工业控制系统防火墙技术简介
2022-11-08 来源: 智造苑
工业防火墙是工业控制系统信息安全必须配置的设备。工业防火墙技术是工业控制系统信息安全技术的基础。工业控制系统防火墙技术可以实现区域管控,划分控制系统安全区域,对安全区域实现隔离保护,保护合法用户访问网络资源;同时,可以对控制协议进行深度解析,可以解析Modbus、DNP3等应用层异常数据流量,并对OPC端口进行动态追踪,对关键寄存器和操作进行保护。
工业控制系统防火墙的目的是在不同的安全域之间建立安全控制点,根据预先定义的访问控制策略和安全防护策略,解析和过滤经过工控防火墙的数据流,实现向被保护的安全域提供访问可控的服务请求。
「 1. 工业防火墙的特点」
工控防火墙和传统防火墙因其所处的环境不同而有所区别,相较而言,传统防火墙没有以下所述的特性:
(1)传统防火墙未装载工业协议解析模块,不理解不支持工业控制协议。工业网络采用的是专用工业协议,工业协议的类别很多,有基于工业以太网(基于二层和三层)的协议,有基于串行链路(RS232、RS485)的协议,这些协议都需要专门的工业协议解析模块来对其进行协议过滤和解析。
(2)传统防火墙软硬件设计架构不适应工业网络实时性和生产环境的要求。首先,工业网络环境中工控设备对于实时性传输反馈要求非常高,其次,工业生产对网络安全设备的环境适应性要求很高,很多工业现场甚至是在无人值守的恶劣环境。因此工控防火墙必须具备对工业生产环境可预见的性能支持和抗干扰水平的支持。
因此,工控防火墙除了传统防火墙具备的访问控制、安全域管理、网络地址转换(network address translation,NAT)等功能外,还具有专门针对工业协议的协议过滤模块和协议深度解析模块,其内置的这些模块可以在ICS环境中对各种工业协议进行识别、过滤及解析控制。
「 2. 工业防火墙的类别」
在工业网络体系中,针对部署的位置不同,工控防火墙[2]可以大致分为两种:
(1)机架式工控防火墙。机架式防火墙一般部署于工厂的机房中,因此其规格同传统防火墙一样,大部分采用1U或2U规格的机架式设计,采用无风扇、符合IP40防护等级要求设计,用于隔离工厂与管理网或其他工厂的网络。
(2)导轨式工控防火墙。导轨式防火墙大部分部署在生产环境的生产现场,因此这种防火墙大部分采用导轨式架构设计,方便地卡在导轨上而无需用螺丝固定,维护方便。同时其内部设计更加封闭与严实,内部组件之间都采用嵌入式计算主板上,这种主板一般都采用一体化散热设计,超紧凑结构,内部无连线设计,板载CPU及内存芯片以免受工业生产环境的震动。
「 3. 工业防火墙的主要应用场景」
(1)部署于隔离管理网与控制网之间。工业防火墙控制跨层访问并深度过滤层级间的数据交换,阻止攻击者基于管理网向控制网发起攻击,如图1所示。
「 1. 工业防火墙的特点」
工控防火墙和传统防火墙因其所处的环境不同而有所区别,相较而言,传统防火墙没有以下所述的特性:
(1)传统防火墙未装载工业协议解析模块,不理解不支持工业控制协议。工业网络采用的是专用工业协议,工业协议的类别很多,有基于工业以太网(基于二层和三层)的协议,有基于串行链路(RS232、RS485)的协议,这些协议都需要专门的工业协议解析模块来对其进行协议过滤和解析。
(2)传统防火墙软硬件设计架构不适应工业网络实时性和生产环境的要求。首先,工业网络环境中工控设备对于实时性传输反馈要求非常高,其次,工业生产对网络安全设备的环境适应性要求很高,很多工业现场甚至是在无人值守的恶劣环境。因此工控防火墙必须具备对工业生产环境可预见的性能支持和抗干扰水平的支持。
因此,工控防火墙除了传统防火墙具备的访问控制、安全域管理、网络地址转换(network address translation,NAT)等功能外,还具有专门针对工业协议的协议过滤模块和协议深度解析模块,其内置的这些模块可以在ICS环境中对各种工业协议进行识别、过滤及解析控制。
「 2. 工业防火墙的类别」
在工业网络体系中,针对部署的位置不同,工控防火墙[2]可以大致分为两种:
(1)机架式工控防火墙。机架式防火墙一般部署于工厂的机房中,因此其规格同传统防火墙一样,大部分采用1U或2U规格的机架式设计,采用无风扇、符合IP40防护等级要求设计,用于隔离工厂与管理网或其他工厂的网络。
(2)导轨式工控防火墙。导轨式防火墙大部分部署在生产环境的生产现场,因此这种防火墙大部分采用导轨式架构设计,方便地卡在导轨上而无需用螺丝固定,维护方便。同时其内部设计更加封闭与严实,内部组件之间都采用嵌入式计算主板上,这种主板一般都采用一体化散热设计,超紧凑结构,内部无连线设计,板载CPU及内存芯片以免受工业生产环境的震动。
