- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
46-工控安全
本章节下载 (703.06 KB)
工控安全主要是应用于工业网络环境的告警和防护,运用基于白名单的访问控制、工业协议精准识别和深度检测等技术,能解析、识别与控制所有通过工业控制网络的数据流量,以抵御各类针对工控系统的攻击和威胁,为工控网络与外部网络互联、内部区域之间的连接提供安全保障。
· 设备支持对Modbus、CIP、S7、OPC、DNP3、Profinet、IEC104这7种协议的白名单控制。支持学习规则并生成白名单.
· 支持以下两种控制模式:
¡ 防护模式:符合配置规则的流放行,不符合配置规则的流阻断并产生工控安全日志。
¡ 告警模式:符合配置规则的流放行,不符合配置规则的流放行并产生工控安全日志。
在导航栏中选择“策略配置>安全设置>工控安全>模板管理”,进入工控模板管理的配置页面。
图1-1 工控模板管理页面
表1-1 工控模板管理页面详细描述表
|
标题项 |
说明 |
|
名称 |
模板名称 |
|
描述 |
模板描述信息 |
|
引用次数 |
模板被控制策略和白名单学习引用的次数 |
|
规则数 |
模板下包含的工控规则数量 |
|
操作 |
可对模板描述进行编辑; 可删除模板及模板下的所有规则。 |
点击“新建”按钮,打开新建模板对话框。如下图所示。
图1-2 新建模板对话框
表1-2 新建模板对话框详细描述表
|
标题项 |
说明 |
|
名称 |
模板名称 |
|
描述 |
模板描述信息 |
另外,勾选模板后,可以对模板进行批量删除。
在“策略配置>安全设置>工控安全>模板管理”页面,点击任一模板名称后,进入模板规则管理页面,然后可以对模板下的各类工控规则进行管理,如下图所示。
图1-3 工控规则管理页面
在“策略配置>安全设置>工控安全>模板管理”页面,点击任一模板名称后,打开规则管理对话框。第一个Tab页默认是Modbus白名单,如下图所示。
图1-4 Modbus白名单配置页面
表1-3 Modbus白名单配置详细描述表
|
标题项 |
说明 |
|
源IP |
规则匹配的源IP,可配置IP地址和网段 |
|
目的IP |
规则匹配的目的IP,可配置IP地址和网段 |
|
功能码 |
Modbus功能码 |
|
起始地址 |
寄存器操作的起始地址 |
|
结束地址 |
寄存器操作的结束地址 |
|
操作 |
可对白名单规则进行编辑 可对白名单规则进行删除 可对支持值域控制的规则,添加值域控制 |
点击“新建”按钮后,弹出Modbus白名单规则的配置对话框,如下图所示。新建对话框中的配置项与上述Modbus白名单配置详细描述表中的说明是一样的。
图1-5 Modbus白名单规则配置对话框
新建Modbus白名单规则时,如果功能码选择的是支持值域控制的类型,如Write Single Coil、Write Single Register、Write Multiple Coils、Write Multiple registers,新建成功后添加值域控制的按钮会被激活,可以进一步地再添加值域控制规则。
图1-6 Modbus添加值域控制按钮
然后点击规则列表最右边的加号按钮后,弹出值域控制对话框,如下图所示。
图1-7 Modbus值域控制对话框
表1-4 Modbus值域控制对话框详细描述表
|
标题项 |
说明 |
|
点名 |
值域控制规则点名 |
|
地址 |
值域的起始地址 |
|
数据类型 |
值域的数据类型,根据不同的功能码,这里的数据类型会有相应的变化 |
|
最小值 |
值域允许的最小值 |
|
最大值 |
值域允许的最大值 |
新建值域控制规则成功后,显示值域控制列表如下图所示。
图1-8 展开后的Modbus值域控制规则列表
在“策略配置>安全设置>工控安全>模板管理”页面,点击任一模板名称后,打开规则管理对话框。再点击“CIP白名单”Tab页即可进入CIP白名单配置页面,如下图所示。
图1-9 CIP白名单配置页面
表1-5 CIP白名单配置详细描述表
|
标题项 |
说明 |
|
源IP |
规则匹配的源IP,可配置IP地址和网段 |
|
目的IP |
规则匹配的目的IP,可配置IP地址和网段 |
|
对象 |
CIP规则对象名 |
|
服务 |
CIP规则服务名 |
|
传输层协议 |
TCP和UDP,不用配置设备自动识别 |
|
操作 |
可对白名单规则进行编辑 可对白名单规则进行删除 |
点击“新建”按钮后,弹出CIP白名单规则的配置对话框,如下图所示。新建对话框中的配置项与上述CIP白名单配置详细描述表中的说明是一样的。
图1-10 CIP白名单规则配置对话框
在“策略配置>安全设置>工控安全>模板管理”页面,点击任一模板名称后,打开规则管理对话框。再点击“S7白名单”Tab页即可进入S7白名单配置页面,如下图所示。
图1-11 S7白名单配置页面
