- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
第17次课程教学方案
备课时间
备课教师
教学时间
年月日
教学地点
周次
课时数
4
教学内容(章、节)
模块/单元
第2章工业网络安全技术(2)
1、工业防火墙概述
2、工业防火墙路由及安全功能配置
3、工业防火墙NAT和NAPT功能配置
教学目标和要求
1.了解工业防火墙的主要功能
2.掌握工业防火墙路由功能配置方法
3.掌握工业防火墙安全策略配置方法
4.掌握工业防火墙NAT和NAPT功能配置方法
教学重点
工业防火墙路由、安全策略及NAT功能配置
教学难点
工业防火墙安全策略配置
教学方法
讲授法、直观演示法、实验法、小组讨论法等
使用媒体资源
√纸质材料√多媒体课件√网络资源□其他资源:
使用教具、设备、
设施等
多媒体教学设备
作业练习
完成电子版实训报告
课
后
记
教学内容(板书)
教学步骤、方法
及学生活动
一、相关知识讲授
1、防火墙系统的组成
防火墙通常是由专用硬件和相关软件组成的一套系统,当然也有纯软件的防火墙,但纯软件防火墙无论在功能和性能上都不如专用的硬件防火墙。
一般来说,防火墙由四大要素组成。
(1)防火墙规则集:在防火墙上定义的规则列表,是一个防火墙能否充分发挥作用的关键,这些规则决定了哪些数据不能通过防火墙、哪些数据可以通过防火墙。
(2)内部网络:需要受保护的网络。
(3)外部网络:需要防范的外部网络。
(4)技术手段:具体的实施技术。
2.防火墙包过滤方式
1)根据第2层数据链路层的MAC地址进行过滤
由于MAC地址是唯一的,这样可以对特定设备提供非常有效的保护。
2)根据第3层网络层的IP地址进行过滤
在组建网络时,利用IP地址和子网掩码就可以确定网络设备所在的子网,这样就可以通过IP地址对网络设备进行逻辑分组,所以根据IP地址设置过滤规则,可以很容易地过滤数据流量。
3)根据第4层传输层的端口号进行过滤
在传输层,TCP和UDP的不同端口号对应了不同的应用协议,可通过端口号来有效过滤特定的应用协议的数据流量。
3.工业防火墙规则集
防火墙规则集由一组防火墙规则组成,是防火墙实现过滤功能的基础。
一条防火墙规则通常由以下部分组成:
(1)网络协议:如ALL、ICMP、TCP、UDP、GRE等。
(2)发送方的IP地址;接收方的IP地址。
(3)发送方的端口号;接收方的端口号。
(4)操作(Action):对满足规则的数据包的处理方式,允许(Accept)、拒绝(Reject)和丢弃(Drop)三个选项。
规则集是防火墙规则的集合,由一个或多个按顺序排列的规则组成,防火墙规则的排列顺序尤为重要。管理员可以根据待过滤数据包的情况在防火墙规则中定义相关参数来实现过滤的目的。
防火墙有输入(Incoming)和输出(Outgoing)两个方向的规则集:
输入方向的规则集:用于所有从WAN到LAN的数据包。
输出方向的规则集:用于所有从LAN到WAN的数据包。
教师讲解防火墙基础理论。
学生可以提问,由教师进行进一步的解释和说明。
4、西门子SCALANCES-615工业防火墙简介
西门子SCALANCES系列是西门子工业级别防火墙,可以为工厂自动化提供安全防护,防止非法访问工业网络和自动化系统。
SCALANCES系列工业防火墙通常包含如下安全功能:
1)防火墙功能
SCALANCES内部网段中的所有网络节点都受到其防火墙保护。
2)路由器模式
通过将SCALANCES用作路由器,可以将内部网络与外部网络分离。
3)IPSec隧道确保通信安全
4)使用RADIUS服务器进行用户验证
5)使用HTTPS协议
6)使用NTP协议
7)使用SNMPv3协议
8)实现设备和网段的保护
SCALANCES-615作为工业防火墙,可以对设备、自动化单元和以太网网段提供保护功能。通过SCALANCES-615可以有效地保护生产网络,防止从内部和外部产生的威胁。
SCALANCE?S-615工业防火墙配备5个以太网端口,可以通过防火墙或虚拟专有网络VPN为各种网络拓扑提供保护,并能够灵活实现安全机制。
SCALANCES-615能够通过基于网络的管理(WBM)、命令行接口(CLI)和简单网络管理协议(SNMP)进行配置、管理。可以作为动态主机配置协议(DHCP)服务器和客户端,设备可在任何虚拟局域网(VLAN)下使用,在特定情况下可以作为一个路由器,实现两个网段的设备的路由通讯。SCALANCES-615支持NAT和NAPT功能,这样可以对SCALANCES-615所连接的内网设备进行保护(内部网络)。另外,对于很多重复的网络且其内部带有相同的IP地址的设备,使用NAT的方法可以进行访行访问是非常有效的。最重要的是
您可能关注的文档
- 《工业网络技术与应用(微课版)》-教案 第1次 第1章 绪论.docx
- 《工业网络技术与应用(微课版)》-教案 第2次 2.1工业网络设备.docx
- 《工业网络技术与应用(微课版)》-教案 第3次 2.2 网络地址基础.docx
- 《工业网络技术与应用(微课版)》-教案 第4次 第3章VLAN虚拟局域网技术.docx
- 《工业网络技术与应用(微课版)》-教案 第5次 西门子SCALANCE-XM-200交换机VLAN界面.docx
- 《工业网络技术与应用(微课版)》-教案 第6次 4.1 STP生成树与RSTP快速生成树.docx
- 《工业网络技术与应用(微课版)》-教案 第7次 4.2 环网冗余4.2.1.介质冗余协议(Media Redundancy Protocol)4.2.2.HRP高速冗余协议.docx
- 《工业网络技术与应用(微课版)》-教案 第8次 4.3 RSTP+协议.docx
- 《工业网络技术与应用(微课版)》-教案 第9次 4.4 PRPHSR并行冗余协议和高可靠性无缝冗余协议.docx
- 《工业网络技术与应用(微课版)》-教案 第10次 5.1 路由基础5.2 静态路由.docx
文档评论(0)