《工業(yè)網(wǎng)絡技術與應用（微課版）》-教案 第17次 1、工業(yè)防火墻概述2、工業(yè)防火墻路由及安全功能配置3、工業(yè)防火墻NAT和NAPT功能配置

第17次課程教學方案備課時間備課教師教學時間年月日教學地點周次課時數(shù)4教學內容（章、節(jié)）模塊/單元第2章工業(yè)網(wǎng)絡安全技術（2）1、工業(yè)防火墻概述2、工業(yè)防火墻路由及安全功能配置3、工業(yè)防火墻NAT和NAPT功能配置教學目標和要求1.了解工業(yè)防火墻的主要功能2.掌握工業(yè)防火墻路由功能配置方法3.掌握工業(yè)防火墻安全策略配置方法4.掌握工業(yè)防火墻NAT和NAPT功能配置方法教學重點工業(yè)防火墻路由、安全策略及NAT功能配置教學難點工業(yè)防火墻安全策略配置教學方法講授法、直觀演示法、實驗法、小組討論法等使用媒體資源√紙質材料√多媒體課件√網(wǎng)絡資源□其他資源：使用教具、設備、設施等多媒體教學設備作業(yè)練習完成電子版實訓報告課后記

教學內容（板書）教學步驟、方法

及學生活動一、相關知識講授1、防火墻系統(tǒng)的組成防火墻通常是由專用硬件和相關軟件組成的一套系統(tǒng)，當然也有純軟件的防火墻，但純軟件防火墻無論在功能和性能上都不如專用的硬件防火墻。一般來說，防火墻由四大要素組成。（1）防火墻規(guī)則集：在防火墻上定義的規(guī)則列表，是一個防火墻能否充分發(fā)揮作用的關鍵，這些規(guī)則決定了哪些數(shù)據(jù)不能通過防火墻、哪些數(shù)據(jù)可以通過防火墻。（2）內部網(wǎng)絡：需要受保護的網(wǎng)絡。（3）外部網(wǎng)絡：需要防范的外部網(wǎng)絡。（4）技術手段：具體的實施技術。2.防火墻包過濾方式1）根據(jù)第2層數(shù)據(jù)鏈路層的MAC地址進行過濾由于MAC地址是唯一的，這樣可以對特定設備提供非常有效的保護。2）根據(jù)第3層網(wǎng)絡層的IP地址進行過濾在組建網(wǎng)絡時，利用IP地址和子網(wǎng)掩碼就可以確定網(wǎng)絡設備所在的子網(wǎng)，這樣就可以通過IP地址對網(wǎng)絡設備進行邏輯分組，所以根據(jù)IP地址設置過濾規(guī)則，可以很容易地過濾數(shù)據(jù)流量。3）根據(jù)第4層傳輸層的端口號進行過濾在傳輸層，TCP和UDP的不同端口號對應了不同的應用協(xié)議，可通過端口號來有效過濾特定的應用協(xié)議的數(shù)據(jù)流量。3.工業(yè)防火墻規(guī)則集防火墻規(guī)則集由一組防火墻規(guī)則組成，是防火墻實現(xiàn)過濾功能的基礎。一條防火墻規(guī)則通常由以下部分組成：（1）網(wǎng)絡協(xié)議：如ALL、ICMP、TCP、UDP、GRE等。（2）發(fā)送方的IP地址；接收方的IP地址。（3）發(fā)送方的端口號；接收方的端口號。（4）操作（Action）：對滿足規(guī)則的數(shù)據(jù)包的處理方式，允許（Accept）、拒絕（Reject）和丟棄（Drop）三個選項。規(guī)則集是防火墻規(guī)則的集合，由一個或多個按順序排列的規(guī)則組成，防火墻規(guī)則的排列順序尤為重要。管理員可以根據(jù)待過濾數(shù)據(jù)包的情況在防火墻規(guī)則中定義相關參數(shù)來實現(xiàn)過濾的目的。防火墻有輸入（Incoming）和輸出（Outgoing）兩個方向的規(guī)則集：輸入方向的規(guī)則集：用于所有從WAN到LAN的數(shù)據(jù)包。輸出方向的規(guī)則集：用于所有從LAN到WAN的數(shù)據(jù)包。教師講解防火墻基礎理論。學生可以提問，由教師進行進一步的解釋和說明。4、西門子SCALANCES-615工業(yè)防火墻簡介西門子SCALANCES系列是西門子工業(yè)級別防火墻，可以為工廠自動化提供安全防護，防止非法訪問工業(yè)網(wǎng)絡和自動化系統(tǒng)。SCALANCES系列工業(yè)防火墻通常包含如下安全功能：1）防火墻功能SCALANCES內部網(wǎng)段中的所有網(wǎng)絡節(jié)點都受到其防火墻保護。2）路由器模式通過將SCALANCES用作路由器，可以將內部網(wǎng)絡與外部網(wǎng)絡分離。3）IPSec隧道確保通信安全4）使用RADIUS服務器進行用戶驗證5）使用HTTPS協(xié)議6）使用NTP協(xié)議7）使用SNMPv3協(xié)議8）實現(xiàn)設備和網(wǎng)段的保護SCALANCES-615作為工業(yè)防火墻，可以對設備、自動化單元和以太網(wǎng)網(wǎng)段提供保護功能。通過SCALANCES-615可以有效地保護生產(chǎn)網(wǎng)絡，防止從內部和外部產(chǎn)生的威脅。SCALANCE