表1-6 S7白名单配置详细描述表
|
标题项 |
说明 |
|
源IP |
规则匹配的源IP,可配置IP地址和网段 |
|
目的IP |
规则匹配的目的IP,可配置IP地址和网段 |
|
功能码 |
S7功能码,支持any |
|
寄存器区 |
S7寄存器区域,支持any |
|
点类型 |
S7点类型 |
|
DB区区号 |
S7 DB区域编号,支持配置范围 |
|
起始地址 |
寄存器操作的起始地址 |
|
结束地址 |
寄存器操作的结束地址 |
|
操作 |
可对白名单规则进行编辑 可对白名单规则进行删除 可对支持值域控制的规则,添加值域控制 |
点击“新建”按钮后,弹出S7白名单规则的配置对话框,如下图所示。新建对话框中的配置项与上述S7白名单配置详细描述表中的说明是一样的。
图1-12 S7白名单规则配置对话框
新建S7白名单规则时,如果数据类型选择的写类型,新建成功后添加值域控制的按钮会被激活,可以进一步地再添加值域控制规则。
图1-13 S7添加值域控制按钮
然后点击规则列表最右边的加号按钮后,弹出值域控制对话框,如下图所示。
图1-14 S7值域控制对话框
表1-7 S7值域控制对话框详细描述表
|
标题项 |
说明 |
|
点名 |
值域控制规则点名 |
|
地址 |
值域的起始地址 |
|
数据类型 |
值域的数据类型 |
|
最小值 |
值域允许的最小值 |
|
最大值 |
值域允许的最大值 |
新建值域控制规则成功后,显示值域控制列表如下图所示。
图1-15 展开后的S7值域控制规则列表
在“策略配置>安全设置>工控安全>模板管理”页面,点击任一模板名称后,打开规则管理对话框。再点击“OPC白名单”Tab页即可进入OPC白名单配置页面,如下图所示。
图1-16 OPC白名单配置页面
表1-8 OPC白名单配置详细描述表
|
标题项 |
说明 |
|
源IP |
规则匹配的源IP,可配置IP地址和网段 |
|
目的IP |
规则匹配的目的IP,可配置IP地址和网段 |
|
接口名 |
OPC接口名 |
|
方法名 |
OPC方法名 |
|
操作 |
可对白名单规则进行编辑 可对白名单规则进行删除 可对支持值域控制的规则,添加值域控制 |
点击“新建”按钮后,弹出OPC白名单规则的配置对话框,如下图所示。新建对话框中的配置项与上述OPC白名单配置详细描述表中的说明是一样的。
图1-17 OPC白名单规则配置对话框
新建OPC白名单规则时,如果方法名选择的Write,新建成功后添加值域控制的按钮会被激活,可以进一步地再添加值域控制规则。
图1-18 OPC添加值域控制按钮
5
然后点击规则列表最右边的加号按钮后,弹出值域控制对话框,如下图所示。
图1-19 OPC值域控制对话框
表1-9 OPC值域控制对话框详细描述表
|
标题项 |
说明 |
|
点名 |
值域控制规则点名 |
|
Item ID |
值域的Item ID名称 |
|
数据类型 |
值域的数据类型 |
|
最小值 |
值域允许的最小值 |
|
最大值 |
值域允许的最大值 |
新建值域控制规则成功后,显示值域控制列表如下图所示。
图1-20 展开后的OPC值域控制规则列表
在“策略配置>安全设置>工控安全>模板管理”页面,点击任一模板名称后,打开规则管理对话框。再点击“DNP3白名单”Tab页即可进入DNP3白名单配置页面,如下图所示。
图1-21 DNP3白名单配置页面
表1-10 DNP3白名单配置详细描述表
|
标题项 |
说明 |
|
源IP |
规则匹配的源IP,可配置IP地址和网段 |
|
目的IP |
规则匹配的目的IP,可配置IP地址和网段 |
|
功能码 |
DNP3功能码 |
|
对象组号 |
DNP3规则对象组编号 |
|
变体号 |
DNP3规则变体编号 |
|
操作 |
可对白名单规则进行编辑 可对白名单规则进行删除 |
点击“新建”按钮后,弹出DNP3白名单规则的配置对话框,如下图所示。新建对话框中的配置项与上述CIP白名单配置详细描述表中的说明是一样的。
图1-22 DNP3白名单规则配置对话框
在“策略配置>安全设置>工控安全>模板管理”页面,点击任一模板名称后,打开规则管理对话框。再点击“Profinet白名单”Tab页即可进入Profinet白名单配置页面,如下图所示。
图1-23 Profinet白名单配置页面
表1-11 Profinet白名单配置详细描述表
|
标题项 |
说明 |
|
源IP |
规则匹配的源IP,可配置IP地址和网段 |
|
目的IP |
规则匹配的目的IP,可配置IP地址和网段 |
|
接口名 |
Profinet接口名 |
|
方法名 |
Profinet方法名 |
|
Block Type |
Profinet block type名 |
|
操作 |
可对白名单规则进行编辑 可对白名单规则进行删除 |
