选品攻略!一文讲清工业防火墙VS传统防火墙、普通级与增强级版本对比

2023-02-23 09:19:45来源:

当前,随着工业互联网、云计算、大数据等新兴技术的加速应用发展,以及网络安全犯罪的日益专业化,网络安全攻击风险仍在持续增长,网络安全形势依旧严峻。而工业防火墙作为工业控制系统安全防护不可或缺的网络安全专用产品,堪称为网络安全的“第一道防线”

那么如何正确选择工业防火墙?本文将从两大方面带大家详细了解。首先,从政策法规、行业作用、工业防火墙VS传统防火墙、工业防火墙基本级与增强级版本对比等讲述工业防火墙的重要性。再从产品形态、功能特点、性能、稳定性、环境适应性等方面讲述如何挑选合适并采用靠谱的工业防火墙产品,在众多选品中优中选优!


一.工业防火墙在工业应用场景的广泛性及重要性

工业防火墙作为专门应用于工业控制环境,对工业控制系统内部不同控制区域之间进行边界保护,其全面纵深的安全防护策略及有效的保护,可以抵御来自内外网对工控设备的攻击,切实保护核心生产控制系统的网络安全。

工业防火墙可适用于PLC、DCS、SCADA、PCS等工业控制系统的安全防护,可以广泛应用在电力、化工、石油石化、冶金、天然气、烟草、水利、供水、供热、煤炭等与国计民生密切相关的领域。


二.工业防火墙和传统防火墙的区别

工业防火墙一般部署在各个独立最小生产单元的边界区域,支持工业协议过滤,时延一般为微秒级,适应工业网络对实时性的要求,标配Bypass机制等。

工控防火墙和传统防火墙由于所处的环境不同而有所区别,相较而言,传统防火墙相比不具备的特质如下:

(1)传统工业防火墙不理解不支持工业控制协议。工业网络采用的是专用工业协议,工业协议的类别很多,例如工业以太网协议、基于串行链路(RS232、RS485)的协议,这些协议均需要专门的工业协议解析模块来对其进行协议过滤和解析。

(2)传统防火墙软硬件设计架构不适应工业网络对实时性的要求。工业网络环境中工控设备对于实时性传输要求高。

(3)传统防火墙的硬件设计架构不适应严苛工业环境。工业生产对网络安全设备的环境适应性要求很高,特别是很多工业现场甚至是在无人值守的恶劣环境。要求防火墙必须具备对工业生产环境可预见的性能支持和抗干扰水平的支持。比如宽温、无风扇设计等。


三.符合国家和行业政策法规明文要求

(1) 《网络安全法》第二十一条第(二)点规定:

“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;”

解读:在工业网络边界相对比较明确的情况下,工业防火墙产品依然是边界隔离、不同等级的安全区域划分、边界网络流量分析和过滤等核心安全需求最有效的支撑手段。


(2) 《工业控制系统信息安全防护指南》中第三部分边界安全防护一章指出

边界安全防护

解读:工业防火墙、工业隔离网闸等作为工业控制边界安全防护设备,可在工业控制系统网络安全区域之间提供逻辑隔离安全防护。


(3) 《信息安全技术 网络安全等级保护基本要求》(等级保护2.0)版本中,针对工业控制系统除了通用安全要求之外,更有扩展安全要求来更细化更贴合的针对工控系统提出安全防护能力要求。

安全通信网络:“应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;”以及“应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段”。

安全区域边界:从边界防护、访问控制、入侵防范和恶意代码和垃圾邮件防范提出了安全要求,这些要求都可以通过工业防火墙的部署和实施来满足。

另外,在国能安全【2015】36号文中要求的“安全分区、网络专用、横向隔离、纵向认证”的十六字方针,更也明确了工业防火墙在其中发挥的巨大作用。


(4) 《工业互联网企业网络安全分类分级防护系列规范》3.2.3 网络安全防护要求

3.2.3.1 组网安全要求

1.应采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,加强对联网控制系统远程通信的保护;

3.2.3.2 架构安全要求

在纵深防御方面要求如下:

1. 在不同网络层级之间安全防护方面,系统各个层级之间应部署访问控制设备、入侵检测与防护设备、安全隔离设备以及安全审计设备;

2. 在横向分区方面,联网控制系统不同横向分区应依据安全性需求的不同而设置不同安全等级,并根据相应的安全等级采取不同的安全防护措施。

3.2.3.3 连接安全要求

1.对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行安全风险评估,不断完善防范措施。


四.防火墙等级划分:基本级与增强级的区别?

