1.1.工控防火墻概述

我們將應(yīng)用于工業(yè)控制網(wǎng)絡(luò)環(huán)境中的防火墻稱為工業(yè)控制防火墻（ICF，Industrial Control Firewall）、工業(yè)防火墻（IFW，IndustrialFirewalls）或工控防火墻（在本文中主要稱為工控防火墻）。和ICT環(huán)境的防火墻作用類似，其是一個(gè)具體設(shè)備（物理或虛擬），用于兩個(gè)網(wǎng)絡(luò)之間的隔離控制。在ICT環(huán)境中，防火墻主要用于保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受來自另一個(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。因其隔離、防守的屬性，靈活應(yīng)用于網(wǎng)絡(luò)邊界、子網(wǎng)隔離等位置，具體如企業(yè)網(wǎng)絡(luò)出口、大型網(wǎng)絡(luò)內(nèi)部子網(wǎng)隔離、數(shù)據(jù)中心邊界等等。而在ICS環(huán)境中，工控防火墻主要部署于管理網(wǎng)（辦公網(wǎng)）與生產(chǎn)網(wǎng)之間或部署在控制設(shè)備層的邊界，對通過的工業(yè)控制網(wǎng)絡(luò)流量進(jìn)行解析、識別和控制，以抵御來自內(nèi)外網(wǎng)對工業(yè)生產(chǎn)設(shè)備的攻擊。

工控防火墻和傳統(tǒng)防火墻因其所處的環(huán)境不同而有所區(qū)別，相較而言，傳統(tǒng)防火墻沒有以下所述的特性：

1. 傳統(tǒng)防火墻未裝載工業(yè)協(xié)議解析模塊，不理解不支持工業(yè)控制協(xié)議。工業(yè)網(wǎng)絡(luò)采用的是專用工業(yè)協(xié)議，工業(yè)協(xié)議的類別很多，有基于工業(yè)以太網(wǎng)（基于二層和三層）的協(xié)議，有基于串行鏈路（RS232、RS485）的協(xié)議，這些協(xié)議都需要專門的工業(yè)協(xié)議解析模塊來對其進(jìn)行協(xié)議過濾和解析。傳統(tǒng)防火墻只針對于ICT環(huán)境，無法完全支持對工業(yè)協(xié)議的無/有狀態(tài)過濾，也無法對工業(yè)協(xié)議進(jìn)行深度解析和控制。

2. 傳統(tǒng)防火墻軟硬件設(shè)計(jì)架構(gòu)不適應(yīng)工業(yè)網(wǎng)絡(luò)實(shí)時(shí)性和生產(chǎn)環(huán)境的要求。首先，工業(yè)網(wǎng)絡(luò)環(huán)境中工控設(shè)備對于實(shí)時(shí)性傳輸反饋要求非常高，一個(gè)小問題就可能導(dǎo)致某個(gè)開關(guān)停止響應(yīng),這就要求接入的工控防火墻也必須具備工業(yè)網(wǎng)絡(luò)的實(shí)時(shí)性要求。而一般的傳統(tǒng)防火墻主要應(yīng)用于傳統(tǒng)的ICT環(huán)境，在軟硬件架構(gòu)設(shè)計(jì)之初就未考慮過工業(yè)網(wǎng)絡(luò)的實(shí)時(shí)性，因此傳統(tǒng)防火墻無法適應(yīng)工業(yè)網(wǎng)絡(luò)實(shí)時(shí)性要求。其次，工業(yè)生產(chǎn)對網(wǎng)絡(luò)安全設(shè)備的環(huán)境適應(yīng)性要求很高，很多工業(yè)現(xiàn)場甚至是在無人值守的惡劣環(huán)境。因此工控防火墻必須具備對工業(yè)生產(chǎn)環(huán)境可預(yù)見的性能支持和抗干擾水平的支持。例如，一般部署在工業(yè)現(xiàn)場的防火墻以導(dǎo)軌式為主，該環(huán)境對防火墻的環(huán)境適應(yīng)性要求就很高，產(chǎn)品往往要求無風(fēng)扇、寬溫支持等。傳統(tǒng)防火墻無法適應(yīng)工業(yè)網(wǎng)絡(luò)嚴(yán)苛復(fù)雜的生產(chǎn)環(huán)境。

