MVS工業(yè)防火墻產品技術培訓

2015年7月內容綱要工業(yè)防火墻功能介紹FAQ工業(yè)防火墻典型配置案例MVS產品需求收集系統(tǒng)工業(yè)防火墻概述工業(yè)防火墻所涉及領域

制造業(yè)、資源、化工、交通、能源、金融行業(yè)安全事件

2010年：“網絡超級武器”Stuxnet 2008年：荷蘭地鐵脫軌事件 2011年：美國伊利諾伊州供水系統(tǒng)破壞事件安全事件發(fā)生的原因

自動化建設早，重點注重物理安全

工業(yè)以太網推廣、兩化（信息化和工業(yè)化）融合趨勢

工業(yè)防火墻硬件介紹硬件介紹工業(yè)環(huán)境中對硬件的要求無風扇寬溫（-40-70℃）濕度（5％-95％無凝結）防護等級IP40（防塵不防水）產品型號星辰：201D、203D、1100R星云：F201D、F203D、F1100R

工業(yè)防火墻硬件介紹硬件產品導軌式F201D：二串口+二口以太網（bypass）

工業(yè)防火墻硬件介紹硬件產品導軌式F302D：二串口+五口以太網

串口以太網口（bypass）以太網口工業(yè)防火墻硬件介紹硬件產品機架式F1100R

適用于工業(yè)現(xiàn)場的機房環(huán)境工業(yè)防火墻功能介紹安全防護-模式全通模式

所有報文通過，安全策略不生效調試模式

所有報文通過，記錄日志防護模式

根據策略進行流量匹配（通過或丟棄）工業(yè)防火墻功能介紹安全防護-安全策略具有方向性

基于接口進行策略控制基于MAC進行策略控制基于IP進行策略控制

工業(yè)防火墻功能介紹安全防護-策略動作允許

禁止DPI（只針對工業(yè)協(xié)議）

工業(yè)業(yè)防防火火墻墻功功能能介介紹紹安全全防防護護-協(xié)議議1工業(yè)業(yè)防防護護模型型（（內內置置知知名名工工業(yè)業(yè)廠廠商商協(xié)議議，，可可根根據據用用戶戶進進行行自自定定義義））工業(yè)業(yè)防防火火墻墻功功能能介介紹紹安全全防防護護-協(xié)議議2自定定義義協(xié)協(xié)議議（（新新增增二二層層協(xié)協(xié)議議））工業(yè)業(yè)防防火火墻墻功功能能介介紹紹安全全防防護護-協(xié)議議3預置置上上百百種種工工業(yè)業(yè)協(xié)協(xié)議議工業(yè)業(yè)防防火火墻墻功功能能介介紹紹安全全防防護護-協(xié)議議4預置置通通用用協(xié)協(xié)議議（（傳傳統(tǒng)統(tǒng)協(xié)協(xié)議議保保留留））動態(tài)態(tài)協(xié)協(xié)議議（（傳傳統(tǒng)統(tǒng)協(xié)協(xié)議議保保留留））工業(yè)業(yè)防防火火墻墻功功能能介介紹紹工業(yè)業(yè)DPI-OPCOPC核心心技技術術為為動動態(tài)態(tài)端端口口解解析析與與FTP協(xié)議議相相類類似似目前前OPC只實實現(xiàn)現(xiàn)了了底底層層端端口口解解析析未未做做應應用用層層數(shù)數(shù)據據過過濾濾工業(yè)業(yè)防防火火墻墻功功能能介介紹紹工業(yè)業(yè)DPI-Modbus-1基本本功功能能RESET回復復（（異異常常、、丟丟棄棄報報文文進進行行回回復復））異常?；鼗貜蛷停ǎㄖ兄袛鄶噙B連接接時時回回復復Modbus異常常功功能能碼碼））合規(guī)性性檢檢查查狀態(tài)態(tài)檢檢查查工業(yè)防火火墻功能能介紹工業(yè)DPI-Modbus-2過濾機制制黑白名單單機制（（非白即即黑）單/多個功能能碼進行行控制功能碼輸輸入范圍圍進行細細粒度控控制工業(yè)防火火墻功能能介紹工業(yè)DPI-IEC104控制報文文類型/事件（五五遙一脈脈）遙調、遙遙控、遙遙信、遙遙測、遙視、遙脈控制幀格式S、I、U（I：數(shù)據幀幀為、S：確認幀幀、U：?