工业防火墙架构与技术【第一节：概述】

 

1.1.   工控防火墙概述

咱们将应用于工业控制网络环境中的防火墙称为工业控制防火墙（ICF，Industrial Control Firewall）、工业防火墙（IFW，IndustrialFirewalls）或工控防火墙（在本文中主要称为工控防火墙）。和ICT环境的防火墙做用相似，其是一个具体设备（物理或虚拟），用于两个网络之间的隔离控制。在ICT环境中，防火墙主要用于保护一个网络区域免受来自另外一个网络区域的网络***和网络***行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。而在ICS环境中，工控防火墙主要部署于管理网（办公网）与生产网之间或部署在控制设备层的边界，对经过的工业控制网络流量进行解析、识别和控制，以抵御来自内外网对工业生产设备的***。

工控防火墙和传统防火墙因其所处的环境不一样而有所区别，相较而言，传统防火墙没有如下所述的特性：

1.        传统防火墙未装载工业协议解析模块，不理解不支持工业控制协议。工业网络采用的是专用工业协议，工业协议的类别不少，有基于工业以太网（基于二层和三层）的协议，有基于串行链路（RS232、RS485）的协议，这些协议都须要专门的工业协议解析模块来对其进行协议过滤和解析。传统防火墙只针对于ICT环境，没法彻底支持对工业协议的无/有状态过滤，也没法对工业协议进行深度解析和控制。

2.        传统防火墙软硬件设计架构不适应工业网络实时性和生产环境的要求。首先，工业网络环境中工控设备对于实时性传输反馈要求很是高，一个小问题就可能致使某个开关中止响应,这就要求接入的工控防火墙也必须具有工业网络的实时性要求。而通常的传统防火墙主要应用于传统的ICT环境，在软硬件架构设计之初就未考虑过工业网络的实时性，所以传统防火墙没法适应工业网络实时性要求。其次，工业生产对网络安全设备的环境适应性要求很高，不少工业现场甚至是在无人值守的恶劣环境。所以工控防火墙必须具有对工业生产环境可预见的性能支持和抗干扰水平的支持。例如，通常部署在工业现场的防火墙以导轨式为主，该环境对防火墙的环境适应性要求就很高，产品每每要求无风扇、宽温支持等。传统防火墙没法适应工业网络严苛复杂的生产环境。

所以，工控防火墙除了传统防火墙具有的访问控制、安全域管理、网络地址转换（Network Address Translation，NAT）等功能外，还具备专门针对工业协议的协议过滤模块和协议深度解析模块，其内置的这些模块能够在ICS环境中对各类工业协议进行识别、过滤及解析控制。例如如今市面上，国内的启明星辰天清汉马工业防火墙实现了Modbus/TCP（通用工业协议）、Modbus/RTU(基于串行链路)、IEC104协议（电力标准）、OPC协议（数据交换标准）、Ethernet/IP和Profinet等近百种的工业协议防御。国外厂商百通（收购多芬诺以及赫思曼）的工业防火墙支持工业通信协议有Modbus TCP/OPC/Siemens/Rockwell/GEFanuc/Honeywell/Yokogawa/Emerson/Mitsubishi/Omron/PI…等50多种。这些工业防火墙针对工业协议都采用黑白名单机制以及深度包检测技术（DPI）。在对二层和三层协议进行过滤的基础上，进一步解析应用层传输的工业控制协议网络报文内容，对OPC、ModBus、DNP3、IEC104、Profinet 等广泛使用的工业协议的数据包进行深度包解析，从而对报文中传输的工业协议指令和操做数据等信息进行检查，经过与预先配置的黑名单或白名单内容进行比对，防止应用层协议被篡改或破坏。目前工控防火墙的技术通常解析到工业协议的指令层，能够实现对非法指令的阻断、非工业协议的拦截等。同时，这些工业防火墙还能很好知足工业环境中的机械要求（如冲击、振动、拉伸等）、气候保护要求（如工做温度、存储温度、湿度、紫外线）、侵入保护要求（如保护等级、污染等级）以及电磁辐射和免疫要求（发射、免疫），具有生产环境下的高可靠性和高可用性。

1.2.   工控防火墙是工业网络安全的第一道防线

如今的术语“防火墙”已经普遍使用多年，“防火墙”一词已是具备不一样操做方法和目标的普遍技术的统称。现今的防火墙单就分类来讲就包括了多种：无状态防火墙、有状态防火墙、透明防火墙，各级网络参考架构的防火墙（主机防火墙、网络防火墙等）、具备深度数据包检测的防火墙，甚至还具备***检测功能或***防护功能的防火墙等等。除此以外，还有其余能够控制和限制网络流量的方法也能够称之为防火墙，如访问控制列表（ACL）。这些不一样的技术构成的防火墙种类繁多，其应用的地方也不尽相同。在工业网络体系中，针对部署的位置不一样，工控防火墙能够大体分为两种：

l  机架式工控防火墙

l  导轨式工控防火墙

机架式防火墙通常部署于工厂的机房中，所以其规格同传统防火墙同样，大部分采用1U或2U规格的机架式设计，采用无风扇、符合IP40防御等级要求设计，用于隔离工厂与管理网或其余工厂的网络。而导轨式防火墙大部分部署在生产环境的生产现场，所以这种防火墙大部分采用导轨式架构设计，方便地卡在导轨上而无需用螺丝固定，维护方便。同时其内部设计更加封闭与严实，内部组件之间都采用嵌入式计算主板上，这种主板通常都采用一体化散热设计，超紧凑结构，内部无连线设计，板载CPU及内存芯片以避免受工业生产环境的震动。

