《工業(yè)網(wǎng)絡(luò)技術(shù)與應(yīng)用（微課版）》-教案 第17次 1、工業(yè)防火墻概述2、工業(yè)防火墻路由及安全功能配置3、工業(yè)防火墻NAT和NAPT功能配置

第17次課程教學(xué)方案備課時(shí)間備課教師教學(xué)時(shí)間年月日教學(xué)地點(diǎn)周次課時(shí)數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第2章工業(yè)網(wǎng)絡(luò)安全技術(shù)（2）1、工業(yè)防火墻概述2、工業(yè)防火墻路由及安全功能配置3、工業(yè)防火墻NAT和NAPT功能配置教學(xué)目標(biāo)和要求1.了解工業(yè)防火墻的主要功能2.掌握工業(yè)防火墻路由功能配置方法3.掌握工業(yè)防火墻安全策略配置方法4.掌握工業(yè)防火墻NAT和NAPT功能配置方法教學(xué)重點(diǎn)工業(yè)防火墻路由、安全策略及NAT功能配置教學(xué)難點(diǎn)工業(yè)防火墻安全策略配置教學(xué)方法講授法、直觀演示法、實(shí)驗(yàn)法、小組討論法等使用媒體資源√紙質(zhì)材料√多媒體課件√網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)完成電子版實(shí)訓(xùn)報(bào)告課后記

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法

及學(xué)生活動(dòng)一、相關(guān)知識(shí)講授1、防火墻系統(tǒng)的組成防火墻通常是由專用硬件和相關(guān)軟件組成的一套系統(tǒng)，當(dāng)然也有純軟件的防火墻，但純軟件防火墻無論在功能和性能上都不如專用的硬件防火墻。一般來說，防火墻由四大要素組成。（1）防火墻規(guī)則集：在防火墻上定義的規(guī)則列表，是一個(gè)防火墻能否充分發(fā)揮作用的關(guān)鍵，這些規(guī)則決定了哪些數(shù)據(jù)不能通過防火墻、哪些數(shù)據(jù)可以通過防火墻。（2）內(nèi)部網(wǎng)絡(luò)：需要受保護(hù)的網(wǎng)絡(luò)。（3）外部網(wǎng)絡(luò)：需要防范的外部網(wǎng)絡(luò)。（4）技術(shù)手段：具體的實(shí)施技術(shù)。2.防火墻包過濾方式1）根據(jù)第2層數(shù)據(jù)鏈路層的MAC地址進(jìn)行過濾由于MAC地址是唯一的，這樣可以對特定設(shè)備提供非常有效的保護(hù)。2）根據(jù)第3層網(wǎng)絡(luò)層的IP地址進(jìn)行過濾在組建網(wǎng)絡(luò)時(shí)，利用IP地址和子網(wǎng)掩碼就可以確定網(wǎng)絡(luò)設(shè)備所在的子網(wǎng)，這樣就可以通過IP地址對網(wǎng)絡(luò)設(shè)備進(jìn)行邏輯分組，所以根據(jù)IP地址設(shè)置過濾規(guī)則，可以很容易地過濾數(shù)據(jù)流量。3）根據(jù)第4層傳輸層的端口號(hào)進(jìn)行過濾在傳輸層，TCP和UDP的不同端口號(hào)對應(yīng)了不同的應(yīng)用協(xié)議，可通過端口號(hào)來有效過濾特定的應(yīng)用協(xié)議的數(shù)據(jù)流量。3.工業(yè)防火墻規(guī)則集防火墻規(guī)則集由一組防火墻規(guī)則組成，是防火墻實(shí)現(xiàn)過濾功能的基礎(chǔ)。一條防火墻規(guī)則通常由以下部分組成：（1）網(wǎng)絡(luò)協(xié)議：如ALL、ICMP、TCP、UDP、GRE等。（2）發(fā)送方的IP地址；接收方的IP地址。（3）發(fā)送方的端口號(hào)；接收方的端口號(hào)。（4）操作（Action）：對滿足規(guī)則的數(shù)據(jù)包的處理方式，允許（Accept）、拒絕（Reject）和丟棄（Drop）三個(gè)選項(xiàng)。規(guī)則集是防火墻規(guī)則的集合，由一個(gè)或多個(gè)按順序排列的規(guī)則組成，防火墻規(guī)則的排列順序尤為重要。管理員可以根據(jù)待過濾數(shù)據(jù)包的情況在防火墻規(guī)則中定義相關(guān)參數(shù)來實(shí)現(xiàn)過濾的目的。