安装部署

工业互联防火墙典型配置

注:该配置步骤仅适用于型号不带“-E”的设备。

步骤一:登录设备

       设备默认的管理口为MGT口或0口(不同硬件型号的设备管理口可能不同),默认的登录IP均为:192.168.8.1,打开浏览器并在地址栏中输入https://192.168.8.1,进行设备登录。默认登录账号与密码为:admin/Admin@123,设备在首次登录后需要修改密码,完成修改后需要使用新密码重新登录。


图2-1设备登录界面

步骤二:确认、升级设备版本

在设备主页的“启动文件”处可查询设备软件版本,若设备非最新版本,为尽可能避免早期版本存在的一些问题,需升级至最新版本,具体升级步骤如下:

第一步:点击“系统管理>系统维护>系统升级”进入系统升级页面,上传相应的升级包。

第二步:点击“系统管理>系统维护>系统重启”进行系统重启后完成系统升级。

 

图2-2设备版本信息

 

图2-3设备升级界面

 

图2-4设备重启界面

步骤三:开启配置实时保存

设备若未开启实时保存配置功能,则在策略配置后需点击右上角的“保存”进行配置保存,否则在设备重启或是掉电后所做的配置将会丢失。配置步骤如下:

第一步:点击“系统管理>系统设定>”进入管理设定界面。

第二步:开启实时保存配置功能。

 

图2-5实时保存配置界面

步骤四:确认设备授权

设备在出厂时已默认完成基础功能模块授权,已授权的功能模块包括:基础功能、应用监控、URL分类识别、SSL VPN、入侵防御、病毒防护、SSL VPN接入数、web应用防护。若是以上默认授权的功能模块显示未授权,则需进行手动授权,具体配置步骤如下:

第一步:点击“系统管理>系统维护>授权管理”,进入设备授权管理界面进行功能模块授权确认。

 

图2-6授权确认界面

步骤五:升级服务授权

工业互联防火墙设备出厂默认不带任何特征库升级服务,特征库升级服务需要另行购买,购买后可手动进行授权。

在进行设备特征库升级服务授权时需要与最终客户进行确认,授权后开始计算授权时间,授权期间可升级设备特征库版本,授权到期后则无法升级设备特征库版本。具体特征库授权步骤如下:

第一步:点击“系统管理>系统维护>授权管理>导入许可证”,提交授权码完成特征库升级服务授权。

 

图2-7特征库升级服务授权界面

步骤六:升级特征库

在设备主页的“授权信息”处可查询设备的特征库版本。

 

图2-8特征库版本信息

若特征库非最新版本则需进入特征库升级页面,上传相应的特征库升级包完成特征库版本升级,具体配置步骤如下:

第一步:点击“系统管理>系统维护>系统升级”进入特征库升级界面并上传特征库升级包完成升级。

 

图2-9特征库升级界面

步骤七:开启三权分立

设备默认工作在“普通模式”仅有admin一个管理账户,若因自身安全(等保、相关安全法规)需要设置三权分立模式,可通过切换为“三权模式”实现。

设备切换为三权模式后会生成4个默认账号,分别为系统管理员admin、账号管理员account、权限管理员authority、审核员audit。默认账号密码均为Admin@123,具体配置步骤如下:

第一步:点击“系统管理>系统设定>管理设定>模式切换”进入模式切换页面将设备切换为三权模式。

第二步:登录authority账户后点击“系统管理>系统设定>管理员”进入账户权限分配界面。

第三步:选择相应的账户进行权限分配并将“只读”去勾选后点击提交,若勾选只读,则仅有读权限,不能进行策略配置与修改。

注:在设备切换为三权分立模式后,需要登录authority账户为admin账户进行权限分配,否则admin账户则无任何配置权限。

设备在开启三权分立模式后无法在Web再次切换回普通模式,若是需要切换则需进入设备后台使用相应命令进行模式切换。

 

图2-10三权模式切换界面

 

