售后文档

工业防火墙集中管理版基本配置步骤

步骤一:配置MGMT、USM地址

       MGMT地址为工业防火墙管理口IP地址,用来与管理平台通讯,USM地址为管理平台IP地址,配置不正确会导致防火墙无法在管理平台上线,工业防火墙需要与USM地址网络可达才能够在管理平台上线。工业防火墙出厂配置的默认MGMT地址为192.168.8.6,默认USM为192.168.8.8。MGM和USM地址配置需要登录设备后台,具体操作步骤如下:
1.1.登录设备后台
       第一步:准备一根USB转串口线,将USB端连接至调试主机的USB口,另一端连接至工业防火墙的console口;
       第二步:右键点击调试主机上的“我的电脑”,点开“管理”,在“计算机管理”界面点开“设备管理器”,在“设备管理器”确认端口号。如下图所示:
       
                                                                                       图 1确认com口
       第三步:配置终端软件并登录。在调试主机上终端软件(以putty为例),选择串口方式及串口号,设置波特率为115200,连接类型选择串口,点击打开。如下图所示:
       
                                                                                       图 2配置串口参数
1.2.配置MGMT和USM地址
       第一步:连接设备console口,登录cli账号,进入配置模式,使用命令:config
       第二步:设置MGMTIP。使用命令:set mgmtip x.x.x.x
       第三步:设置USMIP。使用命令:set serverip x.x.x.x
       第四步:设置MGMT网关IP。使用命令:set mgmtgwip x.x.x.x
                    === WELCOME TO WNT CLI ===
                    CLI> config
                    CLI# set mgmtip 192.168.10.13
                    all done!
                    CLI# set serverip 192.168.10.10
                    new usm ip:     192.168.10.10
                    CLI# set mgmtgw 192.168.10.254
                    remove old gw: 192.168.8.1
                    all done!

步骤二:登录设备WEB管理界面

       集中管理工业防火墙,需要登录管理平台WEB界面进行管理配置,本节讲述管理平台web登录过程。
       第一步:打开配置电脑浏览器(建议用谷歌浏览器),在地址栏输入https://192.168.8.8:8440(x.x.x.x为管理平台的管理口IP),点击“高级”--“继续前往”,进入管理平台登录界面。
       
                                                                                   图 3 web登录跳转界面
       第二步:进入管理平台登录界面,输入用户名密码。默认管理员用户名:admin,密码:wnt8000LLy&y
       
                                                                                   图 4用户登录界面

步骤三:确认、升级设备版本

        进入管理平台管理界面后确认防火墙上线后,紧接着需查看防火墙版本信息,如果不是最新版本则需要对防火墙进行升级,具体步骤如下。
        第一步:登录管理平台,进入防火墙管理模块界面,点击左侧菜单栏的防火墙管理,进入防火墙管理界面,查看工业防火墙的系统版本,确认是否为当前最新版本,如果是则无需升级。如果不是,则进行第二步操作。
         
                                                                                  图 5查看防火墙版本信息
        第二步:在需要升级的防火墙“配置”菜单下点击“升级”,进入到防火墙升级界面。
         
                                                                                  图 6防火墙升级界面
        第三步:选择防火墙升级包,开始升级,防火墙升级完成后会自动重启,重启后新版本生效,工业防火墙升级包文件格式一般为:xxxxx.wnt。
         
                                                                                  图7上传升级文件并升级

步骤四:导入设备授权

       设备授权分为管理平台管理功能模块授权和工业防火墙自身功能授权,按照以下步骤进行导入。
       第一步:在管理平台模块界面,点击左侧菜单栏的系统授权管理,安照下图所示步骤,对管理平台进行授权。
       
                                                                                 图8管理平台授权过程
       第二步:点击防火墙模块左侧菜单栏的防火墙管理,进入防火墙管理界面,在需要授权的防火墙“配置”菜单下点击“授权”,进入到防火墙授权界面。
       
                                                                                 图9工业防火墙授权界面
       第三步:在防火墙授权界面最底行,点击“更新授权”,进入授权文件上传界面。选择授权文件,点击上传,完成防火墙授权。
       
                                                                                 图 10导入并上传防火墙授权文件

步骤五:配置设备接入模式

       工业防火墙支持透明模式和路由模式两种模式部署,安装设备时需要据现场网络环境情况,确定接入模式,若为透明模式,则透明模式的配置方法参见2.2章节;如果工业防火墙为路由模式,则路由模式的配置方法参见2.3章节。

