2024工控防火墻產(chǎn)品標(biāo)準(zhǔn)

GB/T37933-2019GB/T18336.1-20151GB/T18336.2-20152GB/T18336.3-20153 GB/T25069-2010 2894 19286-2015

GB/T3047.2高度進(jìn)制為44.45mmGB/T15395-1994 2423 4208—1993外殼防護(hù)等級(jí)（IP 9254—2008GB/T

GB/T14733-1993GB/T15629.3-19953 4798-90電子電工產(chǎn)品應(yīng)用環(huán)境條件機(jī)械和試驗(yàn)環(huán)境條件 9254-1998信息技術(shù)設(shè)備的發(fā)射要求GB/T4064-1983GB/T12501-1990GB/T3873-1983GB/T13426-1992 2828逐批檢查計(jì)數(shù)抽樣程序及抽樣表(適用于連續(xù)批的檢查)

Powersystemsmanagementandassociatedinformationexchange-Dataandsecurity

Precisionclocksynchronizationprotocolfornetworkedmeasurementand IEEE

Information

IPC-A-610EnglishChineseCommandLineDenialofGraphicalUserLightweightDirectoryAccessPostOfficeRoutingInformationTransferControlSecureSecuritySocketUserDatagramUniformResourceIndustrialControlSupervisoryControlAndDataAcquisitionDistributedControlProcessControlProgrammableLogicIntelligentElectronicManufactoringExecutionEnterpriseResourceObjectLinkingandOLEforProcessDeepPacketIndustrialSStandard，定位為該檔次的標(biāo)準(zhǔn)型產(chǎn)品，具有該檔次完整功能。強(qiáng)調(diào)性價(jià)MMiddle，定位為該檔次的中間型產(chǎn)品，具有該檔次完整功能，同時(shí)在硬件AAdvanced，定位為該檔次的高級(jí)型產(chǎn)品，具有該檔次完整功能，并提供高EEnhanced，定位為該檔次的增強(qiáng)型產(chǎn)品，具有該檔次完整功能，并提供高DPtechIFW1000-MA雙電源ACDPtechIFW1000-MADualAC整機(jī)高度符合GB/T3047.2應(yīng)符合GB4943相關(guān)規(guī)定。對(duì)下面相關(guān)的危險(xiǎn)采取適當(dāng)?shù)姆雷o(hù)措施，減少或避免由于下列各種危險(xiǎn) IEEEIEEEIEEE1PingofTearTCPICMPICMPIPSYN支持syncookie(達(dá)到閾值自ICMPUDPDNSNATOPCClassicOPCClassicOPCUAOPCUAx.509ARPARP依據(jù)GJB908-90、GJB726A-2004、GJB1442-1992及IPC-A-610、SJ/T10630-19952BOMBOM;3456用電網(wǎng)供電的產(chǎn)品機(jī)箱內(nèi)無≥3mm7振動(dòng)：按照GB/T2423.10“試驗(yàn)Fc”的試驗(yàn)方法進(jìn)行。沖擊：按照GB/T2423.5“試驗(yàn)Ea”的試驗(yàn)方法進(jìn)行。碰撞：按照GB/T2423.6“試驗(yàn)Eb”的試驗(yàn)方法進(jìn)行。123三層組網(wǎng)測(cè)試拓?fù)?