《工業(yè)網(wǎng)絡(luò)技術(shù)與應(yīng)用（微課版）》 課件 第8章 工業(yè)網(wǎng)絡(luò)安全技術(shù)

天津中德應(yīng)用技術(shù)大學(xué)李穎工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡(luò)第8章工業(yè)網(wǎng)絡(luò)安全技術(shù)8.1訪問(wèn)控制列表工業(yè)以太網(wǎng)可以將現(xiàn)場(chǎng)層與企業(yè)管理層連接起來(lái)，但同時(shí)給生產(chǎn)現(xiàn)場(chǎng)帶來(lái)了網(wǎng)絡(luò)安全隱患。為工業(yè)以太網(wǎng)設(shè)置訪問(wèn)控制策略是比較基礎(chǔ)的網(wǎng)絡(luò)安全防范方法。工業(yè)現(xiàn)場(chǎng)網(wǎng)絡(luò)具有規(guī)模大、用戶(hù)密集等特點(diǎn)，容易導(dǎo)致高峰時(shí)段網(wǎng)絡(luò)流量劇增，另一方面，用戶(hù)類(lèi)型較多，不同類(lèi)型應(yīng)該有不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限。為了對(duì)網(wǎng)絡(luò)流量和用戶(hù)權(quán)限實(shí)施有效控制,，需要應(yīng)用訪問(wèn)控制技術(shù)，通過(guò)設(shè)置訪問(wèn)控制列表來(lái)實(shí)施訪問(wèn)控制。8.1訪問(wèn)控制列表8.1.1ACL概述訪問(wèn)控制列表（AccessControlList，ACL）是包過(guò)濾技術(shù)的核心內(nèi)容，通過(guò)獲取IP數(shù)據(jù)包的包頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號(hào)，數(shù)據(jù)包的源地址、目的地址、源端口號(hào)和目的端口號(hào)等，然后與設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行處理，合法的允許通過(guò)，不合法的阻截并丟棄，以達(dá)到提高網(wǎng)絡(luò)安全性能的目的。8.1訪問(wèn)控制列表訪問(wèn)控制列表也是包過(guò)濾防火墻的基礎(chǔ)技術(shù)，但是在防火墻和交換機(jī)、路由器中默認(rèn)的轉(zhuǎn)發(fā)和攔截規(guī)則是不一樣的。交換機(jī)、路由器以轉(zhuǎn)發(fā)數(shù)據(jù)包為主要任務(wù)，因此常使用“寬松規(guī)則”，也就是“只要不是禁止的就是允許的”，默認(rèn)情況下會(huì)轉(zhuǎn)發(fā)所有數(shù)據(jù)包，僅僅攔截訪問(wèn)控制列表中定義的特定數(shù)據(jù)包。而防火墻則以安全控制為主要任務(wù)，因此常使用“嚴(yán)謹(jǐn)規(guī)則”，即“只要不是允許的就是禁止的”，只轉(zhuǎn)發(fā)在防火墻規(guī)則中允許的數(shù)據(jù)包。8.1訪問(wèn)控制列表ACL可以通過(guò)定義規(guī)則來(lái)允許或拒絕流量的通過(guò)，其應(yīng)用場(chǎng)景如圖8-1所示。通過(guò)設(shè)置ACL可以限制內(nèi)部主機(jī)對(duì)服務(wù)器和Internet網(wǎng)絡(luò)之間的訪問(wèn)操作。8.1訪問(wèn)控制列表8.1.2ACL工作原理ACL定義了一組規(guī)則，可配置為應(yīng)用于入端口或出端口。入口ACL：傳入數(shù)據(jù)包經(jīng)過(guò)處理之后才會(huì)被路由到出站接口。因?yàn)槿绻麛?shù)據(jù)包被丟棄，就節(jié)省了執(zhí)行路由查找的開(kāi)銷(xiāo)，所以入口ACL非常高效。如果ACL允許該數(shù)據(jù)包，則會(huì)處理該數(shù)據(jù)包以進(jìn)行路由。當(dāng)與入接口連接的網(wǎng)絡(luò)是需要檢測(cè)的數(shù)據(jù)包的唯一來(lái)源時(shí)，最適合使用入口ACL來(lái)過(guò)濾數(shù)據(jù)包。出口ACL：傳入數(shù)據(jù)包路由到出接口后，由出口ACL進(jìn)行處理。在來(lái)自多個(gè)入接口的數(shù)據(jù)包通過(guò)同一出接口之前，對(duì)數(shù)據(jù)包應(yīng)用相同過(guò)濾器時(shí)，最適合使用出站ACL。8.1訪問(wèn)控制列表

