《工業(yè)控制系統(tǒng)信息安全技術(shù)與實(shí)踐》課件 CH5-工業(yè)防火墻技術(shù)

工業(yè)防火墻技術(shù)目錄CONTENTS1防火墻原理2工業(yè)防火墻技術(shù)3菲尼克斯安全路由器及防火墻mGuard4本章實(shí)訓(xùn)PART1防火墻原理術(shù)語防火墻的定義防火墻就像是是防止火蔓延的屏障。安全網(wǎng)絡(luò)(LAN)不安全網(wǎng)絡(luò)(Internet,WAN)1.1

防火墻系統(tǒng)概述1.防火墻系統(tǒng)的組成防火墻通常是由專用硬件和相關(guān)軟件組成的一套系統(tǒng)，當(dāng)然也有純軟件的防火墻，比如Windows系統(tǒng)自帶的WindowsDefender防火墻、Linux系統(tǒng)的Iptables等，但純軟件防火墻無論在功能和性能上都不如專用的硬件防火墻。一般來說，防火墻由四大要素組成。（1）防火墻規(guī)則集：在防火墻上定義的規(guī)則列表，是一個(gè)防火墻能否充分發(fā)揮其作用的關(guān)鍵，這些規(guī)則決定了哪些數(shù)據(jù)不能通過防火墻、哪些數(shù)據(jù)可以通過防火墻。（2）內(nèi)部網(wǎng)絡(luò)：需要受保護(hù)的網(wǎng)絡(luò)。（3）外部網(wǎng)絡(luò)：需要防范的外部網(wǎng)絡(luò)。（4）技術(shù)手段：具體的實(shí)施技術(shù)。1.1

防火墻系統(tǒng)概述2.防火墻與OSI參考模型的關(guān)系網(wǎng)絡(luò)接入層網(wǎng)絡(luò)層傳輸層應(yīng)用層第1-2層

第3層第4層第5-7層MAC地址IP地址端口號(hào)EthernetIPTCP/UDPHTTP/FTP等ISO/OSI模型任務(wù)協(xié)議尋址常用TCP端口有：HTTP80、FTP20/21、SSH22、Telnet23、SMTP25、DNS53等；常用UDP端口有：DNS53、BootP67（server）/68（client）、TFTP69、SNMP161等。1.2防火墻規(guī)則集1.防火墻規(guī)則的組成網(wǎng)絡(luò)協(xié)議：如IP、ICMP、TCP、UDP等；發(fā)送方的IP地址；發(fā)送方的端口號(hào)；接收方的IP地址；接收方的端口號(hào)；操作（Action）：定義滿足過濾規(guī)則的數(shù)據(jù)包的處理方式，是被拒絕、丟棄或是允許；日志功能：用來確定是否有一些滿足特殊規(guī)則的數(shù)據(jù)包。1.2防火墻規(guī)則集2.數(shù)據(jù)包的處理方式防火墻對(duì)滿足規(guī)則的數(shù)據(jù)包的處理方式有允許（Accept）、拒絕（Reject）和丟棄（Drop）三種。拒絕（Reject）VS丟棄（Drop），應(yīng)該怎么選？1.2防火墻規(guī)則集3.規(guī)則集的應(yīng)用流程防火墻有輸入（Incoming）和輸出（Outgoing）兩個(gè)方向的規(guī)則集1.2防火墻規(guī)則集防火墻規(guī)則集是是包過濾的基礎(chǔ)；

防火墻規(guī)則列表；

規(guī)則依次序進(jìn)行處理；

首條適用規(guī)則被應(yīng)用；隨后的規(guī)則將被忽略；

規(guī)則次序很重要!1.2防火墻規(guī)則集4.規(guī)則集的應(yīng)用機(jī)制01白名單機(jī)制02黑名單機(jī)制設(shè)置允許的規(guī)則設(shè)置禁止的規(guī)則一般來說，傳統(tǒng)IT防火墻可根據(jù)需要選擇“白名單”或“黑名單”的方式進(jìn)行規(guī)則設(shè)置，而工業(yè)防火墻大多依據(jù)“白名單”設(shè)置規(guī)則。1.2防火墻規(guī)則集4.常見的錯(cuò)誤配置1）順序錯(cuò)誤

2）源端口設(shè)置錯(cuò)誤1.3防火墻分類根據(jù)過濾方式的不同，可以分為:包過濾防火墻

或：訪問控制表(ACL)狀態(tài)檢測(cè)防火墻(SIF)

