使用中控WebSight发布的防火墙ASA5510配置说明

第1页共10页使用WebSight发布的防火墙配置说明一、综述在某项目中用户要求利用DCS数据服务站将工艺装置的数据通过WEB发布，在厂长办公室的办公电脑上可以实时查看控制装置的信息，同时为了防止工厂管理网的病毒等侵入控制网，在两者之间设置了一个防火墙。二、硬件配置2.1DCS控制室1）历史数据服务器电脑一台。配置4块网卡，其中3块连接DCS内部的控制网和操作网；第四块网卡作为web发布端口。操作系统WINDOWSXP。2）思科防火墙ASA5510一台。3）网络双绞线若干。2.2厂长办公室1）办公电脑一台。此电脑有一块单独用于和DCS通讯的网卡接口。操作系统WINDOWSXP，安装了IE浏览器。2）若有厂长办公室内有多台电脑需要连接查看控制装置信息需要配置交换机。2.3连接附件1）根据CCR中央控制室和厂长办公室距离的不同，需要配置相应的光纤，光纤尾纤，光纤跳线和光纤接续盒等。三、软件配置2.1DCS控制室1）WINDOWSXP，并安装IIS（Internet信息服务）组件。2）AdvanTrolPro2.5SP06。3）PIMSWebSight发布软件2.2厂长办公室1）WINDOWSXP，并安装了IE6.0以上的版本。四、参考文件1)《中控WebSight监控软件Web发布软件使用手册》及《Internet信息服务组件IIS安装规范》2）《ASA5510UserManual》五、网络拓扑图整个网络拓扑结构如下图所示：第2页共10页第3页共10页六、连接步骤6.1在历史数据服务器HS140上安装IIS服务组件，websight发布软件。设置第四块网卡的IP地址为：172.30.1.140，子网掩码为：255.255.255.0，默认网关为：172.30.1.1。注意默认网关不能忘记设置。如下图所示做好组态，点击web发布命令，启动监控软件，为DCS数据web发布做好准备。6.2配置ASA55106.2.1将一台开启自动寻址（开启DHCP）计算机的网口和防火墙的MGMT口通过网线相连。在IE浏览器地址栏输入URL为：。进入思科ASDM配置网页。第4页共10页第5页共10页6.2.2配置防火墙的硬件接口。进入ConfigurationDeviceSetupInterfaces,这里配置了两个接口:将0/0端口命名为BossOffice，启用此端口，安全等级设置为0，IP地址：172.30.0.1,子网掩码：255.255.255.0；将0/1端口命名为WebPublish，启用此端口，安全等级设置为100，IP地址：172.30.1.1,子网掩码：255.255.255.0。0/2和0/3端口在此案例中可以不激活配置。第6页共10页管理网Management0/0端口采用默认设置，IP地址：192.168.1.1。具体如下图所示。6.2.3将网络上常用的节点添加到相应的网络之中。如下图所示添加HS140，delay（相当于一个中转，IP地址设置为172.30.0.140，通过它可以映射到内部的IP地址为172.30.1.140的HS140数据服务器中）。6.2.4设置PublicServers。进入ConfigurationFirewallPublicServers，设置PrivateInterface为Webpublish；PrivateIPAddress为:HS140；Service为tcp/http(这个是根据Websight软件发布是占用http80端口来选择的)；PublicInterface为：BossOffice；PublicIPAddress为：delay。第7页共10页6.2.5通过上一步设置完PublicServer后，会自动产生NAT规则。进入ConfigurationFirewallNATRules可以查看到如下规则。6.2.6设置防火墙的访问规则AccessRules。进入ConfigurationFirewallAccessRules在BossOffice接口添加一条规则，设置Source为任意IP地址的计算机；Destination为IP为172.30.0.140的中转delay；Service选择TCP/http；Action选择Permit。这样公网厂长办公室的电脑就可以访问到delay地址，并经过NAT规则映射到内网的HS140计算机的TCP/HTTP服务。并默认将其他地址间的IP访问服务都设置为Deny。第8页共10页6.2.7防火墙ASA5510的配置结束。点击APPLY，并保存退出ASDM界面。6.3设置厂长办公室电脑的IP地址为：172.30.0.100，子网掩码为：255.255.255.0，默认网关为：172.30.0.1。注意默认网关不能忘记设置。6.4在厂长办公室电脑打开IE浏览器，在地址栏URL输入：（注第9页共10页意这里IP地址为delay的IP而非HS140的实际IP，另外后面的websight是依据在HS140数据服务器上运行Web发布时候取的名称，并与之保持一致）；出现下图界面，用户名和密码均为admin。6.5通讯正常，可以看到和HS140机器上一样的流程图，数据一览，趋势等监控画面。注意如果HS140机器上的软件狗没有烧制Websight，则下图的数据都是???，无法刷新。第10页共10页七、其他说明1.在连接不通等情况下，可以抛开防火墙，将厂长办公室电脑的IP和HS140设置在同一个网段，即172.30.1.***；互相可以ping通。在厂长办公室电脑打开IE浏览器，在地址栏URL输入：（注意这里IP地址为HS140的实际IP，另外后面的websight是依据在HS140数据服务器上运行Web发布时候取的名称，并与之保持一致）。若画面和数据显示正常，则可以重点进行防火墙配置的检查。2.若在HS140需要使用OPCServer发送数据到工厂MIS管理网，则在HS140机器上需要配置OPCServer综合版，并且增加MisGate软件来单向穿透防火墙，将OPC数据通过MisGateServer发送到MisGateClient。并且在6.2.6步骤在WebPublish接口增加一条规则，设置Source为HS140，Destination为Any，Service为UDP/1285，Action为Permit。可以参考公司总师办发文的《MISGateOPC通讯CiscoASA5510系列防火墙配置说明》。