《工業(yè)控制系統(tǒng)信息安全技術(shù)與實(shí)踐》教案 CH5-工業(yè)防火墻技術(shù)

PAGEPAGE2第次課程教學(xué)方案?jìng)湔n時(shí)間備課教師教學(xué)時(shí)間年月日教學(xué)地點(diǎn)周次課時(shí)數(shù)8教學(xué)內(nèi)容（章、節(jié)）模塊/單元第五章工業(yè)防火墻技術(shù)教學(xué)目標(biāo)和要求了解防火墻原理了解工業(yè)防火墻技術(shù)掌握菲尼克斯安全路由器及防火墻mGuard掌握防火墻的配置與實(shí)現(xiàn)教學(xué)重點(diǎn)工防火墻的原理防火墻規(guī)則集包過(guò)濾防火墻狀態(tài)防火墻工業(yè)防火墻技術(shù)工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別防火墻的配置與實(shí)現(xiàn)教學(xué)難點(diǎn)防火墻規(guī)則集的應(yīng)用用戶防火墻的配置與實(shí)現(xiàn)教學(xué)方法理論講解、課堂練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)；完成中國(guó)大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測(cè)試。課后記（空白不夠可添加附頁(yè)）

教學(xué)內(nèi)容（板書(shū)）教學(xué)步驟、方法及學(xué)生活動(dòng)第5章工業(yè)防火墻技術(shù)5.1防火墻原理圖5-1防火墻的位置防火墻可以有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)和數(shù)據(jù)傳送，阻止外部網(wǎng)絡(luò)中的非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)或以非法手段訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備。安全、管理、速度是防火墻的三大要素。5.1.1防火墻系統(tǒng)概述1.防火墻系統(tǒng)的組成防火墻通常是由專(zhuān)用硬件和相關(guān)軟件組成的一套系統(tǒng)（1）防火墻規(guī)則集：在防火墻上定義的規(guī)則列表，是一個(gè)防火墻能否充分發(fā)揮其作用的關(guān)鍵，這些規(guī)則決定了哪些數(shù)據(jù)不能通過(guò)防火墻、哪些數(shù)據(jù)可以通過(guò)防火墻。（2）內(nèi)部網(wǎng)絡(luò)：需要受保護(hù)的網(wǎng)絡(luò)。（3）外部網(wǎng)絡(luò)：需要防范的外部網(wǎng)絡(luò)。（4）技術(shù)手段：具體的實(shí)施技術(shù)。2.防火墻與OSI參考模型的關(guān)系教師講解：重點(diǎn)講解防火墻的位置和作用。教師講解：簡(jiǎn)單介紹防火墻系統(tǒng)的組成。教師講解：簡(jiǎn)單介紹防火墻與OSI參考模型的關(guān)系。要求學(xué)生熟記常用的協(xié)議以及常用的TCP和UDP端口。教學(xué)內(nèi)容（板書(shū)）教學(xué)步驟、方法及學(xué)生活動(dòng)5.1.2防火墻規(guī)則集1.防火墻規(guī)則的組成網(wǎng)絡(luò)協(xié)議：如IP、ICMP、TCP、UDP等；發(fā)送方的IP地址；發(fā)送方的端口號(hào)；接收方的IP地址；接收方的端口號(hào)；操作（Action）：定義滿足過(guò)濾規(guī)則的數(shù)據(jù)包的處理方式，是被拒絕、丟棄或是允許；日志功能：用來(lái)確定是否有一些滿足特殊規(guī)則的數(shù)據(jù)包。2.數(shù)據(jù)包的處理方式防火墻對(duì)滿足規(guī)則的數(shù)據(jù)包的處理方式有允許（Accept）、拒絕（Reject）和丟棄（Drop）三種。