或:狀態(tài)包檢測(cè)(SPI)應(yīng)用網(wǎng)關(guān)防火墻（AGF）地址轉(zhuǎn)換防火墻基于主機(jī)的防火墻混和防火墻1.3防火墻分類1.包過濾防火墻包過濾防火墻是最簡單的防火墻。包過濾防火墻工作在OSI的第3層和第4層。一個(gè)包過濾防火墻可以是一臺(tái)有數(shù)據(jù)包過濾能力的路由器。絕大多數(shù)包過濾防火墻支持多種協(xié)議，包括TCP/IP、IPX、AppleTalk、Decnet和第2層的MAC地址以及橋接信息。TCP/IP協(xié)議是現(xiàn)在應(yīng)用最廣泛的協(xié)議。應(yīng)用層表示層傳輸層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第7層第6層第5層第4層第3層第2層第1層IP地址端口號(hào)1.3防火墻分類1.包過濾防火墻包過濾規(guī)則：決定哪些包被允許和哪些包被拒絕包過濾防火墻能過濾以下類型的信息:第3層的源和目的地址第3層的協(xié)議信息，如IP、ICMP、OSPF等IP優(yōu)先級(jí)域（服務(wù)類型typeofservice）信息第4層的協(xié)議信息，如TCP、UDP第4層的端口號(hào)，包括TCP和UDP的端口號(hào)TCP控制標(biāo)記，如SYN、ACK、FIN、PSH、RST等1.3防火墻分類1.包過濾防火墻WANLAN允許:TCP端口=80端口:80200端口:21允許:IP地址=2永久防火墻規(guī)則規(guī)則源地址目的地址協(xié)議端口號(hào)操作12任意IP任意允許2任意TCP80允許3任意任意任意任意丟棄XX1.3防火墻分類1.包過濾防火墻

優(yōu)點(diǎn)能以很快的速度處理數(shù)據(jù)包；易于匹配絕大多數(shù)第3層和第4層的信息，在實(shí)施安全策略時(shí)提供許多靈活性；簡易性和低成本（和其他類型的防火墻相比）。

缺點(diǎn)需要熟悉各種TCP/IP的操作和它們的包頭中的域，否則容易出錯(cuò)；不能阻止應(yīng)用層的攻擊；不能檢測(cè)和阻止某些TCP/IP攻擊，比如TCPSYN洪水和IP欺騙攻擊；不支持用戶的連接認(rèn)證；只有有限的日志功能。1.3防火墻分類1.包過濾防火墻作為第一線防御(邊界路由器)；當(dāng)用包過濾就能完全實(shí)現(xiàn)安全策略，并且認(rèn)證不是問題的時(shí)候；在要求最低安全性，并要考慮成本的SOHO網(wǎng)絡(luò)中。包過濾防火墻已經(jīng)在工業(yè)控制網(wǎng)絡(luò)中普通使用，但其缺陷也慢慢顯現(xiàn)出來。1.3防火墻分類2.狀態(tài)防火墻狀態(tài)防火墻使用一種機(jī)制保持跟蹤連接的狀態(tài)：連接是否處于初始化、數(shù)據(jù)傳輸或終止?fàn)顟B(tài)。特別適用于想拒絕來自外部設(shè)備的連接初始化，但允許內(nèi)部用戶和設(shè)備建立連接，并允許響應(yīng)返回的場(chǎng)景。狀態(tài)檢測(cè)防火墻工作在OSI的第3層、第4層和第5層應(yīng)用層表示層傳輸層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第7層第6層第5層第4層第3層第2層第1層WANLANWEB服務(wù)器BWEB服務(wù)器C0狀態(tài)防火墻用戶A狀態(tài)防火墻是如何工作的X規(guī)則源地址目的地址協(xié)議端口號(hào)操作1任意TCP80允許2任意任意任意任意丟棄WANLANWEB服務(wù)器BWEB服務(wù)器C0狀態(tài)防火墻用戶A狀態(tài)防火墻是如何工作的規(guī)則源地址目的地址協(xié)議端口號(hào)操作1任意TCP80允許2任意任意任意任意丟棄1、SYN源端口：10000目的端口：80WANLANWEB服務(wù)器BWEB服務(wù)器C0狀態(tài)防火墻用戶A狀態(tài)防火墻是如何工作的1、SYN1、SYN源端口：10000目的端口：80規(guī)則源地址目的地址協(xié)議端口號(hào)操作10TCP源：80目的：10000允許2任意TCP80允許3任意任意任意任意丟棄WANLANWEB服務(wù)器BWEB服務(wù)器C0狀態(tài)防火墻用戶A狀態(tài)防火墻是如何工作的規(guī)則源地址目的地址協(xié)議端口號(hào)操作10TCP源：80目的：10000允許2任意TCP80允許3任意任意任意任意丟棄2、SYN/ACK一定時(shí)間后規(guī)則失效1.3防火墻分類狀態(tài)防火墻基于狀態(tài)的過濾規(guī)則自動(dòng)生成狀態(tài)包檢測(cè)(SPI)跟蹤安全網(wǎng)絡(luò)傳出的數(shù)據(jù)包狀態(tài)僅接受被請(qǐng)求的響應(yīng)一定時(shí)間后規(guī)則失效UDP：典型的20–40秒TCP:：典型的15–60分