因此，工控防火墻除了傳統(tǒng)防火墻具備的訪問控制、安全域管理、網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）等功能外，還具有專門針對工業(yè)協(xié)議的協(xié)議過濾模塊和協(xié)議深度解析模塊，其內(nèi)置的這些模塊可以在ICS環(huán)境中對各種工業(yè)協(xié)議進(jìn)行識別、過濾及解析控制。例如現(xiàn)在市面上，國內(nèi)的啟明星辰天清漢馬工業(yè)防火墻實(shí)現(xiàn)了Modbus/TCP（通用工業(yè)協(xié)議）、Modbus/RTU(基于串行鏈路)、IEC104協(xié)議（電力標(biāo)準(zhǔn)）、OPC協(xié)議（數(shù)據(jù)交換標(biāo)準(zhǔn)）、Ethernet/IP和Profinet等近百種的工業(yè)協(xié)議防護(hù)。國外廠商百通（收購多芬諾以及赫思曼）的工業(yè)防火墻支持工業(yè)通訊協(xié)議有Modbus TCP/OPC/Siemens/Rockwell/GEFanuc/Honeywell/Yokogawa/Emerson/Mitsubishi/Omron/PI…等50多種。這些工業(yè)防火墻針對工業(yè)協(xié)議都采用黑白名單機(jī)制以及深度包檢測技術(shù)（DPI）。在對二層和三層協(xié)議進(jìn)行過濾的基礎(chǔ)上，進(jìn)一步解析應(yīng)用層傳輸?shù)墓I(yè)控制協(xié)議網(wǎng)絡(luò)報(bào)文內(nèi)容，對OPC、ModBus、DNP3、IEC104、Profinet 等普遍使用的工業(yè)協(xié)議的數(shù)據(jù)包進(jìn)行深度包解析，從而對報(bào)文中傳輸?shù)墓I(yè)協(xié)議指令和操作數(shù)據(jù)等信息進(jìn)行檢查，通過與預(yù)先配置的黑名單或白名單內(nèi)容進(jìn)行比對，防止應(yīng)用層協(xié)議被篡改或破壞。目前工控防火墻的技術(shù)一般解析到工業(yè)協(xié)議的指令層，可以實(shí)現(xiàn)對非法指令的阻斷、非工業(yè)協(xié)議的攔截等。同時(shí)，這些工業(yè)防火墻還能很好滿足工業(yè)環(huán)境中的機(jī)械要求（如沖擊、振動(dòng)、拉伸等）、氣候保護(hù)要求（如工作溫度、存儲溫度、濕度、紫外線）、侵入保護(hù)要求（如保護(hù)等級、污染等級）以及電磁輻射和免疫要求（發(fā)射、免疫），具備生產(chǎn)環(huán)境下的高可靠性和高可用性。

1.2.工控防火墻是工業(yè)網(wǎng)絡(luò)安全的第一道防線

現(xiàn)在的術(shù)語“防火墻”已經(jīng)廣泛使用多年，“防火墻”一詞已經(jīng)是具有不同操作方法和目標(biāo)的廣泛技術(shù)的統(tǒng)稱。現(xiàn)今的防火墻單就分類來說就包括了多種：無狀態(tài)防火墻、有狀態(tài)防火墻、透明防火墻，各級網(wǎng)絡(luò)參考架構(gòu)的防火墻（主機(jī)防火墻、網(wǎng)絡(luò)防火墻等）、具有深度數(shù)據(jù)包檢測的防火墻，甚至還具有入侵檢測功能或入侵防御功能的防火墻等等。除此之外，還有其他可以控制和限制網(wǎng)絡(luò)流量的方法也可以稱之為防火墻，如訪問控制列表（ACL）。這些不同的技術(shù)構(gòu)成的防火墻種類繁多，其應(yīng)用的地方也不盡相同。在工業(yè)網(wǎng)絡(luò)體系中，針對部署的位置不同，工控防火墻可以大致分為兩種：

l機(jī)架式工控防火墻

l導(dǎo)軌式工控防火墻

機(jī)架式防火墻一般部署于工廠的機(jī)房中，因此其規(guī)格同傳統(tǒng)防火墻一樣，大部分采用1U或2U規(guī)格的機(jī)架式設(shè)計(jì)，采用無風(fēng)扇、符合IP40防護(hù)等級要求設(shè)計(jì)，用于隔離工廠與管理網(wǎng)或其他工廠的網(wǎng)絡(luò)。而導(dǎo)軌式防火墻大部分部署在生產(chǎn)環(huán)境的生產(chǎn)現(xiàn)場，因此這種防火墻大部分采用導(dǎo)軌式架構(gòu)設(shè)計(jì)，方便地卡在導(dǎo)軌上而無需用螺絲固定，維護(hù)方便。同時(shí)其內(nèi)部設(shè)計(jì)更加封閉與嚴(yán)實(shí)，內(nèi)部組件之間都采用嵌入式計(jì)算主板上，這種主板一般都采用一體化散熱設(shè)計(jì)，超緊湊結(jié)構(gòu)，內(nèi)部無連線設(shè)計(jì)，板載CPU及內(nèi)存芯片以免受工業(yè)生產(chǎn)環(huán)境的震動(dòng)。