3.規(guī)則集的應(yīng)用流程防火墻有輸入（Incoming）和輸出（Outgoing）兩個(gè)方向的規(guī)則集5.1.3防火墻分類(lèi)根據(jù)過(guò)濾方式的不同，可以分為:包過(guò)濾防火墻或：訪問(wèn)控制表(ACL)狀態(tài)檢測(cè)防火墻(SIF)或:狀態(tài)包檢測(cè)(SPI)應(yīng)用網(wǎng)關(guān)防火墻（AGF）地址轉(zhuǎn)換防火墻基于主機(jī)的防火墻混和防火墻教師講解：重點(diǎn)講解防火墻規(guī)則集的組成。教師介紹三種數(shù)據(jù)包的處理方式的區(qū)別。提問(wèn)：拒絕（Reject）VS丟棄（Drop），應(yīng)該怎么選？教師講解：重點(diǎn)講解防火墻規(guī)則集的應(yīng)用流程。學(xué)生練習(xí)：分析防火墻規(guī)則集的應(yīng)用結(jié)果，理解常見(jiàn)的應(yīng)用錯(cuò)誤。教師講解：簡(jiǎn)單介紹不同類(lèi)型的防火墻，比較它們的異同。要求學(xué)生重點(diǎn)掌握包過(guò)濾防火墻和狀態(tài)檢測(cè)的工作原理。教學(xué)內(nèi)容（板書(shū)）教學(xué)步驟、方法及學(xué)生活動(dòng)5.1.4防火墻的限制沒(méi)有防火墻可以提供100％的安全防火墻不能阻止來(lái)自內(nèi)部或者繞過(guò)防火墻的數(shù)據(jù)流量的攻擊。防火墻無(wú)法防護(hù)端口反彈木馬的攻擊。防火墻無(wú)法防護(hù)非法通道出現(xiàn)。不能代替入侵檢測(cè)和審計(jì)設(shè)備防火墻無(wú)法防護(hù)系統(tǒng)層面的直接漏洞攻擊和病毒的侵襲。新的安全漏洞層出不窮，需要通過(guò)起草全新的安全措施或擴(kuò)展現(xiàn)有的措施來(lái)面對(duì)，所以必須持續(xù)地對(duì)網(wǎng)絡(luò)進(jìn)行安全監(jiān)控。防火墻會(huì)依據(jù)規(guī)則對(duì)流經(jīng)它的數(shù)據(jù)流量進(jìn)行處理，必然會(huì)造成一些延遲。5.2工業(yè)防火墻技術(shù)工業(yè)防火墻技術(shù)是工業(yè)控制系統(tǒng)信息安全技術(shù)的基礎(chǔ)。滿足特定的工業(yè)環(huán)境和功能要求，能夠?qū)I(yè)控制系統(tǒng)進(jìn)行邊界防護(hù)，根據(jù)需要?jiǎng)澐职踩珔^(qū)域，實(shí)現(xiàn)區(qū)域管控，對(duì)安全區(qū)域進(jìn)行隔離保護(hù)，保證合法用戶訪問(wèn)網(wǎng)絡(luò)資源?？舍槍?duì)工業(yè)控制協(xié)議采用深度的包檢測(cè)技術(shù)和應(yīng)用層通訊跟蹤技術(shù)，解析ModBus、DNP3等應(yīng)用層異常數(shù)據(jù)流量，做到對(duì)非法指令的阻斷、非工控協(xié)議的攔截，以起到保護(hù)控制器的功能。對(duì)OPC端口進(jìn)行動(dòng)態(tài)追蹤，對(duì)關(guān)鍵寄存器和操作進(jìn)行保護(hù)。5.2.1工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別支持基于白名單策略的訪問(wèn)控制，包括網(wǎng)絡(luò)層和應(yīng)用層。具備深度包檢測(cè)功能，支持主流工控協(xié)議。支持動(dòng)態(tài)開(kāi)放OPC協(xié)議端口。防火墻應(yīng)支持多種工作模式，保證防火墻區(qū)分部署和工作過(guò)程以實(shí)現(xiàn)對(duì)被防護(hù)系統(tǒng)的最小影響。防火墻應(yīng)具有高可靠性，包括故障自恢復(fù)、在一定負(fù)荷下72小時(shí)正常運(yùn)行、無(wú)風(fēng)扇、支持導(dǎo)軌式或機(jī)架式安裝等。