WANLAN臨時(shí)防火墻規(guī)則1.3防火墻分類狀態(tài)防火墻的優(yōu)點(diǎn)狀態(tài)防火墻知曉連接的狀態(tài)狀態(tài)防火墻無須打開很大范圍的端口以允許通信狀態(tài)防火墻能比包過濾防火墻阻止更多類型的DoS攻擊有更豐富的日志功能狀態(tài)防火墻雖然成本稍微高一點(diǎn)，但能提供更多的控制、更智能的包過濾功能、更高的安全性和更好的性能，因而在工業(yè)控制中的應(yīng)用越來越廣泛。1.3防火墻分類狀態(tài)防火墻的局限性需要熟悉各種TCP/IP的操作和它們的包頭中的域，否則容易出錯(cuò)；不能阻止應(yīng)用層的攻擊;不支持用戶的連接認(rèn)證；不是所有的協(xié)議都包含狀態(tài)信息。一些應(yīng)用會(huì)打開多個(gè)連接，其中的一些附加連接需要使用動(dòng)態(tài)端口號(hào)；在維護(hù)狀態(tài)表時(shí)會(huì)涉及到其他開銷。1.3防火墻分類3.應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻（ApplicationGatewayFirewall，AGF），也叫代理防火墻，工作在OSI的第3、4、5和7層，可以處理第7層應(yīng)用層的數(shù)據(jù)信息，其大多數(shù)控制和過濾的功能是通過軟件實(shí)現(xiàn)的，可以提供更多的功能和安全性，但延時(shí)比包過濾防火墻和狀態(tài)防火墻會(huì)更大一些。AGF通常不能支持所有的應(yīng)用，不能監(jiān)控所有的數(shù)據(jù)流量。AGF可以支持的應(yīng)用包括E-mail、Web服務(wù)、DNS、Telnet、FTP、Usenet新聞、LDAP和Finger等，用戶可以根據(jù)需要選擇AGF支持的應(yīng)用和需要通過它發(fā)送的應(yīng)用。應(yīng)用層表示層傳輸層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第7層第6層第5層第4層第3層第2層第1層1.3防火墻分類3.應(yīng)用網(wǎng)關(guān)防火墻與包過濾防火墻和狀態(tài)防火墻相比，AGF有很多優(yōu)點(diǎn)：（1）可以基于用戶進(jìn)行身份驗(yàn)證，而不是設(shè)備，這樣就可以阻止絕大多數(shù)的欺騙攻擊。（2）AGF能檢測(cè)DOS攻擊，減輕在內(nèi)部資源上的負(fù)荷。（3）能監(jiān)控和過濾應(yīng)用層的數(shù)據(jù)，這樣就能檢測(cè)應(yīng)用層的攻擊，如不良的URL、緩存溢出、未授權(quán)的訪問等等，甚至能基于認(rèn)證和授權(quán)信息控制允許用戶執(zhí)行哪些命令和功能。（4）能生成非常詳細(xì)的日志。使用AGF時(shí)，能監(jiān)控用戶發(fā)送的實(shí)際數(shù)據(jù)，這樣當(dāng)黑客進(jìn)行新的攻擊時(shí)，就能監(jiān)控他做什么和他是如何做的，以便能解決這個(gè)問題。日志功能除了用于安全目的之外，還能用于管理目的，如跟蹤誰正在訪問哪些資源、多少帶寬被使用、多長時(shí)間資源被訪問一次。1.3防火墻分類3.應(yīng)用網(wǎng)關(guān)防火墻AGF也存在以下局限性：（1）AGF通常用軟件處理數(shù)據(jù)包，它需要大量的CPU和內(nèi)存資源來處理經(jīng)過它的每個(gè)數(shù)據(jù)包，有時(shí)還會(huì)產(chǎn)生吞吐量瓶頸；詳盡的日志功能會(huì)占用大量的磁盤空間。當(dāng)然，這可以通過讓AGF只監(jiān)控關(guān)鍵應(yīng)用來進(jìn)行緩解。（2）AGF有時(shí)要求在客戶端上安裝廠商指定的軟件，用來處理認(rèn)證過程和任何可能的連接重定向。如果需要AGF支持?jǐn)?shù)千臺(tái)客戶端，這將產(chǎn)生擴(kuò)展性和管理問題。綜上所述，應(yīng)用網(wǎng)關(guān)防火墻可以用在一些對(duì)實(shí)時(shí)性要求不高的場(chǎng)景，不太適用于工業(yè)控制系統(tǒng)。1.3防火墻分類4.主機(jī)防火墻主機(jī)防火墻通常是指部署在工作站或控制器上的軟件防火墻解決方案，用于控制進(jìn)出特定設(shè)備的流量?？筛鶕?jù)工作站或控制器的操作系統(tǒng)和重要程度來選擇合適的免費(fèi)或收費(fèi)的防火墻產(chǎn)品。這種基于主機(jī)的防火墻技術(shù)具有與工業(yè)防火墻類似的能力，包括狀態(tài)包檢測(cè)，用來增強(qiáng)安全方案或?qū)ψ烂嫣峁┢渌Ｗo(hù)。1.3防火墻分類4.主機(jī)防火墻主機(jī)防火墻有以下優(yōu)點(diǎn)：（1）主機(jī)防火墻軟件可以為網(wǎng)絡(luò)內(nèi)部關(guān)鍵的設(shè)備提供額外的保護(hù)，增強(qiáng)設(shè)備的安全性。（2）有的主機(jī)防火墻產(chǎn)品提供用戶認(rèn)證功能，就算網(wǎng)絡(luò)里沒有AGF防火墻，也可以對(duì)訪問資源的用戶進(jìn)行身份認(rèn)證。（3）主機(jī)防火墻的產(chǎn)品很多，有免費(fèi)也有收費(fèi)的，用戶可以根據(jù)安全需求和成本預(yù)算靈活選擇。1.3防火墻分類4.主機(jī)防火墻主機(jī)防火墻有以下局限性：（1）主機(jī)防火墻通常是基于軟件的防火墻，它要求更多的內(nèi)存和CPU資源來處理流量，還要求較大的磁盤空間來保存日志信息。（2）很多主機(jī)防火墻是基本的包過濾防火墻，可以過濾IP地址、TCP和UDP端口號(hào)和ICMP消息，在配置時(shí)必須小心，否則可能產(chǎn)生很多安全問題。（3）主機(jī)防火墻通常只有簡單的日志功能，無法檢測(cè)應(yīng)用層的攻擊。（4）主機(jī)防火墻一般運(yùn)行在Windows、Linux等商業(yè)操作系統(tǒng)上，這些操作系統(tǒng)自身就存在很多安全問題，所以這些系統(tǒng)上的主機(jī)防火墻比專用的防火墻設(shè)備更容易遭到攻擊。而專用的防火墻設(shè)備通常使用專用的操作系統(tǒng)，這使得它們更難被攻擊。（5）防火墻需要定義適當(dāng)?shù)囊?guī)則才能發(fā)揮其作用，當(dāng)主機(jī)防火墻大規(guī)模使用時(shí)，單單管理規(guī)則集（包括添加、修改和刪除規(guī)則）就已經(jīng)是一個(gè)困難的過程。1.3防火墻分類5.混合防火墻很多防火墻類型和安全特性都被整合到一個(gè)單一的產(chǎn)品中（1）絕大多數(shù)防火墻支持DHCP功能，為網(wǎng)絡(luò)中的客戶端動(dòng)態(tài)分配IP地址等信息，這在SOHO環(huán)境中尤為重要。另外，防火墻可能需要直接連接到ISP，ISP可能使用DHCP或者PPPOE（Point-to-PointProtocoloverEthernet，基于以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議）來動(dòng)態(tài)地給防火墻指定地址信息。（2）很多防火墻支持VPN功能，用來在通過不安全網(wǎng)絡(luò)（如Internet）時(shí)加密流量防止信息被竊聽。（3）有些防火墻支持入侵檢測(cè)功能，用來檢測(cè)一些常見的網(wǎng)絡(luò)攻擊，如DoS攻擊、IP欺騙攻擊、SYN泛洪攻擊等，增強(qiáng)安全功能。當(dāng)然，為了能檢測(cè)更多的網(wǎng)絡(luò)威脅和攻擊，應(yīng)該使用專門的入侵檢測(cè)系統(tǒng)方案。（4）很多防火墻還可以作為路由器使用，并支持OSPF、IGRP等多種動(dòng)態(tài)路由選擇協(xié)議。（5）很多防火墻還能管理基于Web的內(nèi)容，如可能包含危險(xiǎn)代碼的Java和ActiveX腳本，有些防火墻甚至能過濾URL信息。1.4防火墻的限制沒有防火墻可以提供100％的安全大多數(shù)的攻擊都來自于內(nèi)部，而防火墻不能夠阻止來自內(nèi)部或者繞過防火墻的數(shù)據(jù)流量的攻擊。防火墻無法防護(hù)端口反彈木馬的攻擊，像灰鴿子之類的木馬或惡意鏈接使用的都是合法的業(yè)務(wù)端口，如80端口。