- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath 工控防火墙 Web配置指导-5W103-整本手册.pdf (8.23 MB)
H3C SecPath 工控防火墙
Web配置指导
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
H3C SecPath F3010-I®(导轨式)和H3C SecPath F3110-I®(1U机架式)工业控制防火墙系统(下面简称“工控防火墙”)是新华三技术有限公司面向工业控制网络研发和推出的涵盖传统防火墙、工控网络流量智能学习、工控协议数据包深度解析、工控协议指令控制等功能在内的工控网络安全防护产品。
工控防火墙支持灵活的安全区域隔离和丰富的安全策略控制功能,实现防火墙最为核心的网络隔离和访问控制功能,同时采用了安全策略规则高速匹配算法,确保了安全策略规则的查找和匹配速度,在上万条规则进行查找匹配的同时,性能基本不受到影响,提高了系统的整体性能。
工控防火墙在流会话的基础之上,实现了状态检测防火墙功能,智能检测TCP流量状态信息并进行控制,智能进行应用层检测并打开动态端口,创建和删除针对动态协商端口的数据包的安全策略规则,以允许或阻止相关的报文通过,满足安全最小化原则。
工控防火墙支持 VPN、NAT、DDoS 攻击防护等多种网络安全防护技术,通过 IPSec VPN 为通讯双方提供访问控制、无连接完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务,通过 SNAT 和 DNAT 提供多种丰富地址转换服务,并支持 SYN-FLOOD、UDP-FLOOD 等多种 DDoS 攻击防护功能。
针对工控网络和系统,工控防火墙支持针对包括 Modbus/TCP、OPC Classic、DNP3、S7、S7 plus 、IEC60870-5-104、MMS、Ethernet/IP、Opcua、BACnet、Goose、SV、Profinet_dcp等在内的各类主流工控网络协议的深度解析功能,并在此基础之上基于工控网络白名单对工控流量进行智能保护和指令级控制。此外,工控防火墙通过集成工控漏洞库和工控入侵检测特征库,以工控网络黑名单技术对工控网络中的攻击和入侵行为进行检测和阻断。
工控防火墙综合的运用了多核并行控制技术、非共享式 TCP 协议栈、数据路径优化技术智能学习技术等多项技术,在实现精确访问控制和细致指令内容过滤的同时达到较高的性能水平,很好的适应了未来工控网络高带宽、大流量的发展方向。
工控防火墙设备可以通过HTTPS协议建立安全的web连接,或通过命令行界面(CLI)进行管理。通过WebUI和CLI进行的配置变更可即时生效。
在使用CLI变更配置时,为了保存设置和使其持久有效,您必须手动发出“保存配置”命令,而使用WebUI变更配置时,配置将会自动保存。
将设备连接到网络中后,首先需要进行简单的配置,包括如下内容:
· 登录WebUI
· WebUI简单介绍
管理员通过使用安全的HTTPS连接,对工控防火墙产品进行管理和配置,支持的浏览器包括:
· Firefox 55(64位)以上版本
· Chrome 65(64 位)以上版本
PC机需先配置好IP地址,与产品在同一网段中(产品出厂配置时,管理口的默认IP为:192.168.0.1/24),连接工控防火墙产品的管理口GE0/0管理接口,登录工控防火墙产品,步骤描述如下:
图2-1 Web UI介绍
· 通过web浏览器,输入路径和地址。
https://192.168.0.1
· 进入登录页,输入默认的管理员用户名和密码,默认IP和管理账户如下:
IP地址:192.168.0.1;
用户名:admin
密 码:admin
注:设备默认工作模式透明模式。
· 单击“登录”,即可进入产品首页。
出于安全考虑,首次登录后请修改默认账户密码。
产品默认GE0/0为管理口,建议保持端口的出厂设置。
管理员初次登录产品界面如下图所示,下图即为“主页”页面,集中显示产品的基本信息,管理员可以在此快捷的查看设备的运行状态。
图2-2 WebUI 系统状态总览
工控防火墙的WebUI管理界面分为一级、二级、三级菜单区域和操作区域四个部分,依次介绍如下:
· 一级菜单
工控防火墙的一级菜单区域按产品主要功能分为八项:
主页:管理界面首页,汇总显示系统运行的一些数据。
系统监控:系统运行数据统计,可以从不同维度展现产品所达到的效果。
日志报表:为用户提供各种日志和报表的查询入口。
对象:主要是方便用户预先定义一些策略元素,是策略生成的基础项目。
策略:系统访问控制的核心功能,包括安全策略、工业协议黑名单和工业协议白名单等。
VPN: IPSec VPN的配置和状态监测功能。
网络:主要是与网络有关的一些配置,例如接口、路由等。
系统:包括升级更新、权限控制、配置备份还原等周边功能。
· 二级和三级菜单
在界面的左侧以树形结构展现,内容随一级菜单不同而变化,默认二级菜单全部展开。
· 操作区域
界面右侧为配置区域,管理员可以在此对设备进行配置。
在首页的右上角,“退出”功能按钮,单击可以退出产品界面,确保关闭Web浏览器前从产品界面中退出,否则,产品将在登录超时(默认超时为15分钟)后从工控防火墙产品自动退出。
管理员要通过WebUI界面对设备进行远程管理,必须配置设备的IP地址和默认网关。
初始配置完成后就可以在网络中安全地部署工控防火墙了,完成部署后,只要将浏览器指向分配给工控防火墙的IP地址,管理员就能够使用HTTPS协议安全地访问到WebUI管理平台,在WebUI界面中,管理员可根据需要对设备进行配置。
在主页一级菜单下,管理员可以查看到当前的系统时间,还可以查看到系统相关的所有信息、系统资源的利用情况。
图3-1 系统状态总览
用户可以通过左侧菜单,点选关注内容进行筛选。
“系统时间”显示设备当前的系统时间,要想进行时间设置,选择 系统 > 基本配置>系统时钟。首页界面默认每隔60秒更新一次,管理员可以从右侧的下拉列表中选择一个,修改刷新的时间间隔,可选值为不刷新或者每隔30/60/90/120秒刷新一次,管理员还可以点击“刷新”按钮手工对页面进行即时更新。
选择菜单主页 > 系统信息,用户可以查看设备包括设备名称、系统资源使用情况、运行时间、系统固件版本、HA状态信息等等,在系统版本处点击相应的链接可以跳转至相应的配置页面进行更新操作。
图3-2 硬件及版本信息
表3-1 系统信息显示项说明
|
参数 |
说明 |
|
主机名 |
设备的主机名。主机名可由英文字母、数字、下划线‘_’等组成。管理员可以在系统设置管处修改主机名 |
|
CPU利用率 |
显示目前CPU使用的百分比 |
|
内存使用率 |
显示目前内存使用的百分比 |
|
日志存储空间使用率 |
显示保存日志所用磁盘空间的百分比 |
|
运行时间 |
显示系统从上次启动起运行的总时长,“正常运行时间”的显示单位为天、小时和分钟 |
|
系统版本 |
显示目前运行于设备上的软件的版本号,想要升级软件,请单击“系统版本”旁的“更新”按钮即可 |
|
序列号 |
显示目前设备的硬件序列号 |
|
设备型号 |
显示目前设备的具体型号 |
|
HA状态 |
显示HA状态 |
选择菜单主页 > 系统资源,管理员可以查看到一小时内系统CPU利用率和经过设备上传和下载的网络流量的曲线示意图。
图3-3 CPU、内存和流量统计图
系统监控模块用于管理员查看系统资源使用情况、各种安全事件的统计信息、网络带宽的使用情况、系统进行流量控制的总体信息、IPSec VPN隧道的相关情况等等,包括如下内容:
· 系统资源:监控系统资源如内存、CPU、网络流量等的使用情况;
· 安全策略匹配:监控匹配安全策略的数据流量的统计信息;
· 协议流量统计:各个协议产生的流量波动情况;
· 带宽:监控网络中的总体带宽、带宽通道以及用户带宽的使用情况;
· 流量控制:各IP地址的上下行流量情况;
· VPN状态:监控IPSec VPN隧道状态,以及VPN连接地址状态。
系统资源显示系统的CPU利用率、内存利用率以及网络流量的统计曲线图。
图4-1 系统资源统计
曲线图显示在统计时间内不同时刻的瞬间数值。
图表下方显示当前值、最大值、平均值的精确数值:
· 当前值:页面加载时的瞬时使用率或流量值;
· 平均值:指当前统计周期内的平均使用率或流量值;
· 最大值:当前统计周期内的峰值使用率或流量值。
管理员可根据需求设定显示信息内容:
图4-2 统计配置
· 统计时间
默认为一个小时,管理员可以在界面左下方选择不同的统计时间间隔,可选值为:1小时、今天、本周、过去7天、本月、过去30天、定制日期。
· 根据需求定制日期
图4-3 定制日期设置
根据需求制定日期,点击“应用“即可。
· 刷新时间
默认为不刷新,管理员可以设置界面数据自动刷新的时间间隔,可选值为:不刷新、每隔30/60/90/120秒刷新一次,管理员还可以点击“刷新”按钮手工对页面进行即时更新。
安全策略匹配提供在统计时间内,总的网络会话以及匹配安全策略的网络会话的数量统计。
图4-4 安全策略匹配情况(饼图)
图4-5 安全策略匹配情况(柱状图)
用户可以在界面左下方选择显示图形类别,如柱状图,饼图。
在列表中点击“操作”图标,在新的窗口中查看匹配策略的会话的详细情况。
图4-6 策略匹配详细
支持策略会话日志文件的导出,用户可根据需求设定导出样式和内容。
图4-7 导出及内容设定
· 统计时间
默认为一个小时,管理员可以在界面左下方选择不同的统计时间间隔,可选值为:1小时、今天、本周、过去7天、本月、过去30天、定制日期。
图4-8 定制日期设置
· 事件TOP
系统默认显示一个小时内排列在前10位的网络会话,管理员可以在界面下方修改,可选值为:10、20、30。
· 刷新时间
默认为不刷新,管理员可以设置界面数据自动刷新的时间间隔,可选值为:不刷新、每隔30/60/90/120秒刷新一次,管理员还可以点击“刷新”按钮手工对页面进行即时更新。
· 导出文件类型
目前导出文件类型只支持PDF、HTML两种。
协议流量统计主要展示设备所监控协议的统计情况。协议流量波动统计,目前主要涉及Modbus、OPC、DNP3、IEC104、S7、MMS、CIP、S7 Plus、OPCUA、HTTP、FTP、Telnet、SNMP等12种协议的统计。
图4-9 协议流量波动统计
图4-10 协议流量统计
图4-11 协议会话数统计
图4-12 协议分布统计
· 统计时间
默认为一个小时,管理员可以在界面左下方选择不同的统计时间间隔,可选值为:1小时、今天、本周、过去7天、本月、过去30天、定制日期。
图4-13 定制日期设定
根据需求制定日期,点击“应用“即可。
· 刷新时间
默认为不刷新,管理员可以设置界面数据自动刷新的时间间隔,可选值为:不刷新、每隔30/60/90/120秒刷新一次,管理员还可以点击“刷新”按钮手工对页面进行即时更新。
管理员可以在此监控到对网络带宽进行控制的相关统计信息,包括如下内容:
· 总体带宽状况:监控各物理接口的带宽使用情况;
· 带宽通道监控:监控已配置的带宽通道的使用情况;
· 用户带宽统计:监控用户/IP地址带宽使用情况。
总体带宽状况显示各物理接口的带宽使用情况,以及数据包收发情况两方面统计。
· 选择 系统监控 > 带宽 > 总体带宽状况,界面如下图所示。
图4-14 总体带宽状况
界面上方的默认显示GE0/0口在一个小时内的网络流量统计曲线信息,包括上行流速、下行流速和总流速的当前值、最大值和平均值。
· 当前值:是指页面加载时的流量。
· 最大值:是指当前统计周期内的峰值流量。
· 平均值:是指当前统计周期内的平均流量。
下方列表中显示接口对数据报文的处理情况,包括所有物理接口的状态信息、发送和接收的报文的总数目和错误的数据报文数目。
用户可根据需求设定显示信息内容:
图4-15 显示信息设定
· 统计时间
默认为一个小时,管理员可以在界面左下方选择不同的统计时间间隔,可选值为:1小时、今天、本周、过去7天、本月、过去30天、定制日期。
图4-16 定制日期设定
根据需求制定日期,点击“应用“即可。
· GE端口
系统默认显示GE0/0口的流量信息,管理员可以在界面下方选择不同接口查看各接口的流量带宽和流量情况,可选端口为GE0/0-GE0/5。
· 刷新时间
默认为不刷新,管理员可以设置界面数据自动刷新的时间间隔,可选值为:不刷新、每隔30/60/90/120秒刷新一次,管理员还可以点击“刷新”按钮手工对页面进行即时更新。
带宽通道监控显示系统中所有已配置的带宽通道的使用情况数据(带宽通道配置请参见 _带宽通道),包括通道包含的接口、通道中流量的瞬时速率、通道瞬时使用率、流量的平均速率和平均使用率、流量的峰值速率和峰值使用率七个方面来评估带宽通道的使用情况。
选择 系统监控 > 带宽 > 带宽通道监控
图4-17 带宽监控详细
系统默认显示一个小时以内的带宽通道监控数据,在列表中按下行方向平均使用率生成降序列表。
图4-18 设定显示信息内容
· 统计时间
默认为一个小时,管理员可以在界面左下方选择不同的统计时间间隔,可选值为:1小时、今天、本周、过去7天、本月、过去30天、定制日期,可以根据需求定制日期。
图4-19 设定定制日期
根据需求制定日期,点击“应用”即可。
· 刷新时间
默认为不刷新,管理员可以设置界面数据自动刷新的时间间隔,可选值为:不刷新、每隔30/60/90/120秒刷新一次,管理员还可以点击“刷新”按钮手工对页面进行即时更新。
用户带宽统计提供某IP地址带宽使用情况,管理员可以在此查看某个IP地址用户的带宽使用的详细情况,还可以将统计信息以PDF或HTML格式导出。
选择 系统监控 > 带宽 > 用户带宽统计
图4-20 用户带宽统计
在下方的列表中点击“来源IP地址”一栏,可以列出该用户的详细信息、用户带宽统计页面中选定时间范围内的速率趋势图、用户带宽统计页面中选定时间范围内表按下行方向累积流量降序排列。
图4-21 设定显示信息内容
· 样式统计
管理员可以选择显示的图形,可以选择饼状图或柱状图。
· 统计时间
默认为一个小时,管理员可以在界面左下方选择不同的统计时间间隔,可选值为:1小时、今天、本周、过去7天、本月、过去30天、定制日期,可以根据需求定制日期。
图4-22 设定定制日期
根据需求制定日期,点击“应用“即可。
· 事件TOP
系统默认显示一个小时内排列在前十位的用户的带宽使用情况的统计信息,管理员可以在界面下方修改,可选值为:10、20、30。
· 刷新时间
默认为不刷新,管理员可以设置界面数据自动刷新的时间间隔,可选值为:不刷新、每隔30/60/90/120秒刷新一次,管理员还可以点击“刷新”按钮手工对页面进行即时更新。
· 导出文件类型
目前导出文件类型只支持PDF、HTML两种。
流量控制监控显示所有在流量策略中配置了流量配额的用户的配额使用情况,
选择 系统监控 >> 流量控制。
图4-23 流量控制详细
默认列出所有配置了流量配额策略用户的配额使用情况,并按IP地址降序排列。
