MVS_工业防火墙产品技术培训

MVS工业防火墙产品技术培训2015年7月内容纲要工业防火墙功能介绍FAQ工业防火墙典型配置案例MVS产品需求收集系统工业防火墙概述•工业防火墙所涉及领域制造业、资源、化工、交通、能源、金融•行业安全事件2010年：“网络超级武器”Stuxnet2008年：荷兰地铁脱轨事件2011年：美国伊利诺伊州供水系统破坏事件•安全事件发生的原因自动化建设早，重点注重物理安全工业以太网推广、两化（信息化和工业化）融合趋势工业防火墙硬件介绍•硬件介绍•工业环境中对硬件的要求–无风扇–宽温（-40-70℃）–湿度（5％-95％无凝结）–防护等级IP40（防尘不防水）•产品型号–星辰：201D、203D、1100R–星云：F201D、F203D、F1100R工业防火墙硬件介绍•硬件产品•导轨式–F201D：二串口+二口以太网（bypass）工业防火墙硬件介绍•硬件产品•导轨式–F302D：二串口+五口以太网串口以太网口（bypass）以太网口工业防火墙硬件介绍•硬件产品•机架式–F1100R适用于工业现场的机房环境工业防火墙功能介绍•安全防护-模式•全通模式所有报文通过，安全策略不生效•调试模式所有报文通过，记录日志•防护模式根据策略进行流量匹配（通过或丢弃）工业防火墙功能介绍•安全防护-安全策略•具有方向性•基于接口进行策略控制•基于MAC进行策略控制•基于IP进行策略控制工业防火墙功能介绍•安全防护-策略动作•允许•禁止•DPI（只针对工业协议）工业防火墙功能介绍•安全防护-协议1•工业防护模型（内置知名工业厂商协议，可根据用户进行自定义）工业防火墙功能介绍•安全防护-协议2•自定义协议（新增二层协议）工业防火墙功能介绍•安全防护-协议3•预置上百种工业协议工业防火墙功能介绍•安全防护-协议4•预置通用协议（传统协议保留）•动态协议（传统协议保留）工业防火墙功能介绍•工业DPI-OPC•OPC–核心技术为动态端口解析与FTP协议相类似–目前OPC只实现了底层端口解析未做应用层数据过滤工业防火墙功能介绍•工业DPI-Modbus-1•基本功能–RESET回复（异常、丢弃报文进行回复）–异常回复（中断连接时回复Modbus异常功能码）–合规性检查–状态检查工业防火墙功能介绍•工业DPI-Modbus-2•过滤机制–黑白名单机制（非白即黑）–单/多个功能码进行控制–功能码输入范围进行细粒度控制工业防火墙功能介绍•工业DPI-IEC104•控制报文类型/事件（五遥一脉）–遥调、遥控、遥信、遥测、遥视、遥脉•控制帧格式–S、I、U（I：数据帧为、S：确认帧、U：保活帧）•细粒度控制–信息体地址控制–控制值进行控制工业防火墙功能介绍•串行DPI-1•串行链路之Modbus–协议本身无变化，只是物理媒介为串行总线–串行接口为console切换为通信口–管理与通信不能同时共存–机架式设备不支持工业防火墙功能介绍•串行DPI-2•ModbusRTU配置–异：需要指定Master接口–同：与以太网共用Modbus策略模块工业防火墙功能介绍•工业VPN•工业VPN=IPSecVPN（裁剪版）–支持sitetosite模式–支持预共享秘钥认证–支持国际算法工业防火墙功能介绍•高可用性•HA–只支持主备模式内容纲要工业防火墙功能介绍FAQ工业防火墙典型配置案例MVS产品需求收集系统登录管理界面•WEB管理工业防火墙–浏览器证书导入设备随机光盘找到工业防火墙管理证书，拷贝到管理PC上，本地双击证书，按照提示进行安装，需要输入密码时输入“hhhhhh”或“123456”，当出现导入成功后点击确定完成。登录管理界面•WEB管理VPN•登录管理页面–Pc与设备的eth0或eth1相连（eth0与eth1出厂默认在brg0中）–管理PC配置IP：10.1.5.200/24(VPN默认管理主机)–IE浏览器输入–弹出证书选择时，选择刚导入浏览器的证书–登录用户名：administrator、密码默认为lion@LL99Modbus配置•拓朴–工业防火墙透明接入–用二台pc安装Modbus防真软件模拟流量IFWModbus-slaveModbus-mastereth0eth1IP:123.1.1.100IP:123.1.1.101Modbus配置•Modbus配置思路-1–了解用户组网，我们设备以何种模式接入–用户现场流量分布–用户现场Modbus协议策略实现–是否需要产生日志及日志采集方式Modbus配置•Modbus配置思路-2①配置基本网络（接口IP、路由、模块制授权）②新建Modbus策略（此实例中只放行功能码1、2）③新建防火墙策略（引用Modbus策略）④产生日志，日志保存在本地Modbus配置第一步：基本网络配置1）设备透明接入（eth0与eth1加入到brg0中）2）开户Modbus模块许可。