防火墻本身沒有針對(duì)加密通道可信賴性的判斷能力，無法防護(hù)非法通道出現(xiàn)。不能代替入侵檢測(cè)和審計(jì)設(shè)備防火墻無法防護(hù)系統(tǒng)層面的直接漏洞攻擊，無法防護(hù)病毒的侵襲。新的安全漏洞層出不窮，需要通過起草全新的安全措施或擴(kuò)展現(xiàn)有的措施來面對(duì)，所以必須持續(xù)地對(duì)網(wǎng)絡(luò)進(jìn)行安全監(jiān)控。防火墻會(huì)依據(jù)規(guī)則對(duì)流經(jīng)它的數(shù)據(jù)流量進(jìn)行處理，必然會(huì)造成一些延遲，在使用時(shí)應(yīng)充分考慮，尤其是對(duì)實(shí)時(shí)性要求極高的工業(yè)控制網(wǎng)絡(luò)。PART2工業(yè)防火墻技術(shù)2.1工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別（1）傳統(tǒng)IT防火墻希望吞吐率越高越好，對(duì)轉(zhuǎn)發(fā)率的要求高，而工業(yè)防火墻只要求合適的吞吐率，但對(duì)實(shí)時(shí)性的要求卻非常嚴(yán)格。（2）傳統(tǒng)IT防火墻一般只要求解析和過濾以太網(wǎng)協(xié)議，而工業(yè)防火墻要求解析和過濾各種工業(yè)控制協(xié)議和自定義協(xié)議，具備深度包檢測(cè)功能，比如對(duì)ModbusTCP、OPC、IEC-104、DNP3、PROFINET等工業(yè)協(xié)議的深度解析，甚至包括協(xié)議的指令級(jí)別、寄存器級(jí)別、值域級(jí)別，實(shí)現(xiàn)對(duì)協(xié)議通信內(nèi)容的深度解析、過濾、阻斷、報(bào)警、審計(jì)等各類功能。（3）傳統(tǒng)IT防火墻一般部署在內(nèi)網(wǎng)和外網(wǎng)的位置或其他邊界區(qū)域，而工業(yè)防火墻一般部署在工控網(wǎng)絡(luò)的分層區(qū)域之間。（4）傳統(tǒng)IT防火墻一般使用基于黑名單策略的訪問控制，而工業(yè)防火墻一般使用黑白名單相結(jié)合的防御技術(shù)，既實(shí)現(xiàn)基于工業(yè)漏洞庫的黑名單被動(dòng)防御功能，又實(shí)現(xiàn)基于智能機(jī)器學(xué)習(xí)引擎的白名單主動(dòng)防御功能。2.1工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別（5）傳統(tǒng)IT防火墻一般不需要考慮OPC協(xié)議，而工業(yè)防火墻要求支持動(dòng)態(tài)開放OPC協(xié)議端口。（6）傳統(tǒng)IT防火墻通常放置在恒溫、恒濕的標(biāo)準(zhǔn)機(jī)房環(huán)境，工作環(huán)境優(yōu)良，而工業(yè)防火墻一般放置在工業(yè)現(xiàn)場(chǎng)環(huán)境，工作環(huán)境惡劣，比如野外零下幾十度的低溫、潮濕、高原、鹽霧等環(huán)境。工業(yè)防火墻應(yīng)具有嚴(yán)苛的工業(yè)級(jí)硬件技術(shù)要求，實(shí)現(xiàn)高可靠性和穩(wěn)定性，包括故障自恢復(fù)、多電源冗余、全封閉、硬件Bypass、硬件加密、無風(fēng)扇、寬溫支持、支持導(dǎo)軌式或機(jī)架式安裝、低功耗、防塵防輻射等。（7）工業(yè)防火墻支持多種工作模式，保證防火墻區(qū)分部署和工作過程以實(shí)現(xiàn)對(duì)被防護(hù)系統(tǒng)的最小影響。例如，學(xué)習(xí)模式、驗(yàn)證模式或測(cè)試模式、工作模式等。2.2工業(yè)防火墻技術(shù)新特點(diǎn)透明接入技術(shù)：對(duì)用戶是透明的，即潛行模式分布式防火墻技術(shù)：負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，分布式防火墻是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。網(wǎng)絡(luò)防火墻主機(jī)防火墻中心管理智能型防火墻技術(shù)：融合智能機(jī)器學(xué)習(xí)技術(shù)、深度數(shù)據(jù)包解析技術(shù)、特征匹配技術(shù)、黑白名單相結(jié)合的防御技術(shù)等多項(xiàng)技術(shù)，實(shí)現(xiàn)對(duì)多種工控網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的檢查、過濾、報(bào)警、阻斷。2.3工業(yè)防火墻的具體服務(wù)規(guī)則域名解析系統(tǒng)（DNS）：控制網(wǎng)絡(luò)很少使用超文本傳輸協(xié)議（HTTP）：控制網(wǎng)應(yīng)用HTTPS文件傳輸協(xié)議（FTP）和簡單文件傳輸協(xié)議（TFTP）：禁止TFTP，僅在安全情況下使用FTP。盡量使用較安全的SFTP和SCP。用于遠(yuǎn)程連接服務(wù)的標(biāo)準(zhǔn)協(xié)議（Telnet）：禁止從公司網(wǎng)進(jìn)入控制網(wǎng)的入站Telnet，出站Telnet僅在加密通道（如VPN）中使用，用于訪問某些設(shè)備。簡單郵件傳輸協(xié)議（SMTP）：禁止入站郵件，允許出站SMTP從控制網(wǎng)到公司發(fā)送警告信息。簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）：控制網(wǎng)不建議用分布式組件對(duì)象模型（DCOM)：只允許在控制網(wǎng)和DMZ網(wǎng)絡(luò)之間使用SCADA與工業(yè)網(wǎng)絡(luò)協(xié)議：只允許在控制網(wǎng)使用2.4工業(yè)防火墻的安全策略（1）不僅僅依靠網(wǎng)絡(luò)層來進(jìn)行數(shù)據(jù)過濾，如果可能的話盡可能綜合使用網(wǎng)絡(luò)層、傳輸層和應(yīng)用層數(shù)據(jù)過濾技術(shù)。（2）嚴(yán)格遵守最小權(quán)限原則。（3）使用白名單設(shè)置防火墻過濾規(guī)則，也就是在缺省情況下的任何網(wǎng)絡(luò)連接，只有符合白名單設(shè)置規(guī)則的數(shù)據(jù)流可以允許通過。工控系統(tǒng)要求嚴(yán)格限制內(nèi)外網(wǎng)通信，所以允許建立網(wǎng)絡(luò)連接的規(guī)則較少，建立和維護(hù)白名單相對(duì)傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境更為可行。（4）在部署防火墻保護(hù)邊界安全的時(shí)候，需要認(rèn)證評(píng)估對(duì)控制系統(tǒng)網(wǎng)絡(luò)通信延遲的影響。（5）注意賬號(hào)管理的安全，設(shè)置密碼和賬戶策略，避免出現(xiàn)弱口令和長時(shí)間不修改等問題。（6）關(guān)閉不必要的服務(wù)及應(yīng)用，如TELNET、HTTP、PING、SNMP等，使用SSH進(jìn)行遠(yuǎn)程登錄管理。PART3菲尼克斯安全路由器及防火墻mGuard3.1mGuard概述為了讓學(xué)生更好地學(xué)習(xí)工控安全知識(shí)，學(xué)校花巨資搭建了工業(yè)自動(dòng)化信息安全實(shí)驗(yàn)室，引進(jìn)了菲尼克斯電氣公司推出的專業(yè)工業(yè)安全產(chǎn)品，包括工業(yè)PROFINET交換機(jī)、智能防火墻路由器、PLC、無線WLAN、DIO/AIO模塊、信息安全攻防服務(wù)器等。智能防火墻有多達(dá)250個(gè)IPsec加密的VPN通道，安全裝置功能全面。為可用性要求高的場(chǎng)合和復(fù)雜的安全架構(gòu)提供較高安全性。其中核心產(chǎn)品是智能防火墻mGuard，它是由工業(yè)安全路由器和防火墻組成的網(wǎng)絡(luò)組件產(chǎn)品，集路由器、防火墻、NAT、VPN等功能于一體，適合各種應(yīng)用，旨在實(shí)現(xiàn)最高的系統(tǒng)安全性和可用性，幫助客戶守護(hù)工業(yè)網(wǎng)絡(luò)安全。3.1mGuard概述FLMGUARDRS4004TX/DTXVPN

