智造講堂：工業控制系統防火牆技術簡介

引自：《智能製造信息安全技術》（作者：秦志光, 聶旭雲, 秦臻）

工業防火牆是工業控制系統信息安全必須配置的設備。工業防火牆技術是工業控制系統信息安全技術的基礎。工業控制系統防火牆技術可以實現區域管控，劃分控制系統安全區域，對安全區域實現隔離保護，保護合法用戶訪問網絡資源;同時，可以對控制協議進行深度解析，可以解析Modbus、DNP3等應用層異常數據流量，並對OPC端口進行動態追蹤，對關鍵寄存器和操作進行保護。

工業控制系統防火牆的目的是在不同的安全域之間建立安全控制點，根據預先定義的訪問控制策略和安全防護策略，解析和過濾經過工控防火牆的數據流，實現向被保護的安全域提供訪問可控的服務請求。

「 1. 工業防火牆的特點」

工控防火牆和傳統防火牆因其所處的環境不同而有所區別，相較而言，傳統防火牆沒有以下所述的特性：

（1）傳統防火牆未裝載工業協議解析模塊，不理解不支持工業控制協議。工業網絡採用的是專用工業協議，工業協議的類別很多，有基於工業以太網（基於二層和三層）的協議，有基於串行鏈路（RS232、RS485）的協議，這些協議都需要專門的工業協議解析模塊來對其進行協議過濾和解析。

（2）傳統防火牆軟硬件設計架構不適應工業網絡實時性和生產環境的要求。首先，工業網絡環境中工控設備對於實時性傳輸反饋要求非常高，其次，工業生產對網絡安全設備的環境適應性要求很高，很多工業現場甚至是在無人值守的惡劣環境。因此工控防火牆必須具備對工業生產環境可預見的性能支持和抗干擾水平的支持。

因此，工控防火牆除了傳統防火牆具備的訪問控制、安全域管理、網絡地址轉換（network address translation，NAT）等功能外，還具有專門針對工業協議的協議過濾模塊和協議深度解析模塊，其內置的這些模塊可以在ICS環境中對各種工業協議進行識別、過濾及解析控制。

「 2. 工業防火牆的類別」

在工業網絡體系中，針對部署的位置不同，工控防火牆[2]可以大致分為兩種：

（1）機架式工控防火牆。機架式防火牆一般部署於工廠的機房中，因此其規格同傳統防火牆一樣，大部分採用1U或2U規格的機架式設計，採用無風扇、符合IP40防護等級要求設計，用於隔離工廠與管理網或其他工廠的網絡。

（2）導軌式工控防火牆。導軌式防火牆大部分部署在生產環境的生產現場，因此這種防火牆大部分採用導軌式架構設計，方便地卡在導軌上而無需用螺絲固定，維護方便。同時其內部設計更加封閉與嚴實，內部組件之間都採用嵌入式計算主板上，這種主板一般都採用一體化散熱設計，超緊湊結構，內部無連線設計，板載CPU及內存芯片以免受工業生產環境的震動。

「 3. 工業防火牆的主要應用場景」

（1）部署於隔離管理網與控制網之間。工業防火牆控制跨層訪問並深度過濾層級間的數據交換，阻止攻擊者基於管理網向控制網發起攻擊，如圖1所示。

圖1 管理網與控制網之間

（2）部署於控制網的不同安全區域間。工業防火牆可將控制網分成不同的安全區域，控制安全區域之間的訪問，並深度過濾各區域間的流量數據，以阻止區域間安全風險的擴散，如圖2所示。

圖2 控制網的不同安全區域間

（3）部署於關鍵設備與控制網之間。工業防火牆檢測訪問關鍵設備的IP，阻止非業務端口的訪問與非法操作指令，記錄關鍵設備的所有訪問與操作記錄，實現對關鍵設備的安全防護與流量審計，如圖3所示。