Modbus配置第二步：添加Modbus策略工业DPIModbus“新建”采用白名单方式允许功能码1和2通过，丢弃其它所有Modbus流量Modbus配置第三步：添加防火墙规则安全防护“资产”新建Modbus_slave地址为123.1.1.101，Modbus_master地址为123.1.1.100Modbus配置第四步：添加防火墙策略安全防护安全策略新建策略并引用Modbus策略，动作为DPI、记录日志①新建策略②选择感兴趣流（资产）并配置流量方向③选择预置工业协议（Modbus-tcp）④选择策略方向（DPI）并引用Modbus策略⑤记录日志Modbus配置第五步：测试-slave配置测试PC-slave配置，以功能码1为例Modbus配置第六步：测试-Master配置测试PC-Master配置，以功能码1为例Modbus配置第七步：测试在PC-Master软件poll上查看功能码1和2连接成功，功能码3和4未连接成功在防火墙上查看日志，功能码1和2的流量通过，功能码3和4的流量被丢弃ModbusRTU配置•拓朴–工业防火墙串行总线接入–用二台pc安装Modbus防真软件模拟流量（RS-232)IFWModbus-slaveModbus-masterttyS1ttyS0consoleconsoleModbus配置•Modbus配置思路-1–RS-232不受防火墙策略控制，不考虑防火墙模式–串行总线流量分布（单一流量）–用户现场Modbus协议策略实现–是否需要产生日志及日志采集方式Modbus配置•Modbus配置思路-2①配置基本网络（接口波特率、数据位、校验等）②新建Modbus策略（此实例中只放行功能码1、2）③策略配置（指定Master接口，并引用DPI策略）④产生日志，日志保存在本地ModbusRTU配置第一步：基本网络配置1）设备串行接入（CONSOLE1与CONSOLE2分别与pc的COM口相连）2）开户ModbusRTU模块许可。ModbusRTU配置第二步：添加ModbusRTU策略串行DPIModbusRTU“新建”采用白名单方式允许功能码1和2通过，丢弃其它所有Modbus流量ModbusRTU配置第三步：接口设置串行DPI接口设置“切换工作模式”将串口管理模式配置为通信模式波特率、数据位、奇偶校验等与用户现场设备保持一致ModbusRTU配置第四步：策略配置串行DPIModbusRTU设置master接口、引用DPI策略、记录日志master接口设置：master接口端对应ModbusRTU设备的“master”端，别一个接口对应slave端。此应用实例中CONSOLE0与master设备相连，CONSOLE1与slave设备相连ModbusRTU配置第五步：测试-slave配置测试PC-slave配置，以功能码1为例Modbus配置第六步：测试-Master配置测试PC-Master配置，以功能码1为例Modbus配置第七步：测试在PC-Master软件poll上查看功能码1和2连接成功，功能码3和4未连接成功在防火墙上查看日志，功能码1和2的流量通过，功能码3和4的流量被丢弃内容纲要VPN功能介绍FAQVPN典型配置案例MVS产品需求收集系统MVS需求收集系统使用•MVS已创建产品需求收集系统，各办事处可将用户提出的需求提交给公司，也可对比其它产品将本公司产品功能不满足之处提出，待审核之后会及时给出答复，若需求被采纳，将会有礼品赠送！MVS需求收集系统使用•提交方式：访问公司VPN地址：使用各自的VPN账号或使用需求收集账号进行认证：用户名：xuqiu密码：xuqiu选择MVS产品需求收集管理系统MVS需求收集系统使用进入需求系统之后选择“需求列表”》“新增”将标题、产品线、需求方、作者、描述清楚即可提交需求，待审核之后会及时回复内容纲要VPN功能介绍FAQVPN典型配置案例MVS产品需求收集系统FAQ•1.管理端访问不了？①本地PC的IP是否是10.1.5.200②本地PC是否能ping通VPN设备brg0口③本地PC浏览器是否导入了正确的管理员证书。•2.防火墙策略不生效？①防火墙模式是否为防护模式FAQ•3.源目的相同的Modbus策略不向下匹配。①新建二条Modbus策略M1与M2，M1放行功能码1，M2放行功能码2；②新建二条安全策略源目的地址相同，P1引用Modbus策略M1，P2引用M2；③此时只有功能码为1的Modbus流量可以通过；④若要对多个功能码做精细化防护只能在一条ModbusDPI策略中实现；⑤工业环境中Modbus设备独享IPFAQ•4.IEC104模块License①IEC104模块license需要单独开启•5.硬件bypass①设备断电、重启过程中bypass②软件故障bypass③机架式设备不支持bypass•6.设备断电到重启bypass过程中会丢几个包？①二个，在设备加载配置过程中（软件故障）也处于bypass状态FAQ•7.串口设置为通信口又忘记管理IP怎么管理设备？①机架式设备不支持ModbusRTU所以不存在此问题②导轨式设备电源旁边有个Reset健，按此健设备恢复到生产之后的状态（出厂状态）•8.是否支持电源冗余？①导轨式设备支持谢谢！