【敢為人先】看業(yè)內(nèi)首款增強(qiáng)級(jí)工業(yè)控制系統(tǒng)專用防火墻是怎樣煉成的

2020-09-25 12:22 8299

北京2020年9月25日 /美通社/ -- 近日，天地和興旗下“地盾”系列工控防火墻順利通過(guò)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量檢測(cè)中心測(cè)試，取得工業(yè)控制系統(tǒng)專用防火墻（增強(qiáng)級(jí)）銷售許可證（以下簡(jiǎn)稱銷售許可證）。天地和興作為國(guó)內(nèi)工業(yè)網(wǎng)絡(luò)安全領(lǐng)航者，憑借其在工業(yè)網(wǎng)絡(luò)安全領(lǐng)域深耕數(shù)十年的服務(wù)經(jīng)驗(yàn)，不斷精雕細(xì)琢各類工業(yè)網(wǎng)絡(luò)安全產(chǎn)品，以求給用戶提供更好的使用體驗(yàn)。工控防火墻作為天地和興旗下防護(hù)類主打產(chǎn)品，擁有國(guó)內(nèi)領(lǐng)先的工控協(xié)議深度內(nèi)容檢測(cè)技術(shù)。天地和興能夠在國(guó)內(nèi)第一個(gè)取得工業(yè)控制系統(tǒng)專用防火墻（增強(qiáng)級(jí)）銷售許可證，不僅僅代表國(guó)家相關(guān)部門對(duì)天地和興安全產(chǎn)品的認(rèn)可，更是天地和興綜合實(shí)力的體現(xiàn)。

國(guó)家現(xiàn)行的關(guān)于工業(yè)控制系統(tǒng)專用防火墻的標(biāo)準(zhǔn)是在今年三月份正式才開始實(shí)施。在此之前，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)未曾發(fā)布任何有關(guān)工業(yè)控制系統(tǒng)專用防火墻的標(biāo)準(zhǔn)。盡管市面上的工控防火墻層出不窮，但大多都是在通用防火墻的基礎(chǔ)上增加工業(yè)控制協(xié)議解析的相關(guān)功能包裝而來(lái)。品種繁多，花樣百出的工控防火墻已經(jīng)讓想要購(gòu)買此類安全產(chǎn)品的企業(yè)挑花了眼，如今《GB/T 37933——2019信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》標(biāo)準(zhǔn)已經(jīng)發(fā)布，什么樣的墻最適合工控企業(yè)，相信你已經(jīng)有了答案。

今天，天地和興將通過(guò)比較兩個(gè)現(xiàn)行的防火墻相關(guān)標(biāo)準(zhǔn)GB/T 28201—2015和GB/T 37933—2019的部分內(nèi)容，帶你深入了解工業(yè)控制系統(tǒng)專用防火墻。

1、包過(guò)濾安全技術(shù)要求對(duì)比

安全技術(shù)要求		20281-2015增強(qiáng)級(jí)	37933-2019基本級(jí)	37933-2019增強(qiáng)級(jí)
網(wǎng) 絡(luò) 層控制 — — 包過(guò)濾	1.安全策略應(yīng)使用默認(rèn)禁止原則，即處非明確允許，否則就禁止	√	√	√
	2.安全策略應(yīng)包含基于源IP地址、目的IP地址的訪問(wèn)控制	√	√	√
	3.安全策略應(yīng)包含基于源端口、目的端口的得訪問(wèn)控制	√	√	√
	4.安全策略應(yīng)包含基于協(xié)議類型的訪問(wèn)控制	√	√	√
	5.安全策略可包含基于MAC的訪問(wèn)控制	√	√	√
	6.安全策略可包含基于時(shí)間的訪問(wèn)控制	√	無(wú)	√
	7.應(yīng)支持用戶自定義策略，安全策略可以是MAC地址、IP地址、端口、協(xié)議類型和時(shí)間的部分或全部組合	√	√	√

基本級(jí)工控防火墻最多支持包括源/目的IP、源/目的端口、源/目的MAC及協(xié)議類型的七元組包過(guò)濾策略，而增強(qiáng)級(jí)工控防火墻聚力升級(jí)，在原有基礎(chǔ)上又增加了基于時(shí)間的訪問(wèn)控制，與通用防火墻的包過(guò)濾策略持平，更加細(xì)粒度化工業(yè)網(wǎng)絡(luò)中流量包的策略管理。