；顜瑤┘毩６瓤乜刂菩畔Ⅲw地地址控制制控制值進進行控制制工業(yè)防火火墻功能能介紹串行DPI-1串行鏈路路之Modbus協(xié)議議本本身身無無變變化化，，只只是是物物理理媒媒介介為為串串行行總總線線串行行接接口口為為console切換換為為通通信信口口管理理與與通通信信不不能能同同時時共共存存機架架式式設設備備不不支支持持工業(yè)業(yè)防防火火墻墻功功能能介介紹紹串行行DPI-2ModbusRTU配置置異：：需需要要指指定定Master接口口同：：與與以以太太網網共共用用Modbus策略略模模塊塊工業(yè)業(yè)防防火火墻墻功功能能介介紹紹工業(yè)業(yè)VPN工業(yè)業(yè)VPN=IPSecVPN（裁剪版）支持sitetosite模式支持預共享秘秘鑰認證支持國際算法法工業(yè)防火墻功功能介紹高可用性HA只支持主備模模式內容綱要工業(yè)防火墻功能介紹FAQ工業(yè)防火墻典型配置案例MVS產品需求收集系統(tǒng)登錄管理界面面WEB管理工業(yè)防火火墻瀏覽器證書導入設備隨機光盤盤找到工業(yè)防防火墻管理證證書，拷貝到到管理PC上，本地雙擊擊證書，按照提示進進行安裝，需需要輸入密碼時輸入“hhhhhh”或“123456”，當出現(xiàn)導入成功后點擊擊確定完成。登錄管理界面面WEB管理VPN登錄管理頁面面Pc與設備的eth0或eth1相連（eth0與eth1出廠默認在brg0中）管理PC配置IP：00/24(VPN默認管理主機機)IE瀏覽器輸入54:8889彈出證書選擇擇時，選擇剛剛導入瀏覽器器的證書登錄用戶名：：administrator、密碼默認為lion@LL99Modbus配置拓樸工業(yè)防火墻透透明接入用二臺pc安裝Modbus防真軟件模擬擬流量IFWModbus-slaveModbus-mastereth0eth1IP:00IP:01Modbus配置Modbus配置思路-1了解用戶組網網，我們設備備以何種模式式接入用戶現(xiàn)場流量量分布用戶現(xiàn)場Modbus協(xié)議策略實現(xiàn)現(xiàn)是否需要產生生日志及日志志采集方式Modbus配置Modbus配置思路-2配置基本網網絡（（接口口IP、路由由、模塊制制授權權）新建Modbus策略（（此實實例中中只放放行功功能碼碼1、2）新建防火墻墻策略略（引引用Modbus策略））產生日日志，，日志志保存存在本本地Modbus配置第一步步：基基本網網絡配配置1）設備備透明明接入入（eth0與eth1加入入到到brg0中））2）開開戶戶Modbus模塊塊許許可可。。Modbus配置置第二二步步：：添加加Modbus策略略工業(yè)業(yè)DPI>>Modbus>>“新新建建””采采用用白白名名單單方方式式允允許許功功能能碼碼1和2通過過，，丟丟棄棄其其它它所所有有Modbus流量量Modbus配置置第三三步步：：添加加防防火火墻墻規(guī)規(guī)則則安全全防防護護>>“資產產”新新建建Modbus_slave地址址為為01，Modbus_master地址為00Modbus配置第四步：添加防火火墻策略略安全防護護>>安全策略略新建策略并引引用Modbus策略，動動作為DPI、記錄日日志新建策略選擇感興興趣流（（資產））并配置置流量方方向選擇預置置工業(yè)協(xié)協(xié)議（Modbus-tcp）選擇策略略方向（（DPI）并引用用Modbus策略記錄日志Modbus配置第五步：：測試-slave配置測試PC-slave配置，以以功能碼碼1為例Modbus配置第六步：：測試-Master配置測試PC-Master配置，以以功能碼碼1為例Modbus配置第七步：：測試在PC-Master軟件poll上查看功功能碼1和2連接成功功，功能能碼3和4未連接成成功在防火墻墻上查看看日志，，功能碼碼1和2的流量通通過，功功能碼3和4的流量被被丟棄ModbusRTU配置拓樸工業(yè)防火火墻串行行總線接接入用二臺pc安裝Modbus防真軟件件模擬流流量（RS-232)IFWModbus-slaveModbus-masterttyS1ttyS0consoleconsoleModbus配置Modbus配置思路路-1RS-232不受防火火墻策略略控制，，不考慮慮防火墻墻模式串行總線線流量分分布（單單一流量量）用戶現(xiàn)場場Modbus協(xié)議策略略實現(xiàn)是否需要要產生日日志及日日志采集集方式Modbus配置Modbus配置思路路-2配置基本網絡絡（接口波特特率、數(shù)數(shù)據位、、校驗等等）新建Modbus策略（此此實例中中只放行行功能碼碼1、2）策略配置置（指定定Master接口，并并引用DPI策略）產生日志志，日志志保存在在本地ModbusRTU配置第一步：基本本網絡配置1）設備串行接接入（CONSOLE1與CONSOLE2分別與pc的COM口相連）2）開戶ModbusRTU模塊許可。ModbusRTU配置第二步：添加ModbusRTU策略串行DPI>>ModbusRTU>>“新建”采用用白名單方式式允許功能碼碼1和2通過，丟棄其其它所有Modbus流量ModbusRTU配置第三步：接口設置串行DPI>>接口設置““切換工作模模式”將串口口管理模式配配置為通信模模式波特率、數(shù)據據位、奇偶校校驗等與用戶戶現(xiàn)場設備保保持一致ModbusRTU配置第四步：策略略配置串行DPI>>ModbusRTU設置master接口、引用DPI策略、記錄日日志master接口設置：master接口端對應ModbusRTU設備的“master”端，別一個個接口對應slave端。此應用實例例中CONSOLE0與master設備相連，CONSOLE1與slave設備相連ModbusRTU配置第五步：測試試-slave配置測試PC-slave配置，以功功能碼1為例Modbus配置第六步：測測試-Master配置測試PC-Master配置，以功功能碼1為例Modbus配置第七步：測測試在PC-Master軟件poll上查看功能能碼1和2連接成功，，功能碼3和4未連接成功功在防防火火墻墻上上查查看看日日志志，，功功能能碼碼1和2的流流量量通通過過，，功功能能碼碼3和4的流流量量被被丟丟棄棄內容容綱綱要要VPN功能介紹FAQVPN典型配置案例MVS產品需求收集系統(tǒng)MVS需求求收收集集系系統(tǒng)統(tǒng)使使用用MVS已創(chuàng)創(chuàng)建建產產品品需需求求收收集集系系統(tǒng)統(tǒng)，，各各辦辦事事處處可可將將用用戶戶提提出出的的需需求求提提交交給給公公司司，，也也可可對對比比其其它它產產品品將將本本公公司司產產品品功功能能不不滿滿足足之之處處提提出出，，待待審審核核之之后后會會及及時時給給出出答答復復，，若若需需求求被被采采納納，，將將會會有有禮禮品品贈贈送送??！MVS需求求收收集集系系統(tǒng)統(tǒng)使使用用提交交方方式式：：訪問問公公司司VPN地址址：：84使用用各各自自的的VPN賬號號或或使使用用需需求求收收集集賬賬號號進進行行認認證證：：用戶戶名名：：xuqiu密碼碼：：xuqiu選擇擇MVS產品品需需求求收收集集管管理理系系統(tǒng)統(tǒng)MVS需求求收收集集系系統(tǒng)統(tǒng)使使用用進入入需需求求系系統(tǒng)統(tǒng)之之后后選選擇擇““需需求求列列表表””》“新新增增””將標標題題、、產產品品線線、、需需求求方方、、作作者者、、描描述述清清楚楚即即可可提提交交需需求求，，待待審審核核之之后后會會及及時時回回復復內容容綱綱要要VPN功能介紹FAQVPN典型配置案例MVS產品需求收集系統(tǒng)FAQ1.管理理端端訪訪問問不不了了？本地PC的IP是否是是00本地PC是否能能ping通VPN設備brg0口本地PC瀏覽器器是否否導入入了正正確的的管理理員證證書。。2.防火墻墻策略略不生生效？？防火墻墻模式式是否否為防防護模模式FAQ3.源目的的相同同的Modbus策略不向下下匹配配。新建二二條Modbus策略M1與M2，M