《工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)互聯(lián)技術(shù)》 課件 任務(wù)2.5 配置工業(yè)網(wǎng)絡(luò)安全設(shè)備

任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備任務(wù)描述：在工業(yè)網(wǎng)絡(luò)中，利用工控邊界防護(hù)設(shè)備對OT網(wǎng)與IT網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止OT網(wǎng)直接與IT網(wǎng)或互聯(lián)網(wǎng)連接，進(jìn)而提升工控網(wǎng)絡(luò)的安全性。本任務(wù)主要圍繞防火墻、工業(yè)網(wǎng)閘等進(jìn)行介紹，為讀者具備后續(xù)實(shí)現(xiàn)部署工業(yè)現(xiàn)場網(wǎng)絡(luò)提供工業(yè)防火墻配置的能力。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備1.認(rèn)識工業(yè)防火墻防火墻技術(shù)是通過有機(jī)結(jié)合各類用于安全管理與篩選的軟件和硬件設(shè)備，幫助計算機(jī)網(wǎng)絡(luò)于其內(nèi)、外網(wǎng)之間構(gòu)建一道相對隔絕的保護(hù)屏障，以保護(hù)用戶資料與信息安全性的一種技術(shù)。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)防火墻主要使用在工控安全領(lǐng)域，其主要作用是保護(hù)工業(yè)控制系統(tǒng)不受惡意攻擊和意外故障的影響，同時保證工業(yè)控制系統(tǒng)的數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性和可用性。任?wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)防火墻的功能除了具備傳統(tǒng)防火墻的安全功能之外，最大的區(qū)別點(diǎn)在于內(nèi)置工業(yè)通信協(xié)議的解析和過濾功能，可針對工業(yè)協(xié)議采用深度的包檢測技術(shù)和應(yīng)用層通信跟蹤技術(shù)，做到對非法指令的阻斷、非工控協(xié)議的攔截，以起到保護(hù)控制器的功能。工業(yè)防火墻一般部署在每個獨(dú)立的生產(chǎn)單元的邊界，且具備Bypass機(jī)制，其延時一般只是微秒級。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)防火墻相比于傳統(tǒng)防火墻能更好地滿足工業(yè)現(xiàn)場的特殊要求，其在工業(yè)現(xiàn)場中的作用主要包括以下幾個方面。①網(wǎng)絡(luò)數(shù)據(jù)安全保障②業(yè)務(wù)網(wǎng)絡(luò)策略制定③功能擴(kuò)展④性能優(yōu)化任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備①網(wǎng)絡(luò)數(shù)據(jù)安全保障工業(yè)防火墻能夠?qū)ξ锢砭W(wǎng)絡(luò)進(jìn)行安全分區(qū)，對工業(yè)控制系統(tǒng)（ICS）進(jìn)行網(wǎng)絡(luò)安全保護(hù)，避免非法入侵和計算機(jī)病毒的攻擊，保護(hù)ICS系統(tǒng)的數(shù)據(jù)安全和完整性。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備②業(yè)務(wù)網(wǎng)絡(luò)策略制定工業(yè)防火墻具備在TCP/IP協(xié)議棧、端口層和應(yīng)用層等多個層面上進(jìn)行策略禁止和授權(quán)的能力，可以允許或拒絕從不同的IP地址和子網(wǎng)網(wǎng)絡(luò)訪問公用網(wǎng)絡(luò)和廠商內(nèi)部站點(diǎn)、限制不同協(xié)議、端口和應(yīng)用程序使用，保障工業(yè)應(yīng)用網(wǎng)絡(luò)的穩(wěn)定和安全。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備③功能擴(kuò)展工業(yè)防火墻通常具有VPN、負(fù)載均衡、DDoS攻擊防御、反垃圾郵件、反病毒、審計和日志記錄接口，從而進(jìn)一步擴(kuò)展網(wǎng)絡(luò)設(shè)備的功能，提高網(wǎng)絡(luò)設(shè)備的可靠性、功能性和應(yīng)用性。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備④性能優(yōu)化工業(yè)防火墻具有優(yōu)化和安全強(qiáng)特性的處理器，能夠提高數(shù)據(jù)傳輸?shù)乃俣群托?，并對網(wǎng)絡(luò)負(fù)載進(jìn)行平衡控制，提升網(wǎng)絡(luò)傳輸速度和性能。而且支持實(shí)時報警和實(shí)時統(tǒng)計，同時對網(wǎng)絡(luò)流量進(jìn)行持久的流量統(tǒng)計，從而分析網(wǎng)絡(luò)流量的來源和結(jié)構(gòu)，為其他設(shè)備提供性能保障。