圖3 關鍵設備與控制網之間

「 4. 工業防火牆的性能要求」

工控系統安全目標優先級順序其首要考慮的是所有系統部件的可用性、完整性則在第二位、保密性通常都在最後考慮。（圖4）

圖4 工控防火牆部署

工控安全隔離與信息交換產品的總體目標是抵禦黑客、病毒等通過各種形式對工控系統發起的惡意破壞和攻擊，防止由信息安全層面上引起工控系統故障及工業設備損壞。具體內容如下：

（1）防止通過外部邊界發起的攻擊和侵入，尤其是防止由攻擊導致的工控系統故障及設備損壞。

（2）防止未授權用戶訪問系統或非法獲取信息和侵入及重大的非法操作。

工控防火牆技術要求分為安全功能要求、安全保證要求兩個大類。其中，安全功能要求是對工控防火牆應具備的安全功能提出具體要求，包括網絡層控制、應用層控制和安全運維管理；安全保證要求針對工控防火牆的開發和使用文檔的內容提出具體的要求。產品安全功能要求主要對產品實現的功能進行了要求。主要包括網絡層控制、應用層控制和安全運維管理三部分。

由於工業防火牆所處環境[3]和應用場景特殊，所以在設計時必須滿足以下幾點要求。

1）滿足工業環境對硬件的要求

工控防火牆的硬件架構選擇首先需要滿足工業環境對硬件的要求，如無風扇、寬溫（-40~70℃）、濕度（5%~95%無凝結）、防護等級IP40（防塵不防水）等。

因此根據工業環境的硬件需求，工控防火牆的硬件一般採用無風扇嵌入式工控機來作為承載平台，然後在設計的時候通過調研提出相應的硬件組合需求。

2）滿足對數據包的處理性能的高速度要求

在工控防火牆中，有針對已知協議提前建模好的規則模板，也有後期自動學習進行建模的規則模板。由於工控防火牆處理數據包是一個一個處理，包括數據包的校驗，數據包每一層包頭的處理，所以數據包越小，到達時間就越短，服務器處理數據包要求就越高。

並且工業環境中各家設備的不同以及使用的工業協議[4]不同，工控防火牆需要同時在工業網絡流量中同時並行處理多種工業協議報文。同時，規則庫隨着時間的增加規則條數也在持續增加，這些都是需要防火牆處理性能的支撐，保障網絡數據的傳輸速度與模式匹配的檢測速度滿足工業網絡的實時性需求。

3）滿足工業環境穩定性要求

從滿足工業環境穩定性要求的角度，工業防火牆的需要從硬件和軟件層次去考慮本身的穩定性對工業網絡的影響。

工業防火牆需要同時具備軟硬件Bypass功能。一旦設備異常或者重啟，會啟動Bypass功能，而無須擔心因為工業防火牆本身出現問題而導致工業網絡斷網情況出現。

「 5. 工業防火牆技術」

工業防火牆在種類方面與一般IT防火牆種類類似，總體上分為包過濾、狀態包檢測和代理服務器等幾大類型[1]。

1）數據包過濾技術

數據包過濾技術是在OSI第3層網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，稱為訪問控制表（access control table）。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素，或它們的組合來確定是否允許該數據包通過。數據包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用，網絡性能和透明性好。

工業防火牆基於訪問控制技術的包過濾防火牆，它可以保障不同安全區域之間進行安全通信，通過設置訪問控制規則，管理和控制出入不同安全區域[5]的信息流，保障資源在合法範圍內得以有效使用和管理。

2）狀態包檢測技術

狀態包檢測監視每一個有效連接的狀態，並根據這些信息決定網絡數據包是否能夠通過防火牆。它在協議棧底層截取數據包，然後分析這些數據包，並且用當前數據包及其狀態信息和其前一時刻的數據包及其狀態信息進行比較，從而得到該數據包的控制信息，來達到保護網絡安全的目的。

狀態包不需要對此次會話的每個數據包都進行規則匹配，只需進行數據包的軌跡狀態檢查，從而加快了數據包的處理速度。與傳統包過濾防火牆的訪問控制規則列表相比，它具有更好的性能和安全性，在工業控制應用中越來越多。