用户在此查看VPN隧道的状态信息,IPSec VPN的隧道状态。
显示IPSec VPN客户端配置的状态。
图4-24 IPSec VPN客户端状态
· 刷新:可查看到最新的客户端状态信息。
· 下线:可强制指定VPN用户下线。
显示IPSec VPN通道的状态,以及两端连接的情况。
图4-25 IPSec VPN隧道状态
以及地址分配列表状态:
点击“刷新”按钮即可查看到最新的隧道状态信息。
显示DHCP服务各客户端状态
点击“刷新”按钮即可查看到最新状态。
管理员可以在此查看系统生成的各种类别的日志,以及管理员生成的报表信息,包括如下内容:
· 报表:配置报表任务、相关参数,以及查看生成的报表;
· 日志:查看各种类别的日志信息,以及日志转储功能。
管理员在此可以配置和查看生成的报表信息,包括如下内容:
· 历史报表:管理已经生成的报表;
· 报表任务:指定定期生成报表任务;
· 即时制作报表:手动即时生成报表;
· 配置:配置报表存储参数。
选择日志报表>报表 > 历史报表,管理员可查看、下载或删除已产生的报表。
图5-1 历史报表详情
· 查看报表内容。选择一个报表然后点击“查看”按钮,或者直接点击报表类别,均可以查看报表内容。
图5-2 历史报表详情
在查看页面点击右上方的“PDF”可以直接将报表生成pdf格式的文件,并保存在压缩文件中,生成后会提示管理员是直接打开还是保存报表文件,管理员根据需要选择相应的操作即可。
· 导出报表。选择一个或多个报表,然后点击“导出”按钮,可以下载报表到管理员本地PC机上。
· 删除报表。选择一个或多个报表,并点击“删除”按钮可以删除相应的报表。
管理员可根据需要,设置定期产生报表,根据不同的统计周期可以生成日报表、周报表以及月报表,报表可以在设备本地保存,也可配置为自动提供到管理员的电子邮件账户中。
· 选择 日志报表 > 报表 > 报表任务,界面显示定期报表任务的列表。
图5-3 报表任务
列表中可以查看到报表名称、报表当前是否启用、以及报表的生成周期。
· 添加任务
· 点击“添加”按钮,在新弹出的窗口中输入报表名称。
图5-4 添加报表任务
输入报表名称后点击“确定”按钮即可。
· 在列表中点击报表名称,在新打开的窗口中设置报表的内容和具体参数。
图5-5 编辑报表任务
报表中可以包含系统信息的设置,如下:
图5-6 设置报表内容
点击报表类型左侧各项,可以设置每一类型报表中所包含的具体内容,只有勾选具体的选项后,报表中才会包含相应的内容。
· 选择报表的统计对象
图5-7 设置指定IP地址日志
默认情况下,选择“选定:IP地址(/掩码):0.0.0.0/0”,则系统从所有的日志信息中提取相关数据生成报表信息。
如果仅需要为特定的客户端IP生成报表,则在“选定:IP地址(/掩码)”处输入IP地址及子网掩码信息。
· 选择报表统计的时间范围
图5-8 设置报表统计的时间范围
· 选择生成报表的周期和具体时间
在“计划时间”部分进行设置,可以同时生成日报表和周报表:
图5-9 设置报表任务执行时刻
选择“每天”则系统将在每天的零晨3点生成日报表。
选择“每星期”,并选择在每周的星期一的零晨3点生成报表,则系统将在每周当天的零晨3点产生周报表。
选择“每月”,并选择在每周的星期几生成报表,则系统将在每月当天的零晨3点产生周报表。
· 选择报表的保存方式
在“对生成的报表的操作”处设置报表的保存方式:
图5-10 设置报表存储及导出方式
选择“本地保存”则将保存报表到设备的硬盘上。
选择“邮件发送”,系统将通过电子邮件向设定的管理员邮件账户中发送报表,管理员账号设置请参见 _账号管理。
需要注意的是,如果不选择“本地保存”,则在本地磁盘中不存储生成的报表,则管理员无法在“已生成报表”处查看报表。
· 设置完毕后,单击“确定”即可。
· 在报表任务项中,选择需要的报表任务,点击“启用”按钮,即可应用该报表。
图5-11 启用/停止报表任务
· 删除报表
选择一个或多个报表,点击“删除”按钮并确认即可。
即时制作报表用于手动生成报表,产生的报表将自动保存到本地硬盘,但无法以电子邮件形式发送,报表产生后,可在WebUI界面查看与下载。
· 选择 日志报表 > 报表 > 即时制作报表。
图5-12 即时制作报表
· 在“报表”部分,选择生成的报表类型和具体参数。
可以生成的报表类型有:系统信息。
点击报表类型左侧的选项,可以设置每一类型报表中所包含的具体内容,只有勾选具体的选项后,报表中才会包含相应的内容。
· 选择报表的统计对象
图5-13 设置指定IP地址日志
默认情况下,选择“所有”,则系统从所有的日志信息中提取相关数据生成报表信息。
如果仅需要为特定的客户端IP生成报表,则在“选定:IP地址(/掩码)”处输入IP地址及子网掩码信息。
· 选择生成报表的周期和具体时间
图5-14 设置报表统计的时间范围
在“选择时间范围生成报表”部分进行设置:
· 可以选择“今天”、“昨天”、“最近7天”、“最近14天”、“过去30天”或随意设定起始和结束时间。
“今天”:指的是当天00:00:00到当前时刻的统计信息;
“昨天”:指的是昨天00:00:00到23:59:59的统计信息;
“最近7天”:指的是今天23:59:59之前七天的统计信息;
“最近14天”:指的是今天23:59:59之前14天的统计信息;
“过去30天”:指的是今天23:59:59之前30天的统计信息;
· 也可以在“从”和“到”右侧的下拉列表框中,随意指定起始和结束的日期和时间。还可以在“时间段”和“时间段 2#”处设置一个或两个具体的时间段。
· 单击“应用”立即产生指定报表。报表产生后,管理员可以选择“历史报表”页面来查看已生成的报表。
系统可根据管理员的需要产生并保存各类报表,所有报表都可保存在设备的本地磁盘上,管理员可指定报表保存的最长天数、报表文件可用的最大磁盘空间。
· 选择 日志报表 > 报表 > 配置。
图5-15 设置报表存储参数
· 在“报表保存天数”中,输入1-60间一个数字。
· 在“报表保存磁盘空间”中,输入1-1000间一个数字(单位:MB)。
· 单击“应用”提交配置。
用户在此可以查看系统记录的日志信息,系统根据管理员在菜单 日志报表 > 日志 > 配置 处的配置来记录日志信息。
日志分为五大类:
· DDoS攻击防护日志
· 工业协议黑名单和白名单日志
· 网络日志
· 管理日志
· 系统日志
· 配置
· 日志转储
管理员可以对日志信息进行翻页查看、查询、删除、导出等操作。
· 查看日志
系统默认每页显示25条日志,当多于25条日志时系统会分页显示,管理员可以点击翻页按钮逐页查看,也可以输入页码然后点击“翻到”按钮直接跳转至指定页码,管理员可以修改每页显示的日志条数。
在查看日志时,有时会出现某些日志不能在浏览器中正确显示的情况,这是由于原始文件或电子邮件未包含任何编码信息,从而使得浏览器无法恰当翻译和显示信息。
在这种情况下,工控防火墙设备无需UTF-8编码信息即可转换日志,只需在界面中选择“启用自动编码转换”即可。
· 查询日志
管理员在页面上方选择“设置条件”页签,设置和保存查询条件。
图5-16 日志查询条件
· 设置查询条件
在“日期/时间范围”处选择时间段,可选择项为:今天、本周、过去七天、本月、过去三十天,或者“定制日期”,选择“定制日期”后,可以在“开始日期/时间”和“结束日期/时间”处输入查询的起始和终止日期和时刻。
在“时间段”和“时间段 2#”处还可以设置两个不同的时段,只要符合其中一项即可。
在“过滤类别选择”处选择查询字段和查询条件,最多可以设置两个查询条件,并可以设置两个条件之间的逻辑关系(与/或)。
· 查询日志
设置完成后,管理员可以直接点击“搜索”进行日志查询,下方的列表将显示符合查询条件的日志信息。
· 保存查询条件
用户还可以同时在名称处输入字符串,然后点击“保存搜索条件”将该处设置的搜索参数命名保存,以方便管理员进行类似的查询,再次查询时直接选择指定名称的搜索条件即可。
· 管理查询条件
管理员在页面上方选择“管理条件”页签,界面将列出管理员保存的查询条件。
图5-17 日志查询条件管理
管理员可以对查询条件进行编辑、删除和应用三种操作。
编辑:点击条件名称可以切换到条件设置页进行条件的编辑。
删除:选择一个或多个条件,点击“删除”按钮,在管理员确认后将删除该条件。
应用条件:选择一个条件,点击“应用条件”按钮,界面将自动切换至“管理条件”页签,并在列表中显示查询结果。
· 删除日志
要想删除所有日志记录,单击“删除全部”按钮即可。查询完成后,点击“删除选定”,在弹出的窗口中确认后即可删除满足一定条件的日志信息。
· 导出日志
要想保存日志到您本地PC机上,选中导出文件的类型后点击“导出日志”按钮即可,目前只支持导出格式为CSV和HTML两种。
DDoS攻击防护记录命中DDoS攻击的日志,在策略页面中启用攻击渗透防护后,系统会记录相应的日志信息。
选择 日志报表 > 日志 > DDoS攻击防护。
图5-18 DDoS攻击防护
界面上方用于设置和管理查询条件,点击“关闭搜索”页面将不再显示查询条件,需要查询时在界面中点击“打开搜索”按钮即可。
管理员可以在下方列表中查看到网络日志记录的相关信息:
表5-1 DDoS攻击防护字段说明
|
字段 |
说明 |
|
日期时间 |
操作发生的日期和时间信息 |
|
源IP地址 |
发起连接的IP地址 |
|
包数量 |
断的攻击包数量 |
|
协议 |
被记录的协议 |
|
动作 |
统对匹配策略的数据报文所做的操作简述,此处为阻断 |
|
匹配策略 |
该连接所匹配的DDOS防护策略名称,支持ICMP、UDP、TCP三种 |
扫描防护记录产品扫描所产生的日志,在策略页面中启用扫描防护设置后,系统会记录相应的日志信息。
选择 日志报表 > 日志 > 扫描防护。
界面上方用于设置和管理查询条件,点击“关闭搜索”页面将不再显示查询条件,需要查询时在界面中点击“打开搜索”按钮即可。
管理员可以在下方列表中查看到网络日志记录的相关信息:
|
参数 |
说明 |
|
日期时间 |
操作发生的日期和时间信息。 |
|
初次记录时间 |
记录扫描时间发生时间。 |
|
源IP地址 |
发起连接的IP地址。 |
|
目的IP地址 |
接受连接的IP地址。 |
|
事件描述 |
系统扫描时间的简述。 |
工业日志记录工业白名单告警和黑名单告警的日志信息。
· 白名单告警
白名单告警记录匹配到白名单策略的日志,系统默认不记录白名单告警的日志,只有在白名单策略中开启“记录白名单日志”后,系统才会记录相应的日志信息。详细配置请参见白名单策略。
选择 日志报表 > 日志 > 工业 > 白名单告警。
图5-19 白名单告警
界面上方用于设置和管理查询条件,点击“关闭搜索”页面将不再显示查询条件,需要查询时在界面中点击“打开搜索”按钮即可。
管理员可以在下方列表中查看到网络日志记录的相关信息:
表5-2 白名单告警字段说明
|
字段 |
说明 |
|
日期时间 |
操作发生的日期和时间信息 |
|
源IP地址 |
发起连接的IP地址 |
|
源端口 |
发起连接的源端口 |
|
目的IP地址 |
试图访问的目的端的IP地址 |
|
目的端口 |
试图访问的目的端口 |
|
传输层协议 |
使用的传输层协议,TCP或者UDP |
|
应用协议 |
使用的应用层协议,对应7种工业协议 |
|
告警信息 |
违反白名单策略的详细信息 |
|
是否阻断 |
系统对匹配策略的数据报文所做的操作简述 |
|
告警级别 |
日志报警级别,默认为低危,不可设置 |
· 黑名单告警
黑名单告警记录匹配到黑名单规则的日志,系统默认不记录黑名单告警的日志,只有在黑名单设置页面开启“记录黑名单日志”后,系统才会记录相应的日志信息。详细配置请参见 _7.3.1_配置。
选择 日志报表 > 日志 > 工业 > 黑名单告警。
图5-20 黑名单告警
界面上方用于设置和管理查询条件,点击“关闭搜索”页面将不再显示查询条件,需要查询时在界面中点击“打开搜索”按钮即可。
管理员可以在下方列表中查看到网络日志记录的相关信息:
表5-3 黑名单告警字段说明
|
字段 |
说明 |
|
日期时间 |
操作发生的日期和时间信息 |
|
源IP地址 |
发起连接的IP地址 |
|
源端口 |
发起连接的源端口 |
|
目的IP地址 |
试图访问的目的端的IP地址 |
|
目的端口 |
试图访问的目的端口 |
|
传输层协议 |
使用的传输层协议,TCP或者UDP |
|
告警信息 |
违反白名单策略的详细信息 |
|
是否阻断 |
系统对匹配策略的数据报文所做的操作简述 |
|
漏洞信息 |
对应黑名单规则的详细信息 |
网络日志记录匹配安全策略、地址转换策略、NAT策略日志、MAC地址绑定策略、IP连接数限制事件日志信息。
网络日志分为四种:
· 安全策略日志
· NAT策略日志
· MAC地址绑定日志
· IP连接数限制日志
· 客户端黑名单日志
安全策略日志记录匹配安全策略的事件日志信息,系统默认不记录安全策略的日志,只有在安全策略中开启“网络日志”后,系统才会记录相应的日志信息。详细配置请参见_7.1_安全策略。
选择 日志报表 > 日志 > 网络 > 安全策略。
图5-21 安全策略
界面上方用于设置和管理查询条件,点击“关闭搜索”页面将不再显示查询条件,需要查询时在界面中点击“打开搜索”按钮即可。
管理员可以在下方列表中查看到网络日志记录的相关信息:
表5-4 安全策略日志字段
|
字段 |
说明 |
|
日期时间 |
操作发生的日期和时间信息 |
|
源IP地址 |
发起连接的IP地址 |
|
源端口 |
发起连接的源端口 |
|
目的IP地址 |
试图访问的目的端的IP地址 |
|
目的端口 |
试图访问的目的端口 |
|
协议 |
使用的协议 |
|
动作 |
系统对匹配策略的数据报文所做的操作简述 |
|
匹配策略 |
该连接所匹配的安全策略名称 |
NAT策略日志记录匹配地址转换策略的事件日志信息,系统默认不记录NAT策略的日志,只有在NAT策略中开启“日志”选项后,系统才会记录相应的日志信息。
选择 日志报表 > 日志 > 网络 > NAT策略。
图5-22 NAT策略
界面上方用于设置和管理查询条件,点击“关闭搜索”页面将不再显示查询条件,需要查询时在界面中点击“打开搜索”按钮即可。
管理员可以在下方列表中查看到网络日志记录的相关信息:
表5-5 NAT策略日志字段
|
字段 |
说明 |
|
日期时间 |
操作发生的日期和时间信息 |
|
源IP地址 |
发起连接的IP地址 |
|
源端口 |
发起连接的源端口 |
|
目的IP地址 |
试图访问的目的端的IP地址 |
|
目的端口 |
试图访问的目的端口 |
|
协议 |
使用的协议 |
|
NAT源地址 |
如果该连接经过了源NAT转换,则此处显示经过NAT转换后的源IP地址 |
|
NAT源端口 |
如果该连接经过了源NAT转换,则此处显示经过NAT转换后的源端口 |
|
NAT目的地址 |