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)防火墻不僅能夠保證工業(yè)網(wǎng)絡(luò)的數(shù)據(jù)安全性、完整性和流暢性，還能為工業(yè)應(yīng)用提供全面的網(wǎng)絡(luò)數(shù)據(jù)保護(hù)支持，進(jìn)而為工業(yè)控制系統(tǒng)的穩(wěn)定運(yùn)營和數(shù)字化轉(zhuǎn)型提供了綠色通道。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備2.認(rèn)識工業(yè)網(wǎng)閘工業(yè)網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)，連接兩個獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。網(wǎng)閘從物理上隔離、阻斷了對內(nèi)網(wǎng)具有潛在攻擊可能的一切網(wǎng)絡(luò)連接，使外部攻擊者無法直接入侵、攻擊或破壞內(nèi)網(wǎng)，保障了內(nèi)部主機(jī)的安全。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)網(wǎng)閘為2+1的結(jié)構(gòu)，及前后主機(jī)+隔離硬件，防火墻是單主機(jī)系統(tǒng)。工業(yè)網(wǎng)閘在數(shù)據(jù)交換時所有數(shù)據(jù)需要落地轉(zhuǎn)換，數(shù)據(jù)進(jìn)入擺渡區(qū)之前要經(jīng)過徹底的協(xié)議剝離，到了后主機(jī)上再進(jìn)行數(shù)據(jù)封裝，故不存在內(nèi)外網(wǎng)之間的回話，連接終止于內(nèi)外網(wǎng)主機(jī)。針對工業(yè)場景的特殊要求，工業(yè)網(wǎng)閘在保證安全隔離的前提下，實(shí)現(xiàn)生產(chǎn)網(wǎng)與企業(yè)網(wǎng)之間的數(shù)據(jù)安全交換，滿足國家及行業(yè)對于安全隔離相關(guān)政策法規(guī)要求。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)網(wǎng)閘通過對工業(yè)數(shù)據(jù)的訪問進(jìn)行控制，有效防范惡意攻擊和敏感信息泄漏，保障生產(chǎn)網(wǎng)與企業(yè)網(wǎng)隔離的同時，實(shí)現(xiàn)安全、高速、可靠的數(shù)據(jù)交換。工業(yè)網(wǎng)閘主要對工業(yè)網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù)，實(shí)現(xiàn)生產(chǎn)網(wǎng)與企業(yè)網(wǎng)間的物理隔離，徹底切斷網(wǎng)絡(luò)中木馬、蠕蟲等惡意程序的傳播，保護(hù)工業(yè)網(wǎng)絡(luò)中關(guān)鍵設(shè)施的安全，提升了工業(yè)網(wǎng)絡(luò)邊界的安全防護(hù)能力。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)網(wǎng)閘一般部署在辦公網(wǎng)和業(yè)務(wù)網(wǎng)之間，高安全與低安全區(qū)域之間，其功能主要為文件同步、數(shù)據(jù)庫同步、組播工控協(xié)議等。工業(yè)網(wǎng)閘相比于普通網(wǎng)閘，最大的區(qū)別就在于能識別和過濾工業(yè)通信協(xié)議。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)網(wǎng)閘和工業(yè)防火墻都是工業(yè)網(wǎng)絡(luò)安全設(shè)備，它們的主要任務(wù)是保護(hù)工業(yè)網(wǎng)絡(luò)的安全性和穩(wěn)定性，防御網(wǎng)絡(luò)攻擊和惡意軟件的侵入。雖然兩者目標(biāo)相同，但是它們的工作原理和應(yīng)用場景有所不同，主要區(qū)別一般包括以下幾個方面。①不同功能面向②不同應(yīng)用場景③安全策略選擇任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備①功能方面工業(yè)網(wǎng)閘主要工作在數(shù)據(jù)鏈路層或傳輸層，它能夠隔離和管理網(wǎng)絡(luò)流量，并控制從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)的數(shù)據(jù)傳輸，對上層應(yīng)用程序沒有太多的影響；而工業(yè)防火墻則能夠支持更高層次的協(xié)議過濾和應(yīng)用過濾，能夠檢測和過濾一些應(yīng)用層數(shù)據(jù)，如HTTP、FTP、SMTP等。工業(yè)防火墻是一種基于策略實(shí)現(xiàn)安全防護(hù)的設(shè)備，會根據(jù)規(guī)定的策略來控制數(shù)據(jù)的流動。因此，不同的功能面向，決定了其應(yīng)用場景的差異。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備②應(yīng)用場景工業(yè)網(wǎng)閘一般用于在層次化的工業(yè)網(wǎng)絡(luò)中調(diào)節(jié)流量和隔離不同區(qū)域來保障協(xié)議和數(shù)據(jù)的安全性，而工業(yè)防火墻一般用于保障專屬工業(yè)控制網(wǎng)絡(luò)的通信安全，通常應(yīng)用于核心區(qū)域和重點(diǎn)設(shè)備之間的交互區(qū)域，或在公網(wǎng)與工業(yè)控制網(wǎng)之間部署的邊界位置。