管理功能測(cè)試拓?fù)?02.1QVLANAccess驗(yàn)證DUT對(duì)vlanInside區(qū)域gige0_0Accessvlan10區(qū)域gige0_1Accessvlan20PC2ip：00，用于測(cè)試Access的三層轉(zhuǎn)發(fā)；Outside_2區(qū)域gige0_2Accessvlan20PC3IP：01，與Outside_1Access的二層轉(zhuǎn)發(fā)；vlan10加入安全域Inside100，將vlan20加入安全域Outside_150，“三層轉(zhuǎn)發(fā)”安全域需使用PC1PC2/PC3的ICMP、FTP默認(rèn)情況下PC2/PC3訪問PC1的ICMP/FTP配置包過濾Outside_1到Inside全通策略之后，PC2/PC3PC1的ICMP/FTP將gige0_1Outside_150，將gige0_2Outside_2優(yōu)20，“二層轉(zhuǎn)發(fā)”安全域需加入二層接口；使用PC2PC3ICMP/FTP默認(rèn)情況下，使用PC3PC2ICMP/FTPPC3的ICMP/FTPAccess3中默認(rèn)情況下PC2/PC3（Outside）到Access4中配置完全通包過濾后，PC2/PC3可正常訪問PC1的業(yè)務(wù)；Access6中，PC2訪問PC3Access7中，默認(rèn)情況下，PC3無法訪問PC2的業(yè)802.1QVLANTrunk802.1QVLANTrunk驗(yàn)證DUT對(duì)vlanTrunk口的二層組網(wǎng)模式，DUT與SW使用Trunk相連接，Trunk鏈路均允許vlan10；測(cè)試DUTTrunk按照拓?fù)浯罱y(cè)試環(huán)境，PC1Inside區(qū)域（gige0_0），PC2屬于Outside區(qū)域（gige0_1），二層轉(zhuǎn)發(fā)安全域加入物理接口；使用PC1PC2ICMP/FTP使用PC2PC1ICMP/FTPDUT配置Outside到Inisde3，記錄測(cè)Trunk2中，PC1PC2Trunk3中，PC2無法訪問PC1Trunk4中，PC2PC1驗(yàn)證DUT按照拓?fù)浯罱y(cè)試環(huán)境，PC1Inside區(qū)域（gige0_0），PC2屬于Outside區(qū)域（gige0_1），gige0_0、gige0_1IP地使用PC1PC2ICMP/FTP使用PC2PC1ICMP/FTPDUT配置Outside到Inisde3，記錄測(cè)2中，PC1可正常訪問PC23中，PC2PC14中，PC2可正常訪問PC1驗(yàn)證DUT測(cè)試IFWRIPv1/2、OSPF協(xié)議，PC1RIP協(xié)議測(cè)試：IFW1與IFW2開啟RIPv1/2協(xié)議，發(fā)布各自網(wǎng)段，IFW2是否學(xué)習(xí)到PC1PC2對(duì)PC1的ICMP/FTP業(yè)務(wù)訪問情況；OSPF協(xié)議測(cè)試：IFW1與IFW2開啟OSPF0里發(fā)布各自網(wǎng)段，同時(shí)引入默認(rèn)路由（帶always），查看IFW1是否學(xué)習(xí)到PC2OSPF路由，IFW2是否學(xué)習(xí)到PC1網(wǎng)段的路由與默認(rèn)路PC2對(duì)PC1ICMP/FTP業(yè)務(wù)訪問情況；1）IFW1IFW2能學(xué)習(xí)到路由，PC1PC2測(cè)試DUT的策略路由功能，PC1/24網(wǎng)段，PC2/24網(wǎng)段；1）/240_1，下一跳地址為PC2對(duì)PC1的ICMP/FTP驗(yàn)證DUTDUT基于透明模式組網(wǎng)，使用透明接口對(duì)與PC1、PC2使用PC1PC2ICMP/FTP使用PC2PC1ICMP/FTPDUT配置PC1到PC22，記錄測(cè)試結(jié)2后，PC1可正常訪問PC23后，PC2可正常訪問PC14后，PC1可正常訪問PC2DUT的源NAT驗(yàn)證DUT對(duì)源NAT2）Telnet/web登陸管理DUT2個(gè)公網(wǎng)IP為：“0-1）PC1~PC300的HTTP2）PC1~PC300的HTTP用出接口1）1后，PC1~PC3HTTP請(qǐng)求全部成功，在DUT話，能看到各自的NATNAT轉(zhuǎn)換后的源IP池內(nèi)隨機(jī)2）2后，PC1~PC3HTTP請(qǐng)求全部成功，在DUTNATNAT轉(zhuǎn)換后的源DUTNAT驗(yàn)證DUT對(duì)靜態(tài)一對(duì)一NAT使用Telnet/web登陸管理DUT內(nèi)網(wǎng)PC1IP“00”映射為公網(wǎng)IP：“0PC1PC2的HTTP訪問，查看DUT的sessionPC2PC1IP的FTPDUT的session1中，HTTPNAT轉(zhuǎn)換記錄，能看到對(duì)應(yīng)的NATNAT轉(zhuǎn)換規(guī)則，000，端口號(hào)不轉(zhuǎn)換；2中，HTTPNAT轉(zhuǎn)換記錄，能看到對(duì)應(yīng)的NATNAT轉(zhuǎn)換規(guī)則，000，端口號(hào)不轉(zhuǎn)換；DUT的NATServer驗(yàn)證DUT對(duì)NATServer使用Telnet/web登陸管理DUT1：公網(wǎng)IP：“0”端口“21”映射為內(nèi)網(wǎng)PC1IP口“8080PC1IP“00”端口“80”，以提PC1PC2的HTTPDUT的session轉(zhuǎn)換表項(xiàng)，以及PC2PC1IP的FTPDUT的sessionPC2PC1IP的WEB8080DUT的1中，PC1訪問PC2，DUT不進(jìn)行NAT轉(zhuǎn)換，業(yè)務(wù)不通（PC22中，F(xiàn)TP訪問請(qǐng)求成功，查看被測(cè)設(shè)備NAT轉(zhuǎn)換記錄，能看到對(duì)應(yīng)的NATNAT轉(zhuǎn)換規(guī)則，0002121；2中，HTTPNAT轉(zhuǎn)換記錄，能看到對(duì)應(yīng)的NATNAT轉(zhuǎn)換表，DUT的端口塊NAT驗(yàn)證DUT對(duì)端口塊NAT使用Telnet/web登陸管理DUT配置DUT配置靜態(tài)端口塊NAT，PC1 NAT轉(zhuǎn)換0端口塊固定為“2000-3999”，PC2 0端口塊固定為“4000-1）PC100訪問PC4的HTTPFTPDUT轉(zhuǎn)換2）PC201訪問PC4的HTTPFTPDUT轉(zhuǎn)換1中，PC1訪問PC4NAT2000~39992中，PC2訪問PC4NAT4000~5999DUT的NAT支持FTP_ALG驗(yàn)證DUT對(duì)NATFTP_ALG使用Telnet/web登陸管理DUTNAT開啟防火墻4）內(nèi)網(wǎng) IP：00，源NAT借用出接口DUT第一條配置Inside到OutsideFTP協(xié)議通過，第二條配置Inside到Outside全部丟棄；PC1PC2FTP（主動(dòng)模式）業(yè)務(wù)訪問，下載大文件同時(shí)查看DUT的session情況；2中，F(xiàn)TP業(yè)務(wù)訪問正常，在DUT上可查看到PC2到PC1的反向的數(shù)據(jù)通道TCP20的session；驗(yàn)證DUT使用Telnet/webDUT3）內(nèi)網(wǎng) IP：00，外網(wǎng)PC2IP：00PC2上啟ModSim與00到Outside全部丟棄；PC2ModScan向PC1的ModSim發(fā)起Modbus的訪問，查看業(yè)務(wù)PC2PC1發(fā)起HTTP2中，Modbus業(yè)務(wù)正常，可正常交互數(shù)據(jù)，有包過濾匹配計(jì)3中，HTTP業(yè)務(wù)訪問不通，訪問流量全部丟棄，有包過濾計(jì)IPIP驗(yàn)證DUT使用Telnet/webDUT內(nèi)網(wǎng) IP：00，外網(wǎng)PC2IP：00PC2上啟ModSim與DUTOutside到Inside,IP為：00，目的IP為：00，只允許Modbus協(xié)議通過，時(shí)間：10：30~10:40，第二條配置InsideOutside,源IP為：00，0010