如果该连接经过了目的NAT转换,则此处显示经过NAT转换后的目的IP地址 |
|
NAT目的端口 |
如果该连接经过了目的NAT转换,则此处显示经过NAT转换后的目的端口 |
|
动作 |
系统对匹配策略的数据报文所做的操作简述 |
|
匹配策略 |
该连接所匹配的NAT策略名称 |
|
类别 |
匹配的NAT策略的类型,可能为源地址转换、目的地址转换 |
表5-6 NAT客户端黑名单
客户端黑名单日志记录着非法客户端IP地址访问事件日志信息。
选择 日志报表 > 日志 > 网络 > 客户端黑名单
在下方的列表中可以查看黑名单日志记录的事件的信息:
|
参数 |
说明 |
|
日期时间 |
检测和拦截到匹配客户端黑名单的事件的日期和时间。 |
|
来源IP |
试图访问网络的IP地址 |
|
目的IP |
试图访问的目的端的IP地址。 |
|
源端口 |
客户端发出连接的源端口。 |
|
目的端口 |
访问的目的端口号。 |
MAC地址绑定日志记录匹配MAC地址绑定策略的事件日志信息。
选择 日志报表 > 日志 > 网络 > MAC地址绑定。
图5-23 MAC地址绑定
在下方的列表中可以查看黑名单日志记录的事件的信息:
表5-7 MAC地址绑定字段
|
字段 |
说明 |
|
日期时间 |
检测和拦截到匹配客户端黑名单的事件的日期和时间 |
|
源IP地址 |
试图访问网络的IP地址,当用户通过设备认证时显示用户名 |
|
目的IP地址 |
试图访问的目的端的IP地址 |
|
绑定MAC地址 |
绑定设置时填写的MAC地址 |
|
当前MAC地址 |
当前IP对应主机使用的MAC地址 |
IP连接数限制记录匹配IP连接数限制策略的事件日志信息。
选择 日志报表 > 日志 > 网络 > IP连接数限制。
图5-24 IP连接数限制
在下方的列表中可以查看IP连接数限制日志记录的事件的信息:
表5-8 IP连接数限制字段
|
字段 |
说明 |
|
日期时间 |
检测和拦截到匹配IP连接数限制的事件的日期和时间 |
|
来源IP |
试图访问网络的源IP地址。当用户通过设备认证时显示用户名 |
|
目的IP |
试图访问的目的端的IP地址 |
|
动作 |
匹配到策略时的执行动作,此处为阻断 |
管理日志记录了所有管理员的操作行为,包括系统登录、登出和配置变更,管理员可查看、搜索、删除或输出日志消息。
选择 日志报表> 日志 > 管理。
图5-25 管理
界面上方用于设置和管理查询条件,点击“关闭搜索”页面将不再显示查询条件,需要查询时在界面中点击“打开搜索”按钮即可。
管理员可以在下方列表中查看到管理日志记录的相关信息:
表5-9 管理日志字段
|
字段 |
说明 |
|
日期时间 |
操作发生的日期和时间 |
|
源IP地址 |
管理员用户的IP地址 |
|
管理员 |
执行操作的管理员用户 |
|
动作 |
操作简述 |
系统日志记录了所有非管理员系统行为,如:HA、更新和接口状态,管理员可查看、搜索、删除或输出日志消息。
选择 日志报表 > 日志 > 系统。
图5-26 管理
界面上方用于设置和管理查询条件,点击“关闭搜索”页面将不再显示查询条件,需要查询时在界面中点击“打开搜索”按钮即可。
管理员可以在下方列表中查看到系统日志记录的相关信息:
表5-10 系统日志字段
|
字段 |
说明 |
|
日期时间 |
行为发生的日期和时间 |
|
系统事件 |
对事件的简单描述信息 |
设定在设备本地磁盘的日志中记录哪些行为,以及日志磁盘的管理策略。
选择 日志报表 > 日志 > 配置,来启用日志功能、配置磁盘使用率。
图5-27 日志配置
表5-11 日志参数
|
参数 |
说明 |
|
最长保存天数 |
日志保存最长天数,超过最长时限的日志将会被自动删除,有效范围为30到365 |
|
最大磁盘空间 |
日志可用的最大硬盘空间,有效范围为5000-80000 MB |
|
最大使用率 |
设置系统使用率的告警阈值,如果使用率达到或超过百分比阈值,系统将发送报警电子邮件给管理员,同时产生弹出式消息,警告管理员磁盘使用率高并删除或输出部分日志以清理磁盘空间,可设置数值范围为1 – 100% |
|
日志存储超限后动作 |
日志存储超限后动作如下: 丢弃:将超出的日志直接丢弃 循环写入:将时间最旧的日志记录从系统中删除,之后将最新的日志记录写入系统 |
|
选择记录事件日志 |
选择记录下列哪些事件行为到日志: 管理事件:记录管理员行为,包括系统登录、登出以及所做的系统变更 系统事件:记录系统行为 |
配置完成后点击“应用”按钮保存配置。
工控防火墙设备根据管理员的设定在日志中记录相关行为,日志可保存在设备的硬盘上、输出到FTP服务器或发送到Syslog服务器,日志相关系统配置为:
· FTP/TFTP:介绍如何导出日志文件到外部服务器。
· Syslog设置:介绍外部Syslog服务器的配置。
管理员可以将日志文件导出到FTP服务器或TFTP服务器。
· 选择 日志报表 > 日志转储 > FTP/TFTP。
图5-28 日志转储FTP/TFTP配置
· 勾选“启用日志导出”,并设置发送日志文件到FTP服务器或TFTP服务器的时间间隔,并在“导出时间”处设置具体时刻。间隔可选择每周一次,并选择周几,或选择间隔的天数,可选择1-30天。
· 选择“导出日志到FTP服务器”或“导出日志到TFTP服务器”,并设置下列参数:
表5-12 日志参数
|
参数 |
说明 |
|
目的IP |
输入FTP服务器或TFTP服务器的IP地址 |
|
用户名 |
输入FTP用户账号 |
|
密码 |
输入FTP用户密码 |
|
输出后删除本地日志文件 |
设置在日志文件输出后是否将其从硬盘上删除 |
· 点击“应用”按钮提交并保存设置。
· 单击“现在导出”,将立即发送日志文件到服务器,否则需要到达指定的时间才会发送日志到服务器。
工控防火墙设备支持将本地存储的系统日志发送到一台或多台Syslog服务器,并可以限制只向Syslog服务器发送特定级别的出错消息。
工控防火墙设备的日志消息共有7个级别:
· 紧急事件:最高级别消息,网络正遭遇严重问题。
· 警铃:警报级别日志消息,包括从工业白名单和黑名单中检测的异常流量报警。
· 关键:严重日志消息,记录影响系统功能的信息,比如:高CPU使用率、低内存和低HDD空间。
· 错误:错误日志消息,系指可能影响系统功能的错误。
· 警告:可能影响系统功能性的消息,比如:接口连接/断开状态。
· 提示:记录正常系统事件,比如:系统配置变更(管理员审计)和处理过的正常电子邮件。
· 消息:一般系统日志事件,比如:固件更新。
工控防火墙设备可保存日志文件到最多三台Syslog服务器上。
配置Syslog服务器设置步骤为:
选择 日志报表 > 日志转储 > Syslog。
图5-29 日志转储Syslog配置
· 选择向Syslog日志服务器发送的日志类型,并勾选“启用Syslog日志”,则系统将根据配置向Syslog服务器发送日志,管理员可以通过勾选相应类型日志,设置具体发送哪些日志到Syslog服务器,目前支持类型有管理事件,系统事件,DDoS攻击防护事件,工业白名单事件和工业黑名单事件。
· 设置日志服务器参数。可保存日志文件到最多三台Syslog服务器上。
表5-13 日志参数
|
参数 |
说明 |
|
IP地址 |
设置Syslog服务器的IP地址 |
|
端口 |
设置Syslog服务器接收日志的端口号 |
|
级别 |
限制向Syslog服务器发送日志的最低级别,例如选择“错误”,则只向Syslog服务器发送级别为“错误”、“关键”、“警铃”和“紧急事件”的日志信息 |
|
指定日志方式 |
当多台工控防火墙设备向同一台syslog服务器发送日志信息时,管理员必须设置该参数以区分来自不同的设备的日志消息 |
· 单击“应用”按钮使设置生效。
用于配置在策略中会应用的对象,包括以下对象:
· 地址IPV4
· 地址组IPV4
· 服务配置
· 服务组配置
· 时间配置
· 时间组配置
· 用户配置
用于配置IPV4格式的地址对象,然后在策略中引用地址对象,实现访问控制。
选择 对象 > 地址IPV4。
图6-1 地址IPV4展示
· 添加对象
点击“添加”按钮,输入对象名称,然后输入该对象的属性,在“IP地址”处输入IPV4格式的IP地址,或者在“IP范围”处输入IPV4格式的起始和结束IP地址。然后点击“确定”按钮即可。
图6-2 地址IPV4配置
· 编辑对象
直接点击对象名称即可在新开的窗口中修改地址对象的属性。
· 删除对象
选择一个或多个地址对象,点击“删除”按钮即可。
多个地址对象可以定义为一个地址组,方便管理员在安全策略中定义对该类地址对象的访问控制策略。
选择 对象 > 地址组(IPV4)。
图6-3 地址组IPV4展示
界面显示已经添加的对象。
· 添加对象
点击“添加”按钮,界面如下图所示。输入对象名称,然后选择该组包含的IPV4地址对象。然后点击“确定”按钮即可。
图6-4 地址组IPV4配置
· 编辑对象
直接点击对象名称即可在新开的窗口中修改地址对象的属性。
· 删除对象
选择一个或多个地址对象,点击“删除”按钮即可。
服务用于定义提供服务的资源所使用的协议及其端口号,服务分为两种:
· 系统定义服务:系统预定义的一些常用服务;
· 自定义服务:根据自身业务的需要自定义的服务和端口号。
选择 对象 > 服务,界面显示系统内置的预定义服务以及管理员添加的自定义服务。
图6-5 服务展示
· 添加自定义服务
点击“添加”按钮,界面如下图所示。输入服务名称,并选择协议的名称及其使用的端口号,然后点击“确定”按钮即可。
图6-6 添加服务
· 删除服务
只有自定义的服务可以删除。选择一个或多个服务,然后点击“删除”按钮即可。
管理员可以灵活地将几个服务组合在一个服务组中,在设置访问控制时可以引用该服务组对象。
选择 对象 > 服务组,界面显示管理员添加的服务组对象。
图6-7 服务组展示
· 添加服务组
点击“添加”按钮,界面如下图所示。输入服务组名称,并选择包含的服务,然后点击“确定”按钮即可。
图6-8 添加服务组
· 删除服务组
选择一个或多个服务组,然后点击“删除”按钮即可。
时间设置用于配置时间对象,通过在安全策略中引用时间对象,即可实现不同时间段不同的控制策略。
例如,可禁止某些特定应用在正常工作时间(9:00 -16:00)使用,但允许在非工作时间使用,时间对象用于控制这类情况下的应用。
选择 对象 > 时间 配置时间对象。
图6-9 时间对象展示
· 增加时间对象。
单击“添加”按钮。
图6-10 时间对象添加
表6-1 添加时间对象参数
|
参数 |
说明 |
|
名称 |
输入新对象名称 |
|
描述 |
输入对时间对象必要的描述信息 |
|
星期 |
选择对象包含的一周内具体的日期 |
|
时间段 |
可以选择每天的起始时间和结束时间 |
· 删除对象
选择一个或多个对象,然后点击“删除”按钮即可。
管理员可以将多个时间对象组合为一个时间组对象,然后在策略中引用时间组对象,在一条策略中实现不同时间段具有相同的访问控制策略。
选择 对象 > 时间组。
图6-11 时间组展示
· 添加对象
点击“添加”按钮,输入对象名称,并选择包含的时间对象,然后点击“确定”按钮即可。
图6-12 时间组设置
· 删除对象
选择一个或多个对象,然后点击“删除”按钮即可。
用于管理防火墙VPN用户。
选择对象->用户->VPN用户。
图6-13 VPN用户展示
· 添加VPN用户。
点击“添加”按钮完成VPN用户添加操作。
图6-14 添加用户
表6-2 VPN用户参数
|
参数 |
说明 |
|
用户名称 |
用户的名称 |
|
新密码 |
用户密码 |
|
确认新密码 |
用户密码 |
|
配置绑定 |
根据选择的是IKEv2还是L2TP,在绑定配置下拉框里选择合适的绑定内容 |
·
· 编辑用户。
点击用户名称,即可实现编辑用户。
· 删除用户。
选择一个或多个用户,点击“删除”按钮即可。
配置对通过系统的流量进行过滤的策略,包括如下内容:
· 安全策略
· 工业协议白名单策略
· 工业协议黑名单策略
· 客户端黑名单
· NAT策略
· QOS
· MAC地址绑定策略
· DDoS攻击防护策略
· IP连接数限制策略
· 策略选项(策略的公共参数)
安全策略用于配置对经过系统的数据进行访问控制和工业协议深度内容过滤的策略,通过在安全策略引用对象中定义的各种元素,从源地址、目的地址、源区域、目的区域、源端口、服务(目的端口)、工业协议深度过滤、时间八个方面对网络访问进行控制,确定是否允许网络访问通过,同时对于允许通过的数据还可以进行工业协议白名单和工业协议黑名单深度过滤,对于所有匹配策略的网络访问,系统将在安全策略日志中记录相关的日志信息。
管理员可以进行安全策略的查看、添加、编辑、删除、克隆、移动六种操作。
选择 策略 > 安全策略。
图7-1 安全策略
策略默认按照添加顺序排列,当数据报文经过系统时,系统将按照策略的排列顺序,从上到下进行检测,当检测到有匹配的策略时,将直接按照策略对报文进行处理,不再继续检测,因此安全策略的排列顺序决定了报文的处理方式。
管理员可以通过移动策略来改变策略的默认排序方式。
· 添加策略
管理员可以直接点击“添加”按钮添加新的策略,所有参数均为默认配置,管理员需一一配置;也可以选择已有策略,然后点击“克隆”按钮克隆新的策略,新的策略将和已有策略具有相同的参数。
· 点击“添加”按钮,系统会自动在策略列表的底部添加一条新的策略。
· 选择已有策略,点击“克隆”按钮添加新的策略,系统会自动在策略列表的底部添加一条新的策略,策略名称为原有策略名称的基础上加上下划线C*。
例如:策略R_1第一个克隆的策略为R_1_C1。第二个为R_1_C2,依次类推。
· 配置策略参数
管理员可以修改除了策略编号以外的所有参数,直接点击参数名称即可修改配置,工控防火墙在策略中配置数据报文需要匹配的条件:包括源区域、源地址、源端口、目的区域、目的地址、服务类型、策略生效的时间,以及在允许报文通过后是否进行进一步的工业协议深度检测,是否在日志中记录等选项。
1)工控防火墙在策略中可以设置一个或多个选项,设定多个选项后,设定的条件之间是“与”的关系,在匹配规则的时候必须都要匹配上选择的选项,规则才能生效。
2)每一选项均可选择多个对象,多个对象之间是“或”的关系,只要满足其中一个对象即可。
表7-1 安全策略参数
|
参数 |
说明 |
|
序号 |
每条策略的编号,在移动策略的顺序时将会使用 |
|
策略名称 |
输入策略名称,默认为R_*,*为数字,默认按照添加顺序递增,第一条策略为R_1,第二条为R_2,等等 |
|
状态 |
显示该策略是否启用,只有启用的策略才会对数据报文进行检测 |
|
源区域 |
区域:选择区域资源限定报文的来源区域 |
|
源地址 |
配置该策略的源匹配条件,可以从已定义的地址、地址组对象中选择,也可以手动输入IP地址或IP范围 |
|
源端口 |
选择服务对象,限定源端口 |
|
目的区域 |
