工控防火墙和普通信息防火墙具有区别,包括但不限于解析协议不同,CIA要求不同,放置地理位置的所能承受的恶劣环境不同等
下文将对工控防火墙的部署流程及功能等进行讲解
部署流程
- 连接网线使用以太网进行连接,配置ip,使用账户密码登录。
- 更改通信密钥,以使和安管平台进行通信。
业务管理
- 服务定义
定义服务名称,协议类型(TCP/UDP),目的端口 - 安全策略
根据第1布的服务定义,选择第1步定义的服务,再增加配置目的ip,流方向(ETH1->ETH2) - 流量异常
异常流量分类:设置防火墙需要检测哪些异常流量,如LAND,PING OF DEATH,TearDrop,Smurf等异常流量
扫描攻击方式:扫描端口、IP
采用防范方式:黑名单
采用防范动作:告警/丢弃 - DPI策略
保护OPC协议 - DDOS防护
可以设置是否对TCP Flood,ICMP Flood,UDP Flood,ARP Flood,会话等进行DDOS防护。设置方法,通过设置SYN Flood连接时间的阈值等进行设置 - IP-MAC绑定表
绑定IP和MAC,网口,防止ARP欺骗
ARP欺骗:例如某一的IP地址是192.168.0.254,其MAC地址为00-11-22-33-44-55,网络上的计算机内ARP表会有这一笔ARP记录。攻击者发动攻击时,会大量发出已将192.168.0.254的MAC地址篡改为00-55-44-33-22-11的ARP数据包。那么网络上的计算机若将此伪造的ARP写入自身的ARP表后,计算机若要透过网上网关连到其他计算机时,数据包将被导到00-55-44-33-22-11这个MAC地址,因此攻击者可从此MAC地址截收到数据包,可篡改后再送回真正的网关,或是什么也不做,让网上无法连线 - Modbus TCP策略
对Modbus TCP策略进行管理,分别针对设备的地址、功能码、位号等进行设置
系统配置
- 访问控制
控制可以访问后台的设备权限,通过设置ip、mac达到该目的。 - 系统备份
导出导入system.json文件
监控
- 统计信息
统计会话数量,包数量统计 - 流量报表
特定ip地址的上传下载流量的总量
系统日志
警告,错误,通知,调试