:40~10:50，第三條配置Inside到Outside全部丟棄；10:30~10:40之內(nèi)，PC1向PC2發(fā)起Modbus/HTTP的訪問，查看業(yè)10:40~10:50之內(nèi)，PC1向PC2發(fā)起Modbus/HTTP的訪問，查看業(yè)10：50之后，PC1向PC2發(fā)起Modbus/HTTP的訪問，查看業(yè)務(wù)情2中，10:30~10:40之內(nèi)，Modbus業(yè)務(wù)正常，HTTP業(yè)務(wù)不可3中，10:40~10:50之內(nèi)，Modbus業(yè)務(wù)正常，HTTP業(yè)務(wù)不可驗(yàn)證DUT使用Telnet/webDUT內(nèi)網(wǎng) IP：00，外網(wǎng)PC2IP：00PC2上啟ModSim與DUTOutside到Inside,IP為：00，目的IP為：00Modbus/HTTP協(xié)議通過，開啟會(huì)話PC1PC2發(fā)起Modbus/HTTP查看sessionClient/ServerRst、FIN的時(shí)驗(yàn)證DUT按照組網(wǎng)拓?fù)浯罱y(cè)試環(huán)境，Inside區(qū)域PC1往Outside使用XcapUDPICMPPingofICMPIPDdos驗(yàn)證DUT對(duì)Ddos1）Inside區(qū)域PC1往OutsidePC1Anysend或Iris（測(cè)試儀器也可發(fā)出Ddos攻擊拓?fù)?1G流量，查看DUT的Ddos的處理情況；Wireshark5個(gè)/秒，PC2UDPFlood測(cè)試：PC1向PC23000個(gè)/UDPFlood，PC2Wireshark5個(gè)/秒，ICMPFlood測(cè)試：PC1PC23000個(gè)/秒的ICMPFlood，PC2Wireshark5個(gè)/秒，PC2上抓包查看限速結(jié)果，防火墻上配置阻斷策略，PC2上抓使用TestCenter1GSYN1G1中，TCPFlood防御，PC25個(gè)情況下，抓包只FloodPC2PC1發(fā)過來的攻擊報(bào)文，防火墻有相關(guān)日志記1中，UDPFlood防御，PC25個(gè)情況下，抓包只5個(gè)/秒的PC1發(fā)過來的ICMPFlood，阻斷的情況下，PC2PC15個(gè)/秒的PC1發(fā)過來的ICMPFlood，阻斷的情況下，PC2PC1記錄防火墻的限速/阻斷的Ddos驗(yàn)證DUTModbusPC2ModScan客戶端，PC1ModSim手動(dòng)黑名單功能測(cè)試，將PC1手動(dòng)加入黑名單，PC1ping/FTPPC2PC1后，PC1ping/FTPPC2；開啟掃描攻擊防御自動(dòng)黑名單功能，PC2發(fā)起對(duì)PC1的命中ModbusModbus掃描攻擊，查看防火墻黑名PC2的通信情況；PC1加入黑名單，PC1DUT通信，刪除黑名單之后PC1通信正常；PC2（配置老化時(shí)間內(nèi)）無法通過DUTPC2又可正常通信；驗(yàn)證ARP配置ARPARP表中PC1的信息，ARP監(jiān)控端口為gige0_0，gige0_1；址為PC2的MACARP表與PC2ping1ARPPC1的信息正確，沒有根據(jù)欺騙報(bào)文為PC1的MAC地址，欺騙MAC為PC2MAC2）PC2pingPC1MAC/IP驗(yàn)證DUT的MAC/IP按照組網(wǎng)拓?fù)浯罱y(cè)試環(huán)境，Inside區(qū)域PC1區(qū)域PC2開啟MAC/IP綁定功能，PC1MAC/IP業(yè)務(wù)訪問結(jié)果，然后修改PC1的IP01，再PC1ping/FTPPC2的業(yè)務(wù)訪問，記錄業(yè)務(wù)訪問結(jié)果；開啟MAC/IP綁定功能，PC1MAC/IP業(yè)務(wù)訪問結(jié)果，將PC1的MAC11:11:11:11:11:11MAC/IP綁定，再次發(fā)起PC1ping/FTPPC2，記PC1的IP地址為01MAC/IP的綁定關(guān