2、NAT安全技術(shù)要求對(duì)比

安全技術(shù)要求		20281-2015增強(qiáng)級(jí)	37933-2019基本級(jí)	37933-2019增強(qiáng)級(jí)
網(wǎng)絡(luò) 層控制— —NAT	1.應(yīng)支持雙向NAT：SNAT和DNAT	√	√	√
	2.SNAT應(yīng)至少可實(shí)現(xiàn)“多對(duì)一”地址轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，其原IP地址被轉(zhuǎn)換	√	√	√
	3.DNAT應(yīng)至少可實(shí)現(xiàn)“一對(duì)多”地址轉(zhuǎn)換，將DMZ的IP地址/端口映射為外部網(wǎng)絡(luò)合法IP地址/端口，使外部網(wǎng)絡(luò)主機(jī)通過(guò)訪問(wèn)映射地址和端口實(shí)現(xiàn)對(duì)DMZ服務(wù)器的訪問(wèn)	√	無(wú)	√
	4.應(yīng)支持動(dòng)態(tài)SNAT技術(shù)，實(shí)現(xiàn)“多對(duì)多”的SNAT	√	無(wú)	無(wú)

NAT即網(wǎng)絡(luò)地址轉(zhuǎn)換，該功能最初出現(xiàn)是為了通過(guò)使用少量的公有IP地址代替私有IP地址，從而達(dá)到減緩可用IP地址枯竭的目的，而與此同時(shí)也衍生出了它的其它功能：隱藏局域網(wǎng)內(nèi)部IP，保護(hù)內(nèi)部主機(jī)免受攻擊；平衡負(fù)載；端口轉(zhuǎn)發(fā)等。相較基本級(jí)工控防火墻只能實(shí)現(xiàn)內(nèi)網(wǎng)地址的隱藏功能，增強(qiáng)級(jí)工控防火墻為了滿足工控系統(tǒng)內(nèi)部服務(wù)器需要對(duì)外網(wǎng)用戶提供服務(wù)的業(yè)務(wù)場(chǎng)景，在此基礎(chǔ)上增加對(duì)DNAT實(shí)現(xiàn)一對(duì)多轉(zhuǎn)換功能。而相對(duì)于通用防火墻需要應(yīng)對(duì)大量主機(jī)同時(shí)上網(wǎng)的情況，工控防火墻并沒(méi)有要求支持多對(duì)多SNAT的要求。

3、流量監(jiān)測(cè)安全技術(shù)要求對(duì)比

安全技術(shù)要求		20281-2015增強(qiáng)級(jí)	37933-2019基本級(jí)	37933-2019增強(qiáng)級(jí)
網(wǎng)絡(luò)層控制— —流量監(jiān)測(cè)	1.能夠通過(guò)IP地址、網(wǎng)絡(luò)服務(wù)、時(shí)間和協(xié)議類型等參數(shù)或他們的組合對(duì)流量進(jìn)行正確的統(tǒng)計(jì)	√	無(wú)	√
	2.能夠?qū)崟r(shí)或者以報(bào)表形式輸出流量統(tǒng)計(jì)結(jié)果	√		√
	3.能夠?qū)α髁砍^(guò)預(yù)警值的行為進(jìn)行告警			√

增強(qiáng)級(jí)工控防火墻要求可對(duì)防火墻監(jiān)控區(qū)域內(nèi)的網(wǎng)絡(luò)總流量、并發(fā)連接數(shù)、設(shè)備流量排名、協(xié)議流量排名、接口流量等進(jìn)行統(tǒng)計(jì)，并基于正常的流量基線及時(shí)對(duì)異常流量行為進(jìn)行告警。流量監(jiān)測(cè)不僅能夠發(fā)現(xiàn)、預(yù)防網(wǎng)絡(luò)流量中的瓶頸，還為網(wǎng)絡(luò)性能優(yōu)化提供依據(jù)，更能幫助用戶排查出各種病毒感染的主機(jī)風(fēng)險(xiǎn)。

4、應(yīng)用協(xié)議控制安全技術(shù)要求對(duì)比

安全技術(shù)要求		20281-2015增強(qiáng)級(jí)	37933-2019基本級(jí)	37933-2019增強(qiáng)級(jí)
應(yīng)用層控制— —應(yīng)用協(xié)議控制	1.http、FTP、Telnet、SMTP和POP3等常見應(yīng)用	√	√	√
	2.及時(shí)聊天類應(yīng)用、P2P流媒體類應(yīng)用、網(wǎng)絡(luò)流媒體類應(yīng)用、網(wǎng)絡(luò)游戲、股票軟件	√	無(wú)	無(wú)
	3.逃逸或隧道加密特點(diǎn)的應(yīng)用	√	無(wú)	無(wú)
	3.自定義應(yīng)用類型	√	無(wú)	√
	4.支持常用工業(yè)控制協(xié)議、如OPC、Modbus TCP、Profinet、BACnet、DNP3、IEC104等	無(wú)	√	√

