MVS_工业防火墙产品技术培训.ppt

1、MVS工业防火墙产品技术培训,2015年7月,内容纲要,工业防火墙概述,工业防火墙所涉及领域 制造业、资源、化工、交通、能源、金融 行业安全事件 2010年：“网络超级武器”Stuxnet 2008年：荷兰地铁脱轨事件 2011年：美国伊利诺伊州供水系统破坏事件 安全事件发生的原因 自动化建设早，重点注重物理安全 工业以太网推广、两化（信息化和工业化）融合趋势,工业防火墙硬件介绍,硬件介绍 工业环境中对硬件的要求 无风扇 宽温（-40-70） 湿度（5-95无凝结） 防护等级IP40（防尘不防水） 产品型号 星辰：201D、203D、1100R 星云：F201D、F203D、F1100R,工业

2、防火墙硬件介绍,硬件产品 导轨式 F201D：二串口+二口以太网（bypass）,工业防火墙硬件介绍,硬件产品 导轨式 F302D：二串口+五口以太网,串口,以太网口（bypass）,以太网口,工业防火墙硬件介绍,硬件产品 机架式 F1100R,适用于工业现场的机房环境,工业防火墙功能介绍,安全防护-模式 全通模式 所有报文通过，安全策略不生效 调试模式 所有报文通过，记录日志 防护模式 根据策略进行流量匹配（通过或丢弃）,工业防火墙功能介绍,安全防护-安全策略 具有方向性 基于接口进行策略控制 基于MAC进行策略控制 基于IP进行策略控制,工业防火墙功能介绍,安全防护-策略动作 允许 禁止

3、DPI（只针对工业协议）,工业防火墙功能介绍,安全防护-协议1 工业防护模型（内置知名工业厂商协议，可根据用户进行自定义）,工业防火墙功能介绍,安全防护-协议2 自定义协议（新增二层协议）,工业防火墙功能介绍,安全防护-协议3 预置上百种工业协议,工业防火墙功能介绍,安全防护-协议4 预置通用协议（传统协议保留） 动态协议（传统协议保留）,工业防火墙功能介绍,工业DPI-OPC OPC 核心技术为动态端口解析与FTP协议相类似 目前OPC只实现了底层端口解析未做应用层数据过滤,工业防火墙功能介绍,工业DPI-Modbus-1 基本功能 RESET回复（异常、丢弃报文进行回复） 异常回复（中断连

4、接时回复Modbus异常功能码） 合规性检查 状态检查,工业防火墙功能介绍,工业DPI-Modbus-2 过滤机制 黑白名单机制（非白即黑） 单/多个功能码进行控制 功能码输入范围进行细粒度控制,工业防火墙功能介绍,工业DPI-IEC104 控制报文类型/事件（五遥一脉） 遥调、遥控、遥信、遥测、遥视、遥脉 控制帧格式 S、I、U（I：数据帧为、S：确认帧、U：保活帧） 细粒度控制 信息体地址控制 控制值进行控制,工业防火墙功能介绍,串行DPI-1 串行链路之Modbus 协议本身无变化，只是物理媒介为串行总线 串行接口为console切换为通信口 管理与通信不能同时共存 机架式设备不支持,工

5、业防火墙功能介绍,串行DPI-2 ModbusRTU配置 异：需要指定Master接口 同：与以太网共用Modbus策略模块,工业防火墙功能介绍,工业VPN 工业VPN=IPSec VPN（裁剪版） 支持site to site模式 支持预共享秘钥认证 支持国际算法,工业防火墙功能介绍,高可用性 HA 只支持主备模式,内容纲要,登录管理界面,WEB管理工业防火墙 浏览器证书导入,设备随机光盘找到工业防火墙管理证书，拷贝到管理PC上，本地双击证书，按照提示进行安装，需要输入密码时输入“hhhhhh”或“123456”，当出现导入成功后点击确定完成。,登录管理界面,WEB管理VPN 登录管理页面

6、Pc与设备的eth0或eth1相连（eth0与eth1出厂默认在brg0中） 管理PC配置IP：00/24(VPN默认管理主机) IE浏览器输入 https:/ 54:8889 弹出证书选择时，选择刚导入浏览器的证书 登录用户名：administrator、密码默认为lionLL99,Modbus配置,拓朴 工业防火墙透明接入 用二台pc安装Modbus防真软件模拟流量,Modbus配置,Modbus配置思路-1 了解用户组网，我们设备以何种模式接入 用户现场流量分布 用户现场Modbus协议策略实现 是否需要产生日志及日志采集方式,Modbus配置,Modbu