S-615工業(yè)防火墻配備5個以太網(wǎng)端口，可以通過防火墻或虛擬專有網(wǎng)絡VPN為各種網(wǎng)絡拓撲提供保護，并能夠靈活實現(xiàn)安全機制。SCALANCES-615能夠通過基于網(wǎng)絡的管理（WBM）、命令行接口（CLI）和簡單網(wǎng)絡管理協(xié)議（SNMP）進行配置、管理。可以作為動態(tài)主機配置協(xié)議（DHCP）服務器和客戶端，設備可在任何虛擬局域網(wǎng)（VLAN）下使用，在特定情況下可以作為一個路由器，實現(xiàn)兩個網(wǎng)段的設備的路由通訊。SCALANCES-615支持NAT和NAPT功能，這樣可以對SCALANCES-615所連接的內網(wǎng)設備進行保護（內部網(wǎng)絡）。另外，對于很多重復的網(wǎng)絡且其內部帶有相同的IP地址的設備，使用NAT的方法可以進行訪行訪問是非常有效的。最重要的是，它可以啟用防火墻和VPN功能，這是實現(xiàn)工業(yè)網(wǎng)絡安全的主要功能。教師講解S615工業(yè)防火墻的基礎知識和基本操作學生可以提問，由教師進行進一步的解釋和說明。三、實驗講解、演示及分組練習1.工業(yè)防火墻SCALANCES-615的基本配置步驟1為S-615執(zhí)行復位操作：S-615工業(yè)防火墻的復位需要直接操作物理設備來實現(xiàn)。找到設備前面板上的RESET按鈕，長按10秒鐘后松開，將對S-615執(zhí)行復位操作并恢復到出廠配置。復位完成后會自動重啟防火墻。步驟2為S-615配置IP地址，右擊SCALANCES-600防火墻圖標，選擇“設置網(wǎng)絡參數(shù)”，為防火墻設置IP地址和子網(wǎng)掩碼為步驟3通過瀏覽器訪問S-615防火墻配置界面，右擊SCALANCES-600交換機圖標，選擇“打開Web瀏覽器”，進入系統(tǒng)登錄界面。輸入用戶名和密碼（初始都是admin）,，首次登錄時同樣需要設置新密碼。步驟4登錄成功后系統(tǒng)自動進入S-615防火墻的配置向導界面步驟5在配置向導界面中點擊abort按鈕則會退出向導，進入到S-615防火墻的詳細管理及配置界面。2.工業(yè)防火墻SCALANCES-615的安全策略配置現(xiàn)有一個車間，包含一個工藝單元和一臺生產(chǎn)監(jiān)控服務器，工藝單元中有一臺S71200PLC。防火墻模塊SCALANCES615將生產(chǎn)網(wǎng)絡與外部管理網(wǎng)絡隔離開。要求實現(xiàn)車間內部網(wǎng)絡可以訪問外部網(wǎng)絡，外部網(wǎng)絡不能訪問車間內部網(wǎng)絡，以防止外部的惡意攻擊。外部網(wǎng)絡中，只有特定的用戶可以訪問內部生產(chǎn)監(jiān)控服務器，不能訪問其他設備。教師布置實驗任務，講解實驗拓撲結構及本實驗的具體內容和要求教師邊講解邊演示實驗操作。學生可以提問，由教師進行進一步的解釋和說明。學生分組進行自主練習步驟1按照網(wǎng)絡拓撲圖將SCALANCES615的P1端口與XB208的端口相連、P5端口與PC1相連。注意防火墻上最上面的端口是P5端口，用于連接外部網(wǎng)絡；P5端口之下依次是P1-P4端口，用于連接內網(wǎng)。XB208可選擇任意端口分別與S615、PLC和Server連接。步驟2根據(jù)IP規(guī)劃為PLC、Server和PC1配置IP地址，對XB208和S615執(zhí)行復位操作并配置IP地址步驟3通過Server的瀏覽器訪問，登錄后進入S615的配置界面步驟4在S615上配置VLAN：VLAN1的Name為INT，VLAN10的Name為EXT。步驟5在S615上配置端口所屬的VLAN步驟6在Layer3->Subnets的Configuration標簽下分別配置外網(wǎng)和內網(wǎng)網(wǎng)關步驟7測試內網(wǎng)PLC、Server和外網(wǎng)PC1之間的連通性，確保在配置啟動防火墻之前設備間都能互相通信。從Server去PING內網(wǎng)PLC和外網(wǎng)PC1都能PING通。步驟8規(guī)劃防火墻規(guī)則步驟9啟用防火墻：在Security->Firewall界面General標簽下，勾選ActivateFirewall復選框步驟10在“IPRules”標簽下添加IP過濾規(guī)則，如圖所示。其中第一條規(guī)則表示：內網(wǎng)中任一主機可以訪問外網(wǎng)的任一主機。第二條規(guī)則表示：外網(wǎng)訪問內網(wǎng)方向，外網(wǎng)中只有IP地址為的主機可訪問內網(wǎng)，且僅可以訪問內網(wǎng)IP地址為的主機。教師邊講解邊演示實驗操作。學生可以提問，由教師進行進一步的解釋和說明。學生分組進行自主練習步驟11防火墻功能測試外網(wǎng)IP地址為的主機能訪問內網(wǎng)IP地址為的主機外網(wǎng)主機不能訪問內網(wǎng)IP地址為的PLC當外網(wǎng)主機的IP地址修改為時，