這兩種防火墻會因?yàn)椴渴鹞恢靡约胺雷o(hù)目標(biāo)不同而功能上有所區(qū)別，但是大體上功能基本相同。從ICS本身的架構(gòu)來說，由于其在設(shè)計(jì)之初并未考慮或很少考慮安全性的設(shè)計(jì)，其架構(gòu)設(shè)計(jì)先天性的具有不可彌補(bǔ)的脆弱性。因此ICS領(lǐng)域并不像ICT領(lǐng)域那樣，ICT領(lǐng)域快速更新迭代的技術(shù)幾乎已經(jīng)在架構(gòu)上盡量保證其安全性設(shè)計(jì)。伴隨兩化融合和物聯(lián)網(wǎng)的快速發(fā)展，我國關(guān)鍵性基礎(chǔ)設(shè)施和工業(yè)行業(yè)廣泛使用的SCADA、DCS、PLC等工業(yè)控制系統(tǒng)越來越多地采用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，如Ethernet、TCP/IP以及OPC等，極大地推動(dòng)了工業(yè)生產(chǎn)，但同時(shí)也使工業(yè)控制系統(tǒng)接口越來越開放。這些和管理網(wǎng)以及因特網(wǎng)互聯(lián)的接口就非常容易面臨著內(nèi)外部的針對ICS脆弱性的攻擊。因此ICS本身的架構(gòu)脆弱性以及可能面臨的內(nèi)外部針對脆弱性的攻擊就造成了ICS的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)直接或間接地影響著企業(yè)運(yùn)營者的安全生產(chǎn)。因此在這樣的趨勢下，工控防火墻首先需要防護(hù)的就是一些已知的ICS脆弱性，比如未經(jīng)授權(quán)的訪問以及不加密的協(xié)議等。

針對于工業(yè)協(xié)議不加密來說，工業(yè)協(xié)議最初在設(shè)計(jì)的時(shí)候不考慮加密也是因?yàn)橄忍煨缘牟蛔?，比如現(xiàn)場設(shè)備計(jì)算能力低、工業(yè)網(wǎng)絡(luò)實(shí)時(shí)性要求，采用加密的工業(yè)協(xié)議將無法承受加密解密的計(jì)算量和延遲。這就造成了工業(yè)網(wǎng)絡(luò)通訊協(xié)議與普通的網(wǎng)絡(luò)協(xié)議有很大不同：

1、工業(yè)協(xié)議基本上都是明文的協(xié)議，并且傳輸?shù)臄?shù)據(jù)包具有順序性。由于最開始時(shí)期工業(yè)環(huán)境是專用是軟件硬件和專用的協(xié)議，而且處于隔離的網(wǎng)絡(luò)環(huán)境，設(shè)備計(jì)算性能低下，因此工業(yè)協(xié)議設(shè)計(jì)都從未考慮加密的特性，基本上都是明文的傳輸。雖然工業(yè)設(shè)備的廠家?guī)缀醮笾露几髯蚤_發(fā)了自己的私有協(xié)議，但是這些私有的協(xié)議通過抓包進(jìn)行分析，就可以得出這個(gè)協(xié)議大體的實(shí)現(xiàn)。這是因?yàn)楣I(yè)協(xié)議還有另外一個(gè)特征是，其協(xié)議發(fā)送的數(shù)據(jù)包幾乎是具有順序性的，而ICT環(huán)境的網(wǎng)絡(luò)協(xié)議大部分是隨機(jī)性的。因此就協(xié)議上來說，工控防火墻對工業(yè)協(xié)議的過濾和解析控制，區(qū)別于傳統(tǒng)防火墻的工作模式是：工控防火墻只能夠利用已知的工業(yè)專有通訊協(xié)議（例如OPC、Profibus等）建立防護(hù)規(guī)則，其他的未公開的私有工業(yè)協(xié)議需要工控防火墻再利用智能學(xué)習(xí)的模式學(xué)習(xí)來建立該協(xié)議的規(guī)則庫。工控防火墻的智能學(xué)習(xí)模式就是利用了工業(yè)協(xié)議的明文傳輸且具有順序性質(zhì)的特點(diǎn)，抓取一定數(shù)量的協(xié)議數(shù)據(jù)包進(jìn)行分析，就可以得出這個(gè)私有協(xié)議的協(xié)議特征，從而針對這個(gè)特征就可以建立規(guī)則庫。