选择区域资源限定报文的目的区域 |
|
目的地址 |
地址:选择已定义的地址资源对象,限定报文的目的IP地址 说明: 1)由于工控防火墙会首先对报文进行目的NAT转换,然后再查询匹配的ACL规则,因此,在“选择目的地址”处管理员应当选择与转换后的真实IP地址匹配的地址对象,如果想对转换前的目的地址进行检测,则在此处不需要设置,需要在“其它”属性中设置“转换前的目的地址”项 2)每一选项均可选择多个对象,多个对象之间是“或”的关系,只要满足其中一个对象即可 3)当没有设置地址对象时,默认表示任意地址 |
|
服务 |
选择服务和服务组对象,对数据报文的协议和目的端口号进行限定。如果没有选择任何服务,则系统默认为不对协议和端口号进行限定 |
|
行为 |
设置对于匹配规则的数据报文采取的操作,当选择“允许”或“禁止”时,对于匹配规则的数据报文,允许或禁止通过设备 |
|
工业协议深度检测 |
匹配到本条访问控制规则的数据包将根据设置的选项进行工业协议深度检测 |
|
时间 |
设置该访问控制规则生效的时间段,如果没有选择时间或时间组对象则表示所有时间都生效 |
|
选项 |
配置是否记录网络日志,网络日志是否只记录阻止动作日志 |
4 )删除策略
选择一个或多个策略,点击“删除”按钮,管理员确定后将删除指定的策略。
5 )移动策略位置
选择待移动的策略,点击“移动”按钮。
图7-2 安全策略顺序调整
管理员可以选择移动的位置(向前或向后)以及参考策略的ID,点击“确定”完成策略移动,或点击“取消”放弃移动。
管理员在安全策略中开启工业协议白名单深度检测后,对于匹配到该条访问策略的数据会进行进一步的工业协议白名单的检查,管理员可以配置白名单策略的工作模式以及白名单模板。
白名单策略用于配置白名单策略的工作模式,管理员用户可以配置的工作模式有学习模式、告警模式、防护模式三种,白名单策略在不同的工作模式下,对于匹配到白名单模板的工业协议流量处理动作不同,管理员可以配置是否记录匹配到白名单模板策略的日志。
选择 策略 > 工业协议白名单 > 白名单策略。
图7-3 白名单模式设定
· 学习模式
当用户选择学习模式时,需要用户提供白名单模版名称以及学习的时间周期,工控防火墙会对经过的工业协议流量进行识别和记录,这个过程是自动进行的,不需要管理员用户进行干预,当白名单策略处于学习模式时,用户可以在学习剩余时间结束前按停止按钮提前终止学习。无论是提前终止学习还是等到学习时间完毕,系统都会把学习到的工业协议流量作为白名单模板进行保存。
图7-4 学习模式设定
学习完成的白名单模板,可以在白名单模板页面进行查看和编辑,详情见_7.2.2_白名单模板。
· 告警模式
当工控防火墙中已经存在白名单模板时,用户可以选择“告警模式”,并且选择一个白名单模板作为工业协议匹配的规则来源,用户点击应用生效后,与用户指定的白名单模板内容不一致的工业协议流量会被工控防火墙放行,但是会在日志页面会产生告警日志。
图7-5 告警模式设定
· 防护模式
当工控防火墙中已经存在白名单模板时,用户可以选择“防护模式”,并且选择一个白名单模板作为工业协议匹配的规则,用户点击应用生效后,与用户指定的白名单模板内容不一致的工业协议流量会被工控防火墙阻断,并且会在日志页面会产生阻断日志,如下图所示。
图7-6 防护模式设定
当白名单策略工作在告警模式和防护模式时,与白名单模板规则不匹配的工业协议流量会产生对应的告警和阻断日志,用户可以通过配置记录白名单日志来选择是否在日志页面显示日志内容,勾选记录日志,点击应用生效。
白名单策略生效的前提,需要在安全策略中开启工业协议深度监测,并指定使用工业协议白名单。
白名单模板用于配置白名单策略工作模式中引用的白名单规则,白名单模板可以通过白名单策略的学习模式自动添加,也可以手工进行添加,白名单模板目前支持的工业协议有如下13种:
· MODBUS
· OPCDA
· SIEMENS-S7
· IEC61850-MMS
· DNP3
· IEC104
· S7 Plus
· CIP
· OPCUA
· Bacnet
· Goose
· Sv
· profinet
用户可以对白名单模板进行添加、编辑和删除操作。
选择 策略 > 工业协议白名单 > 白名单模板。
图7-7 白名单模板展示
白名单模板名称为用户指定保存的白名单规则名称,当该白名单模板被白名单策略引用时,状态为使用中;用户可以在备注中填写该白名单规则的注释;点击编辑可以对该模板进行编辑。
· 添加白名单模板
点击“添加”按钮。
图7-8 创建白名单模板
输入白名单模板名称,点击“确定”按钮即可。
· 编辑白名单模板
在白名单模板后点击编辑,可以对白名单模板内容进行编辑。
图7-9 白名单模板编辑
图7-10 MODBUS白名单编辑
MODBUS白名单包含基本白名单和值域控制两部分,用户可以选择是否进行值域控制的匹配,用户在基本白名单和值域控制部分点击添加按钮即可进行条目配置。
图7-11 MODBUS基本配置
表7-2 MODBUS参数说明
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件 |
|
源IP掩码 |
匹配源IP地址对应的掩码 |
|
目的IP掩码 |
匹配目的IP地址对应的掩码 |
|
功能码 |
协议功能码字段 |
|
起始地址 |
协议起始地址字段 |
|
结束地址 |
协议结束地址字段 |
|
传输层协议 |
协议对应的传输层协议 |
用户开启值域控制使能,点击“添加”按钮,可以对值域控制字节顺序和点表进行自定义配置。
图7-12 值域配置
表7-3 MODBUS值域参数说明
|
参数 |
说明 |
|
16位整型字节顺序 |
协议字段 |
|
32位整型字节顺序 |
协议字段 |
|
32位浮点型字节顺序 |
协议字段 |
|
64位双精度浮点型字节序 |
协议字段 |
图7-13 点表配置
表7-4 MODBUS点表参数说明
|
参数 |
说明 |
|
点名 |
协议字段 |
|
功能码 |
协议字段 |
|
地址 |
协议字段 |
|
数据类型 |
协议字段 |
|
偏移量 |
协议字段 |
|
高8位/低8位 |
协议字段 |
|
最小值 |
协议字段 |
|
最大值 |
协议字段 |
OPC协议白名单。
图7-14 OPC白名单编辑
点击添加按钮,自定义OPC白名单内容。
图7-15 OPC基本配置
表7-5 OPC参数说明
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件 |
|
接口名称 |
协议字段 |
|
方法名称 |
协议字段 |
|
传输层协议 |
协议字段 |
IEC104协议白名单。
图7-16 IEC104白名单编辑
点击添加按钮,自定义IEC104白名单内容。
图7-17 IEC104基本配置
表7-6 OPC参数说明
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件 |
|
源IP掩码 |
匹配源IP地址对应的掩码 |
|
目的IP掩码 |
匹配目的IP地址对应的掩码 |
|
类型标识 |
协议字段 |
|
起始公共地址 |
协议字段 |
|
结束公共地址 |
协议字段 |
|
起始信息体地址 |
协议字段 |
|
结束信息体地址 |
协议字段 |
|
传输层协议 |
协议字段 |
DNP3协议白名单。
图7-18 DNP3白名单编辑
DNP3白名单类型包括一般白名单、只读白名单、全匹配白名单三种。默认添加的是一般白名单,用户点击添加按钮进行配置。
图7-19 DNP3基本配置
表7-7 DNP3参数说明
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件 |
|
源IP掩码 |
匹配源IP地址对应的掩码 |
|
目的IP掩码 |
匹配目的IP地址对应的掩码 |
|
功能码 |
协议字段 |
|
对象 |
协议字段 |
|
起始索引 |
协议字段 |
|
结束索引 |
协议字段 |
|
传输层协议 |
协议字段 |
S7 协议白名单。
图7-20 S7白名单编辑
用户点击添加按钮进行配置。
图7-21 S7基本配置
表7-8 S7参数说明
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件 |
|
源IP掩码 |
匹配源IP地址对应的掩码 |
|
目的IP掩码 |
匹配目的IP地址对应的掩码 |
|
功能码类型 |
协议字段 |
|
功能码组 |
协议字段 |
|
子功能码 |
协议字段 |
|
功能码 |
协议字段 |
|
寄存器区 |
协议字段 |
|
DB区区号 |
协议字段 |
|
点类型 |
协议字段 |
|
起始地址 |
协议字段 |
|
结束地址 |
协议字段 |
|
传输层协议 |
协议字段 |
MMS协议白名单。
图7-22 MMS白名单编辑
用户点击添加按钮进行配置。
图7-23 MMS基本配置
表7-9 MMS参数说明
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件 |
|
源IP掩码 |
匹配源IP地址对应的掩码 |
|
目的IP掩码 |
匹配目的IP地址对应的掩码 |
|
PDU类型 |
协议字段 |
|
服务类型 |
协议字段 |
|
传输层协议 |
协议字段 |
S7 Plus协议白名单。
图7-24 S7 Plus白名单编辑
用户点击添加按钮进行配置。
图7-25 S7 Plus基本配置
表7-10 S7 Plus参数说明
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件 |
|
源IP掩码 |
匹配源IP地址对应的掩码 |
|
目的IP掩码 |
匹配目的IP地址对应的掩码 |
|
协议版本 |
协议字段 |
|
操作码 |
协议字段 |
|
功能码 |
协议字段 |
|
传输层协议 |
协议字段 |
CIP协议白名单。
图7-26 CIP白名单编辑
用户点击添加按钮进行配置。
图7-27 CIP基本配置
表7-11 MMS参数说明
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件 |
|
源IP掩码 |
匹配源IP地址对应的掩码 |
|
目的IP掩码 |
匹配目的IP地址对应的掩码 |
|
服务 |
协议字段 |
|
命令 |
协议字段 |
|
功能码 |
协议字段 |
|
传输层协议 |
协议字段 |
OPCUA协议白名单。
图7-28 OPCUA白名单编辑
用户点击添加按钮进行配置。
图7-29 OPCUA基本配置
表7-12 OPCUA参数说明
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件 |
|
服务名 |
协议字段 |
|
传输层协议 |
协议字段 |
bacnet协议白名单, 内容如下图所示。。
用户点击添加按钮后,配置页面如下图所示。
各参数说明如下表:
|
参数 |
说明 |
|
源IP地址 |
配置该规则的源匹配IP地址条件。 |
|
目的IP地址 |
配置该规则的目的匹配IP地址条件。 |
|
应用类型 |
BACnet协议支持的应用类型字段 |
|
服务类型 |
BACnet协议支持的服务类型字段 |
|
传输层协议 |
传输层协议TCP或UDP |
goose协议白名单,内容如下图所示。
用户点击添加按钮后,配置页面如下图所示。
各参数说明如下表:
|
参数 |
说明 |
|
源MAC地址 |
配置该规则的源匹配MAC地址条件。 |
|
目的MAC地址 |
配置该规则的目的匹配MAC地址条件。 |
|
APPID |
GOOSE协议支持的应用标识字段 |
|
gocbRef |
GOOSE协议操作块引用字段 |
sv协议白名单,内容如下图所示。
用户点击添加按钮后,配置页面如下图所示。
各参数说明如下表:
|
参数 |
说明 |
|
源MAC地址 |
配置该规则的源匹配MAC地址条件。 |
|
目的MAC地址 |
配置该规则的目的匹配MAC地址条件。 |
|
APPID |
SV协议支持的应用标识字段 |
|
SVID |
SV协议数据标识字段 |
profinet协议白名单,内容如下图所示。
用户点击添加按钮后,配置页面如下图所示。
各参数说明如下表:
|
参数 |
说明 |
|
源MAC地址 |
配置该规则的源匹配MAC地址条件。 |
|
目的MAC地址 |
配置该规则的目的匹配MAC地址条件。 |
|
FrameID |
指出Profinet-DCP数据帧的类型字段 |
|
ServiceID |
指出Profinet-DCP数据帧的服务ID字段 |
|
ServiceType |
指出Profinet-DCP数据帧的服务类型字段 |
|
Xid |
指出Profinet-DCP数据帧传输识别字段 |
管理员在安全策略中开启工业协议黑名单深度检测后,对于匹配到该条访问策略的数据会进行进一步的工业协议黑名单的检查,管理员可以配置匹配到不同等级黑名单规则时的工控防火墙的处理动作,并且可以选择是否启用日志记录,工控防火墙目前支持的黑名单规则条目多达千个,主要包含四个分类:HTTP、FTP、工业协议、其它,用户可根据实际网络环境选择合适的黑名单规则启用。
管理员用户可以配置是否记录黑名单日志,也可以配置匹配到黑名单规则时的动作。黑名单规则分为三个风险等级高、中、低,用户可以配置对应等级的处理动作为阻断或者告警。
图7-30 工业黑名单配置
当用户选择动作为告警时,经过工控防火墙的工业协议流量匹配到黑名单规则时,工控防火墙会放行该流量,并且记录日志;当用户动作选择阻断时,经过工控防火墙的工业协议流量匹配到黑名单规则时,工控防火墙会放阻断该流量,并且记录日志。
黑名单规则是进行工业协议黑名单检测的匹配条目,每一条规则都规针对一个工控安全漏洞攻击,当带有攻击行为的工业流量经过工控防火墙时,会被工控防火墙黑名单检测到,来确保工业网络环境安全运行。
黑名单规则安装协议不同,主要分为四大类:
· HTTP
· FTP
· 工业协议
· 其它
·
图7-31 工业黑名单规则展示
· 用户在协议下拉框中选择对应的协议分组,默认选择的是全部
· 点击全选、反选按钮可以选择全部或者取消全部已筛选的黑名单规则
· 点击应用按钮,黑名单规则即生效。
黑名单防护生效,需要在安全策略中开启工业协议深度监测。
所谓网络地址转换,是将IP数据报头中的IP地址转换为另一个IP地址的过程,工控防火墙设备提供以下几种地址转换方式:
· 源地址转换(SNAT):可以实现具有私有地址的用户对公网的访问。
· 目的地址转换(DNAT):可以实现公网上的用户通过域名或者公网地址访问内网的具有私有地址的服务器。
在工控防火墙上,通过直接配置IP地址或者选择已经定义的对象,来设定进行NAT转换的数据包应当满足的匹配条件。
