JZGKCHINA
工控技术分享平台
工业防火墙为工业网络安全中必不可少的部分,工业控制的二层网络的安全,Stratix5950工业防火墙提供了Transparent(透明)工作模式。
Ⅰ
透明模式介绍
1、透明模式:透明模式的工业防火墙,接口无法配置IP地址,唯一IP地址配置在Management 接口,用于设备的管理。用于2层工业控制网络的安全隔离。如图所示。
如下图所示,Transparent模式中,Stratix5950为2层接口,无IP地址,控制工业控制网内部安全访问。
2、透明模式流量转发:与交换机类似,接口无IP地址,通过目的MAC地址转发数据帧。
3. 透明模式中,当接收到的数据帧目的MAC不在工业防火墙本地MAC地址表项中,Stratix5950将做如下尝试:
ARP request : 当目的IP地址为本地直连网段时,Stratix5950将发送该目的地的ARP请求消息,收到目的地ARP Reply后,刷新本地MAC地址表项。
Ping request: 当目的IP地址非本地网段时,Stratix5950将向此目的地发送ICMP echo request消息,当收到目的设备的ICMP echo reply时,刷新本地MAC地址表。
Ⅱ
透明模式部署要求
透明模式中Stratix5950 接口必须加入到逻辑的bridge Group(类似与交换的VLAN)中 。
每个Bridge Group 中必须最少包含2个接口,最多包含4个接口。
每个bridge Group是一个独立的透明防火墙,默认情况,Bridge Group之间无法互访。
Ⅲ
配置透明模式工业防火墙
1. 查看Stratix5950 工作模式
Stratix# show firewall
Firewall mode: Router
Stratix#
2. 配置Stratix5950 为透明模式
Stratix(config)# firewall transparent
配置完透明模式后,设备无需重启。因透明模式和路由模式使用不同安全模块,所以必须提前保存配置到本地硬盘或者第三方设备。
3. 配置说明
将Gi 0/0和Gi 0/1加入到bridge group 1,设置安全基本,命名。
Stratix(config)# interface Gi 0/0
Stratix(config-if)# nameif outside
Stratix(config-if)# security-level 0
Stratix(config-if)# bridge-group 1
Stratix(config-if)# no shutdown
Stratix(config)# interface Gi 0/1
Stratix(config-if)# nameif inside
Stratix(config-if)# security-level 100
Stratix(config-if)# bridge-group 1
Stratix(config-if)# no shutdown
为bridge group分配一个IP地址,仅用在管理流量,此处BVI,类似与交换机的SVI接口.
Stratix(config)# interface BVI 1
Stratix(config-if)# ip address 192.168.1.1 255.255.255.0
Ⅳ
透明模式防火墙中的流量控制
1. 透明模式可以执行安全策略,允许单播流量中高安全级别的接口到低安全级别的接口。当来自于低安全级别接口的流量访问高安全级别接口时,默认不允许,需要ACL放行。
2. 当无ACL情况下,允许ARP数据包在所有接口传递。可配置ARP检测技术,默认情况,多播和广播流量不允许通过,可以用ACL放行。运用二层ACL可以放行非IP流量
Ⅴ
ARP检测
1. 问题:当Stratix5950 处于透明模式时,一个接口收到的所有ARP报文时,都从其他接口发送出去。那么可能会存在ARP欺骗的问题,如下图所示:
当PC对路由发起访问,因为不知道目的MAC地址,所以发送ARP Request查询路由器IP所对应的MAC地址
Stratix5950 从inside接口 收到ARP Request消息后会从outside接口转发,outside为非信任网络,存在一个攻击者,则此时会伪装大量ARP Replay消息发送给PC,此时PC学习到192.168.100.1(路由器MAC地址)的MAC地为0000.9999.9999(攻击者MAC地址)。则导致PC访问路由的流量被转发到攻击者。
2. 解决方案:在透明模式Stratix5950 中部署ARP Inspection,在inside和outside接口做ARP Inspection,手动指定允许接口的IP地址所对应的MAC地址。
如果Stratix5950 收到数据帧的源IP和MAC的对应关系,可以与本地单一ARP条目一致,则允许通过。
如果Stratix5950 收到数据帧的源IP和MAC只有其中一个与定义的ARP单一条目一致,则不允许通过。
如果Stratix5950 收到数据帧的源IP和MAC在定义的ARP对应关系中都无法一致。则自定义动作。
3. 配置说明
在inside和outside接口绑定允许放行的IP和MAC对应关系,并开启ARP Inspection功能。
Stratix(config)# arp inside 192.168.100.222 0000.2222.2222
Stratix(config)# arp outside 192.168.100.1 0000.1111.1111
Stratix(config)# arp-inspection inside enable
Stratix(config)# arp-inspection outside enable
Ⅵ
透明模式防火墙实验
1. 实验拓扑
2. 设备IP地址规划
3. 实验需求
PC2模拟outside网络,PC1模拟Inside网络
Stratix5950部署透明模式,Gi 0/1连接outside网络,Gi 0/2连接inside网络
PC1可以Ping到PC2.
4. 实验步骤
配置Stratix5950为透明模式,将Stratix5950接口加入到Bridge Group 1,并为BVI配置IP地址。
firewall transparent
interface Gi 0/1
nameif outside
bridge-group 1
security-level 0
interface Gi 0/2
nameif inside
bridge-group 1
security-level 100
interface BVI1
ip address 192.168.100.100 255.255.255.0
默认情况透明模式防火墙不放行Ping流量,会导致PC1与PC2无法Ping,此处需要放行inside接口和outside接口Ping流量。
access-list EXTRA-TRAFFIC extended permit icmp any 192.168.1.2 192.168.1.1
access-list EXTRA-TRAFFIC extended permit icmp any 192.168.1.1 192.168.1.2
access-group EXTRA-TRAFFIC in interface outside
access-group EXTRA-TRAFFIC in interface inside
作者简介:
剑思庭,工控安全研究员,熟悉S7协议和CIP协议,主要从事工业安全渗透和防御。