根据国标《信息安全技术 工业控制系统专用防火墙技术要求》按照工控防火墙安全功能和安全保障要求的强度划分为基本级和增强级,安全功能强弱和安全保障要求高低是等级划分的具体依据。增强级在网络适应性、安全防护能力、管理能力、高可靠性和自身安全方面有更高的要求。

其中,达到基本级要求的产品,推荐使用在安全保护等级为第一、二级的工业控制系统中;达到增强级要求的产品,推荐使用在安全保护等级为第三、四级的工业控制系统中。关于安全功能要求和安全保障要求的等级划分如下图所示:

五.如何优选工业防火墙

工业防火墙作为工业控制系统信息安全必须配置的设备之一,在行业应用和相应的政策法规的技术规范中起着不可忽视的重要作用。同时,因所应用环境的不同,区别于传统防火墙;并根据相关政策法规要求,在不同工业控制系统安全防护等级下选择相对应等级工业防火墙作了指导和要求。

目前,市场上能提供这一品类的安全厂商不在少数,未免会给工业企业一种会“挑花眼”的错觉,那么如何从中挑选合适并采用靠谱的工业防火墙产品就成为一道必答题。下面就从产品功能、性能、稳定性、环境适应性等核心方面阐述“地表最强”工业防火墙,让工业企业优中择优!


1、工业协议的解析能力和支持能力

工控协议能够解析的数量成为了衡量一款工业防火墙的重要技术指标。工业防火墙的特殊性在于对特定工业协议的支持,由于工业网络环境中的历史沉淀,工业控制设备之间的通讯往往采用设备厂商的专有协议。而对于专用的未公开协议,往往是依靠安全设备厂商的网络流量分析能力甚至是逆向解析能力。例如:MODBUS、OPC、S7、Profinet\Profibus、IEC-103、IEC-104、Ethernet IP、DNP3、Fins等常见工业协议的解析。


2、白名单和智能学习模式

“工控白名单“功能即采用“白名单”模式进行设计,默认情况下禁止所有流量,仅放行白名单策略中允许的合法流量。相比传统的“白名单”,除五元组信息外,还可以对工控协议进行深层次的过滤。融安网络白名单支持数十种工控协议白名单配置,支持工控协议功能码、地址、值域的过滤。

工控协议种类很多,不同的协议实现的功能差异很大。完全手工配置工控白名单十分繁琐,动辄数百上前条配置参数。智能学习就是为了解决白名单配置繁琐的问题。开启智能学习后,可以提取网络流量中的功能码、地址和值域,自动生成白名单策略。


3、满足对数据包处理性能的实时性要求(性能方面)

工业网络通常要求实时数据通信,防火墙作为直路设备,直接插入到通信链路中,因此工业防火墙的时延是极其重要的指标。融安网络工业防火墙支持极低的转发时延轻载时延小于30us,重载时延小于50us,满载时延小于100us,可以保障工控网络的通信实时性。融安网络安全操作系统基于linux内核定制,对安全性、性能、实时性进行了定制和优化,确保满足工控安全场景的高可靠、低时延等需求。

融安网络电气性能及安全检验报告

工控防火墙在工业网络流量中并行处理多种工业协议报文。同时,规则库随着时间的增加规则条数也在持续增加,都需要防火墙处理性能的支撑。因此,为了考虑工控防火墙对数据包的处理性能以及实时性要求,除了在操作系统层面进行优化设计外,还需重点考虑在硬件架构设计层面利用硬件加速工控防火墙的处理性能。


4、满足对工业应用场景适用性要求(硬件支持方面)

在工业网络体系中,针对部署的位置不同,工业防火墙的产品形态可分为导轨式与机架式。导轨式防火墙大部分部署在生产环境的生产现场,因此这种防火墙大部分采用导轨式架构设计,方便地卡在导轨上而无需用螺丝固定,维护方便。同时其内部设计更加封闭与严实,内部组件之间都采用嵌入式计算主板上,采用一体化散热设计,超紧凑结构,内部无连线设计,板载CPU及内存芯片以免受工业生产环境的震动。

