工业防火墙是应用于工业控制系统的一类“特殊”的防火墙,其既要满足通用防火墙的基本要求,还要满足工业控制环境下的特殊要求,工业防火墙主要应用在工业控制层级间防护以及各区域间防护。
作为工业现场网络安全防护的第一道防线,其重要程度不言而喻。根据在公安部的计算机信息系统安全专用产品销售许可服务平台和网络安全专用产品安全检测服务平台查询,目前市场取得“工业控制系统专用防火墙”的产品已经达到125款之多,那么纯从技术维度出发,选什么样的工业防火墙才是最适用于工业网络现场呢?
建议从产品适用性、产品功能性、产品便利性和产品兼容性等几个维度评估:
1.产品适用性
基于工业防火墙的部署位置和环境,可以从环境适用性和性能适用性等维度去评估。
1.1
环境适用性
工业防火墙部署的物理位置和工作环境是对其第一道要求,根据物理空间位置的不同,工业防火墙有导轨式、机架式和板卡式等不同的物理形态,比如:在物理空间相对紧张的现场电气柜中,优先考虑节省空间的导轨式形态防火墙,在高铁的部署环境中,优先考虑板卡式防火墙。
图1:威努特工业防火墙导轨式、板卡式、机架式等不同硬件形态
工业现场工作环境千差万别,有温湿度相对舒适的空调机房,也有风吹日晒的室外机箱内,更有低气压、高腐蚀等恶劣环境。因此工业防火墙在环境适应性维度要考虑包括气候、电磁兼容、绝缘、接地、机械适应性、外壳防护等因素,这些也是厂商工业防火墙在设计过程中需要考虑的问题。常见的技术指标如:IP40、CE、FCC等认证和测试都是基于环境和安全性所开展的检测与测试。
1.2
性能适用性
参考GB/T 37933-2019《信息安全技术 工业控制系统专用防火墙技术要求》,工业防火墙技术要求中对性能要求的描述主要从吞吐量、延迟、最大并发连接数和最大连接速率四个方面进行规范,其中吞吐量和延迟主要针对部署在不同位置千兆、百兆防火墙有差异性要求,最大并发连接数和最大连接速率则是区分千兆、百兆防火墙两类。当然在工业智能化和数字化的趋势下,在一些行业中的网络吞吐量已经达到万兆,比如在煤矿企业组建万兆环网承载业务,在工业防火墙的选型上也应该选择万兆防火墙。
图2:GB/T 37933中对性能的要求
另外工业现场对网络延迟抖动比较敏感,比如在DCS控制系统指令延迟容忍度在毫秒级,因此对工业防火墙在延迟要求指标需要更严格,目前市场的工业防火墙在该项指标上基本达到微秒级。
图3:GB/T 37933中对延迟的要求
2.安全功能性
在工业防火墙安全功能层面,工业防火墙具备通用防火墙的基础功能,包括:包过滤、NAT、流量控制、IP/Mac地址绑定等通用基础功能。
图4:GB/T 37933中对安全功能的要求
2.1
应用控制能力
对工控协议支持的数量和深度内容检测是评估工业防火墙的重要指标之一,工业控制系统(ICS)使用特定的工业协议(如OPC、MODBUS、S7、IEC104、DNP3等)进行通信,这些协议与传统的IT协议有显著不同。深度解析能够让防火墙精确识别这些协议的应用层内容,包括指令、地址及数据域等,从而实现细粒度的访问控制和过滤策略,只允许合法、安全的控制指令通过,提高安全性。
通过对工业协议包的深度解析能力,可以有效阻止网络攻击者利用工业协议对生产网络发起的恶意攻击,如针对Modbus协议的深度包解析,在识别到协议包的功能码、寄存器区、点类型、起始/结束地址以及最大/最小值等内容后生成工业白名单,当该协议包出现某一内容不符合固化的工业白名单内容便会进行拦截/发出告警,有效防止利用工业协议发起的违规操作。
图5:威努特工业防火墙针对Modbus协议深度解析示意
2.2
高可用性
因为工业现场对高可用性的严苛要求,工业防火墙自身的安全性和高可用性的设计同样尤为重要,工业防火墙自身高可用性上需具备相应的能力,包括可用性保障、设备自检、多工作模式、安全策略无扰下装、时间同步、电源冗余、散热方式(无风扇)、双机热备等方面,能在断电或其他软硬件故障时自动bypass,设备自检异常时能够自动恢复能力。
图6:威努特工业防火墙通过继电器完成全电口bypass功能的支持
3.运维便利性
选择一款符合现场的工业防火墙除了安全功能强大外,运维的便利性同样重要,因为现场的使用者大多数是自动化工程师,安全语言和自动化语言之间存在差异化,所以工业防火墙在智能化运维层面需要有更好的设计。
3.1
集中管控
工业防火墙部署的位置相对分散,特别是在类似于城市燃气/水务、油气管网的SCADA系统中各场站与控制中心的边界部署场景,需要有管理中心对所有的防火墙进行集中管控,因此防火墙在管理层面需要支持自管理和集中管理等模式。