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備③安全策略工業(yè)網(wǎng)閘最強(qiáng)大的功能之一，就是物理隔離和邏輯分區(qū)，根據(jù)不同的網(wǎng)絡(luò)規(guī)則來過濾網(wǎng)絡(luò)流量，限制不必要的數(shù)據(jù)流，防止未經(jīng)授權(quán)的訪問。工業(yè)防火墻基于高級策略管理和各種檢測功能，將所有入口點(diǎn)、出口點(diǎn)和內(nèi)部交換點(diǎn)看做潛在攻擊點(diǎn)，對規(guī)則進(jìn)行細(xì)致審查、加強(qiáng)策略控制，以確保網(wǎng)絡(luò)安全。任務(wù)5配置工業(yè)網(wǎng)絡(luò)安全設(shè)備工業(yè)網(wǎng)閘與工業(yè)防火墻都是工業(yè)網(wǎng)絡(luò)安全設(shè)備，它們各自有自己的任務(wù)和優(yōu)劣點(diǎn)。在實(shí)際的應(yīng)用環(huán)境中，根據(jù)實(shí)際的需求和目標(biāo)，靈活的選擇和部署才是最佳的方案。課程結(jié)束Endofcourse工業(yè)互聯(lián)網(wǎng)技術(shù)專業(yè)教學(xué)資源庫IndustrialInternetTechnologySpecialtyTeachingResourceLibrary任務(wù)實(shí)踐：工業(yè)防火墻基本配置①實(shí)踐目的掌握工業(yè)防火墻配置的基本方法，具備用戶管理、日志查看、網(wǎng)絡(luò)配置、策略配置等相關(guān)操作技能。②實(shí)踐環(huán)境實(shí)踐環(huán)境搭建包括TQ-2000-M110防火墻1個、網(wǎng)線1根、PC1臺等。任務(wù)實(shí)踐：工業(yè)防火墻基本配置實(shí)踐內(nèi)容1.登錄設(shè)備第一步，設(shè)備連接。使用網(wǎng)線將TQ-2000-M110的0網(wǎng)口與PC網(wǎng)口相連接第二步，本地連接。關(guān)閉PC防火墻和殺毒軟件，關(guān)閉與本次測試無關(guān)的網(wǎng)卡，只保留一個本地連接。任務(wù)實(shí)踐：工業(yè)防火墻基本配置第三步，設(shè)置靜態(tài)IP。TQ-2000-M110直連PC情況下，PC設(shè)置一個靜態(tài)IP，確保PC與TQ-2000-M110在同一個網(wǎng)段，例如：。任務(wù)實(shí)踐：工業(yè)防火墻基本配置第四步，登錄網(wǎng)管系統(tǒng)打開電腦瀏覽器，地址欄中輸入IP：50，顯示輸入用戶名密碼（默認(rèn)管理員用戶名admin，默認(rèn)密碼inspur123；系統(tǒng)默認(rèn)的審計員用戶為audit，密碼為inspur123；系統(tǒng)默認(rèn)的用戶管理員用戶為useradmin，密碼為inspur123），輸入正確即登入成功。任務(wù)實(shí)踐：工業(yè)防火墻基本配置2.管理用戶點(diǎn)擊“系統(tǒng)＞管理員＞管理員”，可進(jìn)入用戶管理界面，點(diǎn)擊“新建”按鈕，可進(jìn)行新用戶添加操作，并配置用戶的訪問權(quán)限等，完成后點(diǎn)擊“提交”。任務(wù)實(shí)踐：工業(yè)防火墻基本配置3.查看日志點(diǎn)擊頂部“日志”選項(xiàng)卡，可進(jìn)入日志顯示界面，在左側(cè)樹目錄可以分別點(diǎn)擊“系統(tǒng)日志”、“審計日志”、“安全日志”、“VPN日志”、“流日志”等進(jìn)行各類日志查詢。任務(wù)實(shí)踐：工業(yè)防火墻基本配置4.配置網(wǎng)絡(luò)點(diǎn)擊頂部“網(wǎng)絡(luò)”選項(xiàng)卡，可進(jìn)網(wǎng)絡(luò)管理界面，在左側(cè)樹目錄可以分別點(diǎn)擊“接口”、“安全域”、“路由”等，可對各網(wǎng)絡(luò)參數(shù)進(jìn)行設(shè)置。任務(wù)實(shí)踐：工業(yè)防火墻基本配置第一步，設(shè)置接口點(diǎn)擊左側(cè)“接口＞物理接口”。點(diǎn)擊接口名稱“ge0/2(ge0/2)”，進(jìn)入接口2設(shè)置界面。在IP地址欄填入“”點(diǎn)擊“添加”按鈕；在下方“配置”欄勾選我們想要的權(quán)限服務(wù)。任務(wù)實(shí)踐：工業(yè)防火墻基本配置第二步，設(shè)置安全域點(diǎn)擊左側(cè)“安全域”，進(jìn)入安全域設(shè)置。點(diǎn)擊“新建”按鈕，在基本屬性里填入安全域名稱，在接口成員里選擇劃為本域的接口，并點(diǎn)擊提交。任務(wù)實(shí)踐：工業(yè)防火墻基本配置5.配置策略點(diǎn)擊頂部“策略”選項(xiàng)卡，可進(jìn)入策略配置界面，在左側(cè)樹目錄可以分別對“防火墻”、“本地安全”、“安全防護(hù)”等選項(xiàng)進(jìn)行設(shè)置。任務(wù)實(shí)踐：工業(yè)防火墻基本配置防火墻策略設(shè)置。點(diǎn)擊左側(cè)“防火墻＞策略”。點(diǎn)擊“新建策略”按鈕，填