我们时常把网络安全的世界比作古时之江湖,其中不乏黑客枭雄或白客大侠遨游其间,手中种种先进技术犹如各式兵刃,独领风骚数十载。防火墙之于网络安全,恰恰犹如利剑之于江湖,既寻常得紧,偏偏练到登峰造极又实属凤毛麟角。过去三十余载IT防火墙如此,现如今工业防火墙更如此。

在当下标准的工业信息安全解决方案中,工业防火墙作为标准“四件套”之一必不可少,与其它三种产品:工业网络流量监测与审计、工业主机安全白名单软件(有可能带加固)、工业网络安全管理平台,共同撑起了主流解决方案的大半边天(如下图所示)。

如图中所示,工业防火墙的部署模式主流都是串行部署在网络之中,位置上主要有两种,一种是控制网和办公网之间,或者控制网内现场控制层和过程控制层之间,主要负责工控流量和IT流量的区分隔离。一种是上位机和下位机之间,主要负责具体工业控制指令和数据的

法律法规和行业标准

依据国家的各项有关安全的法律法规和行业标准,工业防火墙产品依然是最中坚的安全防护手段和技术支撑。

《网络安全法》第二十一条第(二)点规定:

“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;”

在工业网络边界相对比较明确的情况下,工业防火墙产品依然是边界隔离、不同等级的安全区域划分、边界网络流量分析和过滤等核心安全需求最有效的支撑手段。

部分工业防火墙产品支持附加IPS(入侵防御)功能模块和病毒查杀功能模块,可以在工业控制网络和办公网络典型边界处起到有效的防范计算机病毒和网络攻击、网络入侵检测的功能。

《网络安全法》第二十一条第(二)点规定:

“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;”

在工业网络边界相对比较明确的情况下,工业防火墙产品依然是边界隔离、不同等级的安全区域划分、边界网络流量分析和过滤等核心安全需求最有效的支撑手段。

部分工业防火墙产品支持附加IPS(入侵防御)功能模块和病毒查杀功能模块,可以在工业控制网络和办公网络典型边界处起到有效的防范计算机病毒和网络攻击、网络入侵检测的功能。

《工业控制系统信息安全防护指南》第三部分边界安全防护一章指出:

1. 分离工业控制系统的开发、测试和生产环境。

2.通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。

3.通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

工信部发布的《工业互联网企业网络安全分类分级防护系列规范》中3.2.3 网络安全防护要求:

3.2.3.1 组网安全要求

1.应采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,加强对联网控制系统远程通信的保护;

3.2.3.2 架构安全要求

在纵深防御方面要求如下:

1.在不同网络层级之间安全防护方面,系统各个层级之间应部署访问控制设备、入侵检测与防护设备、安全隔离设备以及安全审计设备;

2.在横向分区方面,联网控制系统不同横向分区应依据安全性需求的不同而设置不同安全等级,并根据相应的安全等级采取不同的安全防护措施。

3.2.3.3 连接安全要求

1.对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行安全风险评估,不断完善防范措施;

在分级分类防护系列规范中同样可以发现工业防火墙设备在其中能够发挥的关键作用,对于能够附加VPN功能模块的防火墙,同样可以在部署虚拟专用网,数据链路加密,远程安全运维等多方面发挥能力。

公安部最新发布的“等级保护2.0”版本中,针对工业控制系统除了通用安全要求之外,更有扩展安全要求来更细化更贴合的针对工控系统提出安全防护能力要求。

其中在安全通信网络一章中要求“应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;”以及“应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段”。

在安全区域边界一章中分别在边界防护、访问控制、入侵防范和恶意代码和垃圾邮件防范等小章节中提出了安全要求,这些要求都可以通过工业防火墙的部署和实施来满足。

在安全解决方案比较成熟的电力行业,通过著名的36号文十六字方针“安全分区、网络专用、横向隔离、纵向认证“解读中,更可以看出工业防火墙(电力网闸设备在纵向认证中用得比较多)在其中能够发挥的巨大作用。

如何来优选工业防火墙?

既然工业防火墙在国家各项法规标准中都能够做出中流砥柱的贡献,而且市场中几乎所有的工业安全厂商都能够提供这个品类的产品,那么如何优中选优采用一款靠谱的工业防火墙产品就变成了一道必答题。这里可以从功能、性能、稳定性等几个方面来综合考虑(价格另行开文探讨)。

功能是每一款工业防火墙产品所具备的对外展现安全防护能力的表现。如果从基础理论来讲,当然是在同等价格下选择功能越多的产品越划算。但是,对于工业防火墙的选择却并不一定要严格遵循这个道理,需要依据工业网络的特殊环境来具体分析。如下这些功能是工业防火墙应该具备的核心基本素养:

01工业协议的解析能力和支持能力

工业防火墙的特殊地方主要就在于对特定工业协议的支持,由于工业网络环境中历史积淀的特殊性,工业控制设备之间的通讯往往采用设备厂商的专有协议,比如常见的国外品牌西门子的设备之间通讯采用S7协议。这些协议标准有些是公开的或半公开的,因为有比较直接的协议标准文档能够采用,所以相对来说比较容易理解和做到协议解析。

但是对于专用的未公开协议,就需要依靠安全设备厂商的网络流量分析能力甚至是逆向解析能力。那么对于工控协议能够解析的数量就成为了衡量一款工业防火墙的重要技术指标,起码需要对例如:MODBUS、OPC、S7、Profinet\Profibus、IEC-103、IEC-104、Ethernet IP、DNP3、Fins等常见工业协议的解析。