这两种防火墙会由于部署位置以及防御目标不一样而功能上有所区别，可是大致上功能基本相同。从ICS自己的架构来讲，因为其在设计之初并未考虑或不多考虑安全性的设计，其架构设计先天性的具备不可弥补的脆弱性。所以ICS领域并不像ICT领域那样，ICT领域快速更新迭代的技术几乎已经在架构上尽可能保证其安全性设计。伴随两化融合和物联网的快速发展，我国关键性基础设施和工业行业普遍使用的SCADA、DCS、PLC等工业控制系统愈来愈多地采用计算机和网络技术，如Ethernet、TCP/IP以及OPC等，极大地推进了工业生产，但同时也使工业控制系统接口愈来愈开放。这些和管理网以及因特网互联的接口就很是容易面临着内外部的针对ICS脆弱性的***。所以ICS自己的架构脆弱性以及可能面临的内外部针对脆弱性的***就形成了ICS的风险。这些风险直接或间接地影响着企业运营者的安全生产。所以在这样的趋势下，工控防火墙首先须要防御的就是一些已知的ICS脆弱性，好比未经受权的访问以及不加密的协议等。

针对于工业协议不加密来讲，工业协议最初在设计的时候不考虑加密也是由于先天性的不足，好比现场设备计算能力低、工业网络实时性要求，采用加密的工业协议将没法承受加密解密的计算量和延迟。这就形成了工业网络通信协议与普通的网络协议有很大不一样：

一、           工业协议基本上都是明文的协议，而且传输的数据包具备顺序性。因为最开始时期工业环境是专用是软件硬件和专用的协议，并且处于隔离的网络环境，设备计算性能低下，所以工业协议设计都从未考虑加密的特性，基本上都是明文的传输。虽然工业设备的厂家几乎大体都各自开发了本身的私有协议，可是这些私有的协议经过抓包进行分析，就能够得出这个协议大致的实现。这是由于工业协议还有另一个特征是，其协议发送的数据包几乎是具备顺序性的，而ICT环境的网络协议大部分是随机性的。所以就协议上来讲，工控防火墙对工业协议的过滤和解析控制，区别于传统防火墙的工做模式是：工控防火墙只可以利用已知的工业专有通信协议（例如OPC、Profibus等）创建防御规则，其余的未公开的私有工业协议须要工控防火墙再利用智能学习的模式学习来创建该协议的规则库。工控防火墙的智能学习模式就是利用了工业协议的明文传输且具备顺序性质的特色，抓取必定数量的协议数据包进行分析，就能够得出这个私有协议的协议特征，从而针对这个特征就能够创建规则库。

二、           工业协议区别于其余网络协议的另一点是，工业协议有动态变化的特征。好比OPC，由于其基于DCOM技术，在进行数据通信时其端口从1024到65535动态使用，其对端口的动态使用，防火墙再利用端口识别协议根本就不可能。因此在工业环境中使用传统防火墙时根本没有任何意义，对于协议使用端口5185等通常防火墙根本就没法进行剖析，而使OPC客户端能够轻易对OPC服务器数据项进行读写，在没有防火墙的状况下，一旦***对客户端电脑取得控制权，控制系统就面临很大风险。除了动态端口之外，还具备别的动态特征，好比Modbus协议，其组态点链接的数量也决定着协议数据包的动态变化，好比100点的链接和200点的链接，其功能码以及数据包生成和传输的就再也不同样。这些动态的变化都须要防火墙具备对这些协议深度的认识，深度的解析控制。

针对未受权访问来讲，如MODBUS TCP/IP，在不少场合下，主设备（Master）用户的权限是最高的，能够任意对从站（Slave）数据进行读写，若是没有防火墙管控，这就很危险的。还有上述的所说，OPC客户端是能够任意对OPC服务器数据项进行读写的。这些例子只是简单的说明了ICS领域自己的脆弱性，这些脆弱性不论是基于内部进行***仍是由外部***者进来发起的***，都讲不可避免的形成生产损失，何况生产环节发生事故还特别容易威胁人身生命安全。这些风险是看得见的自己就存在的，不可能短时间内经过更换工控设备来解决，必需要经过工控防火墙来实施防御，从而扼杀掉这样的风险。

          从工业网络安全总体的考虑，如今的这些生产网因为扩大的规模、链接的无线、远程的运维、现场的管理和数据的传输，已经使生产线彻底暴露在***者面前。SCADA、DCS系统和PLC自己的安全性就很脆弱，而***们真的不懂SCADA、DCS系统和PLC吗？也许震网、DUQU、火焰和Havex等可能有国家背景的“网络战武器”离咱们很远，也许永远不会发生在咱们的工厂中。可是如今不断暴增的工业网络安全事件和ICS的漏洞，以及这些ICS漏洞在地下黑市中的疯狂流转，无不说明工厂环境的价值目标愈来愈大。对于企业的运营者以及安全的防御者，工业网络安全的建设任重道远，必须从全局上看，总体上看，着重于顶层设计，实施纵深防护的安全战略。纵深防护是一种实施多层防护的策略，好比在网络边界部署工控防火墙，在工业网络内部部署针对工业环境的***检测系统、***防护系统、反病毒系统等安全基础设施。同时结合对工业网络的流量分析以及内外网***的情报，积极主动防护面临的安全威胁。工控防火墙是这个体系的第一道防线，是工业网络安全的重要组成部分。