点击“新建”按钮后,弹出Profinet白名单规则的配置对话框,如下图所示。新建对话框中的配置项与上述Profinet白名单配置详细描述表中的说明是一样的。
图1-24 Profinet白名单规则配置对话框
在“策略配置>安全设置>工控安全>模板管理”页面,点击任一模板名称后,打开规则管理对话框。再点击“IEC104白名单”Tab页即可进入IEC104白名单配置页面,如下图所示。
图1-25 IEC104白名单配置页面
表1-12 IEC104白名单配置详细描述表
|
标题项 |
说明 |
|
源IP |
规则匹配的源IP,可配置IP地址和网段 |
|
目的IP |
规则匹配的目的IP,可配置IP地址和网段 |
|
类型标识 |
IEC104的类型标识 |
|
起始公共地址 |
IEC104的起始公共地址 |
|
结束公共地址 |
IEC104的结束公共地址 |
|
起始信息体地址 |
IEC104的起始信息体地址 |
|
结束信息体地址 |
IEC104的结束信息体地址 |
|
操作 |
可对白名单规则进行编辑 可对白名单规则进行删除 |
点击“新建”按钮后,弹出IEC104白名单规则的配置对话框,如下图所示。新建对话框中的配置项与上述IEC104白名单配置详细描述表中的说明是一样的。
图1-26 IEC104白名单规则配置对话框
在导航栏中选择“策略配置>安全设置>工控安全>白名单学习”,进入白名单学习页面。白名单学习主要分为两部分,学习配置和学习规则列表。学习配置各个要素如下图所示,设置好相应的选项并点击开始后,开启按钮会变成停止。
工控协议相关的流量经过设备后,会将学习到的白名单规则会分类展示到下方的规则列表中,展示的方式类似于白名单规则添加页面,只是在这里不允许进行修改和删除。
图1-27 白名单学习
表1-13 白名单学习配置详细描述表
|
标题项 |
说明 |
|
名称 |
指定模板名称,学习到规则后会加入到这个模板 |
|
源地址 |
指定源地址对象 |
|
目的地址 |
自动目的地址对象 |
|
开始时间 |
学习的开始时间 |
|
学习时长 |
要学习的时长 |
|
进度 |
实时显示学习进度 |
|
开始/停止 |
开始学习和停止学习切换 |
在导航栏中选择“策略管理>控制策略”,进入控制策略界面,新建或者编辑一条已经存在的策略;点击“工控白名单”标签页,进入工控白名单配置界面,如图1-28所示。
在规则模板中选择已定义的规则模板,设置工作模式。配置工控白名单策略后,对匹配的对象执行违反工控白名单规则的检查。
|
参数 |
说明 |
|
规则模板 |
选择工控白名单使用的规则模板。 |
|
工作模式 |
防护模式:不符合白名单规则的报文被拒绝,业务不通并产生行为为“拒绝”的日志。 告警模式:业务通且产生行为为“允许”的日志。 |
工控安全日志用来展示设备检测到违反工控白名单规则的事件,注意只有当控制策略中配置了工控白名单时才有可能产生此日志。
点击“数据中心 > 日志中心 > 安全日志 > 工控安全日志”,进入工控安全日志查询页面,如下图所示。
图1-29 工控安全日志查询页面
工控安全日志的显示信息如下表所示:
表1-14 工控安全日志显示信息描述表
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 紧急 · 告警 · 严重 · 错误 · 警告 · 通知 · 信息 · 调试 |
|
用户名称 |
用户名称 |
|
源地址 |
攻击的源IP地址 |
|
源端口 |
攻击的源端口 |
|
目的地址 |
攻击的目的IP地址 |
|
目的端口 |
攻击的目的端口 |
|
源MAC |
攻击的源MAC |
|
目的MAC |
攻击的目的MAC |
|
协议 |
协议类型 |
|
应用名称 |
工控协议的类型 |
|
原因 |
识别到的告警信息 |
|
行为 |
设备处理动作,包括允许和拒绝 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如下图所示。
图1-30 工控安全日志查询界面
工控安全日志查询的详细信息如下表所示。
表1-15 工控安全日志查询详细信息
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
日志的级别 |
选择一个或者多个级别的日志 · 紧急 · 告警 · 严重 · 错误 · 警告 · 通知 · 信息 · 调试 |
|
用户名称 |
用户名称 |
|
行为 |
设备处理的动作 |
|
源地址 |
攻击的源IP地址 |
|
目的地址 |
攻击的目的IP地址 |
|
应用名称 |
工控协议的类型 |
|
原因 |
识别到的告警信息 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以导出指定时间段的工控安全日志到本地。
图1-31 导出工控安全日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