3）代理服務技術

代理服務技術是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術，其特點是將所有跨越防火牆的網絡通信鏈路分為兩段。防火牆內外計算機系統間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現，外部計算機的網絡鏈路只能到達代理服務器，從而起到了隔離防火牆內外計算機系統的作用。此外，代理服務也對過往的數據包進行分析、註冊登記，形成報告，當發現被攻擊跡象時會向網絡管理員發出警報，並保留攻擊痕迹。但是代理服務器會產生時延，影響性能。

上述三種防火牆技術都是較為傳統的防火牆技術，隨着網絡安全技術的深入發展，防火牆技術也在不停地發展。下面是發展出的新的工業防火牆技術[6]：

（1）透明接入技術。透明模式最主要的特點就是對用戶是透明的，用戶意識不到防火牆的存在。如果要想實現透明模式，防火牆必須在沒有IP地址的情況下工作，不需要對其設置IP地址，用戶也不知道防火牆的IP地址。防火牆採用了透明模式，用戶就不必重新設定和修改路由，防火牆就可以直接安裝和放置到網絡中使用，如交換機一樣不需要設置IP地址。

（2）分布式防火牆技術。分布式防火牆負責對網絡邊界、各子網和網絡內部各節點之間的安全防護，因此，分布式防火牆是一個完整的系統，而不是單一的產品。根據所需完成的功能，分布式防火牆體系結構包含如下3個部分：①網絡防火牆：既可以採用純軟件方式，也可以採用相應的硬件支持，用於內部網和外部網之間，以及內部網各子網之間的防護；②主機防火牆：用於對網絡中的服務器和桌面機進行防護；③中心管理：負責總體安全策略的策劃、管理、分布及日誌的匯總。分布式防火牆的工作流程如下：首先，由制定防火牆接入控制策略的中心通過編譯器將策略語言描述轉換成內部格式，形成策略文件；然後，中心採用系統管理工具把策略文件分發給各自“內部”主機，內部主機將根據IP安全協議和服務器端的策略文件兩個方面來判定是否接受收到的包。

（3）智能型防火牆技術。智能型防火牆的結構由內外路由器、智能認證服務器、智能主機和堡壘主機組成。內外路由器在Intranet和Internet網之間構築一個安全子網，稱為非軍事區（DMZ）。智能型防火牆的工作原理可以理解為按照智能型防火牆中內外路由器的工作過程，Intranet主機向Internet 主機連接時，使用同一個IP地址。而Internet主機向Intranet主機連接時，必須通過網關映射到Intranet 主機上。它使Internet網絡看不到Intranet 網絡。無論在任何時候，DMZ.上堡壘主機中的應用過濾管理程序可通過安全隧道與Intranet中的智能認證服務器進行雙向保密通信，智能認證服務器可以通過保密通信修改內外路由器的路由表和過濾規則。整個防火牆系統的協調工作主要由專門設計的應用過濾管理程序和智能認證服務程序來控制執行，並且分別運行在堡壘主機和智能服務器上。

參考文獻

[1]宿潔，袁軍鵬.防火牆技術及其進展[J].計算機工程與應用，2004(09)：147-149+160.

[2]張劍.工業控制系統網絡安全[M]. 北京：電子科技大學出版社，2017.

[3]盧光明. 我國工控安全現狀及面臨的挑戰[J]. 網絡空間安全， 2018(03).

[4]STOUFFERK，FALCOJ，SCARFONEK. Guide to industrial control systems（ICS）security. NIST Special Publication，2008：800：82.

[5]Rafael Ramos Regis Barbosa，Ramin Sadre，Aiko Pras. Exploiting traffic periodicity in industrial control networks[J]. International Journal of Critical Infrastructure，2016.

[6]Security for Industrial Automation and Control Systems：Terminology，Concepts and Models. ANSI/ISA-99.01.01-2007，2007.