3.2
智能化运维
人工智能与安全能力的结合一直是安全领域中的热门话题,人工智能技术对于安全设备的简便运维起到至关重要的作用,特别在工业安全场景中,智能化的安全运维和安全展示更受用户的青睐。
上文我们提到工业防火墙对于工控协议的深度解析的支持,在策略生成的过程中就需要借助人工智能的技术,因此在工业防火墙的工作模式中都会有类似于学习模式的阶段,对于智能学习的策略结果与现场业务应用匹配的准确性和完整性是人工智能技术应用的有效性的重要评判,也是各安全厂商在重点解决的问题。通过测试模式辅助判断策略正确性、启发式的自学习结果判断、通过业务组态文件或者数据库点表智能化生产白名单等都是目前比较主流的手段。在智能化运维的层面,工业防火墙还有较为广阔的探索空间。
图7:GB/T 37933中对工作模式的要求
4.现场兼容性
工业防火墙等安全设备部署在工业现场的兼容性是非常重要的评估指标,比如在火电或者化工的DCS系统,此类应用场景下,一般要关注工业防火墙是否与自动化厂商开展过兼容性测试或者是否在同类型的现场有应用案例,由此验证工业防火墙部署到生产网络中不会产生影响。
另外针对特定的行业或者特殊应用场景,需要在某些功能上与行业或者现场保持一定的兼容性,比如:电力行业中在涉网测的部署场景中工业防火墙是否可以对接网络安全监测装置(国网要求)或者态势感知采集装置(南网要求),是否有电力行业权威检测机构出具的检测报告,或者企业集团侧有安全运营平台,是否支持第三方的对接等。
5.威努特工业防火墙
威努特自成立以来持续投入对工控网络安全产品线的打磨,威努特防火墙产品线共5大类33款型号,覆盖物联网安全接入、现场控制设备安全接入、生产网大边界安全防护、OT与IT融合场景安全防护,以及IT网大边界安全防护的全部应用场景,保障企业从边缘接入到生产业务系统,再到企业管理系统的全方位纵深防护。
图8:威努特防火墙产品线
工业防火墙作为威努特网络安全产品线中的明星产品,基于现场的使用需求并按照国家网络安全最高检测标准不断进行技术打磨,在IDC 2023年发布的《IDC MarketShare:中国工业防火墙市场份额,2022:力勃发、潜力释放》报告中凭借11.5%的份额占据市场第一位。威努特的工业防火墙在技术方面到底做了哪些创新和积累工作?
5.1
产品适用性和现场兼容性
威努特工业防火墙取得了公安部增强级销售许可(最高级),并通过抗电磁干扰、抗粉尘、防盐雾、抗跌落、抗振动、抗冲击等一系列严苛的检测试验,确保在极端恶劣的工业现场环境下稳定运行,实现长时间不间断的高效工作;此外,工业防火墙还经过了环保相关检测,并获得了RoHS、REACH、禁限用物质、防火阻燃等检测报告,以满足客户在EHS(环境、健康、安全)方面的高要求;针对兼容性要求的行业,威努特还取得了与自动化厂商兼容性测试报告、电科院的检测报告和100%国产化电子元器件检测报告等,进一步验证与现场良好兼容性。
图9: 威努特工业防火墙部分资质示意图
5.2
安全功能性
在应用控制能力层面,威努特工业防火墙支持11365种常用端口协议的识别和48种工业协议的深度解析,在行业内遥遥领先。此外,威努特工控网络安全产品具有私有工业协议的深度解析引擎,方便用户开展私有协议深度解析定制。
通过将工业协议的指纹、功能码、操作对象等各种特征抽象提炼成为标准化的语义标签,简化了90%的协议适配工作量。客户只需按照标准格式描述,即可快速完成私有工业控制协议的深度解析。
图10:威努特工业防火墙工控协议深度解析明细表
威努特工业防火墙电口全部支持bypass,为进一步提升设备安全性,将自动控制设备设计理念融入网络安全产品,研发了具备硬件级配置防篡改能力的新一代工业防火墙和工控安全监测与审计系统,实现在生产业务进行的同时,安全防护设备的配置无法被篡改或误操作。
图11: 威努特工业防火墙硬件级配置防篡改技术
5.3
运维便利性
威努特工业防火墙除了支持自管理和集中管理功能外,在运维便利性方面也进行了深度研究,例如基于控制系统组态工程文件直接生成白名单的技术,可保证工业控制系统可信白名单100%完整、100%准确和0学习时间开销,极大降低现场实施难度。
图12: 威努特工业防火墙基于组态文件自动生成控制策略
6.选型小结
工业企业用户在工业防火墙的选择上需要综合考虑相关因素,除了在产品适用性、安全功能性、运维便利性和现场兼容性等技术维度外,对于产品的售后技术服务支持、价格等因素也需同步考虑。
写在最后,威努特欢迎和不同行业的工业企业用户探讨交流工业防火墙在技术发展中的使用需求和发展规划 。