8.1訪問(wèn)控制列表8.1.3ACL分類(lèi)根據(jù)工作方式的不同，訪問(wèn)控制列表分為基于MAC地址的ACL、基于IP地址的ACL和管理ACL三種類(lèi)型。1.基于MAC地址的ACL當(dāng)數(shù)據(jù)通過(guò)設(shè)置ACL規(guī)則的網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)查看設(shè)備內(nèi)的ACL規(guī)則表，判斷此數(shù)據(jù)攜帶的MAC地址是否能通過(guò)ACL規(guī)則由指定接口轉(zhuǎn)發(fā)。8.1訪問(wèn)控制列表2.基于IP地址的ACL當(dāng)數(shù)據(jù)通過(guò)設(shè)置ACL規(guī)則的網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)查看設(shè)備內(nèi)的ACL規(guī)則表，判斷此數(shù)據(jù)攜帶的IP地址是否能通過(guò)ACL規(guī)則由指定接口轉(zhuǎn)發(fā)。如圖8-4所示，定義規(guī)則時(shí)使用的是第3層的源IP地址和目的IP地址。8.1訪問(wèn)控制列表3.管理ACL要指定具有哪個(gè)IP地址的工作站允許訪問(wèn)設(shè)備，必須組態(tài)相應(yīng)的IP地址或一個(gè)地址范圍，這就需要用到管理ACL8.2工業(yè)防火墻8.2.1防火墻概述1.防火墻系統(tǒng)的組成防火墻通常是由專(zhuān)用硬件和相關(guān)軟件組成的一套系統(tǒng)，也有純軟件的防火墻。一般來(lái)說(shuō)，防火墻由四大要素組成。（1）防火墻規(guī)則集：在防火墻上定義的規(guī)則列表，是一個(gè)防火墻能否充分發(fā)揮作用的關(guān)鍵，這些規(guī)則決定了哪些數(shù)據(jù)不能通過(guò)防火墻、哪些數(shù)據(jù)可以通過(guò)防火墻。（2）內(nèi)部網(wǎng)絡(luò)：需要受保護(hù)的網(wǎng)絡(luò)。（3）外部網(wǎng)絡(luò)：需要防范的外部網(wǎng)絡(luò)。（4）技術(shù)手段：具體的實(shí)施技術(shù)。8.2工業(yè)防火墻2.防火墻與OSI參考模型的關(guān)系絕大多數(shù)防火墻系統(tǒng)工作在OSI參考模型的4個(gè)層次上：數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。（1）根據(jù)第2層數(shù)據(jù)鏈路層的MAC地址進(jìn)行過(guò)濾（2）根據(jù)第3層網(wǎng)絡(luò)層的IP地址進(jìn)行過(guò)濾（3）根據(jù)第4層傳輸層的端口號(hào)進(jìn)行過(guò)濾8.2工業(yè)防火墻3.防火墻和路由器實(shí)現(xiàn)安全控制的區(qū)別路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。8.2工業(yè)防火墻防火墻規(guī)則集由一組防火墻規(guī)則組成，是防火墻實(shí)現(xiàn)過(guò)濾功能的基礎(chǔ)。1.防火墻規(guī)則的組成一條防火墻規(guī)則通常由以下部分組成：（1）網(wǎng)絡(luò)協(xié)議：如ALL、ICMP、TCP、UDP、GRE等。（2）發(fā)送方的IP地址；接收方的IP地址。（3）發(fā)送方的端口號(hào)；接收方的端口號(hào)。（4）操作（Action）：對(duì)滿(mǎn)足規(guī)則的數(shù)據(jù)包的處理方式，允許（Accept）、拒絕（Reject）和丟棄（Drop）三個(gè)選項(xiàng)。8.2工業(yè)防火墻2.規(guī)則集的應(yīng)用流程8.2工業(yè)防火墻8.2.3VPN技術(shù)1.VPN概述VPN是一種是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)的技術(shù)。之所以稱(chēng)為虛擬網(wǎng)絡(luò)，是因?yàn)閂PN網(wǎng)絡(luò)中兩個(gè)節(jié)點(diǎn)之間的連接并不是傳統(tǒng)專(zhuān)用網(wǎng)絡(luò)所需的端到端的物理鏈路，而是架構(gòu)在第三方網(wǎng)絡(luò)平臺(tái)之上的邏輯鏈路，用戶(hù)數(shù)據(jù)在邏輯鏈路中進(jìn)行傳輸。8.2工業(yè)防火墻VPN主要具有以下優(yōu)勢(shì)：（1）可降低成本。通過(guò)公用網(wǎng)來(lái)建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)廣域網(wǎng)設(shè)備和遠(yuǎn)程訪問(wèn)設(shè)備。（2）連接方便靈活。VPN技術(shù)能夠讓移動(dòng)員工、遠(yuǎn)程員工、商務(wù)合作伙伴和其他人利用本地可用的高速寬帶網(wǎng)連接到企業(yè)網(wǎng)絡(luò)。（3）容易擴(kuò)展。設(shè)計(jì)良好的寬帶VPN是模塊化的和可升級(jí)的。（4）傳輸數(shù)據(jù)安全可靠。VPN能提供高水平的安全，使用高級(jí)的加密和身份識(shí)別協(xié)議保護(hù)數(shù)據(jù)避免受到窺探，阻止數(shù)據(jù)竊賊和其他非授權(quán)用戶(hù)接觸這種數(shù)據(jù)。（5）完全控制主動(dòng)權(quán)。虛擬專(zhuān)用網(wǎng)使用戶(hù)可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶(hù)只利用ISP提供的網(wǎng)絡(luò)資源，對(duì)于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專(zhuān)用網(wǎng)。8.2工業(yè)防火墻2.VPN的分類(lèi)VPN可以按照以下幾個(gè)標(biāo)準(zhǔn)進(jìn)行類(lèi)別劃分。（1）按照數(shù)據(jù)傳輸方式分類(lèi)隧道模式（TunnelingMode）：通過(guò)在原始數(shù)據(jù)包外包含新的數(shù)據(jù)包頭，將數(shù)據(jù)加密后傳輸，通常用于遠(yuǎn)程訪問(wèn)、連接不同地區(qū)的私有網(wǎng)絡(luò)等場(chǎng)景。透明模式（TransparentMode）：在不修改數(shù)據(jù)包的情況下，直接對(duì)數(shù)據(jù)包進(jìn)行加密，通常用于保障公共網(wǎng)絡(luò)傳輸?shù)陌踩?。?）根據(jù)網(wǎng)絡(luò)類(lèi)型分類(lèi)遠(yuǎn)程訪問(wèn)VPN：用于遠(yuǎn)程工作人員訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源。例如，PPTP、L2TP、SSLVPN等。點(diǎn)對(duì)點(diǎn)VPN：兩個(gè)設(shè)備之間建立VPN連接，用于連接分布在不同地方的局域網(wǎng)。例如，IPSec適用于點(diǎn)對(duì)點(diǎn)場(chǎng)景。8.2工業(yè)防火墻2.VPN的分類(lèi)（3）根據(jù)安全協(xié)議分類(lèi)PPTP協(xié)議：使用GRE協(xié)議封裝，加密強(qiáng)度較低，適用不需要太高安全度的場(chǎng)景。L2TP協(xié)議：基于PPTP協(xié)議，加入L2TP協(xié)議使其更安全，適用于需要中等安全度的場(chǎng)景。IPSec協(xié)議：加密強(qiáng)度高，安全性好，但設(shè)置較為復(fù)雜，適用于需要高度安全保障的場(chǎng)景。8.2工業(yè)防火墻8.2.4IPSecVPNIPSecVPN是一種通過(guò)互聯(lián)網(wǎng)建立虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）的技術(shù)，也是目前應(yīng)用最多的一種VPN技術(shù)。它使用IPSec協(xié)議來(lái)提供安全的遠(yuǎn)程訪問(wèn)解決方案，加密和認(rèn)證網(wǎng)絡(luò)數(shù)據(jù)包，以確保數(shù)據(jù)在傳輸過(guò)程中的安全性和完整性。

