条独立的线路，当被阻塞的端口被释放时，这些线路再次连接在一起。恢复时间在100毫秒范围内。3.并行冗余协议（ParallelRedundancyProtocol）和高可靠性无缝冗余（High-availabilitySeamlessRedundancy）与上述技术相比，如果出现网络错误，PRP不会计划更改活动拓扑。该协议在两个并行的网络上运行。每个数据帧都通过两个网络发送。接收节点处理首先到达的消息并拒绝后到达的复制消息。PRP使双网络，对高层协议是不可见的。提问学生教师讲解，学生完成笔记详细讲解TAGINFO

第次课程教学方案备课时间备课教师教学时间教学地点周次课时数4教学内容（章、节）模块/单元第4章工业总线与以太网基础4.4TCP/IP协议4.4.1网络控制协议4.4.2TCP协议4.4.3UDP协议4.4.4相关设备-路由器教学目标和要求熟练掌握IP地址格式，IP地址的类别掌握私有网络的IP地址的划分了解特殊的IP地址掌握子网掩码及子网化的方法理解IP包格式理解TCP端到端传输服务理解TCP报文格式了解UDP协议理解路由器工作原理教学重点IP地址格式，IP地址的类别私有网络的IP地址的划分子网掩码及子网化的方法教学难点子网掩码及子网化的方法教学方法头脑风暴、互动、讲授、演示、案例、小组活动等使用媒体资源eq\o\ac(□,√)纸质材料eq\o\ac(□,√)多媒体课件eq\o\ac(□,√)网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习课后记（空白不够可添加附页）PAGE5PAGE教学内容（板书）教学步骤、方法及学生活动4.4TCP/IP协议传输控制协议/网络控制协议（TCP/IP）是一组工业标准协议，设计用于在由不同网段组成的大型网络上进行通信，这些网段由路由器连接。4.4.1网络控制协议网络控制协议（TheInternetProtocol，简称IP协议），用于OSI模型的第3层网络层，这一层负责在不同的网络上表述和传输信息。1.IP地址IP地址由32位4字节组成，用4个小数点分隔。每个网络都有一个名称（网络ID），每个网络设备都有一个唯一的网络号码（主机ID）。网络ID和主机ID一起构成IP地址，网络ID是主机ID等于零的IP地址。如图4-22所示，1）IP地址的类别2）私有网络的IP地址A类网络 →55B类网络 →55C类网络 →553）特殊的IP地址网络ID 主机ID 简介全为零 全为0 整个网络网络ID 全为0 网络地址，标识一个完整的网络网络ID 全为1 网络上的广播地址127 随机 测试网络应用程序的IP地址2.子网掩码网络地址通过几个位进行扩展，以便在一个类中创建多个子网。3.子网化子网是从给定的IP地址生成多个子网。示例：一家公司使用IP地址（B类）。子网掩码为或11111111111111110000000000000000。字节3字节3子网地址子网掩码0000000000001000016001000003200110000480100000064010100008001100000960111000011210000000128100100001444IP包格式4.4.2TCP协议1.端到端传输服务TCP协议负责在一个或多个网络上正确发送信息，工作在传输层。TCP的交换形式称为面向连接：建立逻辑连接，使用，然后再次停止。因此，TCP是一种端到端协议。2.如何实现可靠传输TCP使用数据报重发、窗口机制、三次握手等的技术，保证完全的可靠性传输数据。3.TCP报文格式4.4.3UDP协议4.4.4相关设备-路由器1.消息路由2.路由器的类型3.三层交换机提问学生教师讲解，学生完成笔记要求学生学会划分子网