如果在某一个选项处设置了多个条件,则必须同时满足这些条件才认为匹配该规则。例如在源地址选择“172.16.1.2”对象,“目的区域”处选择 “area_eth0”,那么,只有发起连接的源IP地址包含在172.16.1.2对象中,而且目的地址属于区域area_eth0,同时对报文才进行地址转换。
当数据包通过工控防火墙设备时,首先检测目的地址转换规则,然后检测安全策略,最后再检测源地址转换规则,每次检测时都按照规则的排列顺序逐一与数据包匹配,一旦存在一条匹配的地址转换规则,工控防火墙将停止检索,并按所定义的规则处理数据包,因此,匹配条件严格的规则应当置于条件宽松的规则之前。
用于配置源地址转换的策略,即设定进行源NAT转换的数据包应当满足的匹配条件。
选择 策略 > NAT策略 > 源地址转换。
图7-32 源地址转换策略展示
策略默认按照添加顺序排列,当数据报文经过系统时,系统将按照策略的排列顺序,从上到下进行检测,当检测到有匹配的策略时,将直接按照策略对报文进行处理,不再继续检测,因此策略的排列顺序决定了报文的处理方式,管理员可以通过移动策略来改变策略的默认排序方式。
· 添加策略
管理员可以直接点击“添加”按钮添加新的策略,所有参数均为默认配置,管理员需一一配置;也可以选择已有策略,然后点击“克隆”按钮克隆新的策略,新的策略将和已有策略具有相同的参数。
· 点击“添加”按钮,将在列表的末端添加一条新的规则,具有默认的参数。管理员可以直接点击各个字段对其配置进行修改。
图7-33 源地址转换策略编辑
表7-13 源地址转换参数说明
|
参数 |
说明 |
|
序号 |
每项规则的编号,在移动规则顺序时将会使用 |
|
策略名称 |
添加的策略默认没有名称,建议管理员可以输入直观的名称,方便管理员了解策略用途 |
|
状态 |
策略是否启用,只有启用的规则才会生效。直接点击可以启用或禁用该策略 |
|
源区域 |
配置该策略的源地址所在的区域需要匹配的条件。可能包含安全区域或者接口 |
|
源地址 |
配置该策略的源匹配条件,可以从已定义的地址、地址组对象中选择,也可以手动输入IP地址或IP范围 |
|
目的地址 |
配置该策略的目的需要匹配的条件,可以从已定义的地址、地址组对象中选择,也可以手动输入IP地址或IP范围 |
|
服务 |
配置策略的服务匹配对象。进入服务选择页面,支持从已定义的服务、服务组对象中选择服务 |
|
转换地址 |
配置对匹配报文的源IP地址进行的转换,可以选择转换为接口名或者接口上已配置的IP地址 |
|
源端口转换 |
配置是否对匹配的连接的源端口进行转换 直接点击内容即可实现允许和禁止之间的切换 |
|
日志 |
源地址转换的日志记录开关,开启后日志将记录入NAT策略日志中 |
· 选择已有策略,点击“克隆”按钮添加新的策略,系统会自动在策略列表的底部添加一条新的策略,克隆的策略均为“停用”状态,需要管理员修改参数后手工启用该策略。
· 移动策略
选择待移动的策略,点击“移动”按钮。
图7-34 NAT转换排序设置
管理员可以选择移动的位置(向前或向后)以及参考策略的ID,点击“确定”完成策略移动,或点击“取消”放弃移动。
· 删除策略
选择一个或多个策略,点击“删除”按钮,管理员确定后将删除指定的策略。
用于配置目的地址转换的策略,即设定进行目的NAT转换的数据包应当满足的匹配条件。
选择 策略 > NAT策略 > 目的地址转换。
图7-35 目的地址转换展示
策略默认按照添加顺序排列,当数据报文经过系统时,系统将按照策略的排列顺序,从上到下进行检测,当检测到有匹配的策略时,将直接按照策略对报文进行处理,不再继续检测,因此策略的排列顺序决定了报文的处理方式,管理员可以通过移动策略来改变策略的默认排序方式。
· 添加策略
管理员可以直接点击“添加”按钮添加新的策略,所有参数均为默认配置,管理员需一一配置;也可以选择已有策略,然后点击“克隆”按钮克隆新的策略,新的策略将和已有策略具有相同的参数。
· 点击“添加”按钮,将在列表的末端添加一条新的规则,具有默认的参数。管理员可以直接点击各个字段对其配置进行修改。
图7-36 目的地址转换设置
表7-14 目的地址转换参数说明
|
参数 |
说明 |
|
序号 |
每项规则的编号,在移动规则顺序时将会使用 |
|
策略名称 |
添加的策略默认没有名称,建议管理员可以输入直观的名称,方便管理员了解策略用途 |
|
状态 |
策略是否启用,只有启用的规则才会生效。直接点击可以启用或禁用该策略 |
|
源地址 |
配置数据报文的源匹配条件,可以从已定义的地址、地址组对象中选择,也可以手动输入IP地址或IP范围 |
|
目的地址 |
配置数据报文的目的需要匹配的条件,可以从已定义的地址、地址组对象中选择,也可以手动输入IP地址或IP范围 |
|
目的端口 |
配置数据报文的目的端口需要匹配的条件 |
|
转换地址 |
配置对匹配报文的目的IP地址进行的转换,可以选择转换为接口名或者接口上已配置的IP地址 |
|
转换端口 |
配置是否对匹配的连接的目的端口进行转换 |
|
日志 |
目的地址转换的日志记录开关功能,启用后日志将记录入NAT策略日志中 |
· 选择已有策略,点击“克隆”按钮添加新的策略,系统会自动在策略列表的底部添加一条新的策略,克隆的策略均为“停用”状态,需要管理员修改参数后手工启用该策略。
· 移动策略
选择待移动的策略,点击“移动”按钮。
图7-37 目的地址转换策略设置
管理员可以选择移动的位置(之前或之后)以及参考策略的ID,点击“确定”完成策略移动,或点击“取消”放弃移动。
· 删除策略
选择一个或多个策略,点击“删除”按钮,管理员确定后将删除指定的策略。
配置流量控制相关策略,包括如下内容:
· 带宽接口配置
· 带宽通道配置
· 流量策略配置
在本节设置对设备的各个接口的流量是否启用带宽控制策略,并具体设置上行和下行的带宽限制。
选择 策略 > QoS > 带宽接口。
图7-38 带宽接口设置
· 启用或禁用带宽服务功能,只有启用后,策略中配置的带宽限制功能才会生效。
· 设置接口的总的上行和下行带宽限制。
管理员可以分别在“下行带宽”和“上行带宽”一栏的文本框内,设置每个接口的总的带宽限制。只有进行了该设置,管理员才可以设置该接口相关的带宽通道对象(请参见带宽通道)。
· 选择外联接口
如果需要对接口流量进行统计,则需要在连接的出接口上勾选其“外联接口”属性。
· “带宽通道”一栏显示该接口相关的带宽通道对象(配置请参见 _带宽通道),在下拉列表框中选择后点击“编辑”按钮可以编辑其属性。
· 设置完成后,点击“应用”按钮使配置生效。
带宽通道设置界面用于配置带宽对象,即设置上行和下行流量的保证带宽和最大带宽分配。通过在流量策略中引用带宽对象,可用于应用控制类别的带宽限制,或按照带宽对象的优先级进行流量分配。
配置带宽通道前,需要配置接口带宽。
选择 策略 > QoS > 带宽通道。
图7-39 带宽通道设置
· 添加带宽对象
单击“添加”按钮添加带宽对象。
图7-40 添加带宽对象
表7-15 带宽对象参数说明
|
参数 |
说明 |
|
名称 |
输入新对象名称 |
|
接口 |
选择带宽对象关联的接口, 注:所选接口必须进行内外带宽设置
|
|
优先级 |
选择对象优先,可选项为0到7,0为最高优先级。 |
|
下行带宽 |
进流量,选择带宽大小。 “保证带宽”表示对象可用的带宽量。 “最大带宽”表示对象可用的最大带宽,通常比保证带宽高。 |
|
上行带宽 |
出流量,选择带宽大小。 “保证带宽”表示对象可用的带宽量。 “最大带宽”表示对象可用的最大带宽,通常比保证带宽高。 |
关于带宽优先级:
除了保证带宽与最大带宽,系统提供对闲置带宽优先级分配,闲置带宽为可用接口带宽,可供带宽量超过保证带宽的程序使用。
例:接口“GEX/Y”接口带宽为:下行带宽=50 Mbps,上行带宽=50 Mbps
以下为分配给接口“GEX/Y”的带宽对象:
bw-obj-1:inbound = 20 Mbps, outbound = 30 Mbps, priority =0;
bw-obj-2:inbound = 20 Mbps, outbound = 30 Mbps, priority =1;
上例中, 如果bw-obj-1的分配流量为20 Mbps,bw-obj-2的分配流量为20Mbps,则接口“GEX/Y”将得到10Mbps空闲流量。
优先级为“0”(更高级别)的带宽对象将首先获得空闲流量(10Mbps)使用机会。
工控防火墙可根据用户源地址、目的地址、服务、时间对象来控制单位时间内(每天或每小时)的上行和下行的带宽流量。
只要上行或下行流量中的一个达到限制的流量时系统将阻断用户的连接。在系统监控的流量监控部分可以查看到相关的实时监控信息。
要对流量进行控制,首先需要管理员指定外联接口。
选择 策略 > QoS > 流量策略,配置流量管理策略。
图7-41 流量策略展示
策略默认按照添加顺序排列,当数据报文经过系统时,系统将按照策略的排列顺序,从上到下进行检测,当检测到有匹配的策略时,将直接按照策略对报文进行处理,不再继续检测,因此流量策略的排列顺序决定了报文的处理方式。管理员可以通过移动策略来改变策略的默认排序方式。
· 添加策略
管理员可以直接点击“添加”按钮添加新的策略,所有参数均为默认配置,管理员需一一配置;也可以选择已有策略,然后点击“克隆”按钮克隆新的策略,新的策略将和已有策略具有相同的参数。
· 点击“添加”按钮,系统会自动在策略列表的底部添加一条新的策略。
图7-42 添加流量策略
· 选择已有策略,点击“克隆”按钮添加新的策略,系统会自动在策略列表的底部添加一条新的策略,克隆的策略均为“停用”状态,需要管理员修改参数后手工启用该策略。
策略参数说明如下表:
表7-16 流量策略参数说明
|
参数 |
说明 |
|
序号 |
每条策略的编号,在移动策略的顺序时将会使用 |
|
策略名称 |
输入策略名称 |
|
状态 |
显示该策略是否启用,只有启用的策略才会对数据报文进行检测 |
|
源地址 |
选择已定义的地址对象,限定报文的源IP地址。没有设置地址对象时,默认表示任意地址 |
|
目的地址 |
配置该策略的目的需要匹配的条件,可以从已定义的地址、地址组对象中选择,也可以手动输入IP地址或IP范围 |
|
服务 |
选择服务和服务组对象,对数据报文的协议和目的端口号进行限定。如果没有选择任何服务,则系统默认为不对协议和端口号进行限定 |
|
带宽控制时间 |
配置带宽控制时间策略,可以选择时间、时间组 |
|
流量配额 |
设置匹配策略的链接的上行和下行流量配额,并设置统计时段:每小时或者每天 当统计时段内一个连接的上行或者下行流量中的一个达到策略中的配额时,系统将阻断用户的连接 |
|
带宽控制 |
配置带宽控制策略,选择已经添加的带宽通道对象即可,带宽通道对象就定义了上行和下行流量的限制 |
· 移动策略:
选择待移动的策略,点击“移动”按钮。
图7-43 重排序添加流量策略
管理员可以选择移动的位置(之前或之后)以及参考策略的ID,点击“确定”完成策略移动,或点击“取消”放弃移动。
· 删除策略
选择一个或多个策略,点击“删除”按钮即可。
工控防火墙支持IP地址和MAC地址绑定,以防止IP地址盗用,数据包通过工控防火墙时,系统将根据MAC地址绑定策略对IP地址和MAC地址的匹配关系进行检测,只有数据报文的 IP地址和MAC地址匹配时才可以通过,进而进行其它策略和内容的检查;如果IP地址和MAC地址不匹配,则系统将根据配置,决定是否允许数据包通过。
选择 策略 > MAC地址绑定。配置是否“不允许未绑定的IP地址或MAC地址通过”,默认不启用该规则,启用后如果数据包的IP地址和MAC地址不匹配,则数据包将被直接丢弃,不进行其它策略和内容的检查,而且被拒绝的请求记入网络日志。
图7-44 MAC地址绑定展示
· 添加地址绑定策略,系统提供自动和手动两种方式。
· 自动绑定
通过配置防火墙接口,以及该接口连接的特定网段的客户端,点击“执行绑定”按钮后,系统将自动获取客户端对应的MAC地址,在设备上生成绑定策略显示在MAC绑定列表中。对于无法取得MAC地址的客户端,只列出IP地址。对于已存在的绑定条目,如果在自动绑定执行时发现MAC变化,系统将自动进行更新。
· 手动绑定
手动绑定是指管理员手工配置IP地址和MAC地址,然后点击“执行绑定”配置绑定策略。
· 删除策略
在MAC绑定列表中选择一个或多个策略,点击“删除”按钮,确认后即可删除。
· 导出策略
点击“导出”按钮,管理员即可将列表中的策略以CSV格式导出到文件中进行备份。
· 导入策略
点击“导入”按钮,在下图中选择备份文件,点击“确定”即可完成导入。
图7-45 MAC地址绑定模板导入
客户黑名单用于配置禁止执行任何应用与访问的客户端信息,配置后加入全局客户黑名单中的IP地址将禁止通过设备发送任何信息。可以添加如下用户信息:
· 主机IP地址
· 子网IP地址
· IP地址范围
选择 策略 > 客户黑名单。
图7-46 客户端黑名单
· 添加黑名单成员
可以输入IP地址、地址范围作为黑名单的成员,在相应的文本框中输入或选择后,点击“确定”按钮即可。
· 删除黑名单成员。
在列表中选择一个或多个成员,点击“删除”按钮即可。
工控防火墙提供设备自身的安全防护功能,启用攻击渗透防护功能后,系统能有效地预防DoS/DDoS攻击,够在发现攻击之后直接丢弃数据包,并在日志中记录信息。
选择 策略 > DDoS攻击防护。
图7-47 DDoS攻击防护设定
· 启用攻击渗透防护功能
勾选“启用攻击渗透防护”选框。
图7-48 DDoS攻击防护启用
· 设置DoS/DDoS攻击防护功能
启用DoS/DDoS攻击防护,并设置DoS/DDoS 攻击防护的相关参数,系统在检测到DoS/DDoS攻击后将阻断相应的连接。
管理员只需要勾选相应选项即可启用相应协议的DoS/DDoS攻击防护功能,并设置判定攻击的临界值,即每秒收到的包数量达到多少时判定为DoS/DDoS攻击。
DoS/DDoS攻击防护逻辑是动态防护方式,随攻击流量的变化而变化。
例如:当攻击流量达到攻击判定临界值时,会将攻击流量丢弃,当攻击流量在指定时间内,降至临界值以下,系统会放过部分流量,当流量再次达到临界值时,又会将攻击流量全部丢弃。
异常数据包攻击防护,包含超大ICMP报文攻击、LAN攻击、TearTrop攻击类型的防护。
· 启用日志记录功能
系统默认不记录攻击防护日志,只有在此处启用后才在日志中记录相关的攻击事件。
出厂配置中默认不启用反DoS攻击检测,系统支持检测UDP Flood攻击、SYN Flood攻击、ICMP Flood攻击。
出厂配置中默认开启对异常数据包攻击的检测,包括:TearDrop攻击、Land攻击和超大ICMP报文攻击。
IP连接数限制用来配置按照源IP或者目的IP对连接的数量进行限制,当指定IP的流量经过工控防火墙时,工控防火墙会对连接数进行记录,同一时间该流量连接数超过用户配置的限制值,流量会被工控防火墙阻断。
其中源地址和目的地址可以是以下三种形式:
· 主机IP地址
· 子网IP地址
· IP地址范围
