工业以太网的安全防护与访问控制

第一阶段：网络安全架构规划

工业以太网安全的基础在于合理的网络分层设计。直接执行以下步骤来构建符合 Purdue 模型的网络分区。

1. 划分 网络层级区域。将生产网络严格隔离为现场设备层、控制层、操作监控层和企业信息网络层。禁止将所有设备置于同一广播域内。

2. 部署 工业级防火墙。在每一层级的边界处安装物理防火墙设备。确保防火墙支持深度包检测（DPI）功能，能够识别 Modbus/TCP 或 S7 通信协议。

3. 定义 数据流向策略。只允许特定方向的通信流量通过。例如，仅允许上位机向 PLC 发送读写指令，禁止 PLC 主动向外网发起连接请求。

4. 实施 逻辑隔离方案。使用虚拟局域网（VLAN）技术在单一物理网络上划分多个逻辑子网。不同车间的设备即使连接在同一台交换机上，也必须属于不同的 VLAN ID。

5. 验证 路由表配置。检查核心路由器的转发规则，确保跨 VLAN 的流量必须经过指定的安全网关。防止设备利用二层连通性绕过三层过滤。

上述拓扑图展示了从外网到最底层设备的递进防护结构。每一道关卡都对应具体的安全设备。

第二阶段：终端设备加固

网络设备本身往往存在默认配置漏洞。必须对每台接入工业以太网的设备进行标准化加固。

1. 修改 默认管理员密码。登录所有交换机、路由器和控制器的 Web 管理界面或命令行界面。将出厂默认密码（如 admin/admin）立即更换为强口令。

2. 禁用 不必要的高风险服务。关闭 Telnet、FTP 和 HTTP 明文传输协议。仅启用 SSH 和 HTTPS 用于远程管理和加密文件传输。

3. 限制 物理端口权限。在接入层交换机上配置端口安全策略。绑定合法设备的 MAC 地址，防止未授权设备插入网线接入网络。

4. 更新 固件版本。定期查询设备制造商官网，下载并安装最新的安全补丁。修复已知漏洞（CVE），特别是针对远程代码执行漏洞的修补。

5. 关闭 剩余默认账户。删除系统预置的非管理员测试账户或来宾账户。确保每个操作员都有独立的专用账号。

下表列出了常见工业设备的默认安全风险及应对配置：

第三阶段：访问控制列表（ACL）配置

网络访问控制是拦截非法流量的最后一道防线。以下操作流程基于典型的企业级路由器命令行界面。

1. 进入 全局配置模式。通过控制台线连接设备，使用 configure terminal 命令进入配置状态。

2. 创建 扩展访问控制列表。定义一个编号大于 100 的 ACL 名称，以便指定更精细的源 IP 和目标端口匹配条件。

3. 编写 允许规则。明确列出业务系统所需的通信路径。使用关键字 permit 放行合法的 TCP 或 UDP 流量。

4. 编写 拒绝规则。在每条允许规则之后，显式添加一条拒绝所有其他流量的语句。遵循“默认拒绝”原则，只放行白名单内的连接。

5. 应用 策略到接口。将配置好的 ACL 绑定到具体的物理接口或逻辑子接口上，方向选择入站（inbound）以确保数据包进入前被过滤。

! 定义允许 SCADA 服务器访问 PLC 特定端口
access-list 101 permit tcp host 192.168.1.100 host 192.168.1.50 eq 102
! 允许 PLC 返回响应数据
access-list 101 permit tcp host 192.168.1.50 eq 102 host 192.168.1.100
! 默认拒绝所有其他流量
access-list 101 deny ip any any
! 应用到外部接口入站方向
interface GigabitEthernet0/1
 ip access-group 101 in

执行上述命令后，除 SCADA 服务器与特定 PLC 之间的 102 端口通信外，所有其他尝试将被丢弃。务必确认规则顺序从上至下生效，避免先于宽泛规则的具体规则被覆盖。

第四阶段：身份认证与权限管理

除了网络层面的控制，还需管控用户身份。确保只有授权人员能修改关键参数。

1. 建立 统一认证服务器。搭建 RADIUS 或 LDAP 服务器，集中管理所有网络设备的登录凭证。

2. 配置 AAA 认证机制。在核心设备上启用认证、授权和计费功能，指向外部服务器进行验证。

3. 分配 最小权限角色。根据岗位职责，为工程师、操作员和维护人员分配不同等级的命令访问权限。普通操作员不得拥有写入配置文件的权限。

4. 设置 会话超时时间。配置设备在无操作一定时间后自动注销登录。建议设置为 5 分钟，防止因人员离岗导致的未授权访问。

5. 记录 审计日志。开启所有关键操作的日志记录功能，包括登录成功/失败、配置变更和设备重启事件。

6. 保护 日志传输通道。配置日志服务器通过 Syslog over TLS 或 SNMPv3 接收信息，防止日志被中间人篡改。

第五阶段：持续监控与维护

安全防护不是一次性的工作，需要持续的监控和定期的审查。

1. 部署 入侵检测系统（IDS）。在网络镜像端口上部署 IDS 探针，实时分析流量特征，识别异常的扫描行为或恶意攻击载荷。

2. 设定 告警阈值。为防火墙连接数、CPU 利用率和异常流量比例设定报警上限。一旦超过阈值，立即发送邮件或短信通知管理员。

3. 执行 定期漏洞扫描。每季度使用专业工具对工业网络段进行被动式漏洞扫描。重点关注未打补丁的旧版操作系统或固件。

4. 恢复 备份配置文件。每次更改网络配置前，必须手动或通过脚本备份当前运行的配置文件到安全的外部存储介质。

5. 演练 应急响应流程。制定并每半年进行一次网络攻击应急演练。模拟勒索病毒入侵或控制指令劫持场景，验证备份恢复和隔离措施的有效性。

# 备份配置文件示例脚本片段
backup_dir="/opt/config_backup"
timestamp=$(date +%Y%m%d_%H%M%S)
scp running-config backup_user@192.168.1.200:${backup_dir}/switch_${timestamp}.cfg

确保备份文件存储在离线环境或受保护的云端，避免本地硬盘故障导致数据丢失。所有维护窗口期必须提前通知相关业务部门。

第六阶段：物理与环境安全

网络安全的最后一环是物理层面。防止有人直接接触设备破坏硬件。

1. 锁闭 机柜门。所有放置交换机和服务器的机柜必须配备实体锁。钥匙由专人保管，严禁随意存放。

2. 标识 电缆端口。清晰标记每一根网线的两端去向，并在配线架上粘贴资产标签。便于排查故障时快速定位。

3. 监控 机房环境。安装温度、湿度传感器和视频监控系统。当环境温度过高或发生非法闯入时触发声光报警。

4. 切断 废弃线路。对于不再使用的冗余网络线路，必须在两侧交换机端口上进行物理禁用或拆除跳线，消除潜在接入点。

5. 限制 访客权限。外来维修人员进入控制室必须由内部员工全程陪同。禁止其携带未经杀毒的笔记本电脑直连工控网络。

严格执行以上六个阶段的防护措施，可显著降低工业以太网遭受网络攻击的风险，保障生产系统的稳定运行。