第次课程教学方案备课时间备课教师教学时间教学地点周次课时数4教学内容（章、节）模块/单元4.5菲尼克斯工业交换机4.6本章实训4.6.1交换机复位4.6.2通过BootP协议分配IP地址4.6.3通过PROFINET协议配IP地址教学目标和要求了解菲尼克斯工业交换机掌握交换机的复位方法掌握通过Bootp协议分配IP地址掌握通过profinet分配IP地址教学重点工业交换机地址分配方法教学难点Bootp协议分配IP地址通过profinet分配IP地址教学方法头脑风暴、互动、讲授、演示、案例、小组活动等使用媒体资源eq\o\ac(□,√)纸质材料eq\o\ac(□,√)多媒体课件eq\o\ac(□,√)网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习课后记（空白不够可添加附页）PAGE5PAGE教学内容（板书）教学步骤、方法及学生活动1、 实验室设备介绍实验室拓扑实验室IP分配4.5菲尼克斯工业交换机FLSWITCHSMCS8GT为基于WEB的智能工业交换机，在其正面有按钮和指示灯如图4-30所示4.6本章实训1.实训目的（1）掌握交换机的复位方法；（2）掌握通过BootP协议分配IP地址；（3）掌握通过Profinet协议分配IP地址；（4）掌握VLAN技术在菲尼克斯工业交换机上的应用；（5）掌握RSTP技术在菲尼克斯工业交换机上的应用2.实训准备（1）复习本章内容；（2）熟悉SMCS的网络连接；（3）了解BootP和Profinet协议基本原理；（4）熟悉VLAN虚拟专用网基本原理；（5）熟悉RSTP（快速）生成树基本原理。3.实训设备本章实训所需要的设备一共有：2台安装有IPAssign和netNames+1.5软件的电脑、1台笔记本电脑、2台菲尼克斯FLSWITCHSMCS8TX交换机及网线若干。4.6.1交换机复位在某些情况下，工厂需要将工业交换机进行复位处理，还原原厂配置。具体实训步骤如下：步骤1为交换机上电如图，通电后交换机指示灯会全部亮起。步骤2等待一会，指示灯全部熄灭后，长按Mode按钮5秒钟以上，直到HCT\SPD\FD三个灯同时闪烁，表示激活Smart模式。步骤3单击Mode按钮可以切换模式，根据我们前面的提到的智能模式下的MODE操作表，将指示灯切换到SPD单独亮起为原厂复位模式，如图4-31所示。步骤4当SPD的模式设置成功后，按住Mode直到交换机重启,此后指示灯灯全亮，待其恢复后交换机内IP地址消失。步骤5交换机重启后，观察ACT灯闪烁，说明复位成功。4.6.2通过BootP协议分配IP地址当我们完成交换机复位后，交换机内管理地址消失，无法通过WEB界面访问交换机，需要我们重新分配管理地址给交换机，利用IPAssign软件通过BootP协议可以给交换机分配管理地址，下面我们为交换机配置管理IP地址为。具体实训步骤如下：步骤1将1台电脑与交换机的其中一个网口连接，电脑IP地址设为00，双击IPAssign图标，打开IPAssign软件。步骤2IPAssign软件将会收到交换机的BootP请求和所有在线交换机的MAC地址，如果没有看到MAC地址，请关闭交换机的等待20秒后再给交换机重新上电，直到看到交换机MAC地址，如图4-32所示。步骤3选择要分配IP地址的交换机MAC地址,点击下一步，在IP地址栏输入要分配给交换机的管理IP，子网掩码，点击下一步，如图4-33。步骤4IPAssign软件尝试分配IP地址给交换机，若一分钟还没有进入下一页面，尝试重启交换机，直到自动进入IP地址分配成功界面。步骤5点击完成，IP分配完成。步骤6打开IE浏览器，输入，进入交换机配置界面如图4-34所示，说明IP分配成功。4.6.3通过PROFINET协议配IP地址前面我们提到过交换机可以通过BootP和Profinet两种不同的方式获取IP地址，本实验我们通过Netnames+软件利用Profinet协议为交换机分配管理IP地址：6。具体实训步骤如下：步骤1打开试验箱左下角的总开关上电（交换机灯全亮），等待ACT、SPD和FD灯全灭之后的瞬间，长按MODE键，待三个灯一齐闪烁后，迅速放手并一秒一次的按MOOE键，直到SPD灯亮和PD灯亮ACT灯灭，再次长按MOOE键，等三个灯全亮后放手，之后设备会自动重启，进入Profinet模式步骤2将一台装NetNames+软件连接在交换机上，在电脑中开始菜单中打开应用NetNames+。步骤3在界面的右上方的Networkadapter选择“以太网”如图35所示。步骤4点击右下方的Refresh按钮，等待绿色滚动条完成，出现扫描到的交换机的IP地址、子网掩码、网关、MAC地址等信息，如图4-36所示。步骤5在IPAddress中填入6，在子网掩码中填入，此时条目最前面出现笔的形状，如图4-37所示，表示该条目已被编辑未保存。步骤6单击send按钮，条目前面笔状变为对勾，表示IP分配完成。步骤7打开IE浏览器，输入6，进入交换机配置界面实验完成。教师打开试验箱。介绍实验箱内设备名称功能。要求学生读拓扑图，根据拓扑图确定设备连接情况讲解IP分配情况，核对学生机IP地址教师演示学生操作教师演示学生操作教师演示学生操作