步骤六:配置访问控制策略

        工业防火墙ACL策略配置建议先临时配置一条全通策略以便于白名单学习,在不影响工业协议白名单学习的情况下逐次添加ACL策略,待策略添加完整后,最终取消全通策略,ACL策略配置按照以下步骤操作。
       注:工业防火墙若是未配置任何ACL策略,则设备默认为全阻断状态。
       第一步:使用admin账户登录管理平台后依次点击防火墙页面下左侧“ACL配置-添加”选项,创建ACL策略模板。
       
                                                                                 图 11创建ACL策略模板
       第二步:选择创建的ACL模板中的“编辑”按钮,进入策略编辑界面。
       
                                                                                 图 12编辑ACL模板
       第三步:依次填写策略信息,创建策略。在acl模板的编辑界面,选择添加,生成acl策略配置弹窗,完成策略添加。
       
                                                                                 图 13配置ACL全通策略

步骤七:配置工业协议学习模式

       工业防火墙可以通过配置工业协议学习模式来学习用户现场的工业协议指令,通常学习时间为最少用户工业指令1个周期。
工业协议白名单功能配置思路为:开启工业协议白名单“学习模式”完整的学习到现场正常工业协议通讯指令,生成工业协议白名单模板,然后将工业防火墙切换至“告警模式”并应用学习到的工业协议白名单模板,在告警模式运行观察一段时间确认无误后可以将设备切换至“防护模式”,切换至防护模式后要严密观察,一旦有误拦截情况发生可立即切回告警模式避免影响现场系统运行,工业协议学习模式配置步骤如下:
       第一步:登录管理平台admin账户,进入防火墙模块界面,点击左侧菜单栏的防火墙管理,进入防火墙管理界面,在需要配置的防火墙“配置”菜单下点击“修改”,进入到防火墙配置界面。
       
                                                                              图 14防火墙管理界面
       第二步:在防火墙配置界面的工作模式配置里,选择工作模式为学习模式;在ACL策略模块里,选择创建的“acl模板1”模板。
       
                                                                               图 15配置防火墙学习模式

       下拉至防火墙配置页面的最底部,点击保存,配置生效。
       
                                                                               图 16保存配置

步骤八:开启攻击防范

1.1.配置异常报文检测
       设备可以对异常报文(Land、Teardrop、Ping of Death)进行检测,此功能需要基于安全域进行配置,需先配置安全域再进行异常报文检测配置。具体配置步骤如下:
       第一步:登录管理平台,进入监测审计模块界面,点击左侧菜单栏的攻击防范。进入异常报文检测项。
       
                                                                               图 17进入异常报文检测界面
       第二步:在编辑页面,启动各攻击检测项,进行保存。
       
                                                                               图 18勾选异常报文信息并保存
1.2.配置异常流量检测
       第一步:登录管理平台,进入监测审计模块界面,点击左侧菜单栏的攻击防范。进入异常流量检测项。
       
                                                                               图 19进入异常流量检测界面
       第二步:在编辑页面,启动各攻击检测项,进行保存。填写的阈值需要根据用户正常流量最大值来确定。
       
                                                                               图 20配置勾选异常流量信息并保存
ISASecure CRT Tool认证
等保建设服务资质
信息系统安全集成服务资质
信息安全服务风险评估资质
ISO9001质量管理体系认证
ISO20000技术服务管理体系认证
ISO27001信息安全管理体系认证
信息安全服务资质安全工程类一级
信息安全服务资质安全开发类一级
微信二维码
在线咨询
周一至周日 0:00-24:00
4000-680-620
support@winicssec.com
威努特Copyright2016 Winicssec All Rights Reserved 版权所有 京ICP备14062383号-1
站长统计
友情链接: 刑事律师 绝缘材料厂家 污水处理 保镖公司 沈阳玻璃钢冷却塔 汽车租赁 数字化转型 餐饮加盟费 CNC数控加工 真空泵 斯拉克集团官网