FLMGUARDSMART2VPNFLMGUARDGT/GTVPN工業(yè)自動(dòng)化信息安全實(shí)驗(yàn)室引進(jìn)的工業(yè)防火墻：3.1mGuard概述1.mGuard的基本功能不同的防護(hù)模式：單一潛行模式/多重潛行模式/路由模式基于WEB的配置界面NAT/1:1NAT/IP和端口轉(zhuǎn)發(fā)VPN防火墻支持SNMP固件升級(jí)OPC檢查器CIFS完整性監(jiān)測(cè)冗余功能3.1mGuard概述2.mGuard上的指示燈P1：綠燈常亮，電源指示燈；P2：綠燈常亮，電源指示燈；Stat：綠燈閃爍，心跳燈，說明設(shè)備正常工作；Err：紅燈閃爍，說明出現(xiàn)系統(tǒng)錯(cuò)誤，可嘗試重啟設(shè)備，或者切斷電源再重新連接；如果仍舊無法解決，則可聯(lián)系供應(yīng)商。Stat+Err：綠燈紅燈交替閃爍，說明正在啟動(dòng)進(jìn)程中；Mod：綠燈常亮，說明正在通過modem連接；Info：說明已建立配置的VPN連接，或激活了定義的防火墻規(guī)則記錄3.2mGuard相關(guān)配置進(jìn)入mGuard的配置頁面https://https://其他配置的IP默認(rèn)情況下，只能利用LAN口地址進(jìn)行Web配置界面，若想使用其他接口地址遠(yuǎn)程連接，必須單擊左側(cè)菜單的Management>>WebSettings，切換到Access選項(xiàng)卡，啟用HTTPSremoteaccess。3.2mGuard相關(guān)配置1.mGuard的重置第一種方法緩慢按下復(fù)位按鈕六次>大約2秒后，STAT燈將亮起綠色；再次緩慢按下復(fù)位按鈕六次>如果成功，STATLED將亮起綠色>如果不成功，ERRLED將亮起紅色如果成功，設(shè)備將在兩秒鐘后重新啟動(dòng)，切換到潛行模式。重置后，固件版本為8.4.0及以上的MGuard將丟失配置，固件版本為8.4.0之前的MGuard只需重置IP地址和登錄密碼。復(fù)位按鈕3.2mGuard相關(guān)配置1.mGuard的重置第二種方法3.2mGuard相關(guān)配置2.mGuard的網(wǎng)絡(luò)配置mGuard要發(fā)揮作用，必須根據(jù)網(wǎng)絡(luò)拓?fù)溥M(jìn)行正確的網(wǎng)絡(luò)配置和路由配置。1）網(wǎng)絡(luò)模式設(shè)置2）接口地址及路由設(shè)置3.2mGuard相關(guān)配置3.mGuard的防火墻相關(guān)功能配置1）設(shè)置防火墻規(guī)則集