选择 策略 > IP连接数限制。策略默认按照添加顺序排列,当数据报文经过系统时,系统将按照策略的排列顺序,从上到下进行检测,当检测到有匹配的策略时,将直接按照策略对报文进行处理,不再继续检测,因此策略的排列顺序决定了报文的处理方式。
图7-49 IP连接数
· 添加IP连接数限制策略
管理员可以直接点击“添加”按钮添加新的策略,所有参数均为默认配置,管理员需一一配置;点击“添加”按钮,系统会自动在策略列表的底部添加一条新的策略。
图7-50 添加IP连接数策略
表7-17 流量策略参数说明
|
参数 |
说明 |
|
序号 |
每条策略的编号 |
|
策略名称 |
策略名称 |
|
状态 |
显示该策略是否启用,只有启用的策略才会对数据报文进行检测 |
|
源地址 |
配置该策略的源地址需要匹配的条件。没有设置地址对象时,默认表示任意地址 |
|
目的地址 |
配置该策略的目的地址需要匹配的条件,没有设置地址对象时,默认表示任意地址 |
|
IP连接数限制 |
配置连接数的限制数值 |
· 删除IP连接数限制策略
在策略列表中选择一个或多个成员,点击“删除”按钮即可。
策略选项用于配置安全策略的默认处理方式。
选择 策略 > 策略选项。
图7-51 策略选项设置
· 设置安全策略的默认处理方式
默认安全策略处理方式用于配置所有自定义策略都不匹配时系统对数据报文的处理方式,可以设置为默认允许或默认拒绝。点击“应用”按钮提交并保存配置。
策略选项用于配置安全策略的默认处理方式。
网络扫描作为网络攻击的主要手段,包括下面几种常见的扫描方式:tcp syn、tcp ack、tcp fin、tcp null、tcp xmas扫描和udp扫描。工业防火墙启用扫描防护功能后,系统能有效地预防和阻断上述扫描攻击,能够在发现攻击之后直接丢弃数据包,并在日志中记录信息。
1) 选择 策略 > 防护扫描设置,勾选启用扫描防护,开启扫描防护功能
2) 设置扫描防护功能
启用扫描防护功能,勾选需要防护的扫描项目,系统在检测到扫描攻击后将阻断相应的连接。
出厂配置中默认不启用扫描防护检测,系统支持检测tcp syn、tcp ack、tcp fin、tcp null、tcp xmas扫描和udp扫描攻击
工控防火墙设备具有和远端网关或客户建立IPSec VPN隧道的功能,建立IPSec VPN隧道时支持预共享密钥和数字证书认证两种方式,管理员在此可以配置相应的参数。
· IPSec VPN功能参数配置
· 证书管理功能
管理员在此可以配置IPSec VPN的相关参数。
· 通道管理:配置IPSec VPN隧道的相关参数。
· SA管理:配置SA的相关参数,即通道的加密和通讯协商参数。
工控防火墙设备支持网关到网关、客户端到网关两种通道建立IPSec VPN连接,目前仅支持通道模式,不支持传输模式。管理员需要对本地网关、本地子网、远端网关、远端子网进行配置,并指定端点间建立连接和通讯协商的方式和算法,从而完成通道的配置。
选择 VPN > IPSec VPN > 通道管理。
图8-1 通道管理
默认IPSec VPN通道列表列出所有已建立的通道,按通道建立的顺序由先后排列。“启用IPSec VPN”为功能的总开关,如果不启用则所有配置的通道都不生效。“服务接口”用于配置在哪些接口上启用VPN监听服务,启用后所有经过该处选择的接口的数据包将通过IPSecVPN检查,以确定是否对该数据包进行加密和解密操作。选择接口后点击“保存”按钮即可。
· 添加通道
点击“添加”按钮,在新弹出窗口中完成通道参数的配置。
图8-2 通道参数设置
通道配置支持通道名称、本地网关、本地子网、远端网关、远端子网、指定端点间建立连接和通讯协商的方式和算法、远程探测参数多项配置。
表8-1 通道参数说明
|
参数 |
说明 |
|
通道名称 |
配置通道的标识名,最多为32个字符,包括字母、数字、特殊字符,不区分大小写 |
|
接口 |
选择隧道本地端用于建立IPSec隧道的接口。所有经过该处选择的接口的数据包将通过IPSec检查,以确定是否对该数据包进行加密和解密操作 说明:只有勾选了“启用IPSec VPN”,启用了IPSec VPN功能的总开关,并在该接口上启用了IPSec VPN服务该通道才会生效 |
|
本地网关 |
设置系统用于和远端设备建立隧道的本端接口的公网IP地址 |
|
IKE版本 |
设置ike版本号,v1或者v2 |
|
本地子网 |
设置本地受保护的子网IP地址 |
|
远端网关 |
填写对端IPSec VPN服务器的IP地址或者域名 |
|
远端子网 |
设置IPSec隧道远端受保护的内网的子网IP地址 |
|
SA |
选择已经配置的SA对象,SA对象用于配置隧道双方就如何保证通信安全而达成的协议(包括使用的协议、算法、密钥等) |
|
远端探测 |
配置是否支持探测通道远端的状态 |
|
探测时间间隔 |
配置对远端状态进行探测的时间间隔,单位为秒。配置该值后,系统会每隔单位时间向对端发送探测消息,来确定对端是否还存活 |
|
探测超时时间 |
配置进行DPD探测的超时时间,即系统向隧道对端发送探测消息后,如果在指定的超时时间内没有收到回应,则认为对端断线 |
|
探测超时操作 |
配置DPD探测到远端没有收到回应时,系统对隧道采取的动作,支持以下操作 (1)HOLD:保持隧道当前状态; (2)CLEAR:清除该隧道 (3)RESTART:重建隧道 (4)RESTART_BY_PEER:由隧道对端重建隧道 |
|
Auto |
Add:被动协商,等待对端发起ike协商。 Start:本地主动发起ike协商。此时远端网关需要配置成可达的域名或者IP地址 |
· 编辑通道参数
点击“通道名称”一列中字段值,即可修改通道参数。
· 删除通道
选择一个或多个通道,然后点击“删除”按钮即可。
· 克隆新的通道
选择一个通道,然后点击“克隆”按钮,在通道列表的最后一行生成一条内容与选中条目相同的通道,名称在原名称后加_C1字样,如仍有名称重复情况出现,序号自动加1,直到没有名称重复情况为止。
远程接入配置管理用于管理和配置防火墙支持的认证方式。
选择VPN->IPSec VPN->远程接入配置管理
图8-3 远程接入设置
表8-2 通道参数说明
|
参数 |
说明 |
|
配置名称 |
配置通道的标识名,最多为32个字符,包括字母、数字、特殊字符,不区分大小写 |
|
认证方式 |
数字证书、预共享密钥 |
|
接口 |
远程用户接入的接口 |
|
地址池 |
分配给用户的地址范围 |
|
状态 |
配置是否被启用 |
· 编辑远程接入配置项。
点击“配置名称”一列中字段值,即可修改远程接入配置管理参数。
图8-4 通道设置
表8-3 通道参数说明
|
参数 |
说明 |
|
启用 |
是否启用远程接入配置开关 |
|
配置类型 |
目前支持IKEv2和L2TP两种配置类型 |
|
认证方式 |
L2TP只支持预共享密钥;IKEv2只支持证书认证 |
|
接口 |
选择本地三层接口 |
|
起始地址 |
地址池的起始地址 |
|
结束地址 |
地址池的结束地址 |
· 删除远程接入配置项。
选择一个或多个配置项,然后点击“删除”按钮即可。
由于IPSec VPN本身配置很复杂,有大量专业的参数需要进行选择,为了降低用户操作的复杂性和重复操作次数,工控防火墙把通道的加密和通讯协商参数都集中到SA管理中进行配置,定义好的参数集可以被多个通道引用,避免每个通道都去重复配置同样的参数。
选择 VPN > IPSec VPN > SA管理。
图8-5 SA信息展示
SA管理默认列出所有已定义的项目,按添加的顺序由先到后排列。
· 添加SA
点击“添加”按钮即可增加新的SA对象,在弹出的新窗口中打开参数配置页面。
图8-6 添加SA信息
添加完成后,点击“确定”按钮即可。
表8-4 通道参数说明
|
参数 |
说明 |
|
名称 |
最多为32个字符,包括字母、数字、特殊字符,不区分大小写 |
|
认证方式 |
配置进行隧道协商时的认证方式,支持预共享密钥和数字证书认证两种 |
|
预共享密钥 |
当“认证方式”为“预共享密钥”时需要设置该项,密钥为6-12个字符,包括字母、数字、特殊字符,区分大小写。双方的预共享密钥必须相同 |
|
本地证书 |
当“认证方式”为“数字证书”时需要设置该项,选择标识隧道本地接口的数字证书。下拉列表中会列出“证书管理”中已导入的“本地证书”供管理员选择 |
|
远端证书 |
当“认证方式”为“数字证书”时需要设置该项,选择标识隧道远端接口的数字证书。下拉列表中会列出“证书管理”中已导入的“远端证书”供管理员选择 |
|
IKE协商模式 |
配置在建立隧道时采用的协商模式,支持两种模式:主模式和积极模式 主模式提供身份保护机制,因此安全性比积极模式要高,适用于对身份保护要求较高的场合,但是由于主模式在协商过程中需要交换六条消息,而积极模式只需要交换三条消息,因此主模式要占用更多的资源和时间。管理员可以根据自己的实际情况选择合适的模式 |
|
IKE算法 |
选择第一阶段IKE SA协商时双方用于保证数据机密性的加密算法和保证数据完整性的摘要算法。通道双方应选择相同的算法 |
|
IPSEC算法 |
选择第二阶段IPsec SA协商时双方用于保证数据机密性的加密算法和保证数据完整性的摘要算法。通道双方应选择相同的算法 |
|
DH组 |
选择Diffie-Hellman(DH)组,以决定DH交换中密钥生成"材料"的长度。在协商过程中,对等的实体间应选择同一个DH组,即密钥“材料”的长度应该相等。若DH组不匹配,将视为协商失败 |
|
数据认证方式 |
配置对数据包进行认证的机制,认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。支持AH和ESP两种认证方式 |
|
IKE周期 |
配置IKE SA的生存时间,达到一定时间后IKE SA将会失效 |
|
IPSEC周期 |
配置IPSec SA的生存时间,达到一定时间后IPSEC SA将会失效 |
· 编辑SA参数
直接点击SA名称即可对其参数进行修改,具体参数详细要求请参考【添加】操作。
· 删除SA
选择一个或多个对象,点击“删除”按钮,确定删除后即可完成删除。
正在被通道引用的SA对象不能被删除,系统会出现相应提示信息:“XXX正在使用当前对象,不能删除”。
· 克隆对象
选择某一个单一的SA对象然后点击“克隆”按钮。系统将在列表的最后一行生成一条内容与选中条目相同的SA对象,名称在原名称后加_C1字样,如仍有名称重复情况出现,序号自动加1,直到没有名称重复情况为止。克隆后可以通过编辑对象修改其部分参数,简化了管理员的操作。
本地证书用来管理防火墙本地使用的证书,包括创建本地证书、删除本地证书、导入本地证书和导出本地证书。
选择VPN->证书管理->本地证书。
图8-7 本地证书展示
· 制作本地证书
点击“制作证书”按钮,即可制作本地证书。
图8-8 添加本地证书
表8-5 通道参数说明
|
参数 |
说明 |
|
证书名称 |
最多为32个字符,包括字母、数字、特殊字符,不区分大小写 |
|
组织名称 |
最多为32个字符,包括字母、数字、特殊字符,不区分大小写 |
|
组织单元名称 |
最多为32个字符,包括字母、数字、特殊字符,不区分大小写 |
|
通用名称 |
从下拉框里选择本地三层接口及其IP地址 |
|
主题备用名称 |
作为证书的备用名称,最多为32个字符,包括字母、数字、特殊字符,不区分大小写 |
|
有效时间 |
证书的有效期限 |
· 编辑本地证书
点击“证书名称”一列中字段值,即可修改本地证书。
· 删除本地证书
选择一个或多个本地证书,然后点击“删除”按钮即可。
· 导入本地证书
点击“导入”按钮,进行本地证书导入。
图8-9 导入本地证书
表8-6 通道参数说明
|
参数 |
说明 |
|
证书名称 |
点击浏览按钮选择待上传的证书文件 |
|
私钥文件 |
点击浏览按钮选择待上传的私钥文件 |
|
密码 |
本地证书密码 |
· 导出本地证书
选择一个或多个本地证书,然后点击“导出”按钮即可。
远端证书用来管理连接到防火墙的远端VPN证书。
选择VPN->证书管理->远端证书。
图8-10 远端证书
表8-7 远端字段说明
|
字段 |
说明 |
|
名称 |
显示远端证书的名称 |
|
颁发者 |
显示远端证书的颁发者机构 |
|
主题 |
显示远端证书的使用者信息 |
|
有效期起始时间 |
显示远端证书有效开始时间 |
|
有效期截止时间 |
显示远端证书有效截止时间 |
· 删除远端证书。
选择一个或多个远端证书,然后点击“删除”按钮即可。
· 导入远端证书。
点击“导入”按钮,进行远端证书导入。
图8-11 远端证书导入
· 导出远端证书。
选择一个或多个远端证书,然后点击“导出”按钮即可。
证书颁发机构用来管理本地防火墙VPN根证书。
选择VPN->证书管理->证书颁发机构。
图8-12 证书颁发机构
表8-8 远端字段说明
|
字段 |
说明 |
|
颁发者 |
显示颁发者机构名称 |
|
主题 |
显示颁发者名称 |
|
有效期起始时间 |
显示颁发证书有效开始时间 |
|
有效期截止时间 |
显示颁发证书有效截止时间 |
· 删除证书颁发机构。
选择一个或多个颁发证书机构,然后点击“删除”按钮即可。
· 导入证书颁发机构。
点击“导入”按钮,进行证书颁发机构导入。
图8-13 导入证书颁发机构
· 导出证书颁发机构。
选择一个或多个证书颁发机构,然后点击“导出”按钮即可。
支持导入、导出、删除吊销证书。
设备的网络设置包括:
· 网络物理接口、网桥接口及VLAN虚接口属性配置
· 安全域配置
· 静态路由及策略路由配置
· DNS配置
· DHCP配置
· 高可用性配置
· 网络诊断
配置接口相关的属性,包括如下内容:
· 配置物理接口属性
· 配置网桥接口属性
· 配置VLAN虚接口属性
物理接口用于配置工控防火墙实际的接口的属性,包括配置IP地址、工作模式、接口速率、VLAN、接口服务等参数进行配置,使工控防火墙可以适应于各种网络环境。
H3C SecPath F3010-I,仅有板载4个物理接口,无扩展,接口分别为GE0/0, GE0/1, GE0/2, GE0/3。
H3C SecPath F3110-I,板载6个物理接口,并支持3类扩展卡(4电口,4光口,8光口),板载接口分别为GE0/0, GE0/1, GE0/2, GE0/3, GE0/4, GE0/5,扩展卡接口命名规则G1/X。
选择 网络 > 接口 > 物理接口。
图9-1 物理接口列表
表9-1 物理接口字段说明
|
字段 |
说明 |
|
名称 |
显示接口名称。单击“名称”可以编辑接口属性 |
|
IP地址 |
显示接口的IP地址。接口工作在交换模式时其IP地址显示为0.0.0.0 |
|
Mac地址 |
显示接口的MAC地址 |
|
连接状态 |
红、绿箭头表示接口的当前链路状态。绿箭头意味着接口已连接网络 |
|
模式 |
显示接口的运行模式:透明模式或路由模式 |
|
速率/双工 |