)系，PC1PC2的任何業(yè)務(wù)；2）2中，在錯(cuò)誤的MAC/IP綁定時(shí)，PC1PC2的任何業(yè)務(wù)，PC1修改MAC地址或刪除錯(cuò)誤的MAC/IP綁定列表后，PC1可正常訪問PC2的業(yè)務(wù)；式，Inside區(qū)域PC1的ModSim服務(wù)器與Outside區(qū)域PC2的ModScanModbus報(bào)文交互；Inside區(qū)域PC1的KEPServerExV4.0服務(wù)器與Outside區(qū)域的KEPServerExV4.0客戶端建立連接，進(jìn)行OPCClassic3）PC1Wireshark1；Modbus2；命中白名單：PC2向PC1OPCClassic報(bào)3；策略集之后，PC2向PC1發(fā)送不能命中白名單的Modbus請(qǐng)求4；PC2向PC1發(fā)送白名單5；學(xué)習(xí)策略集之后，PC2向PC1Modbus6；PC2向PC1發(fā)送白名單7；1后，自學(xué)習(xí)白名單頁面生成對(duì)應(yīng)通過報(bào)文內(nèi)容的白名2后，PC1PC23后，PC1PC24后，PC1不能收到PC25后，PC1不能收到PC26后，PC1能收到PC27）7后，PC1能收到PC2式，Outside區(qū)域PC2向InsidePC1發(fā)送工業(yè)協(xié)議報(bào)文；PC1WiresharkPC2議報(bào)文，PC1上使用Wireshark1；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2式，Outside區(qū)域PC2向InsidePC1發(fā)送工業(yè)協(xié)議報(bào)文；基礎(chǔ)協(xié)議為UDP9999，并設(shè)置應(yīng)用特征；名稱為test3MACPC2的MAC0x1111，并設(shè)置應(yīng)用特征；test1test2，PC1Wireshark命中策略中的協(xié)議：PC2向PC1發(fā)送test1，test2，test3協(xié)議報(bào)文，PC1Wireshark1；test1協(xié)議，PC2向PC1發(fā)送test2，test3協(xié)議2；3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2式，Outside區(qū)域PC2向InsidePC1發(fā)送工業(yè)協(xié)議報(bào)文；議，配置選定允許通過的接口為gige0_0和gige0_1，方向?yàn)?）PC1WiresharkPC2議報(bào)文，PC1上使用Wireshark1；的接口選定為非gige0_0和gige0_1的組合，PC2向PC1發(fā)送2； 的接口選定為非gige0_0和gige0_1的組合，PC2向PC1發(fā)送3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2式，Outside區(qū)域PC2向InsidePC1IP地址為PC2的IP，目的IPPC1IP地址，PC1Wireshark2；3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2式，Outside區(qū)域PC2向InsidePC1發(fā)送工業(yè)協(xié)議報(bào)文；12:00-13.00；PC1WiresharkPC2向PC1發(fā)送能命1；時(shí)間內(nèi)，PC2向PC1發(fā)送不能命中安全策略中工業(yè)協(xié)議報(bào)文，2； 