第次课程教学方案备课时间备课教师教学时间教学地点周次课时数4教学内容（章、节）模块/单元4.6.4配置VLAN4.6.5配置快速生成树教学目标和要求理解VLAN的基本概念 通过实验掌握VLAN技术在菲尼克斯工业交换机上的应用通过实验理解生成树算法通过实验掌握(R)STP技术在菲尼克斯工业交换机上的应用教学重点vlan基本原理vlan实验设计.网络冗余.生成树算法交换机配置教学难点vlan实验设计实现(R)STP技术在菲尼克斯工业交换机上的应用教学方法头脑风暴、互动、讲授、演示、案例、小组活动等使用媒体资源eq\o\ac(□,√)纸质材料eq\o\ac(□,√)多媒体课件eq\o\ac(□,√)网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习课后记（空白不够可添加附页）PAGE12PAGE教学内容（板书）教学步骤、方法及学生活动4.6.4配置VLAN本实验设计是模拟实际工厂环境：在交换机上连接一台计算机和两台PLC，由于设备有限，我们用2台电脑代替PLC，称为PC2和PC3。我们希望电脑PC1可以和PC2、PC3双向通信；而PLC1和PLC2不可以通信。如图4-38中所示三台设备都在/24同一网段中，如果不进行VLAN配置则三台设备都处于同一广播域中可以相互通信。根据实验要求我们设计工业交换机逻辑拓扑视图如图4-39所示，我们将三台电脑PC1、PC2、PC3连接在工业交换机的Port3、Port2和Port6端口，Port5端口作为管理端口，交换机管理地址为。具体实训步骤如下：步骤1笔记本电脑IP设置为00，port2连接的电脑IP地址为10，port6连接的电脑IP地址为20。步骤2笔记本连接交换机port5端口，在浏览器中输入访问管理地址进入交换机配置界面。步骤3单击SwitchStation->VLAN->General，选择Tagging步骤4单击SwitchStation->VLAN->StaticVLANs，根据表4-8配置VLAN20中端口图4-41所示，然后完成VLAN30、VLAN40中的端口配置，并单击Apply，密码为：private，下面密码都是这个。步骤5单击SwitchStation->VLAN->VLANPortCfgTable根据表4-7配置端口默认VID如图4-42所示，输入密码并单击Apply。步骤6单击保存按钮步骤7单击GeneralConfiguration->ConfigManagement，在配置管理中，保存当前配置，密码为：private，单击Save步骤8单击SwitchStation->Services,单击Reboot按钮如图4-45所示，重启交换机步骤9将笔记本PC1从port5端口切换到port3端口进行测试，Port3端口和Port2能够ping通，Port3端口和Port6能够ping通图4-46测试Port3到Port2、Port6的连通性Port2端口和Port3能够ping通，和Port6不能够ping通图4-47测试Port2到Port3、Port6的连通性Port6端口和Port3能够ping通，和Port2不能够ping通4.6.5配置快速生成树在实验设计中两台交换机的Port1和Port7端口分别连接，形成环形网络，并将交换机1的优先级设置为较高的一台，应用生成树算法，我们可以推断出当协议生效时交换机2的Port7端口将会阻塞步骤1将两台交换机连接好，首先将交换机1的Port1和交换机2的Port1连接，如图4-49所示，此时，可以观察两台交换机上port1端口信号灯亮起。步骤2将PC接入交换机1的port5端口中，将PC的IP地址修改到交换机所在网段，配置为00步骤3在PC上IE浏览器中输入进入交换机1的配置界面,进入SwitchStation，单击(Rapid)SpanningTree，单击(R)STPConfig，将(Rapid)SpanningTreeStatus设置为Enable如图4-50所示，当系统中交换机数量超过15台时，可以将LargeTreeSupport功能设置为Enable，将FastRingDetection设置为Enable,整个交换机系统中，将交换机1设置为跟网桥，将网桥优先级设置为4096，其余交换机均设置为32768，输入密码private，点击Apply。步骤4保存设置重启交换机，交换机上显示灯正常，交换机1配置完成步骤5接下来我们打开IE浏览器输入，进入交换机2的配置界面，用同样的方法配置交换机2，只不过交换机的优先机仍为32768如图4-51所示，这样交换机1就可以成为根网桥，当两台交换机灯显示正常，生成树配置完成步骤6重新登陆两台交换机配置界面，单击任意一台交换机switchstation，单击（Rapid）spanningtree，点击(R)STPporttable，快速生成树协议自动检测出Port1连接交换机，为noedgeport，其他接口连接PC为edgeport，如图4-52和图4-52所示说明协议生效步骤7单击(R)SPTFastRings，如图4-54所示界面中显示没有环网，接下来将测试生成树功能。步骤8将两台交换机的port7端口用网线连接，两台交换机连接端口指示灯灯亮起。步骤9登陆交换机2控制界面，发现(R)STPFastRingTable界面检测处环网如图4-55所示，同时显示出阻塞端口为交换机2上的port7阻塞，符合项目要求。打开(R)SPTporttable，也发现port7阻塞，如图4-56所示。步骤10下面看一下链路恢复情况，我们断开port1连接步骤11等待一会界面重新刷新后(R)STPPortTable中port7端口由block变为Forwarding如图4-57所示，试验成功教师讲解教师演示学生操作教师讲解教师演示学生操作