1.IPSec概述IPsec是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過(guò)加密和數(shù)據(jù)摘要等手段，來(lái)保證數(shù)據(jù)包在Internet上傳輸時(shí)的私密性、完整性和真實(shí)性。IPsec工作在OSI第3層，即網(wǎng)絡(luò)層，可以保護(hù)和驗(yàn)證所有參與IPsec的設(shè)備之間的IP數(shù)據(jù)包，也可以在第4層到第7層上實(shí)施保護(hù)。通常，IPsec可以保護(hù)網(wǎng)關(guān)與網(wǎng)關(guān)之間、主機(jī)與主機(jī)之間或網(wǎng)關(guān)與主機(jī)之間的路徑。IPsec可在所有的第2層協(xié)議中運(yùn)行，例如以太網(wǎng)、ATM或幀中繼等。IPsec的特征可歸納如下：（1）IPsec是一種與算法無(wú)關(guān)的開(kāi)放式標(biāo)準(zhǔn)框架。（2）IPsec提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和來(lái)源驗(yàn)證。（3）IPsec在網(wǎng)絡(luò)層起作用，保護(hù)和驗(yàn)證IP數(shù)據(jù)包。8.2工業(yè)防火墻2.IPsec的基本模塊IPsec協(xié)議框架包含安全協(xié)議、加密、數(shù)字摘要、身份驗(yàn)證和對(duì)稱(chēng)密鑰交換五個(gè)基本組成模塊，這些模塊的組合可以為IPsecVPN提供機(jī)密性、完整性和身份驗(yàn)證等功能。3.IPSec的封裝模式IPsec必須將IP數(shù)據(jù)包進(jìn)行封裝，才能通過(guò)Internet等不安全網(wǎng)絡(luò)進(jìn)行傳輸，封裝模式主要有傳輸模式和隧道模式兩種。