如果选购的工业防火墙计划部署在上位机和下位机之间,对特定PLC、DCS等设备装置进行安全隔离和保护,那么就需要注意所选购的产品是否支持部署环境的设备之间的通讯协议,如果不支持特定通讯协议,工业防火墙的协议解析和保护能力就会大打折扣,当然,其他功能诸如流量隔离仍然可以发挥应有的作用。

02链接状态检测和深度数据包解析能力

传统IT防火墙的发展历经了包括滤检测、状态检测、UTM(多功能一体机)、下一代防火墙DPI(应用层深度包解析)检测等四代产品的发展,体系相对成熟。

工业防火墙由于起源时间偏后,直接借鉴了传统IT防火墙的形态,目前直接在DPI应用层检测阶段。工业网络发展到现代,底层越来越多的采用以太网通讯协议,同时协议应用层采用动态端口协商技术,比如广泛使用的OPC协议,这就要求工业防火墙需要支持协议状态检测和动态端口协商技术。同时,如下图所示,工业防火墙需要具备深度数据包解析能力,才能够支持以数据包解析为基础的很多安全功能。

03白名单或者流量模型自学习模式

工业网络中的流量相对于IT网络中的流量类型来说相对单纯和明确,其复杂度并不像IT网络中各种类型的应用五花八门。同时考虑工业网络更多的情况是本地自封闭局域网络,不与外部广域互联网相连或直接相连,所以相对于常见的基于各类漏洞库、病毒库、攻击特征库的黑名单防御机制,更多采用的是白名单的防御思维。

也就是说当工业防火墙上线之后,其首先要做的并不是像传统防火墙做DENY ALL的动作,而是先作为一个流量的旁观者,默默学习一定的时间范围,进而自动生成待定的白名单目录,里面记载了在这段时间范围内所学习到的正常的网络通讯流量,这时再配合自动化控制系统工程师进行策略调优和白名单确认,通过确认之后的白名单才正式生效。

04

工业级的可靠性和硬件支持

工业级的可靠性和硬件支持。如果是部署在上下位机之间在车间或者工业现场的工业防火墙,需要支持工业壁挂式部署方式,需要支持工业直流电源,满足IP40防水及以上防水等级要求,满足无风扇封闭式机箱要求,满足宽温要求。

支持双机热备,支持硬件故障自动旁路转换功能(Bypass),支持冗余电源设计等要求。在硬件接口方面,工业防火墙需要支持常见的SFP模块、RJ45网口、多模光纤、RS485\232串口等多种网络接口。

05

集中管控和设备联动能力

典型的工业防火墙部署数量都不只是单台设备,参考整个工业网络的范围和工艺工段的数量,数量有可能在十数台到数十台不等,所以设备的集中管控能力就显得异常重要,可以通过统一的管理平台进行集中管理会大大提高设备的调配能力和快速响应能力。

这里集中管理不但指能够监控设备的工作状态和异常报警,也指能够远程对设备进行配置和策略下发等操作。设备联动能力也是整个工控安全解决方案的重要能力之一,当一个异常被发现时,全网中的各种安全设备能够通过集中的管理平台,联动响应起来,提高应急响应速度和效率。

目前,高级版的联动能力还能够支持SOAR自动化响应编排能力。

06

工控漏洞库、工控设备指纹库、

工控攻击特征库等工业专有库能力

这一点看上去跟白名单思维有些矛盾,但是确是有些工业防火墙的特色能力。工业专有库可以针对工业特殊环境进行有效防护,可以通过网络流量分析做到设备资产自动识别和网络拓扑描绘。

这些库的升级可以通过本地升级包或集中管理平台本地化升级。

以上这些功能都是一款优秀的工业防火墙应该具备的能力。当然,作为网络设备,工业防火墙更需要具备基本流量检测隔离、路由能力、NAT能力、透明部署能力等基础功能。同时有些防火墙可以支持扩展IPS模块、防病毒模块、VPN模块等扩展模块。

在选择一款防火墙时,除开必要的功能之外,性能和稳定性也是重要的考量部分。工业网络环境里面对于设备的延迟要求很高,必须满足操作的实时性,否则容易影响工业设备的正常响应。

比如IT系统中我们收邮件可以忍受秒级的延迟,但是如果一个机械臂或者开关阀门有秒级的延迟,那就有可能造成生产事故。所以毫秒级的响应速度应该是工业防火墙的最低延迟要求,小于等于60微秒应该是比较理想的延迟指标。同时满足不能有频发的网络抖动。网络吞吐性能反而通常情况下不会是工业防火墙的致命性指标,依据工业网络的流量特征,从1Gbps到20Gbps或以上都可以选择,通常典型工业控制网络里面流量不会超过10Gbps。

如果工业网络中需要有视频监控流量,那么要尽量选择吞吐量比较大的设备,且最好组建视频专网,否则会影响网络内的其他流量和应用。

稳定性更是一款工业防火墙产品的重要保障指标,尽管已经采用了诸如Bypass、双电源、端口聚合等等保障措施,一旦设备发生故障,仍然会带来不小的麻烦。但是,工业防火墙始终是一套软件和硬件的有机结合体,故障发生在所难免。

强如苹果或特斯拉目前仍然在软硬件故障上偶有发生。国内的工业防火墙产品大概于2014年左右开始设计实施,距今历经8年左右,时间尚短。但是部分工业墙是基于传统IT防火墙架构来改进使用,所以这里还是推荐选用久经市场检验,产品经验丰富的老牌设备厂商的产品。

结语:

工业信息安全解决方案发展的时间尚短,如果从2010年“震网病毒”事件开始算起,不过短短十二年光景,很多产品和理念仍然大量借鉴了IT信息安全的思维和做法。本文仅以过往的工程经验浅谈工业防火墙的选择和使用,未来如何用好这把“利剑”,还需要与诸君继续讨论交流!最后祝大家工业防火墙使用愉快!

推荐内容