第次课程教学方案备课时间2021年08月备课教师廖旭金教学时间年月日教学地点周次课时数8教学内容（章、节）模块/单元第五章工业防火墙技术教学目标和要求了解防火墙原理了解工业防火墙技术掌握菲尼克斯安全路由器及防火墙mGuard掌握防火墙的配置与实现教学重点工防火墙的原理防火墙规则集包过滤防火墙状态防火墙工业防火墙技术工业防火墙与传统防火墙的区别防火墙的配置与实现教学难点防火墙规则集的应用用户防火墙的配置与实现教学方法理论讲解、课堂练习使用媒体资源R纸质材料R多媒体课件R网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习复习所学内容，完成课后作业；完成中国大学慕课MOOC上自主学习的内容和单元测试。课后记（空白不够可添加附页）

教学内容（板书）教学步骤、方法及学生活动第5章工业防火墙技术5.1防火墙原理图5-1防火墙的位置防火墙可以有效地控制内部网络与外部网络之间的访问和数据传送，阻止外部网络中的非授权用户进入内部网络或以非法手段访问内部网络资源，保护内部网络的设备。安全、管理、速度是防火墙的三大要素。5.1.1防火墙系统概述1.防火墙系统的组成防火墙通常是由专用硬件和相关软件组成的一套系统（1）防火墙规则集：在防火墙上定义的规则列表，是一个防火墙能否充分发挥其作用的关键，这些规则决定了哪些数据不能通过防火墙、哪些数据可以通过防火墙。（2）内部网络：需要受保护的网络。（3）外部网络：需要防范的外部网络。（4）技术手段：具体的实施技术。2.防火墙与OSI参考模型的关系教师讲解：重点讲解防火墙的位置和作用。教师讲解：简单介绍防火墙系统的组成。教师讲解：简单介绍防火墙与OSI参考模型的关系。要求学生熟记常用的协议以及常用的TCP和UDP端口。