防火墻有輸入（Incoming）和輸出（Outgoing）兩個(gè)方向的規(guī)則集：輸入方向的規(guī)則集：用于所有從WAN到LAN的數(shù)據(jù)包。輸出方向的規(guī)則集：用于所有從LAN到WAN的數(shù)據(jù)包。教師講解防火墻基礎(chǔ)理論。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。4、西門子SCALANCES-615工業(yè)防火墻簡介西門子SCALANCES系列是西門子工業(yè)級(jí)別防火墻，可以為工廠自動(dòng)化提供安全防護(hù)，防止非法訪問工業(yè)網(wǎng)絡(luò)和自動(dòng)化系統(tǒng)。SCALANCES系列工業(yè)防火墻通常包含如下安全功能：1）防火墻功能SCALANCES內(nèi)部網(wǎng)段中的所有網(wǎng)絡(luò)節(jié)點(diǎn)都受到其防火墻保護(hù)。2）路由器模式通過將SCALANCES用作路由器，可以將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)分離。3）IPSec隧道確保通信安全4）使用RADIUS服務(wù)器進(jìn)行用戶驗(yàn)證5）使用HTTPS協(xié)議6）使用NTP協(xié)議7）使用SNMPv3協(xié)議8）實(shí)現(xiàn)設(shè)備和網(wǎng)段的保護(hù)SCALANCES-615作為工業(yè)防火墻，可以對設(shè)備、自動(dòng)化單元和以太網(wǎng)網(wǎng)段提供保護(hù)功能。通過SCALANCES-615可以有效地保護(hù)生產(chǎn)網(wǎng)絡(luò)，防止從內(nèi)部和外部產(chǎn)生的威脅。SCALANCE

S-615工業(yè)防火墻配備5個(gè)以太網(wǎng)端口，可以通過防火墻或虛擬專有網(wǎng)絡(luò)VPN為各種網(wǎng)絡(luò)拓?fù)涮峁┍Ｗo(hù)，并能夠靈活實(shí)現(xiàn)安全機(jī)制。SCALANCES-615能夠通過基于網(wǎng)絡(luò)的管理（WBM）、命令行接口（CLI）和簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）進(jìn)行配置、管理?？梢宰鳛閯?dòng)態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)器和客戶端，設(shè)備可在任何虛擬局域網(wǎng)（VLAN）下使用，在特定情況下可以作為一個(gè)路由器，實(shí)現(xiàn)兩個(gè)網(wǎng)段的設(shè)備的路由通訊。SCALANCES-615支持NAT和NAPT功能，這樣可以對SCALANCES-615所連接的內(nèi)網(wǎng)設(shè)備進(jìn)行保護(hù)（內(nèi)部網(wǎng)絡(luò)）。另外，對于很多重復(fù)的網(wǎng)絡(luò)且其內(nèi)部帶有相同的IP地址的設(shè)備，使用NAT的方法可以進(jìn)行訪行訪問是非常有效的。最重要的是，它可以啟用防火墻和VPN功能，這是實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)安全的主要功能。教師講解S615工業(yè)防火墻的基礎(chǔ)知識(shí)和基本操作學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。三、實(shí)驗(yàn)講解、演示及分組練習(xí)1.工業(yè)防火墻SCALANCES-615的基本配置步驟1為S-615執(zhí)行復(fù)位操作：S-615工業(yè)防火墻的復(fù)位需要直接操作物理設(shè)備來實(shí)現(xiàn)。找到設(shè)備前面板上的RESET按鈕，長按10秒鐘后松開，將對S-615執(zhí)行復(fù)位操作并恢復(fù)到出廠配置。復(fù)位完成后會(huì)自動(dòng)重啟防火墻。步驟2為S-615配置IP地址，右擊SCALANCES-600防火墻圖標(biāo)，選擇“設(shè)置網(wǎng)絡(luò)參數(shù)”，為防火墻設(shè)置IP地址和子網(wǎng)掩碼為步驟3通過瀏覽器訪問S-615防火墻配置界面，右擊SCALANCES-600交換機(jī)圖標(biāo)，選擇“打開Web瀏覽器”，進(jìn)入系統(tǒng)登錄界面。