《工業(yè)控制系統(tǒng)信息安全技術(shù)與實踐》教案 CH5-工業(yè)防火墻技術(shù)

PAGEPAGE2第次課程教學(xué)方案備課時間備課教師教學(xué)時間年月日教學(xué)地點周次課時數(shù)8教學(xué)內(nèi)容（章、節(jié)）模塊/單元第五章工業(yè)防火墻技術(shù)教學(xué)目標(biāo)和要求了解防火墻原理了解工業(yè)防火墻技術(shù)掌握菲尼克斯安全路由器及防火墻mGuard掌握防火墻的配置與實現(xiàn)教學(xué)重點工防火墻的原理防火墻規(guī)則集包過濾防火墻狀態(tài)防火墻工業(yè)防火墻技術(shù)工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別防火墻的配置與實現(xiàn)教學(xué)難點防火墻規(guī)則集的應(yīng)用用戶防火墻的配置與實現(xiàn)教學(xué)方法理論講解、課堂練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)；完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。課后記（空白不夠可添加附頁）

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動第5章工業(yè)防火墻技術(shù)5.1防火墻原理圖5-1防火墻的位置防火墻可以有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問和數(shù)據(jù)傳送，阻止外部網(wǎng)絡(luò)中的非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)或以非法手段訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備。安全、管理、速度是防火墻的三大要素。5.1.1防火墻系統(tǒng)概述1.防火墻系統(tǒng)的組成防火墻通常是由專用硬件和相關(guān)軟件組成的一套系統(tǒng)（1）防火墻規(guī)則集：在防火墻上定義的規(guī)則列表，是一個防火墻能否充分發(fā)揮其作用的關(guān)鍵，這些規(guī)則決定了哪些數(shù)據(jù)不能通過防火墻、哪些數(shù)據(jù)可以通過防火墻。（2）內(nèi)部網(wǎng)絡(luò)：需要受保護(hù)的網(wǎng)絡(luò)。（3）外部網(wǎng)絡(luò)：需要防范的外部網(wǎng)絡(luò)。（4）技術(shù)手段：具體的實施技術(shù)。2.防火墻與OSI參考模型的關(guān)系教師講解：重點講解防火墻的位置和作用。教師講解：簡單介紹防火墻系統(tǒng)的組成。教師講解：簡單介紹防火墻與OSI參考模型的關(guān)系。要求學(xué)生熟記常用的協(xié)議以及常用的TCP和UDP端口。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動5.1.2防火墻規(guī)則集1.防火墻規(guī)則的組成網(wǎng)絡(luò)協(xié)議：如IP、ICMP、TCP、UDP等；發(fā)送方的IP地址；發(fā)送方的端口號；接收方的IP地址；接收方的端口號；操作（Action）：定義滿足過濾規(guī)則的數(shù)據(jù)包的處理方式，是被拒絕、丟棄或是允許；日志功能：用來確定是否有一些滿足特殊規(guī)則的數(shù)據(jù)包。2.數(shù)據(jù)包的處理方式防火墻對滿足規(guī)則的數(shù)據(jù)包的處理方式有允許（Accept）、拒絕（Reject）和丟棄（Drop）三種。3.規(guī)則集的應(yīng)用流程防火墻有輸入（Incoming）和輸出（Outgoing）兩個方向的規(guī)則集5.1.3防火墻分類根據(jù)過濾方式的不同，可以分為:包過濾防火墻或：訪問控制表(ACL)狀態(tài)檢測防火墻(SIF)或:狀態(tài)包檢測(SPI)應(yīng)用網(wǎng)關(guān)防火墻（AGF）地址轉(zhuǎn)換防火墻基于主機的防火墻混和防火墻教師講解：重點講解防火墻規(guī)則集的組成。教師介紹三種數(shù)據(jù)包的處理方式的區(qū)別。提問：拒絕（Reject）VS丟棄（Drop），應(yīng)該怎么選？教師講解：重點講解防火墻規(guī)則集的應(yīng)用流程。學(xué)生練習(xí)：分析防火墻規(guī)則集的應(yīng)用結(jié)果，理解常見的應(yīng)用錯誤。教師講解：簡單介紹不同類型的防火墻，比較它們的異同。要求學(xué)生重點掌握包過濾防火墻和狀態(tài)檢測的工作原理。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動5.1.4防火墻的限制沒有防火墻可以提供100％的安全防火墻不能阻止來自內(nèi)部或者繞過防火墻的數(shù)據(jù)流量的攻擊。