教学内容（板书）教学步骤、方法及学生活动5.1.2防火墙规则集1.防火墙规则的组成网络协议：如IP、ICMP、TCP、UDP等；发送方的IP地址；发送方的端口号；接收方的IP地址；接收方的端口号；操作（Action）：定义满足过滤规则的数据包的处理方式，是被拒绝、丢弃或是允许；日志功能：用来确定是否有一些满足特殊规则的数据包。2.数据包的处理方式防火墙对满足规则的数据包的处理方式有允许（Accept）、拒绝（Reject）和丢弃（Drop）三种。3.规则集的应用流程防火墙有输入（Incoming）和输出（Outgoing）两个方向的规则集5.1.3防火墙分类根据过滤方式的不同，可以分为:包过滤防火墙或：访问控制表(ACL)状态检测防火墙(SIF)或:状态包检测(SPI)应用网关防火墙（AGF）地址转换防火墙基于主机的防火墙混和防火墙教师讲解：重点讲解防火墙规则集的组成。教师介绍三种数据包的处理方式的区别。提问：拒绝（Reject）VS丢弃（Drop），应该怎么选？教师讲解：重点讲解防火墙规则集的应用流程。学生练习：分析防火墙规则集的应用结果，理解常见的应用错误。教师讲解：简单介绍不同类型的防火墙，比较它们的异同。要求学生重点掌握包过滤防火墙和状态检测的工作原理。

教学内容（板书）教学步骤、方法及学生活动5.1.4防火墙的限制没有防火墙可以提供100％的安全防火墙不能阻止来自内部或者绕过防火墙的数据流量的攻击。防火墙无法防护端口反弹木马的攻击。防火墙无法防护非法通道出现。不能代替入侵检测和审计设备防火墙无法防护系统层面的直接漏洞攻击和病毒的侵袭。新的安全漏洞层出不穷，需要通过起草全新的安全措施或扩展现有的措施来面对，所以必须持续地对网络进行安全监控。防火墙会依据规则对流经它的数据流量进行处理，必然会造成一些延迟。5.2工业防火墙技术工业防火墙技术是工业控制系统信息安全技术的基础。满足特定的工业环境和功能要求，能够对工业控制系统进行边界防护，根据需要划分安全区域，实现区域管控，对安全区域进行隔离保护，保证合法用户访问网络资源。可针对工业控制协议采用深度的包检测技术和应用层通讯跟踪技术，解析ModBus、DNP3等应用层异常数据流量，做到对非法指令的阻断、非工控协议的拦截，以起到保护控制器的功能。对OPC端口进行动态追踪，对关键寄存器和操作进行保护。5.2.1工业防火墙与传统防火墙的区别支持基于白名单策略的访问控制，包括网络层和应用层。具备深度包检测功能，支持主流工控协议。支持动态开放OPC协议端口。防火墙应支持多种工作模式，保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。防火墙应具有高可靠性，包括故障自恢复、在一定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。5.2.2工业防火墙技术新特点透明接入技术：对用户是透明的，即潜行模式分布式防火墙技术：负责对网络边界、各子网和网络内部各节点之间的安全防护，分布式防火墙是一个完整的系统，而不是单一的产品。网络防火墙主机防火墙中心管理智能型防火墙技术：融合智能机器学习技术、深度数据包解析技术、特征匹配技术、黑白名单相结合的防御技术等多项技术。教师讲解：引导学生理解为什么防火墙不能提供100％的安全。教师讲解：重点讲解工业防火墙技术，应用场景和特点。教师讲解：引导学生掌握工业防火墙与传统防火墙的区别。教师讲解：引导学生了解工业防火墙技术新特点。