輸入用戶名和密碼（初始都是admin）,，首次登錄時(shí)同樣需要設(shè)置新密碼。步驟4登錄成功后系統(tǒng)自動(dòng)進(jìn)入S-615防火墻的配置向?qū)Ы缑娌襟E5在配置向?qū)Ы缑嬷悬c(diǎn)擊abort按鈕則會(huì)退出向?qū)?，進(jìn)入到S-615防火墻的詳細(xì)管理及配置界面。2.工業(yè)防火墻SCALANCES-615的安全策略配置現(xiàn)有一個(gè)車間，包含一個(gè)工藝單元和一臺(tái)生產(chǎn)監(jiān)控服務(wù)器，工藝單元中有一臺(tái)S71200PLC。防火墻模塊SCALANCES615將生產(chǎn)網(wǎng)絡(luò)與外部管理網(wǎng)絡(luò)隔離開。要求實(shí)現(xiàn)車間內(nèi)部網(wǎng)絡(luò)可以訪問外部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)不能訪問車間內(nèi)部網(wǎng)絡(luò)，以防止外部的惡意攻擊。外部網(wǎng)絡(luò)中，只有特定的用戶可以訪問內(nèi)部生產(chǎn)監(jiān)控服務(wù)器，不能訪問其他設(shè)備。教師布置實(shí)驗(yàn)任務(wù)，講解實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)及本實(shí)驗(yàn)的具體內(nèi)容和要求教師邊講解邊演示實(shí)驗(yàn)操作。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。學(xué)生分組進(jìn)行自主練習(xí)步驟1按照網(wǎng)絡(luò)拓?fù)鋱D將SCALANCES615的P1端口與XB208的端口相連、P5端口與PC1相連。注意防火墻上最上面的端口是P5端口，用于連接外部網(wǎng)絡(luò)；P5端口之下依次是P1-P4端口，用于連接內(nèi)網(wǎng)。XB208可選擇任意端口分別與S615、PLC和Server連接。步驟2根據(jù)IP規(guī)劃為PLC、Server和PC1配置IP地址，對XB208和S615執(zhí)行復(fù)位操作并配置IP地址步驟3通過Server的瀏覽器訪問，登錄后進(jìn)入S615的配置界面步驟4在S615上配置VLAN：VLAN1的Name為INT，VLAN10的Name為EXT。步驟5在S615上配置端口所屬的VLAN步驟6在Layer3->Subnets的Configuration標(biāo)簽下分別配置外網(wǎng)和內(nèi)網(wǎng)網(wǎng)關(guān)步驟7測試內(nèi)網(wǎng)PLC、Server和外網(wǎng)PC1之間的連通性，確保在配置啟動(dòng)防火墻之前設(shè)備間都能互相通信。從Server去PING內(nèi)網(wǎng)PLC和外網(wǎng)PC1都能PING通。步驟8規(guī)劃防火墻規(guī)則步驟9啟用防火墻：在Security->Firewall界面General標(biāo)簽下，勾選ActivateFirewall復(fù)選框步驟10在“IPRules”標(biāo)簽下添加IP過濾規(guī)則，如圖所示。其中第一條規(guī)則表示：內(nèi)網(wǎng)中任一主機(jī)可以訪問外網(wǎng)的任一主機(jī)。第二條規(guī)則表示：外網(wǎng)訪問內(nèi)網(wǎng)方向，外網(wǎng)中只有IP地址為的主機(jī)可訪問內(nèi)網(wǎng)，且僅可以訪問內(nèi)網(wǎng)IP地址為的主機(jī)。教師邊講解邊演示實(shí)驗(yàn)操作。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。學(xué)生分組進(jìn)行自主練習(xí)步驟11防火墻功能測試外網(wǎng)IP地址為的主機(jī)能訪問內(nèi)網(wǎng)IP地址為的主機(jī)外網(wǎng)主機(jī)不能訪問內(nèi)網(wǎng)IP地址為的PLC當(dāng)外網(wǎng)主機(jī)的IP地址修改為時(shí)，