5.2.2工業(yè)防火墻技術(shù)新特點(diǎn)透明接入技術(shù)：對(duì)用戶是透明的，即潛行模式分布式防火墻技術(shù)：負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，分布式防火墻是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。網(wǎng)絡(luò)防火墻主機(jī)防火墻中心管理智能型防火墻技術(shù)：融合智能機(jī)器學(xué)習(xí)技術(shù)、深度數(shù)據(jù)包解析技術(shù)、特征匹配技術(shù)、黑白名單相結(jié)合的防御技術(shù)等多項(xiàng)技術(shù)。教師講解：引導(dǎo)學(xué)生理解為什么防火墻不能提供100％的安全。教師講解：重點(diǎn)講解工業(yè)防火墻技術(shù)，應(yīng)用場(chǎng)景和特點(diǎn)。教師講解：引導(dǎo)學(xué)生掌握工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別。教師講解：引導(dǎo)學(xué)生了解工業(yè)防火墻技術(shù)新特點(diǎn)。教學(xué)內(nèi)容（板書(shū)）教學(xué)步驟、方法及學(xué)生活動(dòng)5.2.3工業(yè)防火墻的具體服務(wù)規(guī)則域名解析系統(tǒng)（DNS）：控制網(wǎng)絡(luò)很少使用超文本傳輸協(xié)議（HTTP）：控制網(wǎng)應(yīng)用HTTPS文件傳輸協(xié)議（FTP）和簡(jiǎn)單文件傳輸協(xié)議（TFTP）：禁止TFTP，僅在安全情況下使用FTP。盡量使用較安全的SFTP和SCP。用于遠(yuǎn)程連接服務(wù)的標(biāo)準(zhǔn)協(xié)議（Telnet）：禁止從公司網(wǎng)進(jìn)入控制網(wǎng)的入站Telnet，出站Telnet僅在加密通道（如VPN）中使用，用于訪問(wèn)某些設(shè)備。簡(jiǎn)單郵件傳輸協(xié)議（SMTP）：禁止入站郵件，允許出站SMTP從控制網(wǎng)到公司發(fā)送警告信息。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）：控制網(wǎng)不建議用分布式組件對(duì)象模型（DCOM)：只允許在控制網(wǎng)和DMZ網(wǎng)絡(luò)之間使用SCADA與工業(yè)網(wǎng)絡(luò)協(xié)議：只允許在控制網(wǎng)使用5.2.4工業(yè)防火墻的安全策略不僅僅依靠網(wǎng)絡(luò)層來(lái)進(jìn)行數(shù)據(jù)過(guò)濾，如果可能的話盡可能綜合使用網(wǎng)絡(luò)層、傳輸層和應(yīng)用層數(shù)據(jù)過(guò)濾技術(shù)。嚴(yán)格遵守最小權(quán)限原則。使用白名單設(shè)置防火墻過(guò)濾規(guī)則，也就是在缺省情況下的任何網(wǎng)絡(luò)連接，只有符合白名單設(shè)置規(guī)則的數(shù)據(jù)流可以允許通過(guò)。工控系統(tǒng)要求嚴(yán)格限制內(nèi)外網(wǎng)通信，所以允許建立網(wǎng)絡(luò)連接的規(guī)則較少，建立和維護(hù)白名單相對(duì)傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境更為可行。在部署防火墻保護(hù)邊界安全的時(shí)候，需要認(rèn)證評(píng)估對(duì)控制系統(tǒng)網(wǎng)絡(luò)通信延遲的影響。注意賬號(hào)管理的安全，設(shè)置密碼和賬戶策略，避免出現(xiàn)弱口令和長(zhǎng)時(shí)間不修改等問(wèn)題。關(guān)閉不必要的服務(wù)及應(yīng)用，如TELNET、HTTP、PING、SNMP等，使用SSH進(jìn)行遠(yuǎn)程登錄管理。