3.2mGuard相關(guān)配置3.mGuard的防火墻相關(guān)功能配置2）使用規(guī)則記錄簡化配置可以將各個(gè)防火墻規(guī)則匯總在規(guī)則記錄（RuleRecords）中，然后在防火墻規(guī)則中使用這些規(guī)則記錄來簡化配置。舉例：有下面的網(wǎng)絡(luò)，允許通過網(wǎng)絡(luò)服務(wù)FTP、Telnet和HTTPS對(duì)內(nèi)部網(wǎng)絡(luò)中的三臺(tái)特定服務(wù)器進(jìn)行外部訪問，禁止從外部網(wǎng)絡(luò)（WAN）訪問所有其他服務(wù)和網(wǎng)絡(luò)地址，需要?jiǎng)?chuàng)建多少條防火墻規(guī)則？

3.2mGuard相關(guān)配置3.mGuard的防火墻相關(guān)功能配置2）使用規(guī)則記錄簡化配置mGuard支持兩種類型的規(guī)則記錄（1）“服務(wù)器”規(guī)則記錄：對(duì)服務(wù)器進(jìn)行匯總（2）“服務(wù)”規(guī)則記錄：對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行匯總使用規(guī)則記錄的步驟：（1）創(chuàng)建規(guī)則記錄：NetworkSecurity>>PacketFilter>>RuleRecords（2）使用規(guī)則記錄：IncomingRules或OutgoingRules

