- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
12-工控安全典型配置举例
本章节下载 (379.00 KB)
目录
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解工控安全的特性。
本文档介绍设备的工控白名单配置举例,包括工控白名单配置、引用、模式、白名单学习的配置。
工控流量要过设备才能学习和控制,不支持的工控协议直接放行,不做任何处理。
如图1所示,为了网络安全,只允许S7客户端所在的主机访问S7服务器,其他主机发起的S7连接一律禁止并产生工控安全日志。
设备使用旁路模式部署在交换机旁边,通过镜像的方式,将流量镜像到设备的GE5接口。
图1 工控安全-自动学习白名单举例组网图
· 配置S7客户端和S7服务器之间白名单规则(手动配置或白名单学习规则,此处使用自动学习)。
· 在控制策略中开启工控白名单,引用工控模板,模式选择防护模式。
本举例是在E6501版本上进行配置和验证的。
进入“网络配置>基础网络>部署方式>旁路部署”,勾选ge0接口,在弹出的对话框中点击“确认”。
图2 配置旁路部署
需要将交换机的流量镜像到设备,保证网络流量通过设备传递,必须镜像双向流量。
(1) 新建一个工控安全模板
进入“策略配置>安全设置>工控安全>模板管理”,点击<新建>,配置模板名称,点击<提交>。
图3 新建工控模板
(1) 开启白名单学习,选择上述步骤中新建的模板,源地址和目的地址分别设置成S7客户机和S7服务器,选择合适的时长,并点击“开始”。
图4 配置白名单学习
(2) 在S7客户机上进行日常操作,等待学习完成后,页面下方S7白名单中会显示学习到的规则,如下图所示。
图5 开启白名单学习
(1) 进入“策略配置>控制策略”,点击<新建>,在工控白名单中选择上述模板,工作模式选择“防护模式”,点击<提交>,即可进入工控保护模式。
图6 配置控制策略
在S7客户端进行的操作,都能正常放行;其他主机发起S7操作会被阻断。阻断后可以查看详细的工控安全日志,如下图所示。
点击操作栏的“详细”可以查看日志的详细信息
图8 日志详细信息
!
interface ge4
ip address 10.3.10.1/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
!
interface ge5
ip address 10.4.10.1/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
!
icf template S7
icf S7 baselist srcip 10.3.10.14 dstip 10.4.10.15 function write memory db_area point S7wlbyte dbnum 200 200 start 30 end 31 1
!
policy ge4 ge5 any any any any any always any permit 1
policy terminal model any
app-policy mail attach-file num 10
app-policy mail mail-size 20
app-policy filter ftp disable
app-policy filter ftp filename disable
app-policy filter ftp cmd disable
app-policy filter ftp action permit
app-policy filter telnet disable
app-policy filter telnet action permit
app-policy filter dns disable
app-policy filter dns action permit
file-type-policy other-protocol disable
icf template S7 work-mode protect
create-by admin
policy default-action deny
policy white-list disable
!
如图9为了网络安全,只允许S7客户端所在的主机访问S7服务器,其他主机发起的S7连接一律禁止并产生工控安全日志。
设备使用旁路模式部署在交换机旁边,通过镜像的方式,将流量镜像到设备的GE5接口。
图9 工控安全-手动配置白名单举例组网图
· 新建工控模板。
· 配置S7客户端和S7服务器之间白名单规则(手动配置或白名单学习规则,此处使用手动配置)。
· 在控制策略中开启工控白名单,引用工控模板,模式选择防护模式。
本举例是在E6501版本上进行配置和验证的。
进入“网络配置>基础网络>部署方式>旁路部署”,勾选ge0接口,在弹出的对话框中点击“确认”。
图10 配置旁路部署
需要将交换机的流量镜像到设备,保证网络流量通过设备传递,必须镜像双向流量。
(1) 新建一个工控安全模板。
进入“策略配置>安全设置>工控安全>模板管理”,点击<新建>,配置模板名称,点击<提交>。
图11 新建工控模板
(2) 手动配置S7规则,将源地址10.3.10.14加入白名单。
必须所有字段均满足才能匹配上白名单规则,才能放通,如下图所示。
图12 配置S7规则-全匹配
可以配置使用范围只检查源地址,其他为全匹配,如下图所示。
图13 配置S7规则-源地址过滤
(1) 进入“策略配置>控制策略”,点击<新建>,在工控白名单中选择上述模板,工作模式选择“防护模式”,点击<提交>。即可进入工控保护模式。
图14 配置控制策略
在S7客户端的进行操作,都能正常放行;其他主机发起S7操作会被阻断。阻断后可以查看详细的工控安全日志,如下图所示。
图15 查看工控安全日志
点击操作栏的“详细”可以查看日志的详细信息。
图16 日志详细信息
!
interface ge4
ip address 10.3.10.1/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
!
interface ge5
ip address 10.4.10.1/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
!
icf template S7
icf S7 baselist srcip 10.3.10.14 dstip 10.4.10.15 function write memory db_area point S7wlbyte dbnum 200 200 start 30 end 31 1
!
policy ge4 ge5 any any any any any always any permit 1
policy terminal model any
app-policy mail attach-file num 10
app-policy mail mail-size 20
app-policy filter ftp disable
app-policy filter ftp filename disable
app-policy filter ftp cmd disable
app-policy filter ftp action permit
app-policy filter telnet disable
app-policy filter telnet action permit
app-policy filter dns disable
app-policy filter dns action permit
file-type-policy other-protocol disable
icf template S7 work-mode protect
create-by admin
policy default-action deny
policy white-list disable
!
!
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