显示接口的速率:自动,10、100或1000; 双工通讯设置:自动,全双工或半双工 |
|
区域 |
显示接口所在的区域 |
· 编辑接口属性
直接点击接口名称即可对接口的属性进行配置。在“接口模式”下选择接口的工作模式,可以选择“透明”或“路由”模式,不同的工作模式下需要设置的参数不同。
· 接口工作在“透明”模式。
图9-2 接口透明模式设置
· 接口工作在“路由”模式。
图9-3 接口路由模式设置
表9-2 接口参数说明
|
参数 |
说明 |
|
接口状态 |
选择“启动”启用管理员接口,允许接口的管理访问;选择“关闭”禁用该接口,拦截接口的管理访问 |
|
接口模式 |
选择“透明”或“路由”模式 |
|
连接类型 |
仅当接口工作在“路由”模式时需要配置该参数。路由模式下接口的IP地址有静态IP、DHCP、ADSL三种获取方式 A)选择“静态IP”时,需要配置接口的IP地址及其子网掩码; B)选择“DHCP”时,接口可以从DHCP服务器自动获取IP地址; C)选择“ADSL”时,需要在界面上配置ADSL拨号的用户名、密码,以及拨号方式,可以选择手动拨号,然后点击“连接”按钮;也可以选择“自动拨号”,并在下拉列表框中选择已经定义的时间对象,则系统仅在指定的时间内能进行ADSL拨号工作。ADSL支持空闲超时断开机制,即如果在指定的时间内没有流量,系统将自动断开与ADSL服务器的连接 注意:ADSL环境下,不允许进行MTU、接口速度和协商方式的配置。 |
|
透明模式配置 |
当接口工作在透明模式时,管理员可以选择将物理接口添加到网桥中,或者在接口上启用VLAN支持。当启用VLAN支持时,支持Access VLAN和Trunk VLAN两种模式: A)在Access模式中,一个物理接口只属于一个VLAN,在“VLAN ID”处设置该VLAN ID即可 B)在Trunk模式中,一个物理接口可属于多个VLAN。在下方的单文本框中输入ID号,点击“添加”按钮即可配置该接口所属的VLAN ID。也可在多文本框中选择一个已填加的VLAN ID,点击“删除”按钮,可以删除该接口所属的VLAN ID,被删除的VLAN ID将从上面的多文本框中消失。还需要在Native VLAN ID处输入Trunk模式下的Native VLAN 不管是哪种模式,透明模式的物理接口都不需要配置IP地址,统一在网桥接口中或VLAN虚接口中配置 |
|
MTU |
配置数据的最大传输单元,单位字节。默认为1500字节。范围为800-1500 |
|
接口速度 |
配置接口的工作速率:自动,10、100或1000 |
|
协商方式 |
双工通讯设置:自动,全双工或半双工。自动协商表示接口将与其它终端进行协商,实现最适合的设 |
|
允许ping |
配置是否接收和响应ping数据报文 |
点击“确定”按钮提交接口属性修改。
当接口工作在透明模式时,如果选择将物理接口添加到网桥中,则需要在此处配置网桥接口的属性。
选择 网络 > 接口 > 网桥接口。
图9-4 网桥接口
· 编辑接口属性
直接点击接口名称即可对接口的属性进行配置。
图9-5 网桥接口设置
管理员可以启用或禁用网桥接口,配置接口IP,以及配置是否允许接收和响应ping数据报文。还可配置是否启用生成树支持。点击“确定”按钮即可生效。
当接口工作在透明模式时,如果选择将物理接口添加到VLAN中,则需要在此处配置VLAN虚接口的属性。
选择 网络 > 接口 > VLAN接口。
图9-6 VLAN接口
· 编辑接口属性
直接点击接口名称即可对接口的属性进行配置。
图9-7 VLAN接口设置
管理员可以启用或禁用VLAN虚接口,配置虚接口IP,以及配置是否允许接收和响应ping数据报文。点击“确定”按钮即可生效。
工控防火墙设备支持将接口分成多个安全域以简化策略创建。例如:如果用户将GE0/1、GE0/2和GE0/3接口分到一个安全域,在创建策略时,只需针对安全域创建一种策略,而这个安全域就包括了三个接口,这种分组方式还可应用于VLAN接口以实现策略整合。
一个物理接口仅可属于一个安全域。
选择 网络 > 安全域,管理员可查看现有的分区及其包含的接口。
图9-8 安全域
· 创建分区
单击“添加”按钮,输入新安全区的名称,并选择该分区包含的物理接口或VLAN虚接口名,然后单击“确定”按钮即可。
图9-9 创建安全域
· 编辑分区属性
直接单击分区的名称,即可修改其属性。
· 删除分区
选择要删除的分区的复选框,然后单击“删除”按钮即可。
工控防火墙设备可以作为网络中的路由设备使用,支持普通数据报文的转发,管理员可以手工配置静态路由和策略路由,其中,策略路由的优先级高于静态路由。
路由配置包括:
· 静态路由配置
· 策略路由配置
静态路由表中显示所有系统自动添加的直连路由和管理员手工配置的静态路由和默认路由。
选择 网络 > 路由 > 静态路由。
图9-10 静态路由
在列表中可以查看到所有的直连路由、静态路由和默认路由,“网关”一栏显示“直连”时表示为直连路由;目的地址和子网掩码为0.0.0.0的为默认路由;其它的为静态路由。
· 直连路由
如果工作在路由模式的物理接口和VLAN虚接口已经分配了IP地址,则自动在路由表中添加直连路由。
· 静态路由
配置静态路由后,去往指定目的地的数据报文将按照管理员指定的路径进行转发。
· 默认路由
如果报文的目的地址不能与路由表的任何入口项相匹配,那么该报文将根据默认路由进行转发。如果没有默认路由,且报文的目的地不在路由表中,那么该报文将被丢弃,将向源端返回一个ICMP报文报告该目的地址或网络不可达。
· 添加静态路由
点击“添加”按钮。
图9-11 添加路由
添加静态路由时不能勾选“添加为默认网关”
表9-3 路由参数
|
参数 |
说明 |
|
目的 |
目的IP地址 |
|
子网掩码 |
目的地址的子网掩码 |
|
网关 |
指定路由转发的下一跳的IP地址。此地址不能为本地接口的IP地址,否则路由不会生效 |
· 添加默认路由
点击“添加”按钮,并勾选“添加为默认网关”。
图9-12 添加默认路由
在“网关”处指定路由转发的下一跳的IP地址。此地址不能为本地接口的IP地址,否则路由不会生效。单击“应用”按钮。
· 删除静态路由或默认路由
在列表中选择一个或多个表项,点击“删除”按钮即可。
直接路由无法删除。
策略路由不仅能够根据目的地址,而且能够根据IP源地址或者其它的条件来确定报文的转发路径,策略路由的优先级高于普通路由,策略路由主要是为了解决用户在多链路、多出口的状态下,不同用户、不同应用使用不同路径进行通讯的问题。
选择 网络 > 路由 > 策略路由。
图9-13 策略路由
· 添加策略路由
可以直接点击“添加”按钮或选择已有策略点击“克隆”按钮添加新的策略路由。
· 点击“添加”按钮。
图9-14 添加策略路由设置
表9-4 策略路由参数
|
参数 |
说明 |
|
名称 |
输入策略名标识该策略 |
|
状态 |
配置该路由是否有效,分为“启用”和“停用”两种状态 |
|
源地址 |
用来标识IP包的源地址或源网络及其子网掩码。注意填写源地址转换前的IP及掩码,也就是真实的子网地址 |
|
目的地址 |
用来标识IP 包的目的地址或目的网络及其子网掩码。需要填写目的地址转换后的真实地址 |
|
下一跳地址 |
设置下一跳路由器的入口IP地址 |
|
入口 |
指定数据报文从防火墙的哪个接口转发出去 |
· 选择一条策略路由,然后点击“克隆”按钮即可克隆一条相同参数的路由。
弹出如下图所示窗口,管理员设置路由名。输入路由名称后点击“确定”按钮,系统将自动在最后一条路由条目下方生成一条内容与选中路由相同的路由条目。
图9-15 策略路由克隆设置
· 编辑路由
直接点击策略名称即可在新打开的窗口中对策略进行修改。
· 移动策略
选择一条策略,点击“移动”按钮,界面如下图所示。管理员可以选择移动的位置(之前或之后)以及参考策略的ID,点击“确定”完成策略移动,或点击“取消”放弃移动。
图9-16 移动策略位置
工业防火墙设备具有DHCP相关功能,可以启用DHCP服务功能以及DHCP中继功能。
可以开启“DHCP”功能,给设备自动分配IP配置,并且可以进行监听端口。
1) 启动DHCP服务
启动服务才能生效。
2) 地址池列表
点击添加地址池,根据客户需求填写相关信息,并可以对地址池列表进行编辑和删除操作。
3) 保留地址列表
根据需求设置需要保留的地址列表,并可以对保留列表进行编辑和删除操作。
4) 启用DHCP中继
设备支持DHCP中继功能,选择需要进行监听的端口,填写相应的服务器地址信息,应用即可。
对于工控防火墙设备来说,应保证DNS服务器具备可靠性和可访问性,实现域名地址与IP地址的映射。而且,工控防火墙设备还可以作为客户端的DNS代理监听客户端的DNS请求。
选择菜单 网络 > DNS。
图9-17 DNS
· DNS服务器设置
在“DNS服务器”处指定工控防火墙设备所用的主/备用DNS服务器,也可以选择“通过DHCP、PPPOE自动获取DNS”自动获取DNS服务器。点击右侧对应的“保存”按钮即可。
· DNS中继设置
DNS中继是将防火墙作为客户端的DNS代理来使用,防火墙将在设备上缓存处理过的DNS请求,如果有客户端请求DNS解析时首先要查询缓存,如果有直接返回,如果缓存中没有则转发到DNS配置中指定的服务器进行解析,并将解析结果记入缓存。
防火墙需要在指定接口上监听客户端的DNS请求,选择接口后点击右侧对应的“保存”按钮即可。
· 工控防火墙设备支持管理员手工添加一些常用域名的解析记录,作为静态的缓存长期保留。添加IP地址及其对应的域名,点击“确定”按钮即可。
图9-18 常用域名添加
工控防火墙设备支持使用虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)实现设备的双机热备功能,本节介绍如下内容:
· HA工作原理
· 如何建立HA集群
· HA基本设置
工控防火墙设备使用VRRP协议实现双机热备功能,两台设备组成一个备份组,两台设备都正常工作时,VRRP协议将根据设备的优先级不同,选举优先级高的设备作为主设备,承担流量的检测和过滤任务;优先级低的设备则作为从设备,处于备份状态。主从设备之间通过心跳线连接HA接口,主设备会按照设定的心跳间隔向从设备发送VRRP报文,通报主设备的状态,并将主设备的连接状态、配置信息等数据同步到从设备,保证主设备或主链路发生故障时,业务被自动引导到从设备上继续处理,从而避免流量在切换到从设备后主设备上建立的业务中断。
以下是工控防火墙设备的主从切换过程:
· 设定心跳间隔,如果从设备在超过3个心跳间隔后依然没有收到主设备的VRRP报文,则认为主设备已经无法正常工作,从设备会自动切换为主设备。
· 设定监控接口来监控主设备各个接口的工作状态,通过选择监控接口,监控接口工作是否正常。并为监控接口设定不同的加权系数,表明接口的权重值,当监控接口Down掉导致接口的权重值降低超过一定的限值时,VRRP才认为主设备的接口出现故障,由从设备来接替主设备的工作。
· 设定监控主机来监控主设备连接的各个链路是否畅通, 将链路上关键部位的主机设定为监控主机,设备向监控主机发送ping包来监控链路是否畅通。并为监控主机设定不同的加权系数,表明链路的权重值,只有当链路的权重值降低超过一定的限值时,VRRP才认为主设备的链路出现故障,由从设备来接替主设备的工作。
· 工控防火墙设备还提供手工切换主从设备状态的功能,当需要升级主设备时,直接进行主从切换即可。
· 如果主设备配置为“抢占模式”时,主从切换后,只要主设备工作恢复正常,该主设备将主动通过抢占重新作为主系统。
建立HA集群的步骤:
· 在主从网关上分别进行HA设置,需要配置相同的集群IP地址、组ID、相同的心跳间隔,主设备的优先级高于从设备,并互相设置HA接口。具体请参见下节内容。
· 连接主从设备的HA接口形成心跳连接,用来在主从设备之间传输协商报文以及其它数据。HA接口可直接连接或通过交换机连接到系统上。
· 完成主、备用系统HA配置后,登录主系统的CLI,使用命令将主系统的配置同步到备用系统。执行这一命令,将自动执行主系统与备用系统的配置同步,HA心跳将在主系统和备用系统间自动产生并交流。
# exec ha sync saved
· 然后即可连接HA集群到您的网络。主从系统必须要采取相同的连接方式。
例如:如果主系统采用GE0/0和GE0/0接口连接网络、采用HA接口连接HA从设备,则从设备必须在同样方式进行连接(GE0/0和GE0/1连接网络,采用HA接口连接HA主系统)。
主备两设备必须是同一型号,运行同一固件版本。并且所有HA接口(心跳口)必须统一。
两个心跳接口在主从设备必须使用同一个端口。
所选的HA心跳接口必须工作在“路由模式”,必须分配有IP地址。
分配给主从设备上的HA心跳接口的IP地址必须位于同一个子网内。
例如:
一个网关设置GE0/4端口为HA接口,另一个网关必须也采用GE0/4端口,而且HA接口必须采用路由模式且分配有静态IP地址,HA接口的对端地址必须位于同一子网上。
在建立HA主/备用对前,您必须在两个网关上配置HA设置。
选择 网络 > 高可用性 > 双机热备。
图9-19 启用HA
· 启用HA
· 勾选“启用HA”,启用双机热备功能。
· 在“HA 状态”处管理员可以查看设备的当前工作状态,显示为“Master”表示设备为主设备;显示为“backup”表示设备为从设备。
· 手工故障切换
点击“设置Failover”可以手工强制切换HA状态。
当网关正在作为备份组中主网关运行时,单击“设置Failover”将可让该网关担任备用角色,而之前备用网关将成为主网关。要想结束设备的故障切换状态并让该网关恢复到主网关角色,请单击“解除故障切换设置”,在执行固件升级时这一选项会起到很大作用。
升级固件时,主从两个网关上固件都必须进行升级,建议采用如下步骤:
先升级备用设备。
在主系统上进行手工故障切换,调换两台设备的主备身份;
升级主设备;
再次进行手工故障切换。
· 设置心跳连接相关的属性
图9-20 设置HA属性
主从设备同步连接状态、配置信息等数据通过心跳连接进行。
· 在“HA接口”处选择本地心跳口。
· 在“HA优先级”处设置备份组的优先级
如果两个网关同时启动,优先级数值高的网关将成为HA集群中的主网关,如果你想让一个网关不论何时启动都是主网关,那么优先级数值要设为254,优先级数值的有效范围为1-254。
· 在“组ID”处设置HA集群的备份组的ID号。
主和备用网关的组ID必须一样,如果在用户网络中拥有多个HA组,那么各个HA组的组ID必须不一样。
· 在“保持间隔”处设置主从设备之间发送心跳报文的时间间隔,如果从设备在连续三个保持间隔内均没有收到主设备发送的心跳报文,则从设备将假设主设备已关闭,自行承担起主设备的角色。
· 在“对等IP处”配置对端心跳口的IP地址。
· 勾选“启用设备故障切换临界值”