图2-11 admin账号授权界面

步骤八:修改账户密码

在首次登录设备账户后需要进行密码修改,若需要再次修改账户密码或若因自身安全(等保、相关安全法规)需要修改密码,则需在登录相应账户后点击右上角的“人形图标”进行密码修改。

 

图2-12账号密码修改界面

步骤九:配置管理IP

设备默认管理IP为192.168.8.1,若是需要修改为现场分配的IP地址,则需进行网卡配置,具体网卡配置方法如下。

第一步:登录管理员账号点击“网络配置>接口配置”并选择相应的网口点击“操作”进入网口配置界面。

 

图2-13网卡选择界面

第二步:进入网口配置界面后进行“接口主地址配置”并在“管理方式”处勾选“HTTPS”。

注:勾选“Ping”与“SSH”功能可协助现场进行问题排查,但在设备正式投入使用后建议将“Ping”与“SSH”功能去勾选,避免在相关安全检查或渗透测试中出现安全问题。

 

图2-14网卡配置界面

步骤十:配置系统时钟

若系统时间不准确则需进行时间同步,时间同步方式为“手动修改时间”与“NTP服务器同步”两种,若需进行NTP服务器同步,则需现场存在NTP时间同步服务器,并且能够与工业互联防火墙进行网络通信,具体配置步骤如下:

第一步:点击“系统管理>系统设定>时间设定”进入系统时间配置界面。

第二步:进行系统时间同步。

 

图2-15时间同步界面

步骤十一:配置日志保存时间

设备默认日志保存时间为90天,若需符合等保测评所要求的180天,则需修改日志保存期限,具体配置步骤如下:

第一步:点击“系统管理>系统设定>日志设定>日志保存期限”进入配置界面并修改相应日志保存期限。

 

图2-16日志保存时间配置界面

步骤十二:选择工作模式

根据现场的网络环境进行设备部署模式的选择,可选的部署模式有透明模式与路由模式,详情请参考2.2与2.3章节。

步骤十三:配置访问控制策略

控制策略也称为ACL访问控制策略,是工业互联防火墙的重要功能,需要基于接口、源地址、目的地址、应用、服务、行为进行网络流量控制,具体配置步骤如下:

第一步:“策略配置>控制策略>新建”建立一条控制策略,并在“默认规则”处勾选拒绝。

 

图2-17新建控制策略

第二步:在“行为”处勾选“允许”表示该控制策略为允许策略,若勾选拒绝则表示该控制策略为拒绝策略。

 

图2-18行为配置

第三步:选择源接口与目的接口,基于接口进行流量控制。

 

图2-19源目接口配置

第四步:点击“源地址>新建”选择“范围地址”后添加相应的IP地址点击“添加到列表”并去勾选“any”后完成源地址配置。

 

图2-20源地址配置

第五步:点击“目的地址>新建”选择“范围地址”后添加相应的IP地址点击“添加到列表”并去勾选“any”后完成目的地址配置。

 

图2-21目的地址配置

第六步:点击“应用”并勾选相应的应用进行限制。

 

图2-22应用配置

第七步:点击“服务>新建”选择相应的协议并添加相应的目的端口与源端口,配置完成后点击“添加到列表”并去勾选“any”完成服务配置。

 

图2-23服务配置

第八步:点击“入侵防御”并选择模板“all”后去勾选“防护模式”。

 

图2-24入侵防御配置界面

第九步:点击“病毒防护”并按下图配置后点击提交即可完成全部配置。

 

图2-25病毒防护配置界面

步骤十四:配置审计策略

审计策略是一个重要功能,完成配置后可基于用户、接口、源\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\目地址对网络中HTTP类、邮件类、即时通讯类、基础协议类、娱乐股票类、网络应用类协议进行审计分析并实时展示,具体配置步骤如下:

第一步:点击“策略配置>审计策略>新建”新建一条审计策略。

 

图 2-26新建审计策略界面

第二步:点击审计对象,并勾选全部流量审计类型并点击提交即可。

 