教学内容（板书）教学步骤、方法及学生活动5.2.3工业防火墙的具体服务规则域名解析系统（DNS）：控制网络很少使用超文本传输协议（HTTP）：控制网应用HTTPS文件传输协议（FTP）和简单文件传输协议（TFTP）：禁止TFTP，仅在安全情况下使用FTP。尽量使用较安全的SFTP和SCP。用于远程连接服务的标准协议（Telnet）：禁止从公司网进入控制网的入站Telnet，出站Telnet仅在加密通道（如VPN）中使用，用于访问某些设备。简单邮件传输协议（SMTP）：禁止入站邮件，允许出站SMTP从控制网到公司发送警告信息。简单网络管理协议（SNMP）：控制网不建议用分布式组件对象模型（DCOM)：只允许在控制网和DMZ网络之间使用SCADA与工业网络协议：只允许在控制网使用5.2.4工业防火墙的安全策略不仅仅依靠网络层来进行数据过滤，如果可能的话尽可能综合使用网络层、传输层和应用层数据过滤技术。严格遵守最小权限原则。使用白名单设置防火墙过滤规则，也就是在缺省情况下的任何网络连接，只有符合白名单设置规则的数据流可以允许通过。工控系统要求严格限制内外网通信，所以允许建立网络连接的规则较少，建立和维护白名单相对传统信息网络环境更为可行。在部署防火墙保护边界安全的时候，需要认证评估对控制系统网络通信延迟的影响。注意账号管理的安全，设置密码和账户策略，避免出现弱口令和长时间不修改等问题。关闭不必要的服务及应用，如TELNET、HTTP、PING、SNMP等，使用SSH进行远程登录管理。5.3菲尼克斯安全路由器及防火墙mGuard智能防火墙mGuard，它是由工业安全路由器和防火墙组成的网络组件产品，集路由器、防火墙、NAT、VPN等功能于一体，适合各种应用，旨在实现最高的系统安全性和可用性，帮助客户守护工业网络安全。智能防火墙有多达250个IPsec加密的VPN通道，安全装置功能全面。为可用性要求高的场合和复杂的安全架构提供较高安全性。教师讲解：重点讲解在工业防火墙各个具体服务规则应该怎么配置。教师讲解：简单介工业防火墙的安全策略。

教学内容（板书）教学步骤、方法及学生活动5.3.1mGuard概述1.mGuard的基本功能不同的防护模式：单一潜行模式/多重潜行模式/路由模式基于WEB的配置界面NAT/1:1NAT/IP和端口转发VPN防火墙支持SNMP固件升级OPC检查器CIFS完整性监测冗余功能2.mGuard上的指示灯5.3.2mGuard相关配置1.mGuard的重置缓慢按下复位按钮六次>大约2秒后，STAT灯将亮起绿色；再次缓慢按下复位按钮六次>如果成功，STATLED将亮起绿色>如果不成功，ERRLED将亮起红色如果成功，设备将在两秒钟后重新启动，切换到潜行模式。重置后，固件版本为8.4.0及以上的MGuard将丢失配置，固件版本为8.4.0之前的MGuard只需重置IP地址和登录密码。2.mGuard的网络配置mGuard要发挥作用，必须根据网络拓扑进行正确的网络配置和路由配置。1）网络模式设置2）接口地址及路由设置3.mGuard的防火墙相关功能配置1）设置防火墙规则集2）使用规则记录简化配置可以将各个防火墙规则汇总在规则记录（RuleRecords）中，然后在防火墙规则中使用这些规则记录来简化配置。教师讲解：简单介绍mGuard的基本功能和特点。教师讲解并演示mGuard上不同的指示灯的作用。教师讲解并演示mGuard的重置。要求每个学生都掌握重置的方法。教师讲解并演示mGuard的网络配置。要求每个学生都掌握mGuard的网络配置方法。

教学内容（板书）教学步骤、方法及学生活动4.用户防火墙可以通过用户防火墙（UserFirewall）来启用针对特定的防火墙用户（FirewallUser）或用户组的防火墙规则（防火墙用户或用户组提前定义）。用户防火墙适用于静态配置的通用防火墙规则（如IncomingRules、OutgoingRules）不允许访问目标，但允许防火墙用户登录后动态访问。用户防火墙规则优先于其他位置配置的规则，并在适用时覆盖这些规则。配置步骤：创建所需的防火墙用户或用户组创建用户防火墙模板以防火墙用户的身份登录mGuard，激活用户防火墙规则