4.IPSecVPN的協(xié)商過(guò)程當(dāng)需要保護(hù)的流量流經(jīng)VPN網(wǎng)關(guān)時(shí)，就會(huì)觸發(fā)VPN網(wǎng)關(guān)啟動(dòng)IPsecVPN相關(guān)的協(xié)商過(guò)程，啟動(dòng)IKE（InternetKeyExchange，Internet密鑰交換）階段1，對(duì)通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道；啟動(dòng)IKE階段2，在上述安全通道上協(xié)商IPsec參數(shù)，并按協(xié)商好的IPsec參數(shù)對(duì)數(shù)據(jù)流進(jìn)行加密、Hash等保護(hù)。8.3實(shí)訓(xùn)為了進(jìn)一步熟悉掌握訪問(wèn)控制列表和防火墻的具體應(yīng)用，本章實(shí)訓(xùn)要基于西門(mén)子工業(yè)網(wǎng)絡(luò)設(shè)備完成如下安全功能配置：一是基于SCALANCEXM408第3層工業(yè)交換機(jī)實(shí)現(xiàn)ACL訪問(wèn)控制列表的功能配置；二是在SCALANCES615工業(yè)防火墻上實(shí)現(xiàn)安全策略和用戶(hù)管理功能配置。1.實(shí)訓(xùn)目的（1）了解訪問(wèn)控制列表ACL的基本概念和工作原理；

（2）理解工業(yè)防火墻的基本概念和工作原理；

（3）掌握在SCALANCEXM408工業(yè)交換機(jī)上部署訪問(wèn)控制列表的配置方法；（4）掌握SCALANCES615工業(yè)防火墻上部署安全策略的配置方法。8.3實(shí)訓(xùn)2.實(shí)訓(xùn)準(zhǔn)備（1）復(fù)習(xí)本章內(nèi)容；