图2-27审计对象配置

步骤十五:配置工控协议白名单

针对现场的工业协议,设备可在自学习后生成工业协议白名单,并基于所学习到的白名单对网络流量进行访问控制,配置分为模板创建>白名单学习>模板调用三个部分,具体配置步骤如下:

第一步:点击“安全中心>工控安全>模板管理>新建”在配置模板名称后完成新建工控协议模板。

 

图2-28工控协议模板新建界面

第二步:点击“安全中心>工控安全>白名单学习”进入白名单学习配置界面。

 

图2-29白名单配置界面

第三步:“名称”处选择刚才新建的白名单模板,“地址”选择any“目的地址”选择any“开始时间”与“学习时长”根据现场情况进行配置,若学习时长配置为1天,则设备会在一天后停止学习工业协议。

 

图2-30白名单学习配置界面

第四步:点击“策略配置”并选择相应策略进入配置界面。

 

图2-31策略配置界面

第五步:点击“工控白名单”并选择已完成学习的工控协议模板。

 

图2-32工控模板配置界面

步骤十六:备份设备配置

若需将已完成的策略导出进行备份,或将已备份的策略导入至新设备,则需进行策略备份配置,具体配置步骤如下:

第一步:点击“系统管理>系统维护>配置文件”进入配置维护界面进行策略导入或导出。

注:在进行策略导入后需要手动重启设备才能导入生效。

 

图2-33策略导入导出界面

透明模式部署

设备可以通过网桥接口和虚拟网线方式来实现透明部署。

网桥接口

工业互联防火墙接口默认为路由模式,若是需要透明二层接入,则需要进行网桥接口配置,例如将工业互联防火墙的接口1、接口2、接口3添加在同一个网桥中,则这三个接口可以互相通信,相当于二层交换机的功能,网桥接口具体配置步骤如下:

第一步:点击“网络配置>网桥接口>新建”进入网桥配置界面。

第二步:在“网桥可选接口”处将需要加入网桥的接口添加至右边的方框中完成配置后点击提交即可。

 

图2-34新建网桥接口界面

 

图2-35网桥接口配置

网桥接口IP

完成网桥配置后,可以在网桥接口上配置IP,此IP可以用作设备登录的管理IP,此种管理模式也称为带内管理,具体配置步骤如下:

第一步:在网桥接口配置页面中“接口主地址”中配置管理地址。

第二步:在“管理方式”中勾选“HTTPS”后点击提交即可。

注:勾选“Ping”与“SSH”功能可协助现场进行问题排查,但在设备正式投入使用后建议将“Ping”与“SSH”功能去勾选,避免在相关安全检查或渗透测试中出现安全问题。

 

图2-36网桥接口IP配置界面

路由模式部署

当工业互联防火墙位于内部网络和外部网络之间时,需要将工业互联防火墙与内部网络、外部网络区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。也就是说,路由模式工业互联防火墙连接两个不同的子网,使其能正常通讯。

路由模式应依次配置接口IP>静态路由>控制策略。

接口IP配置

工业互联防火墙接口默认为路由模式,若需要将设备以路由模式接入网络,则仅需要在接口上配置IP地址即可。具体配置步骤如下:

第一步:点击“网络配置”进入物理接口配置页面。

第二步:选择需要配置的接口后点击“操作”进入接口配置界面。

第三步:在“接口主地址”出配置IP并在“管理方式”处勾选“HTTPS”后点击提交即可。

注:勾选“Ping”与“SSH”功能可协助现场进行问题排查,但在设备正式投入使用后建议将“Ping”与“SSH”功能去勾选,避免在相关安全检查或渗透测试中出现安全问题。

 

图2-39物理网卡

 

图2-40网络接口配置界面

源NAT

源NAT又称源地址映射,完成配置后经设备所转发的数据包将会被替换源IP地址,若设备部署在互联网与企业网中间,且企业网设备需要访问互联网则需配置源NAT策略,具体配置步骤如下:

第一步:点击“策略配置>NAT转换策略>源NAT>新建”建立一条源NAT策略并进入其配置界面。

 