5.3菲尼克斯安全路由器及防火墻mGuard智能防火墻mGuard，它是由工業(yè)安全路由器和防火墻組成的網(wǎng)絡(luò)組件產(chǎn)品，集路由器、防火墻、NAT、VPN等功能于一體，適合各種應(yīng)用，旨在實(shí)現(xiàn)最高的系統(tǒng)安全性和可用性，幫助客戶守護(hù)工業(yè)網(wǎng)絡(luò)安全。智能防火墻有多達(dá)250個(gè)IPsec加密的VPN通道，安全裝置功能全面。為可用性要求高的場(chǎng)合和復(fù)雜的安全架構(gòu)提供較高安全性。教師講解：重點(diǎn)講解在工業(yè)防火墻各個(gè)具體服務(wù)規(guī)則應(yīng)該怎么配置。教師講解：簡(jiǎn)單介工業(yè)防火墻的安全策略。教學(xué)內(nèi)容（板書(shū)）教學(xué)步驟、方法及學(xué)生活動(dòng)5.3.1mGuard概述1.mGuard的基本功能不同的防護(hù)模式：?jiǎn)我粷撔心Ｊ?多重潛行模式/路由模式基于WEB的配置界面NAT/1:1NAT/IP和端口轉(zhuǎn)發(fā)VPN防火墻支持SNMP固件升級(jí)OPC檢查器CIFS完整性監(jiān)測(cè)冗余功能2.mGuard上的指示燈5.3.2mGuard相關(guān)配置1.mGuard的重置緩慢按下復(fù)位按鈕六次>大約2秒后，STAT燈將亮起綠色；再次緩慢按下復(fù)位按鈕六次>如果成功，STATLED將亮起綠色>如果不成功，ERRLED將亮起紅色如果成功，設(shè)備將在兩秒鐘后重新啟動(dòng)，切換到潛行模式。重置后，固件版本為8.4.0及以上的MGuard將丟失配置，固件版本為8.4.0之前的MGuard只需重置IP地址和登錄密碼。2.mGuard的網(wǎng)絡(luò)配置mGuard要發(fā)揮作用，必須根據(jù)網(wǎng)絡(luò)拓?fù)溥M(jìn)行正確的網(wǎng)絡(luò)配置和路由配置。1）網(wǎng)絡(luò)模式設(shè)置2）接口地址及路由設(shè)置3.mGuard的防火墻相關(guān)功能配置1）設(shè)置防火墻規(guī)則集2）使用規(guī)則記錄簡(jiǎn)化配置可以將各個(gè)防火墻規(guī)則匯總在規(guī)則記錄（RuleRecords）中，然后在防火墻規(guī)則中使用這些規(guī)則記錄來(lái)簡(jiǎn)化配置。教師講解：簡(jiǎn)單介紹mGuard的基本功能和特點(diǎn)。教師講解并演示mGuard上不同的指示燈的作用。教師講解并演示mGuard的重置。要求每個(gè)學(xué)生都掌握重置的方法。教師講解并演示mGuard的網(wǎng)絡(luò)配置。要求每個(gè)學(xué)生都掌握mGuard的網(wǎng)絡(luò)配置方法。教學(xué)內(nèi)容（板書(shū)）教學(xué)步驟、方法及學(xué)生活動(dòng)4.用戶防火墻可以通過(guò)用戶防火墻（UserFirewall）來(lái)啟用針對(duì)特定的防火墻用戶（FirewallUser）或用戶組的防火墻規(guī)則（防火墻用戶或用戶組提前定義）。用戶防火墻適用于靜態(tài)配置的通用防火墻規(guī)則（如IncomingRules、OutgoingRules）不允許訪問(wèn)目標(biāo)，但允許防火墻用戶登錄后動(dòng)態(tài)訪問(wèn)。用戶防火墻規(guī)則優(yōu)先于其他位置配置的規(guī)則，并在適用時(shí)覆蓋這些規(guī)則。配置步驟：創(chuàng)建所需的防火墻用戶或用戶組創(chuàng)建用戶防火墻模板以防火墻用戶的身份登錄mGuard，激活用戶防火墻規(guī)則

5.4本章實(shí)訓(xùn)基于潛行模式的防火墻從公司網(wǎng)絡(luò)訪問(wèn)內(nèi)部生產(chǎn)網(wǎng)絡(luò)使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)