（2）熟悉西門(mén)子SCALANCEXM-408第3層工業(yè)交換機(jī)ACL基本配置；

（3）熟悉SCALANCES615工業(yè)防火墻的基本配置3.實(shí)訓(xùn)設(shè)備（1）1臺(tái)電腦：已安裝博途和PRONETA軟件（2）2臺(tái)SIMATICS7-1200PLC（3）2臺(tái)SCALANCEXB-208第2層工業(yè)交換機(jī)（4）1臺(tái)SCALANCEXM-408第3層工業(yè)交換機(jī)（5）1臺(tái)SCALANCES615工業(yè)防火墻（6）網(wǎng)線(xiàn)若干8.3實(shí)訓(xùn)8.3.1第3層工業(yè)交換機(jī)訪問(wèn)控制列表配置實(shí)驗(yàn)任務(wù)1基于MAC地址的訪問(wèn)控制列表配置8.3實(shí)訓(xùn)首先完成所有設(shè)備IP地址配置，在此基礎(chǔ)上在第3層交換機(jī)XM408上配置基于MAC地址訪問(wèn)控制列表，實(shí)現(xiàn)如下訪問(wèn)控制：（1）只有S71200-A能通過(guò)P3端口訪問(wèn)上位機(jī)，具有其他MAC地址的設(shè)備均不能通過(guò)P3端口訪問(wèn)上位機(jī)；（2）只有S71200-B能通過(guò)P5端口訪問(wèn)上位機(jī)，具有其他MAC地址的設(shè)備均不能通過(guò)P5端口訪問(wèn)上位機(jī)。8.3實(shí)訓(xùn)1.各設(shè)備IP地址配置步驟1按照實(shí)驗(yàn)拓?fù)鋱D將XM408的P3端口連接到S71200-A；將P5端口連接到S71200-B；將P8端口與上位機(jī)相連。步驟2使用博途軟件分別為S71200-A和S71200-B設(shè)置IP地址為1和2。步驟3使用PRONETA為XM-408復(fù)位并配置IP地址，配置后的結(jié)果如圖8-14所示8.3實(shí)訓(xùn)在圖形視圖中顯示設(shè)備間的連接狀態(tài)；在設(shè)備表中逐行顯示出交換機(jī)和兩臺(tái)PLC的概要信息，其中能清晰看到其MAC地址，這個(gè)地址將在后續(xù)ACL配置中被應(yīng)用。步驟4為上位機(jī)配置IP地址并查看其MAC地址，結(jié)果如圖8-15所示。8.3實(shí)訓(xùn)2.在三層交換機(jī)XM-408上配置MACACL步驟1通過(guò)瀏覽器訪問(wèn)第3層交換機(jī)XM408（），登錄后進(jìn)入其配置界面。步驟2在左側(cè)選擇“Security”項(xiàng)目下的“MACACL”，進(jìn)入“MACAccessControlListConfiguration”界面，雙擊三次“Create”按鈕，產(chǎn)生三條默認(rèn)規(guī)則。對(duì)這三條規(guī)則修改后，點(diǎn)擊“SetValues”按鈕8.3實(shí)訓(xùn)規(guī)則1： SourceMAC：源MAC地址8c:f3:19:10:23:9f是S71200-A的MAC地址；Dest.MAC：

目的MAC地址50-7B-9D-E9-CF-12是上位機(jī)的MAC地址。規(guī)則2： SourceMAC：源MAC地址8c:f3:19:10:26:53是S71200-B的MAC地址；Dest.MAC：目的MAC地址也是上位機(jī)的MAC地址。規(guī)則3： SourceMAC：源MAC地址00-00-00-00-00-00b代表的是任意MAC地址；Dest.MAC：目的MAC地址也是上位機(jī)的MAC地址?！癆ction”欄下拉列表中的“Forward”表示：

如果報(bào)文滿(mǎn)足ACL規(guī)則就允許報(bào)文通過(guò)；“Discard”表示：如果報(bào)文滿(mǎn)足ACL規(guī)則就不允許報(bào)文通過(guò)。8.3實(shí)訓(xùn)步驟3選擇“IngressRules”，進(jìn)入對(duì)具體端口“入站（ingress）”配置界面。兩條規(guī)則表示：只有S71200-A能通過(guò)P3端口訪問(wèn)上位機(jī)，具有其他MAC地址的設(shè)備均不能通過(guò)P3端口訪問(wèn)上位機(jī)。8.3實(shí)訓(xùn)步驟4以同樣方法，將規(guī)則2和規(guī)則3添加到P5口中，兩條規(guī)則表示：只有S71200-B能通過(guò)P5端口訪問(wèn)上位機(jī)，具有其他MAC地址的設(shè)備均不能通過(guò)P5端口訪問(wèn)上位機(jī)。8.3實(shí)訓(xùn)3.基于MAC地址的訪問(wèn)控制列表測(cè)試步驟1正常通訊測(cè)試。在上位機(jī)的“命令提示符”環(huán)境中，分別輸入指令“ping1”和“ping2”，結(jié)果