7、s配置思路-2 配置基本网络（接口IP、路由、模块制授权） 新建Modbus策略（此实例中只放行功能码1、2） 新建防火墙策略（引用Modbus策略） 产生日志，日志保存在本地,Modbus配置,第一步：基本网络配置 1）设备透明接入（eth0与eth1加入到brg0中） 2）开户Modbus模块许可。,Modbus配置,第二步：添加Modbus策略 工业DPIModbus“新建”采用白名单方式允许功能码1和2通过，丢弃其它所有Modbus流量,Modbus配置,第三步：添加防火墙规则 安全防护“资产”新建Modbus_slave地址为01，Modbus_master地址为1

8、00,Modbus配置,第四步：添加防火墙策略 安全防护安全策略 新建策略并引用Modbus策略，动作为DPI、记录日志 新建策略 选择感兴趣流（资产）并配置流量方向 选择预置工业协议（Modbus-tcp） 选择策略方向（DPI）并引用Modbus策略 记录日志,Modbus配置,第五步：测试-slave配置 测试PC-slave配置，以功能码1为例,Modbus配置,第六步：测试-Master配置 测试PC-Master配置，以功能码1为例,Modbus配置,第七步：测试 在PC-Master软件poll上查看功能码1和2连接成功，功能码3和4未连接成功 在防火墙上查看日志

9、，功能码1和2的流量通过，功能码3和4的流量被丢弃,ModbusRTU配置,拓朴 工业防火墙串行总线接入 用二台pc安装Modbus防真软件模拟流量（RS-232),Modbus配置,Modbus配置思路-1 RS-232不受防火墙策略控制，不考虑防火墙模式 串行总线流量分布（单一流量） 用户现场Modbus协议策略实现 是否需要产生日志及日志采集方式,Modbus配置,Modbus配置思路-2 配置基本网络（接口波特率、数据位、校验等） 新建Modbus策略（此实例中只放行功能码1、2） 策略配置（指定Master接口，并引用DPI策略） 产生日志，日志保存在本地,ModbusRTU配置,第

10、一步：基本网络配置 1）设备串行接入（CONSOLE1与CONSOLE2分别与pc的COM口相连） 2）开户ModbusRTU模块许可。,ModbusRTU配置,第二步：添加ModbusRTU策略 串行DPIModbusRTU“新建”采用白名单方式允许功能码1和2通过，丢弃其它所有Modbus流量,ModbusRTU配置,第三步：接口设置 串行DPI接口设置 “切换工作模式”将串口管理模式配置为通信模式 波特率、数据位、奇偶校验等与用户现场设备保持一致,ModbusRTU配置,第四步：策略配置 串行DPIModbusRTU 设置master接口、引用DPI策略、记录日志 master接口设置：

11、master接口端对应ModbusRTU设备的“master”端，别一个接口对应slave端。此应用实例中CONSOLE0与master设备相连，CONSOLE1与slave设备相连,ModbusRTU配置,第五步：测试-slave配置 测试PC-slave配置，以功能码1为例,Modbus配置,第六步：测试-Master配置 测试PC-Master配置，以功能码1为例,Modbus配置,第七步：测试 在PC-Master软件poll上查看功能码1和2连接成功，功能码3和4未连接成功 在防火墙上查看日志，功能码1和2的流量通过，功能码3和4的流量被丢弃,内容纲要,MVS需求收集系统使用,MVS

12、已创建产品需求收集系统，各办事处可将用户提出的需求提交给公司，也可对比其它产品将本公司产品功能不满足之处提出，待审核之后会及时给出答复，若需求被采纳，将会有礼品赠送！,MVS需求收集系统使用,提交方式： 访问公司VPN地址：84 使用各自的VPN账号或使用需求收集账号进行认证： 用户名：xuqiu 密码：xuqiu 选择MVS产品需求收集管理系统,MVS需求收集系统使用,进入需求系统之后选择“需求列表”“新增” 将 标题、产品线、需求方、作者、描述清楚即可提交需求，待审核之后会及时回复,内容纲要,FAQ,1. 管理端访问不了？ 本地PC的IP是否是10.1

13、.5.200 本地PC是否能ping通VPN设备brg0口 本地PC浏览器是否导入了正确的管理员证书。 2. 防火墙策略不生效？ 防火墙模式是否为防护模式,FAQ,3. 源目的相同的Modbus策略不向下匹配。 新建二条Modbus策略M1与M2，M1放行功能码1，M2放行功能码2； 新建二条安全策略源目的地址相同，P1引用Modbus策略M1，P2引用M2； 此时只有功能码为1的Modbus流量可以通过； 若要对多个功能码做精细化防护只能在一条Modbus DPI策略中实现； 工业环境中Modbus设备独享IP,FAQ,4. IEC104模块License IEC104模块license需要单独开启 5. 硬件bypass 设备断电、重启过程中bypa