- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-工业白名单
本章节下载: 05-工业白名单 (1.39 MB)
本文档介绍了H3C 工控防火墙 F3000 工业白名单防护组网配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
如图1所示,工业防火墙部署在工程师站和PLC之间,所有工程师站和PLC的工业流量数据都会被检测,符合白名单模板的工业流量数据,会被工业防火墙正常处理转发,白名单模板之外的工业流量数据将被告警和丢弃。
· 默认安全策略是deny的,需要配置安全策略进行转发。
· 新建的安全策略默认是未启用的,当配置完毕后需要点击安全策略的状态按钮启动安全策略。
本举例是在工控防火墙的Version 3.1,ESS 6601版本上进行配置和验证的。
图2 创建安全策略
图3 学习模式
在主机17.1.8.174上开启Modbus主端,主机18.1.8.175上开启从端:
图4 模拟器建立Modbus连接
修改主端上40001地址字段的value为1111:
图5 修改参数
图6 修改成功
在从端可以看到相同地址为40001处已同步修改:
图7 从端同步修改
图8 停止学习白名单
图9 查看白名单模板明细
可查看Modbus协议已被学习记录,其中功能码为03:HOLDING REGISTER也与实际操作一致:
图10 查看白名单模板明细
图11 告警模式
此处修改40002地址的value:
图12 修改参数
在从端查看值修改成功:
图13 修改成功
使用工业协议模拟器做其他操作,在日志报表—白名单告警处检查是否有白名单告警日志
图14 告警日志
图15 防护模式
使用工控协议modbus模拟器建立连接并构造与之前不同的流量,此处修改40002地址的value:
图16 修改参数
在主端提示连接/修改失败:
图17 修改失败
在日志报表—白名单告警处检查是否有白名单告警日志
图18 告警日志
(1) 设置白名单学习时,当有支持的工业协议经过防火墙时,防火墙会进行解析并记录在白名单模板中;
(2) 设置为白名单告警时,当有支持的工业协议,但不在白名单模板内的流量经过防火墙时,防火墙会放行但会在日志中记录;
(3) 设置为白名单告警时,当有支持的工业协议,但不在白名单模板内的流量经过防火墙时,防火墙会拦截且会在日志中记录。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