3.2mGuard相關(guān)配置（1）“服務(wù)器”規(guī)則記錄要?jiǎng)?chuàng)建規(guī)則記錄，請(qǐng)按照下列步驟操作：登錄到mGuard設(shè)備的Web界面；轉(zhuǎn)到NetworkSecurity>>PacketFilter>>RuleRecords；創(chuàng)建一個(gè)名為Server的新規(guī)則記錄，然后單擊“EditRow”圖標(biāo)；按照下圖配置規(guī)則記錄。

3.2mGuard相關(guān)配置（1）“服務(wù)器”規(guī)則記錄要在防火墻規(guī)則中使用規(guī)則記錄，請(qǐng)按照下列步驟操作：登錄到mGuard設(shè)備的Web界面；轉(zhuǎn)到NetworkSecurity>>PacketFilter；在“IncomingRules”選項(xiàng)卡中，選擇“Usethefirewallrulesetbelow”。根據(jù)下圖創(chuàng)建三個(gè)防火墻規(guī)則。

3.2mGuard相關(guān)配置（2）“服務(wù)”規(guī)則記錄：除了服務(wù)器IP地址，還可以在規(guī)則記錄中匯總網(wǎng)絡(luò)服務(wù)，并在防火墻規(guī)則中使用它們。

案例3使用防火墻規(guī)則記錄簡化配置（2）“服務(wù)”規(guī)則記錄除了服務(wù)器IP地址，還可以在規(guī)則記錄中匯總網(wǎng)絡(luò)服務(wù)，并在防火墻規(guī)則中使用它們使用服務(wù)規(guī)則記錄3.2mGuard相關(guān)配置3.mGuard的防火墻相關(guān)功能配置3）設(shè)置深度包檢測(cè)功能OPC通過TCP端口135建立OPC連接，但之后進(jìn)行數(shù)據(jù)交換的端口是動(dòng)態(tài)變化的。這就要求工控網(wǎng)絡(luò)中防火墻上的所有端口都必須打開才能實(shí)現(xiàn)OPC客戶機(jī)和服務(wù)器的通訊，但開放所有端口會(huì)造成極大的安全隱患。設(shè)置了OPC深度包檢測(cè)功能，則防火墻只需開放TCP端口135即可，OPC深度監(jiān)測(cè)可動(dòng)態(tài)追蹤端口，自行開放相應(yīng)端口。3.2mGuard相關(guān)配置4.用戶防火墻可以通過用戶防火墻（UserFirewall）來啟用針對(duì)特定的防火墻用戶（FirewallUser）或用戶組的防火墻規(guī)則（防火墻用戶或用戶組提前定義）。用戶防火墻適用于靜態(tài)配置的通用防火墻規(guī)則（如IncomingRules、OutgoingRules）不允許訪問目標(biāo)，但允許防火墻用戶登錄后動(dòng)態(tài)訪問。用戶防火墻規(guī)則優(yōu)先于其他位置配置的規(guī)則，并在適用時(shí)覆蓋這些規(guī)則。配置步驟：創(chuàng)建所需的防火墻用戶或用戶組創(chuàng)建用戶防火墻模板以防火墻用戶的身份登錄mGuard，激活用戶防火墻規(guī)則PART4本章實(shí)訓(xùn)4.1基于潛行模式的防火墻mGuard設(shè)置為Stealth模式，對(duì)PC1進(jìn)行保護(hù)，避免其受到ARP攻擊。4.1基于潛行模式的防火墻步驟1：按拓?fù)溥B線，并配置PC1和PC2的IP地址（注意兩臺(tái)電腦IP在同一網(wǎng)段）。步驟2：進(jìn)入mGuard，將NetworkMode改成Stealth>>Multupleclients即為隱藏模式，WAN口與LAN口下的設(shè)備在同一網(wǎng)段，MGUARD所起的作用僅為防火墻，并設(shè)置潛行模式的管理IP。4.1基于潛行模式的防火墻步驟3：在PC2上開啟ARP攻擊，（若用ArpSpoof，可用WIRESHARK查看目標(biāo)地址），此時(shí)抓包可看到大量ARP包。在PC1上開啟抓包，同樣可看到大量從PC2發(fā)出的ARP攻擊包。4.1基于潛行模式的防火墻步驟4：關(guān)閉ARP攻擊。登陸mGuard，進(jìn)入NetworkSecurity>>Packetfilter中，將MACFiltering中添加如下一行（注意：此處就輸入步驟3查看到的目標(biāo)地址）4.1基于潛行模式的防火墻步驟5：配置了MACFiltering，若過濾的地址是F，則通過ARP學(xué)習(xí)MAC地址的功能將無法正常工作，此時(shí)需手動(dòng)在PC2上設(shè)置靜態(tài)的MAC地址表，設(shè)置方式如下：在PC1上，打開命令提示符，輸入ipconfig/all，查看IP地址與MAC地址。在PC2上，以管理員身份運(yùn)行CMD，打開命令提示符?？梢杂胊rp-a查看ARP緩存，如果還有PC1的記錄，可用arp-d*刪除PINGPC1，看是否能通？輸入netshiishowin，查看與PC1通訊的網(wǎng)卡對(duì)應(yīng)的IDX號(hào)輸入netsh-c“ii”addneighbors209c-5a-44-25-e8-7f，手工添加靜態(tài)映射關(guān)系。（PC1的

