工業防火牆架構與技術【第一節：概述】

 

1.1.   工控防火牆概述

咱們將應用於工業控制網絡環境中的防火牆稱爲工業控制防火牆（ICF，Industrial Control Firewall）、工業防火牆（IFW，IndustrialFirewalls）或工控防火牆（在本文中主要稱爲工控防火牆）。和ICT環境的防火牆做用相似，其是一個具體設備（物理或虛擬），用於兩個網絡之間的隔離控制。在ICT環境中，防火牆主要用於保護一個網絡區域免受來自另外一個網絡區域的網絡***和網絡***行爲。因其隔離、防守的屬性，靈活應用於網絡邊界、子網隔離等位置，具體如企業網絡出口、大型網絡內部子網隔離、數據中心邊界等等。而在ICS環境中，工控防火牆主要部署於管理網（辦公網）與生產網之間或部署在控制設備層的邊界，對經過的工業控制網絡流量進行解析、識別和控制，以抵禦來自內外網對工業生產設備的***。

工控防火牆和傳統防火牆因其所處的環境不一樣而有所區別，相較而言，傳統防火牆沒有如下所述的特性：

1.        傳統防火牆未裝載工業協議解析模塊，不理解不支持工業控制協議。工業網絡採用的是專用工業協議，工業協議的類別不少，有基於工業以太網（基於二層和三層）的協議，有基於串行鏈路（RS232、RS485）的協議，這些協議都須要專門的工業協議解析模塊來對其進行協議過濾和解析。傳統防火牆只針對於ICT環境，沒法徹底支持對工業協議的無/有狀態過濾，也沒法對工業協議進行深度解析和控制。

2.        傳統防火牆軟硬件設計架構不適應工業網絡實時性和生產環境的要求。首先，工業網絡環境中工控設備對於實時性傳輸反饋要求很是高，一個小問題就可能致使某個開關中止響應,這就要求接入的工控防火牆也必須具有工業網絡的實時性要求。而通常的傳統防火牆主要應用於傳統的ICT環境，在軟硬件架構設計之初就未考慮過工業網絡的實時性，所以傳統防火牆沒法適應工業網絡實時性要求。其次，工業生產對網絡安全設備的環境適應性要求很高，不少工業現場甚至是在無人值守的惡劣環境。所以工控防火牆必須具有對工業生產環境可預見的性能支持和抗干擾水平的支持。例如，通常部署在工業現場的防火牆以導軌式爲主，該環境對防火牆的環境適應性要求就很高，產品每每要求無風扇、寬溫支持等。傳統防火牆沒法適應工業網絡嚴苛複雜的生產環境。

所以，工控防火牆除了傳統防火牆具有的訪問控制、安全域管理、網絡地址轉換（Network Address Translation，NAT）等功能外，還具備專門針對工業協議的協議過濾模塊和協議深度解析模塊，其內置的這些模塊能夠在ICS環境中對各類工業協議進行識別、過濾及解析控制。例如如今市面上，國內的啓明星辰天清漢馬工業防火牆實現了Modbus/TCP（通用工業協議）、Modbus/RTU(基於串行鏈路)、IEC104協議（電力標準）、OPC協議（數據交換標準）、Ethernet/IP和Profinet等近百種的工業協議防禦。國外廠商百通（收購多芬諾以及赫思曼）的工業防火牆支持工業通信協議有Modbus TCP/OPC/Siemens/Rockwell/GEFanuc/Honeywell/Yokogawa/Emerson/Mitsubishi/Omron/PI…等50多種。這些工業防火牆針對工業協議都採用黑白名單機制以及深度包檢測技術（DPI）。在對二層和三層協議進行過濾的基礎上，進一步解析應用層傳輸的工業控制協議網絡報文內容，對OPC、ModBus、DNP3、IEC104、Profinet 等廣泛使用的工業協議的數據包進行深度包解析，從而對報文中傳輸的工業協議指令和操做數據等信息進行檢查，經過與預先配置的黑名單或白名單內容進行比對，防止應用層協議被篡改或破壞。目前工控防火牆的技術通常解析到工業協議的指令層，能夠實現對非法指令的阻斷、非工業協議的攔截等。同時，這些工業防火牆還能很好知足工業環境中的機械要求（如衝擊、振動、拉伸等）、氣候保護要求（如工做溫度、存儲溫度、溼度、紫外線）、侵入保護要求（如保護等級、污染等級）以及電磁輻射和免疫要求（發射、免疫），具有生產環境下的高可靠性和高可用性。