图2-41源NAT新建界面

第二步:点击“源地址”后面的“新建”进入新建地址对象界面。

第三步:点击“范围地址”完成IP地址配置后点击“添加到列表”完成源地址配置。

 

图2-42源地址配置界面

第四步:点击“目的地址”后面的“新建”进入新建地址对象界面。

第五步:点击“范围地址”完成IP地址配置后点击“添加到列表”完成目的地址配置。

 

 

图2-43目的地址配置界面

第六步:点击“服务”后面的“新建”进入新建地址对象界面。

第七步:选择相应的协议并添加相应的目的端口与源端口后点击“添加到列表”完成服务配置。

 

图2-44服务配置界面

第八步:出接口应选择设备转发数据出口方向接口,若设备部署在互联网与企业网中间,则出接口应选择互联网所连接口。

 

图2-45出接口配置界面

第九步:转换类型中的“出接口”表示匹配到该源NAT策略后会将数据包中源IP地址替换为此处配置的出接口IP地址后再做转发。

第十步:转换类型中的“地址池”表示匹配到该源NAT策略后会将数据包中源IP地址替换为此处配置的地址池中的IP地址后再做转发。

第十一步:转换类型中的“不转换”表示匹配到该源NAT策略后数据包将不做任何替换,直接进行转发。

 

图2-46转换类型配置

目的NAT

目的NAT又称目的地址映射,完成配置后经设备所转发的数据包将会被替换目的IP地址,若设备部署在互联网与企业网中间,且企业网设备需要发布在互联网上则需配置目的NAT策略,具体配置步骤如下:

第一步:点击“策略配置>NAT转换策略>目的NAT>新建”建立一条目的NAT策略并进入其配置界面。

 

图2-47目的NAT新建界面

第二步:点击“源地址”后面的“新建”进入新建地址对象界面。

第三步:点击“范围地址”完成IP地址配置后点击“添加到列表”完成源地址配置。

 

图2-48源地址配置界面

第四步:点击“目的地址”后面的“新建”进入新建地址对象界面。

第五步:点击“范围地址”完成IP地址配置后点击“添加到列表”完成目的地址配置。

 

图2-49目的地址配置界面

第六步:点击“服务”后面的“新建”进入新建地址对象界面。

第七步:选择相应的协议并添加相应的目的端口与源端口后点击“添加到列表”完成服务配置。

 

图2-50服务配置界面

第八步:接口应选择设备接收数据入口方向接口,若设备部署在互联网与企业网中间,则接口应选择互联网所连接口。

 图2-51接口配置界面

第九步:转换类型中“地址映射”表示匹配到该目的NAT策略后IP地址将一对一进行映射。

第十步:转换类型中“端口映射”表示匹配到该目的NAT策略后同一个IP的不同端口可映射不同IP地址。

第十一步:转换类型中“不转换”表示匹配到该目的NAT策略后数据包将不做任何替换,直接进行转发。

 

图2-52转换类型配置界面

第十二步:点击“转换后IP”后面的“新建”进入转换后IP配置界面。

第十三步:配置相应IP后点击提交即可。

 

图2-53转换后IP配置界面

SSL VPN配置

SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术,一般用于员工远程连接企业网。设备一般部署在企业网出口处并搭建SSL VPN服务器以便员工以客户端的形式进行远程访问,SSL VPN配置过程分为创建用户>配置VPN服务器>配置访问策略>配置访问资源四个部分,具体配置步骤如下:

第一步:点击“策略配置>用户管理>用户组织结构>新建>用户”新建VPN登录用户并进入配置界面。

 

图2-54用户新建界面

第二步:配置“登录名”与本地密码后点击提交即可。

 

图2-55用户配置界面

第三步:点击“网络配置>VPN>SSL VPN>全局配置”进入SSL VPN全局配置界面。

 

图2-56 SSL VPN配置界面

第四步:“拨入接口”选择设备配置公网IP并与互联网所连接口。

 

