工業(yè)互聯(lián)網(wǎng)與智能產(chǎn)線控制工業(yè)防火墻設(shè)備主講教師：李菁#0D7F47#06381F#C2F1C8#FFC30C#FFF2CB工業(yè)防火墻設(shè)備一款應(yīng)用于工控網(wǎng)絡(luò)安全的串行防護(hù)產(chǎn)品。解析、識(shí)別與控制所有通過工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)流量，以抵御來自內(nèi)外網(wǎng)對(duì)工控設(shè)備的攻擊。適用于SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)環(huán)境。TL-FW5600工業(yè)防火墻初始化聯(lián)網(wǎng)設(shè)置

IP地址為192.168.1.X，子網(wǎng)掩碼255.255.255.0安全區(qū)域設(shè)置安全區(qū)域(Securityzone)，簡(jiǎn)稱為區(qū)域(Zone)，防火墻大部分的安全策略都基于安全區(qū)域?qū)嵤?。一個(gè)安全區(qū)域是防火墻若干接口所連網(wǎng)絡(luò)的集合，一個(gè)區(qū)域內(nèi)的用戶具有相同的安全屬性。GE1GE3GE2InternetTrustUntrustDMZServers防火墻的GE1接口被添加到Trust區(qū)域，因此該接口所連接的網(wǎng)絡(luò)被視為處于Trust區(qū)域Local區(qū)域指防火墻自身所在的區(qū)域DMZ區(qū)域非軍事化區(qū)域，作為信任區(qū)域和非信任區(qū)域之間的緩沖區(qū)，主要用于放置企業(yè)內(nèi)部服務(wù)器。Trust區(qū)域可信任區(qū)域，用于連接內(nèi)部網(wǎng)絡(luò)。Untrust區(qū)域非信任區(qū)域，主要用來連接外部網(wǎng)絡(luò)。安全區(qū)域設(shè)置安全區(qū)域設(shè)置用戶可根據(jù)自己的需求創(chuàng)建自定義的安全區(qū)域。每個(gè)安全區(qū)域都必須設(shè)置一個(gè)安全優(yōu)先級(jí)，值越大，則安全優(yōu)先級(jí)越高。默認(rèn)的安全區(qū)域不能刪除，也不允許修改安全優(yōu)先級(jí)。點(diǎn)擊編輯，為安全區(qū)域劃分接口，同一個(gè)接口只能被劃分在一個(gè)區(qū)域中。也可新增安全區(qū)域，自定義名稱、接口、優(yōu)先級(jí)等（數(shù)字越大、優(yōu)先級(jí)越高）。安全策略設(shè)置Trust辦公區(qū)192.168.10.0/24辦公區(qū)192.168.20.0/24InternetUntrust安全策略源地址：192.168.10.0/24目的地址：any用戶：辦公區(qū)時(shí)間：9:00–17:00動(dòng)作：允許安全策略屬于防火墻所特有的功能，也是防火墻設(shè)備最主要的功能之一。安全策略設(shè)置安全策略的組成有條件、動(dòng)作和內(nèi)容安全（可選）。安全策略動(dòng)作如果為“允許”則可配置內(nèi)容安全，如果為“禁止”則阻斷數(shù)據(jù)流。流量條件源安全區(qū)域用戶組目的安全區(qū)域服務(wù)組源地址應(yīng)用組目的地址時(shí)間段動(dòng)作允許禁止內(nèi)容安全URL過濾文件過濾反病毒應(yīng)用行為控制入侵防御郵件內(nèi)容過濾阻斷數(shù)據(jù)流匹配條件（源目的安全區(qū)域、源目的地址、用戶組、服務(wù)組、應(yīng)用組、時(shí)間段）。安全策略設(shè)置記錄策略命中日志。動(dòng)作（允許、禁止）。內(nèi)容安全（URL過濾、反病毒、入侵防御、文