如圖8-19所示。測(cè)試結(jié)果表明：上位機(jī)能夠訪問(wèn)到兩個(gè)S71200PLC，且兩個(gè)S71200PLC均能通過(guò)設(shè)置的MACACL規(guī)則將數(shù)據(jù)包返回給上位機(jī)，說(shuō)明相關(guān)的MAC地址和允許規(guī)則是匹配的。8.3實(shí)訓(xùn)步驟2改變P3和P5端口連接設(shè)備測(cè)試將S71200-A和S71200-B的連接端口互換，即與XM408的P3端口連接的PLC是S71200-B，而與P5端口連接的PLC是S71200-A。測(cè)試結(jié)果表明：由于P3和P5“入口”規(guī)則允許的源MAC地址發(fā)生了改變，P3端口禁止從S71200-B發(fā)出的數(shù)據(jù)包通過(guò)P3端口傳輸?shù)缴衔粰C(jī)，而P5端口也禁止從S71200-A發(fā)出的數(shù)據(jù)包通過(guò)P5端口傳輸?shù)缴衔粰C(jī)。8.3實(shí)訓(xùn)實(shí)驗(yàn)任務(wù)2基于IP地址的訪問(wèn)控制列表配置首先完成3個(gè)交換機(jī)和PC的IP地址配置。在此基礎(chǔ)上在第3層交換機(jī)XM408上配置訪問(wèn)控制列表ACL實(shí)現(xiàn)如下訪問(wèn)控制：（1）PC通過(guò)XM408的P1端口只能與XB208_1設(shè)備通信；（2）PC通過(guò)XM408的P2端口只能與XB208_2設(shè)備通信8.3實(shí)訓(xùn)1.網(wǎng)絡(luò)基礎(chǔ)配置步驟1按照網(wǎng)絡(luò)結(jié)構(gòu)邏輯拓?fù)鋱D將SCALANCEXM408的P1、P2端口與兩臺(tái)SCALANCEXB208的端口相連，SCALANCEXM408的P8端口與PC相連。步驟2使用PRONETA為3臺(tái)交換機(jī)復(fù)位并配置IP地址步驟3測(cè)試PC和XB208-1、XB208-2之間的連通性，確保在配置ACL之前設(shè)備間都能正常通信，結(jié)果如圖8-23所示，通過(guò)PC均能訪問(wèn)到兩臺(tái)XB208交換機(jī)8.3實(shí)訓(xùn)2.基于IP地址的訪問(wèn)控制列表配置步驟1通過(guò)瀏覽器訪問(wèn)第3層交換機(jī)XM408（），登錄后進(jìn)入其配置界面。步驟2配置IPACL規(guī)則：在左側(cè)選擇Security->IPACL，在RulesConfiguration標(biāo)簽下完成ACL規(guī)則配置，單擊Create依次創(chuàng)建4條規(guī)則，并設(shè)置規(guī)則相應(yīng)的參數(shù)。8.3實(shí)訓(xùn)