時(shí)間內(nèi)，PC2向PC1發(fā)送不能命中安全策略中工業(yè)協(xié)議報(bào)文，3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2IPv6驗(yàn)證IPv6式，Outside區(qū)域PC2向InsidePC1發(fā)送工業(yè)協(xié)議報(bào)文；議，源地址選擇PC2的IPv6PC1IPv6PC1WiresharkPC2PC2IPv6地址，PC2向PC1發(fā)送能命中安全2；PC2IPv6地址，PC2向PC1發(fā)送能命中安全3；1后，PC1PC22后，PC1不能收到PC23后，PC1能收到PC2地址訪問控制支持IPv4，IPv6，MACS7式，Inside區(qū)域PC1的Snap7服務(wù)器與Outside區(qū)域PC2的Snap7S7common報(bào)文交互；配置S7PC1和PC2WiresharkPDU類型：PC2向PC1S7PDU類型S7報(bào)文，PC1Wireshark1；功能碼：PC2向PC1發(fā)送不能命中S7安全規(guī)則中功能碼限制PC11；地址范圍：PC2向PC1S7安全規(guī)則地址范圍限制的S7PDU類型和功能碼在規(guī)則限制內(nèi)，有預(yù)期數(shù)據(jù)區(qū)域：PC2向PC1S7安全規(guī)則數(shù)據(jù)區(qū)域范1；PC2PC1S7S7報(bào)文，其中PDU類型、功能碼和地址范圍在規(guī)則限制內(nèi)，有1；格式校驗(yàn)：PC2向PC1發(fā)送S7PDU1；狀態(tài)校驗(yàn)：PC2PC1發(fā)起S7PC2向PC1S7S7安全規(guī)則配置范圍，有2；PC1式為測(cè)試模式的情況下，PC1能收到PC2PC1PC2PC2OPCClassicOPC驗(yàn)證OPC式，Inside區(qū)域PC1的OPC服務(wù)器與Outside區(qū)域PC2的OPC客戶端建立連接，進(jìn)行OPCclassic協(xié)議報(bào)文交互；配置OPCClassic安全規(guī)則，允許讀操作報(bào)文通過，在工業(yè)協(xié)PC1和PC2Wireshark工作模式選擇為防護(hù)模式，PC2與PC1OPC報(bào)文交互，開發(fā)者視圖輸入[DPTECH-Developer]icss-debugmodule工作模式選擇為防護(hù)模式，PC1與PC2OPC讀操作，有2；工作模式為防護(hù)模式，PC1與PC2進(jìn)行OPC寫操作，有預(yù)期4；1后，生成協(xié)商結(jié)果，串口窗口生成調(diào)試信息，有協(xié)商設(shè)備重啟后需重啟OPCModbus驗(yàn)證Modbus式，Inside區(qū)域PC1的ModSim服務(wù)器與Outside區(qū)域PC2的ModScanModbus.TCP報(bào)文交互；Inside區(qū)域PC1的腳本工具與Outside區(qū)域PC2的腳本工具建Modbus.UDP報(bào)文交互；配置ModbusPC1和PC2Wireshark功能碼：PC2向PC1發(fā)送不能命中Modbus安全規(guī)則中功能碼Modbus.TCP和Modbus.UDP請(qǐng)求報(bào)文，其中Unit-ID在規(guī)則限制內(nèi)，PC1上使用Wireshark地址范圍：PC2向PC1Modbus安全規(guī)則地址范圍限制的Modbus.TCP和Modbus.UDPUnit-ID1；值：PC2向PC1Modbus安全規(guī)則值范圍限制的Modbus.TCP和Modbus.UDP請(qǐng)求報(bào)文，其中Unit-ID、功能碼1；Unit-ID：PC2向PC1ModbusUnit-Modbus.TCP和Modbus.UDP格式校驗(yàn)：PC2向PC1發(fā)送Modbus.TCP和Modbus.UDP請(qǐng)求報(bào)文，其中Unit-ID、功能碼、地址范圍和值范圍在規(guī)則限制2；狀態(tài)校驗(yàn)：PC2向PC1發(fā)起Modbus報(bào)文重放攻擊，有預(yù)期結(jié)1；PC2向PC1ModbusModbus安全規(guī)則配2；PC1式為測(cè)試模式的情況下，PC1能收到PC2PC1PC2PC2若規(guī)則中選擇的動(dòng)作為異常響應(yīng)，PC2會(huì)收到異常響應(yīng)報(bào)Modbus.TCP與Modbus驗(yàn)證Modbus式，Inside區(qū)