2、 工業(yè)協(xié)議區(qū)別于其他網(wǎng)絡(luò)協(xié)議的另外一點(diǎn)是，工業(yè)協(xié)議有動(dòng)態(tài)變化的特征。比如OPC，因?yàn)槠浠贒COM技術(shù)，在進(jìn)行數(shù)據(jù)通訊時(shí)其端口從1024到65535動(dòng)態(tài)使用，其對端口的動(dòng)態(tài)使用，防火墻再利用端口識別協(xié)議根本就不可能。所以在工業(yè)環(huán)境中使用傳統(tǒng)防火墻時(shí)根本沒有任何意義，對于協(xié)議使用端口5185等一般防火墻根本就無法進(jìn)行剖析，而使OPC客戶端可以輕易對OPC服務(wù)器數(shù)據(jù)項(xiàng)進(jìn)行讀寫，在沒有防火墻的情況下，一旦黑客對客戶端電腦取得控制權(quán)，控制系統(tǒng)就面臨很大風(fēng)險(xiǎn)。除了動(dòng)態(tài)端口以外，還具有別的動(dòng)態(tài)特征，比如Modbus協(xié)議，其組態(tài)點(diǎn)連接的數(shù)量也決定著協(xié)議數(shù)據(jù)包的動(dòng)態(tài)變化，比如100點(diǎn)的連接和200點(diǎn)的連接，其功能碼以及數(shù)據(jù)包生成和傳輸?shù)木筒辉僖粯?。這些動(dòng)態(tài)的變化都需要防火墻具有對這些協(xié)議深度的認(rèn)識，深度的解析控制。

針對未授權(quán)訪問來說，如MODBUS TCP/IP，在很多場合下，主設(shè)備（Master）用戶的權(quán)限是最高的，可以任意對從站（Slave）數(shù)據(jù)進(jìn)行讀寫，如果沒有防火墻管控，這就很危險(xiǎn)的。還有上述的所說，OPC客戶端是可以任意對OPC服務(wù)器數(shù)據(jù)項(xiàng)進(jìn)行讀寫的。這些例子只是簡單的說明了ICS領(lǐng)域本身的脆弱性，這些脆弱性不管是基于內(nèi)部進(jìn)行攻擊還是由外部入侵者進(jìn)來發(fā)起的攻擊，都講不可避免的造成生產(chǎn)損失，況且生產(chǎn)環(huán)節(jié)發(fā)生事故還特別容易威脅人身生命安全。這些風(fēng)險(xiǎn)是看得見的本身就存在的，不可能短期內(nèi)通過更換工控設(shè)備來解決，必須要通過工控防火墻來實(shí)施防護(hù)，從而扼殺掉這樣的風(fēng)險(xiǎn)。

從工業(yè)網(wǎng)絡(luò)安全整體的考慮，現(xiàn)在的這些生產(chǎn)網(wǎng)由于擴(kuò)大的規(guī)模、連接的無線、遠(yuǎn)程的運(yùn)維、現(xiàn)場的管理和數(shù)據(jù)的傳輸，已經(jīng)使生產(chǎn)線完全暴露在攻擊者面前。SCADA、DCS系統(tǒng)和PLC本身的安全性就很脆弱，而黑客們真的不懂SCADA、DCS系統(tǒng)和PLC嗎？也許震網(wǎng)、DUQU、火焰和Havex等可能有國家背景的“網(wǎng)絡(luò)戰(zhàn)武器”離我們很遠(yuǎn)，也許永遠(yuǎn)不會發(fā)生在我們的工廠中。但是現(xiàn)在不斷暴增的工業(yè)網(wǎng)絡(luò)安全事件和ICS的漏洞，以及這些ICS漏洞在地下黑市中的瘋狂流轉(zhuǎn)，無不說明工廠環(huán)境的價(jià)值目標(biāo)越來越大。對于企業(yè)的運(yùn)營者以及安全的防護(hù)者，工業(yè)網(wǎng)絡(luò)安全的建設(shè)任重道遠(yuǎn)，必須從全局上看，整體上看，著重于頂層設(shè)計(jì)，實(shí)施縱深防御的安全戰(zhàn)略?？v深防御是一種實(shí)施多層防御的策略，比如在網(wǎng)絡(luò)邊界部署工控防火墻，在工業(yè)網(wǎng)絡(luò)內(nèi)部部署針對工業(yè)環(huán)境的入侵檢測系統(tǒng)、入侵防御系統(tǒng)、反病毒系統(tǒng)等安全基礎(chǔ)設(shè)施。同時(shí)結(jié)合對工業(yè)網(wǎng)絡(luò)的流量分析以及內(nèi)外網(wǎng)攻擊的情報(bào)，積極主動(dòng)防御面臨的安全威脅。工控防火墻是這個(gè)體系的第一道防線，是工業(yè)網(wǎng)絡(luò)安全的重要組成部分。