SourceIP：源IP地址；

SourceSubnetMask：源子網(wǎng)掩碼；

Dest.IP：目的IP地址；

Dest.SubnetMask：目的子網(wǎng)掩碼；

Action：要執(zhí)行的操作，F(xiàn)orward表示符合ACL規(guī)則，則轉(zhuǎn)發(fā)數(shù)據(jù)；

Discard表示符合ACL規(guī)則，則丟棄數(shù)據(jù)不轉(zhuǎn)發(fā)。

規(guī)則1：允許源IP地址為00的設(shè)備與目的IP地址為0的設(shè)備通信。

規(guī)則2：允許源IP地址為00的設(shè)備與目的IP地址為0的設(shè)備通信。

規(guī)則3：任何其他IP地址都不能與目的IP地址為0的設(shè)備通信。

規(guī)則4：任何其他IP地址都不能與目的IP地址為0的設(shè)備通信。8.3實(shí)訓(xùn)步驟3將IPACL應(yīng)用在P1端口上步驟4用同樣方法在P2入口方向上應(yīng)用IPACL規(guī)則2和規(guī)則3步驟5用同樣方法在P3入口方向上應(yīng)用IPACL規(guī)則3和規(guī)則4步驟6為P4和P5入口方向上也應(yīng)用IPACL規(guī)則3和規(guī)則48.3實(shí)訓(xùn)3.基于IP地址的訪問(wèn)控制列表測(cè)試步驟1將PC插入P1端口：能與0的設(shè)備通信（滿(mǎn)足規(guī)則1）8.3實(shí)訓(xùn)3.基于IP地址的訪問(wèn)控制列表測(cè)試步驟2將PC插入P1端口：不能與0的設(shè)備通信（滿(mǎn)足規(guī)則4）8.3實(shí)訓(xùn)3.基于IP地址的訪問(wèn)控制列表測(cè)試步驟3將PC插入P2端口：不能與0的設(shè)備通信（滿(mǎn)足規(guī)則3）8.3實(shí)訓(xùn)3.基于IP地址的訪問(wèn)控制列表測(cè)試步驟4將PC插入P2端口：能與0的設(shè)備通信（滿(mǎn)足規(guī)則2）8.3實(shí)訓(xùn)8.3.2西門(mén)子S615工業(yè)防火墻配置實(shí)驗(yàn)任務(wù)1西門(mén)子S615防火墻安全策略配置現(xiàn)有一個(gè)車(chē)間，包含一個(gè)工藝單元和一臺(tái)生產(chǎn)監(jiān)控服務(wù)器，工藝單元中有一臺(tái)S71200PLC。防火墻模塊615將生產(chǎn)網(wǎng)絡(luò)與外部管理網(wǎng)絡(luò)隔離開(kāi)。要求實(shí)現(xiàn)車(chē)間內(nèi)部網(wǎng)絡(luò)可以訪問(wèn)外部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)不能訪問(wèn)車(chē)間內(nèi)部網(wǎng)絡(luò)，以防止外部的惡意攻擊。外部網(wǎng)絡(luò)中，只有特定的用戶(hù)可以訪問(wèn)內(nèi)部生產(chǎn)監(jiān)控服務(wù)器，不能訪問(wèn)其他設(shè)備。8.3實(shí)訓(xùn)8.3實(shí)訓(xùn)步驟1按照網(wǎng)絡(luò)拓?fù)鋱D將SCALANCES615的P1端口與XB208的端口相連、P5端口與PC1相連。注意防火墻上最上面的端口是P5端口，用于連接外部網(wǎng)絡(luò)；P5端口之下依次是P1-P4端口，用于連接內(nèi)網(wǎng)。XB208可選擇任意端口分別與S615、PLC和Server連接。步驟2根據(jù)IP規(guī)劃為PLC、Server和PC1配置IP地址，對(duì)XB208和S615執(zhí)行復(fù)位操作并配置IP地址步驟3通過(guò)Server的瀏覽器訪問(wèn)，登錄后進(jìn)入S615的配置界面8.3實(shí)訓(xùn)步驟4在S615上配置VLAN：VLAN1的Name為INT，VLAN10的Name為EXT。步驟5在S615上配置端口所屬的VLAN步驟6在Layer3->Subnets的Configuration標(biāo)簽下分別配置外網(wǎng)和內(nèi)網(wǎng)網(wǎng)關(guān)8.3實(shí)訓(xùn)步驟7測(cè)試內(nèi)網(wǎng)PLC、Server和外網(wǎng)PC1之間的連通性，確保在配置啟動(dòng)防火墻之前設(shè)備間都能互相通信。從Server去PING內(nèi)網(wǎng)PLC和外網(wǎng)PC1都能PING通。8.3實(shí)訓(xùn)步驟8規(guī)劃防火墻規(guī)則步驟9啟用防火墻：在Security->Firewall界面General標(biāo)簽下，勾選ActivateFirewall復(fù)選框8.3實(shí)訓(xùn)步驟10在“IPRules”標(biāo)簽下添加IP過(guò)濾規(guī)則，如圖8-41所示。其中第一條規(guī)則表示：內(nèi)網(wǎng)中任一主機(jī)可以訪問(wèn)外網(wǎng)的任一主機(jī)。第二條規(guī)則表示：外網(wǎng)訪問(wèn)內(nèi)網(wǎng)方向，外網(wǎng)中只有IP地址為的主機(jī)可訪問(wèn)內(nèi)網(wǎng)，且僅可以訪問(wèn)內(nèi)網(wǎng)IP地址為的主機(jī)。8.3實(shí)訓(xùn)步驟11防火墻功能測(cè)試（1）外網(wǎng)IP地址為的主機(jī)能訪問(wèn)內(nèi)網(wǎng)IP地址為的主機(jī)8.3實(shí)訓(xùn)（