图2-57拨入接口配置

第五步:“SSL VPN端口”可以填写任意不冲突端口,该端口为客户端连接VPN时的通讯端口,“全局DNS设置”无特殊情况默认设置为114.114.114.114与8.8.8.8即可。

 

图2-58 SSL VPN配置界面

第六步:“地址池”的配置方式为x.x.x.x/x,例如192.168.10.0/24,配置作用为,远端用户连接到VPN后则会为其分配地址池中所配置的IP地址。

 

图2-59地址池配置界面

第七步:若工业互联防火墙自身连接多个网段,则需添加子网路由后点击“添加到列表”,配置形式为x.x.x.x/x,例如192.168.1.0/24。

 

图2-60子网路由配置界面

第八步:完成以上配置后点击提交即可。

第九步:点击“网络配置>VPN>SSL VPN>资源>新建”进入VPN资源配置界面并新建VPN资源策略。

 

 

图2-61 VPN资源配置界面

第十步:“资源地址”中配置用户连接VPN后所能访问的设备IP范围,“资源类型”中配置用户连接VPN后所能访问设备的协议或端口范围。

 

图2-62 VPN资源配置界面

第十一步:点击“网络配置>VPN>SSL VPN>策略>新建”进入VPN策略配置界面并新建VPN策略。

 

 

图2-63 VPN策略新建界面

第十二步:“用户”选择刚所创建的VPN登录用户。

 

图2-64 VPN用户配置界面

第十三步:“授权资源”选择刚所创建的资源策略。

 

图2-65 VPN授权资源配置界面

第十四步:完成配置后点击“提交”即可。

 

 

 

 

静态路由配置

工业互联防火墙设备在完成管理IP配置后,若需要通过不同网段的设备进行管理则需配置默认路由功能,此处的默认路由功能相当于在服务器上配置的网关策略,具体配置步骤如下:

第一步:点击“网关配置>路由管理>静态路由>新建”进入静态路由配置界面。

第二步:在此界面中“目的地址”配置为0.0.0.0,“子网掩码”配置为0.0.0.0,“下一跳地址”为网关地址,完成配置后点击提交即可

 

图2-66静态路由新建界面

 

图2-67静态路由配置界面

虚拟网线模式部署

虚拟网线方式提供一种无感知方式,不需要客户对原有的网络拓扑做任何更改,虽然桥接方式也可以满足一部分要求,但虚拟网线免去了MAC学习和二层交换,避免了因MAC错乱导致的问题,同时虚拟线相比于传统的桥接方式效率更高。此外虚拟网线还附加了端口联动和vlan过滤功能以此来满足透明接入的实际需求,具体配置步骤如下:

第一步:点击“网络配置>接口配置>虚拟网线”进入虚拟网线配置界面。

第二步:点击“新建”进入虚拟网线创建界面,其中0表示不带标签的报文。

 

图2-37虚拟网线新建界面

 

图2-38虚拟网线配置界面

Syslog转发配置

在对接第三方日志设备或是网监设备时需要进行Syslog转发配置,具体配置步骤如下:

第一步:点击“系统管理>系统设定>日志设定>日志服务器”进入Syslog日志转发配置界面。

第二步:在“IP地址”中填写第三方日志设备的IP,在“源IP”处配置工业互联防火墙与第三方设备的通信的网卡IP。

 

图2-68 Syslog配置界面

ISASecure CRT Tool认证
等保建设服务资质
信息系统安全集成服务资质
信息安全服务风险评估资质
ISO9001质量管理体系认证
ISO20000技术服务管理体系认证
ISO27001信息安全管理体系认证
信息安全服务资质安全工程类一级
信息安全服务资质安全开发类一级
微信二维码
在线咨询
周一至周日 0:00-24:00
4000-680-620
support@winicssec.com
威努特Copyright2016 Winicssec All Rights Reserved 版权所有 京ICP备14062383号-1
站长统计
友情链接: 刑事律师 绝缘材料厂家 污水处理 保镖公司 沈阳玻璃钢冷却塔 汽车租赁 数字化转型 餐饮加盟费 CNC数控加工 真空泵 斯拉克集团官网