1.2.   工控防火牆是工業網絡安全的第一道防線

如今的術語「防火牆」已經普遍使用多年，「防火牆」一詞已是具備不一樣操做方法和目標的普遍技術的統稱。現今的防火牆單就分類來講就包括了多種：無狀態防火牆、有狀態防火牆、透明防火牆，各級網絡參考架構的防火牆（主機防火牆、網絡防火牆等）、具備深度數據包檢測的防火牆，甚至還具備***檢測功能或***防護功能的防火牆等等。除此以外，還有其餘能夠控制和限制網絡流量的方法也能夠稱之爲防火牆，如訪問控制列表（ACL）。這些不一樣的技術構成的防火牆種類繁多，其應用的地方也不盡相同。在工業網絡體系中，針對部署的位置不一樣，工控防火牆能夠大體分爲兩種：

l  機架式工控防火牆

l  導軌式工控防火牆

機架式防火牆通常部署於工廠的機房中，所以其規格同傳統防火牆同樣，大部分採用1U或2U規格的機架式設計，採用無風扇、符合IP40防禦等級要求設計，用於隔離工廠與管理網或其餘工廠的網絡。而導軌式防火牆大部分部署在生產環境的生產現場，所以這種防火牆大部分採用導軌式架構設計，方便地卡在導軌上而無需用螺絲固定，維護方便。同時其內部設計更加封閉與嚴實，內部組件之間都採用嵌入式計算主板上，這種主板通常都採用一體化散熱設計，超緊湊結構，內部無連線設計，板載CPU及內存芯片以避免受工業生產環境的震動。

這兩種防火牆會由於部署位置以及防禦目標不一樣而功能上有所區別，可是大致上功能基本相同。從ICS自己的架構來講，因爲其在設計之初並未考慮或不多考慮安全性的設計，其架構設計先天性的具備不可彌補的脆弱性。所以ICS領域並不像ICT領域那樣，ICT領域快速更新迭代的技術幾乎已經在架構上儘可能保證其安全性設計。伴隨兩化融合和物聯網的快速發展，我國關鍵性基礎設施和工業行業普遍使用的SCADA、DCS、PLC等工業控制系統愈來愈多地採用計算機和網絡技術，如Ethernet、TCP/IP以及OPC等，極大地推進了工業生產，但同時也使工業控制系統接口愈來愈開放。這些和管理網以及因特網互聯的接口就很是容易面臨着內外部的針對ICS脆弱性的***。所以ICS自己的架構脆弱性以及可能面臨的內外部針對脆弱性的***就形成了ICS的風險。這些風險直接或間接地影響着企業運營者的安全生產。所以在這樣的趨勢下，工控防火牆首先須要防禦的就是一些已知的ICS脆弱性，好比未經受權的訪問以及不加密的協議等。

針對於工業協議不加密來講，工業協議最初在設計的時候不考慮加密也是由於先天性的不足，好比現場設備計算能力低、工業網絡實時性要求，採用加密的工業協議將沒法承受加密解密的計算量和延遲。這就形成了工業網絡通信協議與普通的網絡協議有很大不一樣：

