工业防火墙的黑白名单

工业防火墙的白名单

在防火墙中，白名单中包含的主机不再添加到动态和静态黑名单中。源VPN和IP地址是单独的白名单。白名单是从网络上的特定设备发送的合法业务数据包，以防止特定设备被防火墙列入黑名单。主要用于具有IP扫描攻击和端口扫描攻击特点的情况。

1、白名单的特点

当用户将特定主机的VPN和IP地址添加到防火墙白名单中时，防火墙不会对主机发送的消息进行IP扫描攻击或端口扫描攻击，也不会为IP地址生成动态黑名单。用户也不能将列入白名单的主机添加到静态黑名单中。

2、白名单支持

当设备收到消息时，请确保它是白名单条目。在这种情况下，设备不会对数据包进行IP扫描或端口扫描攻击，也不会在源IP上生成动态黑名单。然而，为了实现防火墙的最大安全过滤效果，必须实现ACL数据包过滤、ASPF其他安全过滤功能，如流量统计和监控。

用户可以设置白名单的老化时间。

用户可以将白名单配置信息导出到文件或从文件导入白名单配置。

3、端口映射

应用层协议使用通常已知的端口号进行通信。端口映射允许您为多个应用层协议定义一组新的端口号，并指定使用未知端口的主机范围。

只有在与ASPF和NAT等业务相关功能结合使用时，端口映射才真正重要。例如，公司专用网络10.10.10.10.10上的内部FTP服务器通过端口2121提供FTP服务。通过NAT服务器访问FTP服务器的用户只能使用端口号2121。

FTP消息的默认端口号为21，因此FTP服务器无法将端口21上的消息识别为FTP应用程序。在这种情况下，端口映射功能将端口2121映射到FTP协议，并且NAT服务器将端口2122消息识别为FTP协议消息，使得用户可以访问FTP服务器。需要转发到。

4、设备对端口映射的支持

用于端口映射的设备支持ACL，并且只有与特定ACL匹配的数据包才能执行端口映射。端口映射使用默认ACL（编号2000-2999）。使用ACL筛选数据包时，端口映射使用数据包的目标IP地址来匹配默认ACL规则中配置的IP地址。

外部PC通过路由器（端口号8080）访问内部WWW服务器。如果来自外部PC的消息通过路由器，ACL消息将被映射到端口。只有目的地地址为129.38.2.4的消息才能通过路由器访问WWW服务器。

工业防火墙的黑名单

黑名单是一种过滤基于消息的源VPN和源IP地址的方法。与ACL相比，匹配域的简单性使数据包过滤更快，并且可以有效地阻止从特定IP地址发送的数据包。它还支持用户静态配置黑名单和防火墙。支持动态生成黑名单。

1、黑名单设备支持

除了用户能够静态配置黑名单外，如果设备检测到特定的IP地址受到IP扫描或端口扫描的攻击，则攻击IP地址将被主动插入黑名单。如果启用了黑名单，来自该IP地址的消息将在一段时间内从黑名单中筛选出来。

用户可以配置静态和动态黑名单的老化时间。

防火墙根据ACL规则丢弃数据包，无论它们是否可以访问黑名单中的数据包。

用户可以将黑名单配置信息导出到文件中，也可以从文件中导入黑名单配置。