IP地址為0，MAC地址為9c-5a-44-25-e8-7f）再用arp-a查看ARP表，可以看到PC1的IP地址與MAC地址的靜態(tài)映射已經(jīng)添加成功。4.1基于潛行模式的防火墻步驟5：配置了MACFiltering，若過濾的地址是F，則通過ARP學(xué)習(xí)MAC地址的功能將無法正常工作，此時(shí)需手動(dòng)在PC2上設(shè)置靜態(tài)的MAC地址表，設(shè)置方式如下：4.1基于潛行模式的防火墻步驟6：若不設(shè)置靜態(tài)地址表，則PC2無法訪問PC1，因無法解析MAC地址，無法生成MAC地址表，設(shè)置完后，PC2即可正常訪問PC1。步驟7：在PC2上開啟ARP攻擊且開啟抓包軟件，可發(fā)現(xiàn)系統(tǒng)中大量ARP包存在，同時(shí)在PC1上開啟抓包，會(huì)發(fā)現(xiàn)PC1中不再有ARP攻擊存在。4.2從公司網(wǎng)絡(luò)訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）和公司網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）通過mGuard路由器連接。要求：配置防火墻，只允許PC1從公司網(wǎng)絡(luò)訪問生產(chǎn)網(wǎng)絡(luò)中的PLC的Web界面，并且PLC能響應(yīng)發(fā)送給它的ping請(qǐng)求4.2從公司網(wǎng)絡(luò)訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)步驟1：按拓?fù)溥B線，并使公司網(wǎng)絡(luò)的所有PC可以訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)的PLC。配置好PC和PLC的IP地址。進(jìn)入mGuard配置界面，設(shè)置mGuard為路由器模式，并根據(jù)拓?fù)錇閙Guard配置正確的LAN口地址和WAN口地址，防火墻配置為AcceptAllConnections。在MGUARD2上，配置AdditionalInternalRoutes。驗(yàn)證連通性：在PC1和PC2上可以訪問PLC的Web界面，并且能ping通PLC。4.2從公司網(wǎng)絡(luò)訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)步驟2：可以按下面的步驟配置防火墻規(guī)則：1)登錄到mGuard1的Web界面（54）；2)轉(zhuǎn)到NetworkSecurity>>PacketFilter>>IncomingRules；3)創(chuàng)建兩個(gè)防火墻規(guī)則4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問可以通過創(chuàng)建用戶防火墻來啟用針對(duì)于特定用戶或用戶組的防火墻規(guī)則，這些規(guī)則僅適用于已定義的防火墻用戶或用戶組。適用于靜態(tài)配置的防火墻規(guī)則不允許訪問目標(biāo)，而允許防火墻用戶登錄后動(dòng)態(tài)訪問目標(biāo)的場(chǎng)景。用戶防火墻規(guī)則優(yōu)先于其他位置配置的防火墻規(guī)則（例如Incoming/Outgoing規(guī)則），并在適用時(shí)覆蓋這些規(guī)則。操作步驟：創(chuàng)建防火墻用戶（Authentication>>FirewallUsers）；使用防火墻規(guī)則創(chuàng)建用戶防火墻模板（NetworkSecurity>>UserFirewall）；啟用用戶防火墻；以防火墻用戶身份登錄。4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問舉例，下面的網(wǎng)絡(luò)，通過NAT（IP偽裝）啟用了從生產(chǎn)網(wǎng)絡(luò)（內(nèi)部）到公司網(wǎng)絡(luò)（外部）的訪問，同時(shí)，通用防火墻規(guī)則（傳出規(guī)則）禁止從生產(chǎn)網(wǎng)絡(luò)到公司網(wǎng)絡(luò)的所有訪問流量?？梢酝ㄟ^配置用戶防火墻，使防火墻用戶USERA可以從內(nèi)部生產(chǎn)網(wǎng)絡(luò)訪問公司網(wǎng)絡(luò)的WEB服務(wù)器（WEB服務(wù)器用PLC2來代替）。4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問步驟1按照拓?fù)溥M(jìn)行網(wǎng)絡(luò)連接，并更改PC1、PC2和PC3的IP設(shè)置。步驟2禁用無線網(wǎng)卡，并打開控制面板->系統(tǒng)和安全，點(diǎn)擊“啟用或關(guān)閉WindowsDefender防火墻”，關(guān)閉Windows防火墻。步驟3

對(duì)MGUARD進(jìn)行復(fù)位操作，并按照拓?fù)鋱D配置MGUARD的LAN口和WAN口的地址。步驟4

配置IP偽裝，并將防火墻配置為AcceptAllConnections。步驟5驗(yàn)證網(wǎng)絡(luò)的連通性：此時(shí)生產(chǎn)網(wǎng)絡(luò)和公司網(wǎng)絡(luò)的所有設(shè)備應(yīng)該都能相互通訊。4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問步驟6配置通用防火墻規(guī)則（傳出規(guī)則）禁止從生產(chǎn)網(wǎng)絡(luò)到公司網(wǎng)絡(luò)的所有訪問流量。在PC1上驗(yàn)證能否訪問PLC2的WEB界面。此時(shí)應(yīng)該無法訪問！生產(chǎn)網(wǎng)絡(luò)的所有設(shè)備都無法訪問公司網(wǎng)絡(luò)！4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問步驟7：轉(zhuǎn)到Authentication>>FirewallUsers，創(chuàng)建防火墻用戶4.3使用用