「 3. 工业防火墙的主要应用场景」
(1)部署于隔离管理网与控制网之间。工业防火墙控制跨层访问并深度过滤层级间的数据交换,阻止攻击者基于管理网向控制网发起攻击,如图1所示。
图1 管理网与控制网之间
(2)部署于控制网的不同安全区域间。工业防火墙可将控制网分成不同的安全区域,控制安全区域之间的访问,并深度过滤各区域间的流量数据,以阻止区域间安全风险的扩散,如图2所示。
图2 控制网的不同安全区域间
(3)部署于关键设备与控制网之间。工业防火墙检测访问关键设备的IP,阻止非业务端口的访问与非法操作指令,记录关键设备的所有访问与操作记录,实现对关键设备的安全防护与流量审计,如图3所示。
图3 关键设备与控制网之间
「 4. 工业防火墙的性能要求」
工控系统安全目标优先级顺序其首要考虑的是所有系统部件的可用性、完整性则在第二位、保密性通常都在最后考虑。(图4)
图4 工控防火墙部署
工控安全隔离与信息交换产品的总体目标是抵御黑客、病毒等通过各种形式对工控系统发起的恶意破坏和攻击,防止由信息安全层面上引起工控系统故障及工业设备损坏。具体内容如下:
(1)防止通过外部边界发起的攻击和侵入,尤其是防止由攻击导致的工控系统故障及设备损坏。
(2)防止未授权用户访问系统或非法获取信息和侵入及重大的非法操作。
工控防火墙技术要求分为安全功能要求、安全保证要求两个大类。其中,安全功能要求是对工控防火墙应具备的安全功能提出具体要求,包括网络层控制、应用层控制和安全运维管理;安全保证要求针对工控防火墙的开发和使用文档的内容提出具体的要求。产品安全功能要求主要对产品实现的功能进行了要求。主要包括网络层控制、应用层控制和安全运维管理三部分。
由于工业防火墙所处环境[3]和应用场景特殊,所以在设计时必须满足以下几点要求。
1)满足工业环境对硬件的要求
工控防火墙的硬件架构选择首先需要满足工业环境对硬件的要求,如无风扇、宽温(-40~70℃)、湿度(5%~95%无凝结)、防护等级IP40(防尘不防水)等。
因此根据工业环境的硬件需求,工控防火墙的硬件一般采用无风扇嵌入式工控机来作为承载平台,然后在设计的时候通过调研提出相应的硬件组合需求。
2)满足对数据包的处理性能的高速度要求
在工控防火墙中,有针对已知协议提前建模好的规则模板,也有后期自动学习进行建模的规则模板。由于工控防火墙处理数据包是一个一个处理,包括数据包的校验,数据包每一层包头的处理,所以数据包越小,到达时间就越短,服务器处理数据包要求就越高。
并且工业环境中各家设备的不同以及使用的工业协议[4]不同,工控防火墙需要同时在工业网络流量中同时并行处理多种工业协议报文。同时,规则库随着时间的增加规则条数也在持续增加,这些都是需要防火墙处理性能的支撑,保障网络数据的传输速度与模式匹配的检测速度满足工业网络的实时性需求。
3)满足工业环境稳定性要求
从满足工业环境稳定性要求的角度,工业防火墙的需要从硬件和软件层次去考虑本身的稳定性对工业网络的影响。
工业防火墙需要同时具备软硬件Bypass功能。一旦设备异常或者重启,会启动Bypass功能,而无须担心因为工业防火墙本身出现问题而导致工业网络断网情况出现。
「 5. 工业防火墙技术」
工业防火墙在种类方面与一般IT防火墙种类类似,总体上分为包过滤、状态包检测和代理服务器等几大类型[1]。
1)数据包过滤技术
数据包过滤技术是在OSI第3层网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(access control table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好。
工业防火墙基于访问控制技术的包过滤防火墙,它可以保障不同安全区域之间进行安全通信,通过设置访问控制规则,管理和控制出入不同安全区域[5]的信息流,保障资源在合法范围内得以有效使用和管理。
2)状态包检测技术
状态包检测监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。它在协议栈底层截取数据包,然后分析这些数据包,并且用当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。
状态包不需要对此次会话的每个数据包都进行规则匹配,只需进行数据包的轨迹状态检查,从而加快了数据包的处理速度。与传统包过滤防火墙的访问控制规则列表相比,它具有更好的性能和安全性,在工业控制应用中越来越多。
3)代理服务技术