机架式防火墙一般部署于工厂的机房中,因此其规格同传统防火墙一样,大部分采用1U或2U规格的机架式设计,采用无风扇、符合IP40防护等级要求设计,用于隔离工厂与管理网或其他工厂的网络。

导轨式

机架式

在硬件接口方面,工业防火墙需要支持常见的SFP模块、RJ45网口、多模光纤RS485\232串口等多种网络接口。此外,产品可支持千兆电口、千兆光口、万兆光口及4G LTE接入,适应多种网络环境。


5、满足工业环境可靠性的要求(可靠性方面)

可靠性是一款工业防火墙产品的重要保障指标。针对满足工业环境可靠性的角度分析,需要从软硬件层次去考虑本身的可靠性对工业网络的影响。同时需要具备软硬件bypass功能,为了避免此类直路部署产品的单点故障从而引起网络故障,在设备出现断电和死机情况下,自动开启硬件bypass功能,将外端一组bypass端口通过物理继电器变成一根导线,这样用户的数据流量就可以正常通过而不受故障的影响。

此外,需具备双机热备功能,保障网络的安全传输。部署两台防火墙组成双机热备组网,当一台设备故障或宕机时,另一台设备接替起工作,保障业务正常进行,极大地保障客户网络的可靠传输。


6、满足工业环境对硬件的要求(环境方面)

工业防火墙,顾名思义是专门应用于工业控制环境,势必要求在硬件架构选择方面满足对工业环境的严苛要求。例如:无风扇、宽温(-40 ~70℃)、湿度(5%~ 95%无凝结)、防护等级IP40(防尘不防水)等。

以下为融安网络在环境性能检测的检测达标情况(国标)

(1) 高低温贮存试验项目

(2) 高低温工作试验和恒定湿热试验

(3)振动试验

(4)电磁兼容性方面(EMC)

电磁兼容测试(EMC)全称是Electro Magnetic Compatibility,指的是对电子产品在电磁场方面干扰大小(EMI)和抗干扰能力(EMS)的综合评定,是产品质量重要的指标之一。

国家标准GB/T 4365-2003《电磁兼容术语》对电磁兼容所下的定义为“设备或系统在其电磁环境中能正常工作且不对该环境中任何事物构成不能承受的电磁骚扰的能力”,即电子、电气设备或系统在同一电磁环境中能良好执行各自功能的这样一个共存状态,简单点说,就是各种设备都能正常工作又互不干扰,达到“兼容”状态。要注意电磁兼容所要求的两个基本方面:在共同的电磁环境中,不受干扰且不干扰其他设备。

产品在定型和进人市场之前必须进行符合性(一致性)测试,国家产品强制认证制度(3C 认证)规定的电磁兼容测试就是属于符合性测试。融安网络工业防火墙就通过电磁兼容性检测报告(CE)程智检测、电磁兼容性检测报告(国标)康来士检测检验证书。

以下为融安网络工业防火墙在电磁兼容性的检测报告内容:

图为:静电放电干扰试验、快速瞬间变脉冲群干扰检验

图为:检验配置现场图

7、IPV4&IPV6双支持(协议栈方面)

IPv4是互联网协议第四版,是计算机网络使用的数据报传输机制,此协议是第一个被广泛部署的IP协议。但随着越来越多的用户接入到Internet,全球IPv4地址已于2019年11月已全数耗尽。这也是后续互联网工程任务组(IEIF)提出IPv6的原因之一。

IPv6则是由IEIF提出的互联网协议第六版,用来替代IPv4的下一代协议,它的提出不仅解决了网络地址资源匮乏问题,也解决了多种接入设备接入互联网的障碍。IPv6的地址长度为128位,可支持340多万亿个地址。

IPv6相比IPv4更安全。对于IPv4而言,互联网安全协议(IPsec)是可选的,但不一定是免费的,有的需要付费支持;但对于IPv6来说,互联网安全协议是必选项。此外,像身份验证、数据一致性和保密性的内容也加入到了IPv6中。目前,融安网络工业防火墙是为数不多通过IPv6 Ready Logo认证的工控安全厂商,可支持IPv4和IPv6双协议栈的网络环境,支持IPv4和IPv6两种协议之间相互转换。

分享:

微博
微信公众号