防火墻無法防護(hù)端口反彈木馬的攻擊。防火墻無法防護(hù)非法通道出現(xiàn)。不能代替入侵檢測和審計設(shè)備防火墻無法防護(hù)系統(tǒng)層面的直接漏洞攻擊和病毒的侵襲。新的安全漏洞層出不窮，需要通過起草全新的安全措施或擴展現(xiàn)有的措施來面對，所以必須持續(xù)地對網(wǎng)絡(luò)進(jìn)行安全監(jiān)控。防火墻會依據(jù)規(guī)則對流經(jīng)它的數(shù)據(jù)流量進(jìn)行處理，必然會造成一些延遲。5.2工業(yè)防火墻技術(shù)工業(yè)防火墻技術(shù)是工業(yè)控制系統(tǒng)信息安全技術(shù)的基礎(chǔ)。滿足特定的工業(yè)環(huán)境和功能要求，能夠?qū)I(yè)控制系統(tǒng)進(jìn)行邊界防護(hù)，根據(jù)需要劃分安全區(qū)域，實現(xiàn)區(qū)域管控，對安全區(qū)域進(jìn)行隔離保護(hù)，保證合法用戶訪問網(wǎng)絡(luò)資源?？舍槍I(yè)控制協(xié)議采用深度的包檢測技術(shù)和應(yīng)用層通訊跟蹤技術(shù)，解析ModBus、DNP3等應(yīng)用層異常數(shù)據(jù)流量，做到對非法指令的阻斷、非工控協(xié)議的攔截，以起到保護(hù)控制器的功能。對OPC端口進(jìn)行動態(tài)追蹤，對關(guān)鍵寄存器和操作進(jìn)行保護(hù)。5.2.1工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別支持基于白名單策略的訪問控制，包括網(wǎng)絡(luò)層和應(yīng)用層。具備深度包檢測功能，支持主流工控協(xié)議。支持動態(tài)開放OPC協(xié)議端口。防火墻應(yīng)支持多種工作模式，保證防火墻區(qū)分部署和工作過程以實現(xiàn)對被防護(hù)系統(tǒng)的最小影響。防火墻應(yīng)具有高可靠性，包括故障自恢復(fù)、在一定負(fù)荷下72小時正常運行、無風(fēng)扇、支持導(dǎo)軌式或機架式安裝等。5.2.2工業(yè)防火墻技術(shù)新特點透明接入技術(shù)：對用戶是透明的，即潛行模式分布式防火墻技術(shù)：負(fù)責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點之間的安全防護(hù)，分布式防火墻是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。網(wǎng)絡(luò)防火墻主機防火墻中心管理智能型防火墻技術(shù)：融合智能機器學(xué)習(xí)技術(shù)、深度數(shù)據(jù)包解析技術(shù)、特征匹配技術(shù)、黑白名單相結(jié)合的防御技術(shù)等多項技術(shù)。教師講解：引導(dǎo)學(xué)生理解為什么防火墻不能提供100％的安全。教師講解：重點講解工業(yè)防火墻技術(shù)，應(yīng)用場景和特點。教師講解：引導(dǎo)學(xué)生掌握工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別。教師講解：引導(dǎo)學(xué)生了解工業(yè)防火墻技術(shù)新特點。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動5.2.3工業(yè)防火墻的具體服務(wù)規(guī)則域名解析系統(tǒng)（DNS）：控制網(wǎng)絡(luò)很少使用超文本傳輸協(xié)議（HTTP）：控制網(wǎng)應(yīng)用HTTPS文件傳輸協(xié)議（FTP）和簡單文件傳輸協(xié)議（TFTP）：禁止TFTP，僅在安全情況下使用FTP。盡量使用較安全的SFTP和SCP。用于遠(yuǎn)程連接服務(wù)的標(biāo)準(zhǔn)協(xié)議（Telnet）：禁止從公司網(wǎng)進(jìn)入控制網(wǎng)的入站Telnet，出站Telnet僅在加密通道（如VPN）中使用，用于訪問某些設(shè)備。簡單郵件傳輸協(xié)議（SMTP）：禁止入站郵件，允許出站SMTP從控制網(wǎng)到公司發(fā)送警告信息。簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）：控制網(wǎng)不建議用分布式組件對象模型（DCOM)：只允許在控制網(wǎng)和DMZ網(wǎng)絡(luò)之間使用SCADA與工業(yè)網(wǎng)絡(luò)協(xié)議：只允許在控制網(wǎng)使用5.2.4工業(yè)防火墻的安全策略不僅僅依靠網(wǎng)絡(luò)層來進(jìn)行數(shù)據(jù)過濾，如果可能的話盡可能綜合使用網(wǎng)絡(luò)層、傳輸層和應(yīng)用層數(shù)據(jù)過濾技術(shù)。