代理服务技术是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。但是代理服务器会产生时延,影响性能。
上述三种防火墙技术都是较为传统的防火墙技术,随着网络安全技术的深入发展,防火墙技术也在不停地发展。下面是发展出的新的工业防火墙技术[6]:
(1)透明接入技术。透明模式最主要的特点就是对用户是透明的,用户意识不到防火墙的存在。如果要想实现透明模式,防火墙必须在没有IP地址的情况下工作,不需要对其设置IP地址,用户也不知道防火墙的IP地址。防火墙采用了透明模式,用户就不必重新设定和修改路由,防火墙就可以直接安装和放置到网络中使用,如交换机一样不需要设置IP地址。
(2)分布式防火墙技术。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,因此,分布式防火墙是一个完整的系统,而不是单一的产品。根据所需完成的功能,分布式防火墙体系结构包含如下3个部分:①网络防火墙:既可以采用纯软件方式,也可以采用相应的硬件支持,用于内部网和外部网之间,以及内部网各子网之间的防护;②主机防火墙:用于对网络中的服务器和桌面机进行防护;③中心管理:负责总体安全策略的策划、管理、分布及日志的汇总。分布式防火墙的工作流程如下:首先,由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式,形成策略文件;然后,中心采用系统管理工具把策略文件分发给各自“内部”主机,内部主机将根据IP安全协议和服务器端的策略文件两个方面来判定是否接受收到的包。
(3)智能型防火墙技术。智能型防火墙的结构由内外路由器、智能认证服务器、智能主机和堡垒主机组成。内外路由器在Intranet和Internet网之间构筑一个安全子网,称为非军事区(DMZ)。智能型防火墙的工作原理可以理解为按照智能型防火墙中内外路由器的工作过程,Intranet主机向Internet 主机连接时,使用同一个IP地址。而Internet主机向Intranet主机连接时,必须通过网关映射到Intranet 主机上。它使Internet网络看不到Intranet 网络。无论在任何时候,DMZ.上堡垒主机中的应用过滤管理程序可通过安全隧道与Intranet中的智能认证服务器进行双向保密通信,智能认证服务器可以通过保密通信修改内外路由器的路由表和过滤规则。整个防火墙系统的协调工作主要由专门设计的应用过滤管理程序和智能认证服务程序来控制执行,并且分别运行在堡垒主机和智能服务器上。
参考文献
[1]宿洁,袁军鹏.防火墙技术及其进展[J].计算机工程与应用,2004(09):147-149+160.
[2]张剑.工业控制系统网络安全[M]. 北京:电子科技大学出版社,2017.
[3]卢光明. 我国工控安全现状及面临的挑战[J]. 网络空间安全, 2018(03).
[4]STOUFFERK,FALCOJ,SCARFONEK. Guide to industrial control systems(ICS)security. NIST Special Publication,2008:800:82.
[5]Rafael Ramos Regis Barbosa,Ramin Sadre,Aiko Pras. Exploiting traffic periodicity in industrial control networks[J]. International Journal of Critical Infrastructure,2016.
[6]Security for Industrial Automation and Control Systems:Terminology,Concepts and Models. ANSI/ISA-99.01.01-2007,2007.
引自:《智能制造信息安全技术》(作者:秦志光, 聂旭云, 秦臻)
相关新闻
版权声明
1、凡本网注明“来源:中国轻工业网” 的作品,版权均属于中国轻工业网,未经本网授权,任何单位及个人不得转载、摘编或以其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:中国轻工业网”。违反上述声明者,本网将追究其相关法律责任。
2、凡本网注明 “来源:XXX(非中国轻工业网)” 的作品,均转载自其它媒体,转载目的在于信息之传播,并不代表本网赞同其观点和对其真实性负责。
3、如因作品内容、版权和其它问题需要同本网联系的,请于转载之日起30日内进行。
4、免责声明:本站信息及数据均为非营利用途,转载文章版权归信息来源网站或原作者所有。