5.4本章实训基于潜行模式的防火墙从公司网络访问内部生产网络使用用户防火墙启用对外部网络的访问使用用户防火墙限制对内网设备的访问课程总结：防火墙原理工业防火墙技术菲尼克斯安全路由器及防火墙mGuard防火墙的配置与实现作业布置：1、复习所学内容，完成课后作业。2、完成中国大学慕课MOOC上自主学习的内容和单元测试教师讲解并演示用户防火墙的特点和作用、应用场景及配置方法。要求每个学生都掌握用户防火墙的配置方法。学生练习：要求学生按照给定的拓扑和要求进行实验配置，在学有余力的情况下可以自定义拓展实验。

第次课程教学方案备课时间2021年08月备课教师廖旭金教学时间年月日教学地点周次课时数4教学内容（章、节）模块/单元第六章NAT技术教学目标和要求了解NAT原理掌握利用菲尼克斯MGUARD实现NAT掌握NAT的配置与实现教学重点专用私有地址网络地址转换教学难点网络地址转换的原理教学方法理论讲解、课堂练习使用媒体资源R纸质材料R多媒体课件R网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习复习所学内容，完成课后作业；完成中国大学慕课MOOC上自主学习的内容和单元测试。课后记（空白不够可添加附页）教学内容（板书）教学步骤、方法及学生活动第6章NAT技术6.1NAT原理接入Internet的设备越来越多，43亿个IPv4地址即将耗尽，为设备分配地址以允许通信成了一个问题。长期解决方案是IPv6IETF提供了两个短期解决方案RFC1918的私有IPv4地址RFC1631的网络地址转换（NAT）6.1.1专用私有地址RFC1918规定的专用私有地址任何公司或企业都可以使用相同的私有地址私有IPv4地址不能通过Internet路由私有IPv4地址造成的问题6.1.2网络地址转换RFC1631定义了网络地址转换（NetworkAddressTranslation，NAT），将数据包中的地址信息从一个地址转换为另一个地址。NAT一般用来将私有地址转换到公共地址，反之亦可。教师讲解：简单介绍NAT的由来和作用。教师讲解：重点讲解专用私有地址的范围和特点。要求学生牢记并能灵活应用。教师讲解：通过私有IPv4地址的特点引导学生理解私有IPV4地址造成的问题。教师讲解：重点讲解NAT的作用、原理及应用场景。

教学内容（板书）教学步骤、方法及学生活动6.2利用菲尼克斯MGUARD实现NAT菲尼克斯的FLMGUARD可以实现地址转换的功能。它有三种工作模式：IP伪装、端口转发、1:1NAT。6.2.1IP伪装可将内部专用网的所有地址映射成单个公有（动态）IP地址，让内部网络的多个设备使用一个和多个公有IP地址来连接互联网。缺点：因特网上的用户无法访问到内部专用网上的计算机。6.2.2端口转发可以让用户通过Internet访问内部网络上使用私有地址的专门设备上，而且可以使用不同的端口号。端口转发规则取代防火墙规则->无需配置其他防火墙规则内部网络中的Web服务器00可以通过URL4:80访问6.2.21:1NAT使用1:1NAT来实现地址转换，在mGuard上配置虚拟IP地址来转换目标IP地址，可以实现一对一的映射，也可以实现多对多的映射。1、使用1:1NAT映射公有IP2、利用1:1NAT解决标准机器的问题教师讲解：重点讲解IP伪装、端口转发、1:1NAT的作用、区别和应用场景。教师讲解：重点讲解IP伪装的工作原理。教师讲解：重点讲解端口转发的工作原理。教师讲解：重点讲解1:1NAT的工作原理。

教学内容（板书）教学步骤、方法及学生活动1、使用1:1NAT映射公有IP将内部专用网络的中需要被互联网用户访问的地址一对一映射到给指定的公共IP地址。一对一的分配意味着计算机不仅有能力和因特网上目的地建立连接，还能从因特网上被访问到。但是，公司网络的内部结构对外界仍保持隐藏。2、利用1:1NAT解决标准机器的问题教师讲解：重点讲解使用1:1NAT映射公有IP的原理。教师讲解：重点讲解为什么利用1:1NAT能解决标准机器的问题。