域PC1的ModSim服務(wù)器與Outside區(qū)域PC2的ModScanModbus報(bào)文交互；配置ModbusPC1和PC2WiresharkModbus1；1PC1不能收到PC2發(fā)送的報(bào)2后，PC1能收到PC2若規(guī)則中動(dòng)作選擇為黑名單，防護(hù)模式下，PC2的IP地址DNP3驗(yàn)證DNP3式，Inside區(qū)域PC1的DNP服務(wù)器與Outside區(qū)域PC2的DNP客戶端建立連接，進(jìn)行DNP協(xié)議報(bào)文交互；PC1和PC2Wireshark工作模式選擇為防護(hù)模式，PC2與PC1進(jìn)行讀對(duì)象class03操1；切換工作模式為測(cè)試模式，PC2與PC1進(jìn)行讀對(duì)象class03操1；1；工作模式選擇為防護(hù)模式，PC2與PC1進(jìn)行讀對(duì)象class01操2；切換工作模式為測(cè)試模式，PC2與PC1進(jìn)行讀對(duì)象class01操3；PC2PC23；5、7后，報(bào)文不能通過設(shè)備，PC1不能抓到對(duì)應(yīng)報(bào)文，6、8后，報(bào)文能通過設(shè)備，PC1能抓到對(duì)應(yīng)報(bào)文，在工IEC104驗(yàn)證IEC104式，Inside區(qū)域PC1的IEC104Outside區(qū)域PC2的IEC104客戶端建立連接，進(jìn)行IEC104協(xié)議報(bào)文交互；配置IEC104安全規(guī)則，允許遙控報(bào)文通過，在工業(yè)協(xié)議安全PC1和PC2Wireshark工作模式選擇為防護(hù)模式，PC1向PC2發(fā)送遙控報(bào)文，有預(yù)1；切換工作模式為測(cè)試模式，PC1向PC2發(fā)送遙控報(bào)文，有預(yù)2；工作模式為防護(hù)模式，PC1向PC23；切換工作模式為測(cè)試模式，PC1向PC2進(jìn)行發(fā)送遙調(diào)報(bào)文，4；VPNVPNVPNIPsec?1）PC1和PC2能相互訪問，PC1在內(nèi)網(wǎng)IP，PC2IP，,PC1和PC2IPsecVPNIFW1和IFW2建立網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的IPsec策略方式，對(duì)稱配置綁定接gige0_5，保護(hù)網(wǎng)段為內(nèi)網(wǎng)網(wǎng)段，認(rèn)證共享秘鑰；IPSECAES-128+MD5+DH1，預(yù)共享密鑰方式連3DES+MD5；使用PC1訪問PC2的業(yè)務(wù)，在IFW1和IFW2靜默雙機(jī)熱備組網(wǎng)，主設(shè)備與配置的配置一致，包括接口IP地InsidePC1；OutsideEth0_1接口IP，PC2IP00網(wǎng)；SW的STPSW于DUT相連接的接口配置為Portfast端口，防止STP影響到主備切換響應(yīng)時(shí)間，且SW開啟免費(fèi)ARP學(xué)習(xí)（一般情況下免費(fèi)ARP學(xué)習(xí)默認(rèn)開啟）；PC1到PC2PC1看PC1到PC2PING丟包個(gè)數(shù)，F(xiàn)TPDATA數(shù)換狀況，查看PC1到PC2PING丟包個(gè)數(shù)，F(xiàn)TPDATA數(shù)據(jù)傳輸是否可續(xù)傳情況；整機(jī)重啟DUT1，PC1持續(xù)pingPC2DUT1整個(gè)啟動(dòng)過程中的丟包情況，記錄PING丟包個(gè)數(shù)，DUT1重啟時(shí)刻PC1FTPPC2DATA的數(shù)據(jù)續(xù)傳情況；觀察主備切換時(shí)刻的主DUT三層接口的免費(fèi)ARP的發(fā)送情況，在PC1上使用Wireshark抓包查看切換時(shí)刻的免費(fèi)ARP發(fā)送情況，1中PC1可以正常訪問PC2的ICMP/FTP，備防火墻上成功GET數(shù)據(jù)可以根據(jù)備