企业工业网络搭建

企业工业网络搭建

企业工业网络搭建以及配置 

网络拓扑图：

局域网分配：

IP地址段确认

生产网络：192.168.1.0/24

边端网络：192.168.2.0/24

维护网络：192.168.3.0/24

服务区：  192.168.8.0/24

生产网络：

设备名	设备信息	数量	备注	IP地址
路由器	Cisco IOL	1台	交换机	无
主机	Linux_7	1台	服务器	192.168.1.100

边缘网络：

设备名	设备信息	数量	备注	IP地址
交换机	Cisco IOL	1台	交换机	无
主机	linux_8	1台	服务器	192.168.2.100

维护网络：

设备名	设备信息	数量	备注	IP地址
交换机	Cisco IOL	1台	交换机	无
主机	Linux_9	1台	服务器	192.168.3.100

边缘端网络配置：

云端网络配置：

          

模拟典型工业网络安全情景，对网络进行优化配置，封堵网络漏洞，提高安全性能，并搭建的网络进行测试形成当前网络性能与安全性能分析报告。为了更好的维护网络安全，对于各个网络有以下要求：

交换机配置

生产网络：

允许icmp回包：access-list ProduACL permit icmp any any echo-reply // 允许icmp回包

不可以访问维护网络

命令：

access-list ProduACL deny ip any 192.168.3.0 255.255.255.0 // 不允许访问维护

不可以访问边端网络

命令：

access-list ProduACL deny ip any 192.168.2.0 255.255.255.0 // 不允许访问边端

所以加入到端口：

access-group ProduACL in interface Produ

端网络：

允许icmp回包：access-list BrinkACL permit icmp any any echo-reply // 允许icmp回包

可以通过ping访问生产网络

命令：

access-list BrinkACL permit icmp any 192.168.1.0 255.255.255.0 // ICMP

可以通过OPC UA访问生产网络

命令：

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 // OPC UA

可以通过机器人通信协议（TCPIP, UR机器人）访问生产网络

命令：

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //机器人通信协议（TCPIP, UR机器人）访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议（TCPIP, UR机器人）访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999 //机器人通信协议（TCPIP, UR机器人）访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001 //机器人通信协议（TCPIP, UR机器人）访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002 //机器人通信协议（TCPIP, UR机器人）访问生产网络

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003 // UR

可以通过PLC通讯协议（S7协议）访问生产网络

命令：

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 // S7

可以通过数控通讯协议(NC-Link)访问生产网络

命令：

access-list BrinkACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 // NC-Link

 

边端网络不可以通过ping、OPC UA、TCPIP、S7、数控通讯协议之外的协议访问生产网络

// 边端本身安全等级低于生产 第6条不用配置

可以通过ping 访问维护网络

命令：

access-list BrinkACL permit icmp any 192.168.3.0 255.255.255.0 // ping 维护网络

所以加入到端口：

access-group BrinkACL in interface Brink

可以通过ping 访问生产网络

命令：

access-list TestACL permit icmp any any echo-reply // 允许icmp回包

access-list TestACL permit icmp any 192.168.1.0 255.255.255.0 // ping 生产网络

可以通过https 访问生产网络

命令：

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 443 //https 访问生产网络

可以通过http 访问生产网络

命令：

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 80 //http 访问生产网络

可以通过OPC UA 访问生产网络

命令：

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 22 //OPC UA 访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1840 //OPC UA 访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1845 //OPC UA 访问生产网络

可以通过机器人通信协议（TCPIP）访问生产网络

命令：

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 502 //机器人通信协议（TCPIP）访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 29999  //机器人通信协议（TCPIP）访问生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30001  //机器人通信协议生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30002  //机器人通信协议生产网络

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 30003  //机器人通信协议生产网络

可以通过数控通讯协议访问生产网络

命令：

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 1883 //数控通讯协议访问生产网络

可以通过PLC通讯协议（S7协议）访问生产网络

命令：

access-list TestACL permit tcp any 192.168.1.0 255.255.255.0 eq 102 //PLC通讯协议（S7协议）访问生产网络

不可以使用除了http、https、ping、OPC UA、S7、数控通讯协议之外的协议访问生产网络

// 维护网络本身安全等级低于生产 第8条不用配置

可以通过ping 访问边端网络

命令：

access-list TestACL permit icmp any 192.168.2.0 255.255.255.0  //ping边端网络

可以通过https 访问边端网络

命令：

access-list TestACL permit tcp any 192.168.2.0 255.255.255.0 eq 443  //https 访问边端网络

防火墙配置：

管理网页仅可以在维护网络打开

修改默认账户的密码为@2021password

 导出防火墙的配置文件