增強(qiáng)級(jí)工控防火墻除配有常見的預(yù)定義服務(wù)方便用戶引用，另增加了自定義服務(wù)功能可對(duì)私有協(xié)議進(jìn)行識(shí)別，更能靈活地適應(yīng)多種工業(yè)生產(chǎn)控制場(chǎng)景。而相對(duì)于通用防火墻，減少了對(duì)一些工業(yè)控制環(huán)境中并不需要的第三方應(yīng)用的識(shí)別控制。

5、工業(yè)協(xié)議深度內(nèi)容檢測(cè)安全技術(shù)要求對(duì)比

安全技術(shù)要求		20281-2015增強(qiáng)級(jí)	37933-2019基本級(jí)	37933-2019增強(qiáng)級(jí)
應(yīng)用層控制— —工業(yè) 協(xié)議深度內(nèi)容檢測(cè)	1.工控協(xié)議格式規(guī)約檢查，禁止不符合協(xié)議規(guī)約的通信	無(wú)	√	√
	2.對(duì)工業(yè)協(xié)議的操作類型、操作對(duì)象、操作范圍等參數(shù)進(jìn)行控制		√	√
	3.至少支持三種主流工控協(xié)議		無(wú)	√

這是工控防火墻最核心的功能。GB/T 37933-2019規(guī)定了增強(qiáng)級(jí)工控防火墻至少應(yīng)支持三種以上的常用工控協(xié)議，并且對(duì)工控協(xié)議內(nèi)容檢測(cè)的細(xì)節(jié)問(wèn)題也進(jìn)行了明確要求。深度檢測(cè)過(guò)程大致如下：對(duì)流入的網(wǎng)絡(luò)流量首先進(jìn)行協(xié)議格式檢查，發(fā)現(xiàn)不符合協(xié)議標(biāo)準(zhǔn)的訪問(wèn)數(shù)據(jù)包時(shí)及時(shí)阻斷，之后對(duì)請(qǐng)求的數(shù)據(jù)包內(nèi)容進(jìn)行檢查。以Modbus為例，增強(qiáng)級(jí)工控防火墻支持對(duì)Modbus的幾十位功能碼進(jìn)行細(xì)粒度解析，對(duì)讀寫操作，地址范圍及操作值進(jìn)行檢查，此外還可對(duì)功能碼進(jìn)行自定義。

除了以上技術(shù)要求對(duì)比外，應(yīng)用于工業(yè)控制環(huán)境的防火墻與通用防火墻還有以下應(yīng)用差異：

1. 用于工業(yè)控制環(huán)境的防火墻比通用防火墻具有更高的環(huán)境適應(yīng)能力，如：低功耗、寬溫、防護(hù)等級(jí)等要求；

2. 工業(yè)控制環(huán)境中，通常流量相對(duì)較小，但對(duì)控制命令的執(zhí)行要求具有實(shí)時(shí)性。因此，工業(yè)控制防火墻的吞吐量性能要求可相對(duì)低一些，而對(duì)實(shí)時(shí)性要求更高；

3. 工業(yè)控制環(huán)境下的防火墻比通用防火墻具有更高的可靠性、穩(wěn)定性要求，如：硬件bypass設(shè)計(jì)、標(biāo)配冗余電源等。

天地和興工控防火墻采用工業(yè)級(jí)的專用硬件平臺(tái)，支持DIN導(dǎo)軌式和機(jī)架式安裝，采用了低功耗、寬溫等工業(yè)設(shè)計(jì)，支持IP40防護(hù)等級(jí)；擁有全面的攻擊防護(hù)能力，具有自學(xué)習(xí)白名單、全適應(yīng)IPV6、與平臺(tái)類設(shè)備聯(lián)動(dòng)等一系列功能，完全符合《GB/T 37933——2019信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》標(biāo)準(zhǔn)要求。天地和興工控防火墻現(xiàn)已廣泛應(yīng)用于電力、軌道交通、鋼鐵冶金、石油石化、智能制造等工業(yè)領(lǐng)域，時(shí)刻保障國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行。