默认情况下,主设备每次拔掉监控接口的网线时,都认为接口是Down掉了,都有可能会触发设备的主从状态切换。勾选“启用设备故障切换临界值”选项后,可以允许设备在每分钟内拔插网线超过一定的次数,而设备的主从状态不进行切换,该选项可防止HA主系统所有权来回转换太多次。如下图所示。
图9-21 设置故障切换临界值
· 采用监控主机权重值作为HA故障切换触发器
图9-22 权重及监控主机设置
表9-5 权重及监控主机参数
|
参数 |
说明 |
|
跟踪超时 |
设备向监控主机发送ping包来监控和主机的连接是否畅通,如果在此处设定的时间内未接收到回应的报文,则认为该主机不可达 说明:只有连续3次向跟踪主机发送ping包均不可达,才认为此链路不通 |
|
设备切换频率临界值 |
主设备会计算其出现故障的链路的权重值之和,并和此处设置的“设备切换频率临界值”进行比较。只有当断开的探测链路的权值之和不低于该处设定的值时,VRRP才认为主设备的链路出现故障,由从设备来接替主设备的工作 例如:此处设定23,监控主机1的权值为12,监控主机2的权值为15,则链路1和链路2必须同时断开时他们的权值之和才大于23,设备才由“主状态”切换到“从状态”。如果此处设定为11,则链路1和链路2任何一条链路断开后设备都将发生状态切换 |
|
跟踪主机IP地址 |
输入链路上关键部位的主机IP地址,设备向监控主机发送ping包来监控链路是否畅通 |
|
加权系数 |
监控主机设定不同的加权系数,表明链路的权重值 |
· 采用监控接口权重值作为HA故障切换触发器
“监控接口”相关配置界面如下图。
图9-23 监控接口设置
表9-6 权重及监控主机参数
|
参数 |
说明 |
|
启用 |
选择监控接口,则系统将监控接口工作是否正常 |
|
加权系数 |
设定该接口的权重值,以控制HA故障切换事件发生的时间,避免过早的故障切换事件,设置范围为1-32 在主设备通告的VRRP报文中包含监控接口的工作状况及其权重值。备用设备会计算其处于UP状态的监控接口的权重值之和,并和主设备的相应计算结果进行比较。如果备用系统高于主系统,则备用系统认为主系统已发生故障,将自动切换到Master状态 |
在主和备用系统上接口权重值可分开配置,二者的权重值无需同步。
为有效使用接口权重值来作为故障切换触发器,您在主系统上分配的权重值必须比备用系统要高。
· 设置是否启用“抢占模式”
如果在主备用系统中,客户要求仅当主设备出现故障时切换到备用设备,只要主设备工作回复正常,该主设备将主动通过抢占重新作为主系统,则需要启用“抢占模式”。
图9-24 抢占模式设置
在设置抢占的同时,还可以设置“延迟时间”。这样可以使得从设备延迟一段时间切换成为Master。其目的是这样的,在性能不够稳定的网络中,Backup可能因为网络堵塞而无法正常收到Master的报文,配置了抢占延迟时间后,可以避免因网络的短暂故障而导致的备份组内路由器的状态频繁转换。
延迟的时间以秒计算,可设置范围为0~600,设置为“0”值时主设备将在成功重启和恢复后立即抢回“主系统”状态。
工控防火墙设备向用户提供常用的网络诊断工具ping、TraceRoute、Nslookup、TCPDump,方便管理员在线诊断当前网络的连接情况。
选择 网络 > 网络诊断。
图9-25 网络诊断工具
· ping工具,可用于测试系统与远程计算机的连通状况。
在右侧文本框中输入IP地址,点击“执行”按钮即可。执行结果将在界面下方的多文本框中显示。
· TraceRoute工具,可用来侦测系统到目的主机之间所经路由情况。
在右侧文本框中输入目的IP地址,点击“执行”按钮即可。执行结果将在界面下方的多文本框中显示。
· Nslookup工具,用来诊断域名系统 (DNS) 基础结构的信息。
在右侧文本框中输入目的域名,点击“执行”按钮即可。执行结果将在界面下方的多文本框中显示。
· TCPDump工具,用于监控某网络接口上所有流过的或者满足特定条件的数据包。
管理员可以设定监控的接口、协议类型、数据报文的源IP、目的IP、源端口、目的端口中的一个或多个条件,点击“执行”按钮即可。执行结果将在界面下方的多文本框中显示。点击“导出”按钮可将监控结果导出到本地主机上。
系统配置包括如下内容:
· 基本配置:配置主机名称、时钟、代理认证等
· 邮件配置:配置邮件账号
· 告警配置:配置报警方式及其参数
· 产品更新配置:产品固件更新配置
· 账号配置:管理员账号管理及其配置选项
· 配置管理:系统配置文件管理
· 系统重启/关机
管理员可以在此修改主机名,即设备的标识符,还可以启用设备中的SNMP代理,SNMP管理设备可以读取设备的相关信息。
为了保证系统时间的精确性,管理员可以在此手工修改设备时间,也可以直接连接NTP服务器对系统时钟进行同步工作,具体设置为:
选择 系统 > 基本配置。
图10-1 基本配置
· 查看和修改设备名称
管理员可以查看和修改设备名称。
在“当前主机名”处显示设备的当前名称。
在“新主机名”下,管理员可以输入新的名称,主机名可由英文字母、数字和下划线‘_’等组成。
图10-2 主机名称配置
· 启用和配置SNMP代理
工控防火墙设备可以配置为允许只读SNMP polling,以接受SNMP管理设备的查询请求,从而读取设备的相关信息。
· 需要勾选 “启用SNMP”;
· 在“只读共同体”处设置设备的SNMP代理对SNMP管理软件进行认证的字符串。认证通过后,工控防火墙设备就可以接受SNMP管理设备的查询请求,从而读取设备的相关信息。出于安全考虑,推荐修改默认字符串。
图10-3 主机名称配置
要想设备接受SNMP管理设备的查询请求,还要求在设备用于接收SNMP请求的接口上启用SNMP管理功能。具体操作为选择菜单 系统 > 管理员配置 > 管理选项,在指定接口上勾选SNMP,则该接口上允许接收SNMP请求。
· 系统时钟设置
图10-4 系统时钟配置
设置正确的时间对于日志和报表同步极为重要,为了设置系统时间,工控防火墙设备提供了手动时钟设置与使用NTP服务器进行时钟同步两种方法。
在“系统时钟”处显示打开WebUI界面时的系统时间,点击“刷新”按钮可以获取最新的系统时间。
· 手动修改系统时钟
选择时区和精确的系统时间,点击“应用”按钮完成时间修改。
· 使用NTP服务器同步系统时钟
勾选“启用NTP服务”。
输入NTP服务器的域名,并设置自动同步时间间隔,则系统将自动按照一定的时间间隔和NTP服务器进行时间同步。点击“默认配置”按钮,则NTP服务器的域名恢复默认配置。设置完成后,点击“应用”按钮使设置生效。
启用NTP服务器对系统时钟进行同步时,必须保证网关和NTP服务器的正确连接。
电子邮件警告配置用于配置电子邮件账户信息,用该账户向管理员发送各种通知,如HA失败事件提醒等等。发送邮件可以使用设备内置的QMAIL邮件服务器,也可以使用管理员配置的邮件发送服务器。推荐用户使用自己设置的邮件服务器。
选择 系统 > 邮件配置。
图10-5 邮件配置
表10-1 邮件配置参数
|
参数 |
说明 |
|
发送邮件地址 |
配置发送邮件的账号信息 |
|
接收邮件地址 |
配置接收告警信息和报表邮件的邮件地址,可以设置多个接收人 |
|
邮件转发服务器设置 |
如果电子邮件必须由外部的电子邮件服务器来收发,那么需要在“转发服务器的地址或名称”处指定SMTP服务器的IP地址和域名,并指定服务器所用的端口号。如果SMTP服务有安全连接要求,那么请勾选“服务器要求安全传输”选项 |
|
SMTP认证 |
如果SMTP服务器要求认证发件人的账号和密码,则需要勾选“SMTP认证”,并设置SMTP用户名和密码 |
|
使用邮件转发服务器 |
报表邮件可以选择是否使用邮件中转服务器来转发邮件,不使用邮件转发服务器时,将使用系统内置的QMAIL服务器,推荐用户使用邮件转发服务器 |
设备目前提供SNMP Trap、邮件报警功能。
· SNMP Trap报警:发送SNMP trap报警信息到SNMP服务器。
· 邮件告警,通过邮件告警。
工控防火墙设备可发送SNMP trap报警信息到SNMP服务器,以下事件会触发SNMP Trap报警:
· 设备HA状态发生变化
· 硬盘满
· 设备网卡发生错误
管理员可指定最多三台的SNMP服务器来接收设备的SNMP trap,工控防火墙设备支持所有符合SNMP v1、v2和v3标准的SNMP管理软件。
选择 系统 > 告警配置 > SNMP Trap告警 。
图10-6 SNMP Trap告警配置
表10-2 SNMP Trap告警参数
|
参数 |
说明 |
|
Trap版本 |
SNMP服务器支持的SNMP trap版本,可选项为V1,V2,V3 |
|
SNMP服务器IP |
SNMP服务器的IP地址 |
|
共同体 |
设备的SNMP代理向SNMP服务器发送Trap报警时的密码字符串,两边的设置必须一致 |
|
端口 |
SNMP 服务器接收Trap报警的端口号 |
|
SNMPV3版本 |
用户名、认证方式、加密方式及其密码 |
工控防火墙设备启用邮件告警。
系统 > 告警配置 > 邮件告警 。
图10-7 邮件告警配置
产品更新主要配置系统固件的更新设置。
管理员可以查看工控防火墙固件现的有版本、以前版本、上次更新日期以及上次更新状态,还可进行固件升级。
警告:更新系统固件需重启系统,这会导致暂时的服务中断。
选择 系统 > 产品更新 > 系统固件。
图10-8 系统固件升级
管理员可以查看系统中固件现的有版本、以前版本、上次更新日期以及上次更新状态。
更新固件步骤:
· 在“更新Firmware”处,单击“浏览”按钮选择本地PC机上的固件软件包。
· 选择“立即更新”在文件上传完成后立即进行更新;
· 点击“应用”按扭提交设置。
更新系统固件需重启系统,这会导致暂时的服务中断。
管理员可以查看规则版本、以前版本、上次更新日期以及上次更新状态。
图10-9 黑名单规则升级
· 更新规则
· 在“黑名单规则”处,单击“浏览”按钮选择本地PC机上的固件软件包。
· 点击“应用”后,在文件上传完成后立即进行更新;
· 规则回滚
当需要回滚规则时,点击回滚。
图10-10 License信息查看管理
· 导入license
管理员可以通过Web导入多个license的方式,延长license的有效期。
· 删除license
当申请到的license应用到了错误的设备,使用删除license功能可以license失效。
如果License删除,当前使用中的License证书无法再次被导入,需要向设备厂商再次申请。故除License动作请慎重。
管理员账户可以通过Web方式管理和配置系统。超级管理员账户“admin是有权创建新管理员账户和编辑现有账户的唯一账户。该账户密码可以进行修改,而用户名(“admin则不可以。)
管理员配置包含下列主题:
· 配置管理员账户
· 配置管理员访问控制
管理员账户通过安全WEB方式被用以管理和配置工控防火墙设备。新的系统管理员在配置时可分配到下列两个个角色之一:
· 操作员——可添加和编辑配置选项,但不具有配置管理员账号的权限,不能查看系统日志和报表信息。
· 审计员——受限系统访问权,只查看日志、报表和系统监控信息,审计角色不能查看系统配置的参数。
· 超级用户账户“admin”是有权创建新用户账户和编辑现有账户的唯一账户,该账户密码可以进行修改,而用户名(“admin”)则不可以。
选择 系统 > 账号配置 > 账号管理。
图10-11 账号管理
· 添加管理员账号
点击“添加”按钮。
图10-12 License信息查看管理
表10-3 SNMP Trap告警参数
|
参数 |
说明 |
|
管理员名称 |
输入管理员名称 |
|
新密码 |
设置管理员密码 |
|
确认新密码 |
再次输入“新密码”处设置的密码 |
|
权限 |
设置管理员权限:审计员 |
点击“确定”按钮完成设置。
管理选项是针对于登录安全性、管理安全性进行的一些参数配置,用来提高管理操作的易用性和安全性。配置相关选项包括管理空闲超时、登录重试次数、账号锁定时间,管理接口和端口自定义七个方面的参数。
选择 系统 > 账号配置 > 管理选项。
图10-13 管理选项设置
表10-4 管理选项 参数
|
参数 |
说明 |
|
空闲超时值 |
当管理员在指定时间内处于不活动状态时,WEBUI会将其自动注销 有效闲置超时时间为5-30分钟,为了提高安全性,默认值为15分钟 |
|
登录重试次数 |
系统阻止接受新的登录尝试前,允许的登录尝试失败次数 有效重试次数为0-10次。默认值为5次 |
|
锁定时间 |
系统在超过“登录重试次数”后不准任何新的管理登录尝试的时间 有效时间为5-30分钟。默认值为5分钟 |
|
管理接口选项 |
指定各个接口上开放的服务,只有开放了服务,系统才会接收指定的请求 可选值的服务有:HTTPS、SSH、SNMP、NMS |
|
HTTPS端口 |
指定使用HTTPS协议访问的端口号。默认端口号为443 |
|
SSH端口 |
指定使用SSH协议访问的端口号。默认端口号为22 |
|
NMS管理端口 |
指定使用NMS对设备进行管理的端口号,默认为4438 |
|
管理主机 |
可选项,设置可信管理主机,即管理员只能通过设置的IP地址与子网掩码登录设备,其它任何主机对设备进行管理访问都不会得到回应。如果不设置可信管理主机,则管理员可以从任意主机登录设备进行管理,潜在的将设备暴露给未经授权的访问 在文本框中输入主机IP地址或网络子网,然后点击“添加”按扭即可 选择后点击“删除”按钮可删除可信管理主机 |
点击“应用”按钮保存设置。
管理员可以对配置文件进行管理,可下载设备的配置文件到主机上、从管理主机上传配置文件到系统上,或将系统恢复到出厂默认配置。
选择 系统 > 配置管理。
图10-14 配置管理设置
· 备份配置文件
管理员可以选择将配置文件备份到设备上,或者备份到管理主机上。
· 当选择将备份文件保存在“防火墙存储介质”上时,需要管理员在“备份说明”处输入文件的必要的说明,点击“备份”按钮后,管理员可以在下面的列表中查看到该备份文件。
图10-15 备份文件设置
· 当选择将备份文件保存在“管理客户端”时,直接点击“备份”按钮,指定保存位置后即可将文件保存到管理主机上。
· 系统配置恢复
在“配置恢复”处,管理员可以选择从设备备份的配置文件,或者管理主机上的备份文件恢复配置。
· 当选择从“防火墙存储介质”上恢复配置时,需要管理员在列表中选择备份文件,然后点击“恢复”按钮即可。
· 当选择从“管理客户端”上恢复配置时,在界面中单击“浏览”定位配置文件后,点击“恢复”按钮即可。如下图所示。
图10-16 备份文件恢复
· 恢复系统到出厂默认设置值
· 在“恢复系统到出厂默认配置”右侧,点击“恢复”按钮,系统弹出确认提示框。
· 单击“确认”按钮即可。
如果恢复系统到出厂默认设置,所有的配置都将恢复至初始状态。包括管理IP地址、用户名和密码等关键信息。
管理员可通过WEB页面远程重启或关闭工控防火墙设备。
选择菜单 系统 > 系统重启/关机。
图10-17 系统重启与关机
从“操作列表”下拉列表中,选择一个动作:重启系统或关机。点击“应用”按钮。
支持