教学内容（板书）教学步骤、方法及学生活动6.3本章实训完成配置IP伪装、配置端口转发、用1:1NAT映射单个地址和用1:1NAT映射整个网络共四个实训任务。配置IP伪装配置端口转发用1:1NAT映射单个IP地址用1:1NAT映射整个网络课程总结：了解NAT原理掌握利用菲尼克斯MGUARD实现NAT掌握NAT的配置与实现作业布置：1、复习所学内容，完成课后作业。2、完成中国大学慕课MOOC上自主学习的内容和单元测试学生练习：要求学生按照给定的拓扑和要求进行实验配置，在学有余力的情况下可以自定义拓展实验。

第次课程教学方案备课时间2021年08月备课教师王秀英教学时间年月日教学地点周次课时数2教学内容（章、节）模块/单元第7章数据加密技术及应用7.1数据加密技术教学目标和要求了解常用对称加密算法；掌握对称加密工作机制；了解常用分组加密工作模式；了解常用公钥加密算法；掌握公钥加密工作机制；掌握数字信封的工作机制；教学重点对称加密工作机制；公钥加密工作机制；数字信封工作机制。教学难点分组加密工作模式；对称加密工作原理；公钥加密工作原理。教学方法理论讲解、课堂练习使用媒体资源R纸质材料R多媒体课件R网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习复习所学内容，完成课后作业；完成中国大学慕课MOOC上自主学习的内容和单元测试。课后记（空白不够可添加附页）

教学内容（板书）教学步骤、方法及学生活动第7章数据加密技术及应用7.1数据加密技术一个现代密码系统包括：明文、密文、加/解密算法、加/解密密钥。加密密钥加密密钥明文加密密文密文明文解密解密密钥通信信道加/解密的过程可以用下述公式描述：加密：解密：7.1.1对称加密算法对称加密算法：Ke=Kd，安全性取决于密钥。对称加密算法可以分为两类：流密码和分组加密。流密码：常用的算法包括RC4、SEAL、ZUC(祖冲之算法）等。分组密码：常用算法包括DES、IDEA、AES、SM4等。1.DES算法子密钥生成：教师讲解：教师利用图示和公式两种方式讲解加密系统的组成以及工作机制。教师讲解：重点讲解清楚对称加密的加密密钥与解密密钥相同。教师讲解：教师讲解DES算法工作原理。学生练习：教师提出一个种子密钥，学生计算子密钥。

教学内容（板书）教学步骤、方法及学生活动迭代加密过程：2.DES算法分析对称加密算法使用“位运算”方式对数据进行加密和解密操作，数据处理效率相对比较高，是加密系统中对消息进行加密的通用方式。DES算法属于对称加密算法，加/解密密钥相同，所以通信双方首先要保证在安全的传输介质上分发密钥，另外通信双方也要同时安全存储密钥。DES算法的一个主要缺点是密钥长度较短，有效密钥仅56比特，密钥空间是256。针对这个弱点的攻击主要是穷举攻击，即利用一个已知明文和密文消息对儿，直到找到正确的密钥，这就是所谓的蛮力攻击(BruteForceAttack)。但是到目前为止，除了用穷举搜索法对DES算法进行攻击以外，还没有发现更有效的办法，这也证明DES算法具有极高的抗密码分析能力。学生练习：教师提出一个分组，学生分析该分组加密处理过程。教师引导学生分析DES算法的优点和存在的问题。

教学内容（板书）教学步骤、方法及学生活动多次运行DES算法从而达到增加密钥长度的效果。这样的一个方案称为3重DES方案(3DES)。这个方案的加/解密过程如下所示。加密：QUOTEC=EK1{DK2解密：QUOTEM=DK1{EK2三重DES加/解密过程中分别进行了3次DES算法，并且使用了两个不同的密钥，这个方案不仅能够扩大密钥空间，同时可以与单密钥DES加密系统兼容，使用户在升级加密系统的过程中可以减少投入的成本。3.其他对称加密算法(1)IDEA算法：对64比特大小的数据块加密的分组加密算法，密钥长度为128比特。(2)AES算法：分组大小为128比特。AES的密钥长度与轮数相关：轮数为10，密钥为128比特；轮数为12，密钥为192比特；轮数为14，密钥为256