一、           工業協議基本上都是明文的協議，而且傳輸的數據包具備順序性。因爲最開始時期工業環境是專用是軟件硬件和專用的協議，並且處於隔離的網絡環境，設備計算性能低下，所以工業協議設計都從未考慮加密的特性，基本上都是明文的傳輸。雖然工業設備的廠家幾乎大體都各自開發了本身的私有協議，可是這些私有的協議經過抓包進行分析，就能夠得出這個協議大致的實現。這是由於工業協議還有另一個特徵是，其協議發送的數據包幾乎是具備順序性的，而ICT環境的網絡協議大部分是隨機性的。所以就協議上來講，工控防火牆對工業協議的過濾和解析控制，區別於傳統防火牆的工做模式是：工控防火牆只可以利用已知的工業專有通信協議（例如OPC、Profibus等）創建防禦規則，其餘的未公開的私有工業協議須要工控防火牆再利用智能學習的模式學習來創建該協議的規則庫。工控防火牆的智能學習模式就是利用了工業協議的明文傳輸且具備順序性質的特色，抓取必定數量的協議數據包進行分析，就能夠得出這個私有協議的協議特徵，從而針對這個特徵就能夠創建規則庫。

二、           工業協議區別於其餘網絡協議的另一點是，工業協議有動態變化的特徵。好比OPC，由於其基於DCOM技術，在進行數據通信時其端口從1024到65535動態使用，其對端口的動態使用，防火牆再利用端口識別協議根本就不可能。因此在工業環境中使用傳統防火牆時根本沒有任何意義，對於協議使用端口5185等通常防火牆根本就沒法進行剖析，而使OPC客戶端能夠輕易對OPC服務器數據項進行讀寫，在沒有防火牆的狀況下，一旦***對客戶端電腦取得控制權，控制系統就面臨很大風險。除了動態端口之外，還具備別的動態特徵，好比Modbus協議，其組態點鏈接的數量也決定着協議數據包的動態變化，好比100點的鏈接和200點的鏈接，其功能碼以及數據包生成和傳輸的就再也不同樣。這些動態的變化都須要防火牆具備對這些協議深度的認識，深度的解析控制。

針對未受權訪問來講，如MODBUS TCP/IP，在不少場合下，主設備（Master）用戶的權限是最高的，能夠任意對從站（Slave）數據進行讀寫，若是沒有防火牆管控，這就很危險的。還有上述的所說，OPC客戶端是能夠任意對OPC服務器數據項進行讀寫的。這些例子只是簡單的說明了ICS領域自己的脆弱性，這些脆弱性不論是基於內部進行***仍是由外部***者進來發起的***，都講不可避免的形成生產損失，何況生產環節發生事故還特別容易威脅人身生命安全。這些風險是看得見的自己就存在的，不可能短時間內經過更換工控設備來解決，必需要經過工控防火牆來實施防禦，從而扼殺掉這樣的風險。

          從工業網絡安全總體的考慮，如今的這些生產網因爲擴大的規模、鏈接的無線、遠程的運維、現場的管理和數據的傳輸，已經使生產線徹底暴露在***者面前。SCADA、DCS系統和PLC自己的安全性就很脆弱，而***們真的不懂SCADA、DCS系統和PLC嗎？也許震網、DUQU、火焰和Havex等可能有國家背景的「網絡戰武器」離咱們很遠，也許永遠不會發生在咱們的工廠中。可是如今不斷暴增的工業網絡安全事件和ICS的漏洞，以及這些ICS漏洞在地下黑市中的瘋狂流轉，無不說明工廠環境的價值目標愈來愈大。對於企業的運營者以及安全的防禦者，工業網絡安全的建設任重道遠，必須從全局上看，總體上看，着重於頂層設計，實施縱深防護的安全戰略。縱深防護是一種實施多層防護的策略，好比在網絡邊界部署工控防火牆，在工業網絡內部部署針對工業環境的***檢測系統、***防護系統、反病毒系統等安全基礎設施。同時結合對工業網絡的流量分析以及內外網***的情報，積極主動防護面臨的安全威脅。工控防火牆是這個體系的第一道防線，是工業網絡安全的重要組成部分。