嚴(yán)格遵守最小權(quán)限原則。使用白名單設(shè)置防火墻過濾規(guī)則，也就是在缺省情況下的任何網(wǎng)絡(luò)連接，只有符合白名單設(shè)置規(guī)則的數(shù)據(jù)流可以允許通過。工控系統(tǒng)要求嚴(yán)格限制內(nèi)外網(wǎng)通信，所以允許建立網(wǎng)絡(luò)連接的規(guī)則較少，建立和維護(hù)白名單相對傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境更為可行。在部署防火墻保護(hù)邊界安全的時候，需要認(rèn)證評估對控制系統(tǒng)網(wǎng)絡(luò)通信延遲的影響。注意賬號管理的安全，設(shè)置密碼和賬戶策略，避免出現(xiàn)弱口令和長時間不修改等問題。關(guān)閉不必要的服務(wù)及應(yīng)用，如TELNET、HTTP、PING、SNMP等，使用SSH進(jìn)行遠(yuǎn)程登錄管理。5.3菲尼克斯安全路由器及防火墻mGuard智能防火墻mGuard，它是由工業(yè)安全路由器和防火墻組成的網(wǎng)絡(luò)組件產(chǎn)品，集路由器、防火墻、NAT、VPN等功能于一體，適合各種應(yīng)用，旨在實現(xiàn)最高的系統(tǒng)安全性和可用性，幫助客戶守護(hù)工業(yè)網(wǎng)絡(luò)安全。智能防火墻有多達(dá)250個IPsec加密的VPN通道，安全裝置功能全面。為可用性要求高的場合和復(fù)雜的安全架構(gòu)提供較高安全性。教師講解：重點講解在工業(yè)防火墻各個具體服務(wù)規(guī)則應(yīng)該怎么配置。教師講解：簡單介工業(yè)防火墻的安全策略。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動5.3.1mGuard概述1.mGuard的基本功能不同的防護(hù)模式：單一潛行模式/多重潛行模式/路由模式基于WEB的配置界面NAT/1:1NAT/IP和端口轉(zhuǎn)發(fā)VPN防火墻支持SNMP固件升級OPC檢查器CIFS完整性監(jiān)測冗余功能2.mGuard上的指示燈5.3.2mGuard相關(guān)配置1.mGuard的重置緩慢按下復(fù)位按鈕六次>大約2秒后，STAT燈將亮起綠色；再次緩慢按下復(fù)位按鈕六次>如果成功，STATLED將亮起綠色>如果不成功，ERRLED將亮起紅色如果成功，設(shè)備將在兩秒鐘后重新啟動，切換到潛行模式。重置后，固件版本為8.4.0及以上的MGuard將丟失配置，固件版本為8.4.0之前的MGuard只需重置IP地址和登錄密碼。2.mGuard的網(wǎng)絡(luò)配置mGuard要發(fā)揮作用，必須根據(jù)網(wǎng)絡(luò)拓?fù)溥M(jìn)行正確的網(wǎng)絡(luò)配置和路由配置。1）網(wǎng)絡(luò)模式設(shè)置2）接口地址及路由設(shè)置3.mGuard的防火墻相關(guān)功能配置1）設(shè)置防火墻規(guī)則集2）使用規(guī)則記錄簡化配置可以將各個防火墻規(guī)則匯總在規(guī)則記錄（RuleRecords）中，然后在防火墻規(guī)則中使用這些規(guī)則記錄來簡化配置。教師講解：簡單介紹mGuard的基本功能和特點。教師講解并演示mGuard上不同的指示燈的作用。教師講解并演示mGuard的重置。要求每個學(xué)生都掌握重置的方法。教師講解并演示mGuard的網(wǎng)絡(luò)配置。要求每個學(xué)生都掌握mGuard的網(wǎng)絡(luò)配置方法。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動4.用戶防火墻可以通過用戶防火墻（UserFirewall）來啟用針對特定的防火墻用戶（FirewallUser）或用戶組的防火墻規(guī)則（防火墻用戶或用戶組提前定義）。用戶防火墻適用于靜態(tài)配置的通用防火墻規(guī)則（如IncomingRules、OutgoingRules）不允許訪問目標(biāo)，但允許防火墻用戶登錄后動態(tài)訪問。用戶防火墻規(guī)則優(yōu)先于其他位置配置的規(guī)則，并在適用時覆蓋這些規(guī)則。配置步驟：創(chuàng)建所需的防火墻用戶或用戶組創(chuàng)建用戶防火墻模板以防火墻用戶的身份登錄mGuard，激活用戶防火墻規(guī)則

5.4本章實訓(xùn)基于潛行模式的防火墻從公司網(wǎng)絡(luò)訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)使用用戶防火墻啟用對外部網(wǎng)絡(luò)