企业工业网络搭建以及配置
网络拓扑图:
局域网分配:
IP地址段确认
| 生产网络:192.168.1.0/24 |
| 边端网络:192.168.2.0/24 |
| 维护网络:192.168.3.0/24 |
| 服务区: 192.168.8.0/24 |
生产网络:
| 设备名 |
设备信息 |
数量 |
备注 |
IP地址 |
| 路由器 |
Cisco IOL |
1台 |
交换机 |
无 |
| 主机 |
Linux_7 |
1台 |
服务器 |
192.168.1.100 |
边缘网络:
| 设备名 |
设备信息 |
数量 |
备注 |
IP地址 |
| 交换机 |
Cisco IOL |
1台 |
交换机 |
无 |
| 主机 |
linux_8 |
1台 |
服务器 |
192.168.2.100 |
维护网络:
| 设备名 |
设备信息 |
数量 |
备注 |
IP地址 |
| 交换机 |
Cisco IOL |
1台 |
交换机 |
无 |
| 主机 |
Linux_9 |
1台 |
服务器 |
192.168.3.100 |
边缘端网络配置:
云端网络配置:
模拟典型工业网络安全情景,对网络进行优化配置,封堵网络漏洞,提高安全性能,并搭建的网络进行测试形成当前网络性能与安全性能分析报告。为了更好的维护网络安全,对于各个网络有以下要求:
交换机配置
生产网络:
允许icmp回包:access-list ProduACL permit icmp any any echo-reply // 允许icmp回包
不可以访问维护网络
命令:
access-list ProduACL deny ip any 192.168.3.0 255.255.255.0 // 不允许访问维护
不可以访问边端网络
命令:
access-list ProduACL deny ip any 192.168.2.0 255.255.255.0 // 不允许访问边端
所以加入到端口:
access-group ProduACL in interface Produ
端网络:
允许icmp回包:access-list BrinkACL permit icmp any any echo-reply // 允许icmp回包
可以通过ping访问生产网络
命令:
access-list BrinkACL permit icmp any 192.168.1.0 255.255.255.0 // ICMP
可以通过OPC UA访问生产网络
命令:
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 // OPC UA
可以通过机器人通信协议(TCPIP, UR机器人)访问生产网络
命令:
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002 //机器人通信协议(TCPIP, UR机器人)访问生产网络
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003 // UR
可以通过PLC通讯协议(S7协议)访问生产网络
命令:
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 // S7
可以通过数控通讯协议(NC-Link)访问生产网络
命令:
access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 // NC-Link
边端网络不可以通过ping、OPC UA、TCPIP、S7、数控通讯协议之外的协议访问生产网络
// 边端本身安全等级低于生产 第6条不用配置
可以通过ping 访问维护网络
命令:
access-list BrinkACL permit icmp any 192.168.3.0 255.255.255.0 // ping 维护网络
所以加入到端口:
access-group BrinkACL in interface Brink
可以通过ping 访问生产网络
命令:
access-list TestACL permit icmp any any echo-reply // 允许icmp回包
access-list TestACL permit icmp any 192.168.1.0 255.255.255.0 // ping 生产网络
可以通过https 访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 443 //https 访问生产网络
可以通过http 访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 80 //http 访问生产网络
可以通过OPC UA 访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //OPC UA 访问生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840 //OPC UA 访问生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 //OPC UA 访问生产网络
可以通过机器人通信协议(TCPIP)访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议(TCPIP)访问生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999 //机器人通信协议(TCPIP)访问生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001 //机器人通信协议生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002 //机器人通信协议生产网络
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003 //机器人通信协议生产网络
可以通过数控通讯协议访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 //数控通讯协议访问生产网络
可以通过PLC通讯协议(S7协议)访问生产网络
命令:
access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 //PLC通讯协议(S7协议)访问生产网络
不可以使用除了http、https、ping、OPC UA、S7、数控通讯协议之外的协议访问生产网络
// 维护网络本身安全等级低于生产 第8条不用配置
可以通过ping 访问边端网络
命令:
access-list TestACL permit icmp any 192.168.2.0 255.255.255.0 //ping边端网络
可以通过https 访问边端网络
命令:
access-list TestACL permit tcp any 192.168.2.0 255.255.255.0 eq 443 //https 访问边端网络
防火墙配置:
管理网页仅可以在维护网络打开
修改默认账户的密码为@2021password
导出防火墙的配置文件
