1.1.工控防火墻概述

我們將應用于工業控制網絡環境中的防火墻稱為工業控制防火墻（ICF，Industrial Control Firewall）、工業防火墻（IFW，IndustrialFirewalls）或工控防火墻（在本文中主要稱為工控防火墻）。和ICT環境的防火墻作用類似，其是一個具體設備（物理或虛擬），用于兩個網絡之間的隔離控制。在ICT環境中，防火墻主要用于保護一個網絡區域免受來自另一個網絡區域的網絡攻擊和網絡入侵行為。因其隔離、防守的屬性，靈活應用于網絡邊界、子網隔離等位置，具體如企業網絡出口、大型網絡內部子網隔離、數據中心邊界等等。而在ICS環境中，工控防火墻主要部署于管理網（辦公網）與生產網之間或部署在控制設備層的邊界，對通過的工業控制網絡流量進行解析、識別和控制，以抵御來自內外網對工業生產設備的攻擊。

工控防火墻和傳統防火墻因其所處的環境不同而有所區別，相較而言，傳統防火墻沒有以下所述的特性：

1. 傳統防火墻未裝載工業協議解析模塊，不理解不支持工業控制協議。工業網絡采用的是專用工業協議，工業協議的類別很多，有基于工業以太網（基于二層和三層）的協議，有基于串行鏈路（RS232、RS485）的協議，這些協議都需要專門的工業協議解析模塊來對其進行協議過濾和解析。傳統防火墻只針對于ICT環境，無法完全支持對工業協議的無/有狀態過濾，也無法對工業協議進行深度解析和控制。

2. 傳統防火墻軟硬件設計架構不適應工業網絡實時性和生產環境的要求。首先，工業網絡環境中工控設備對于實時性傳輸反饋要求非常高，一個小問題就可能導致某個開關停止響應,這就要求接入的工控防火墻也必須具備工業網絡的實時性要求。而一般的傳統防火墻主要應用于傳統的ICT環境，在軟硬件架構設計之初就未考慮過工業網絡的實時性，因此傳統防火墻無法適應工業網絡實時性要求。其次，工業生產對網絡安全設備的環境適應性要求很高，很多工業現場甚至是在無人值守的惡劣環境。因此工控防火墻必須具備對工業生產環境可預見的性能支持和抗干擾水平的支持。例如，一般部署在工業現場的防火墻以導軌式為主，該環境對防火墻的環境適應性要求就很高，產品往往要求無風扇、寬溫支持等。傳統防火墻無法適應工業網絡嚴苛復雜的生產環境。

因此，工控防火墻除了傳統防火墻具備的訪問控制、安全域管理、網絡地址轉換（Network Address Translation，NAT）等功能外，還具有專門針對工業協議的協議過濾模塊和協議深度解析模塊，其內置的這些模塊可以在ICS環境中對各種工業協議進行識別、過濾及解析控制。例如現在市面上，國內的啟明星辰天清漢馬工業防火墻實現了Modbus/TCP（通用工業協議）、Modbus/RTU(基于串行鏈路)、IEC104協議（電力標準）、OPC協議（數據交換標準）、Ethernet/IP和Profinet等近百種的工業協議防護。國外廠商百通（收購多芬諾以及赫思曼）的工業防火墻支持工業通訊協議有Modbus TCP/OPC/Siemens/Rockwell/GEFanuc/Honeywell/Yokogawa/Emerson/Mitsubishi/Omron/PI…等50多種。這些工業防火墻針對工業協議都采用黑白名單機制以及深度包檢測技術（DPI）。在對二層和三層協議進行過濾的基礎上，進一步解析應用層傳輸的工業控制協議網絡報文內容，對OPC、ModBus、DNP3、IEC104、Profinet 等普遍使用的工業協議的數據包進行深度包解析，從而對報文中傳輸的工業協議指令和操作數據等信息進行檢查，通過與預先配置的黑名單或白名單內容進行比對，防止應用層協議被篡改或破壞。目前工控防火墻的技術一般解析到工業協議的指令層，可以實現對非法指令的阻斷、非工業協議的攔截等。同時，這些工業防火墻還能很好滿足工業環境中的機械要求（如沖擊、振動、拉伸等）、氣候保護要求（如工作溫度、存儲溫度、濕度、紫外線）、侵入保護要求（如保護等級、污染等級）以及電磁輻射和免疫要求（發射、免疫），具備生產環境下的高可靠性和高可用性。

1.2.工控防火墻是工業網絡安全的第一道防線

現在的術語“防火墻”已經廣泛使用多年，“防火墻”一詞已經是具有不同操作方法和目標的廣泛技術的統稱。現今的防火墻單就分類來說就包括了多種：無狀態防火墻、有狀態防火墻、透明防火墻，各級網絡參考架構的防火墻（主機防火墻、網絡防火墻等）、具有深度數據包檢測的防火墻，甚至還具有入侵檢測功能或入侵防御功能的防火墻等等。除此之外，還有其他可以控制和限制網絡流量的方法也可以稱之為防火墻，如訪問控制列表（ACL）。這些不同的技術構成的防火墻種類繁多，其應用的地方也不盡相同。在工業網絡體系中，針對部署的位置不同，工控防火墻可以大致分為兩種：

l機架式工控防火墻

l導軌式工控防火墻

機架式防火墻一般部署于工廠的機房中，因此其規格同傳統防火墻一樣，大部分采用1U或2U規格的機架式設計，采用無風扇、符合IP40防護等級要求設計，用于隔離工廠與管理網或其他工廠的網絡。而導軌式防火墻大部分部署在生產環境的生產現場，因此這種防火墻大部分采用導軌式架構設計，方便地卡在導軌上而無需用螺絲固定，維護方便。同時其內部設計更加封閉與嚴實，內部組件之間都采用嵌入式計算主板上，這種主板一般都采用一體化散熱設計，超緊湊結構，內部無連線設計，板載CPU及內存芯片以免受工業生產環境的震動。

這兩種防火墻會因為部署位置以及防護目標不同而功能上有所區別，但是大體上功能基本相同。從ICS本身的架構來說，由于其在設計之初并未考慮或很少考慮安全性的設計，其架構設計先天性的具有不可彌補的脆弱性。因此ICS領域并不像ICT領域那樣，ICT領域快速更新迭代的技術幾乎已經在架構上盡量保證其安全性設計。伴隨兩化融合和物聯網的快速發展，我國關鍵性基礎設施和工業行業廣泛使用的SCADA、DCS、PLC等工業控制系統越來越多地采用計算機和網絡技術，如Ethernet、TCP/IP以及OPC等，極大地推動了工業生產，但同時也使工業控制系統接口越來越開放。這些和管理網以及因特網互聯的接口就非常容易面臨著內外部的針對ICS脆弱性的攻擊。因此ICS本身的架構脆弱性以及可能面臨的內外部針對脆弱性的攻擊就造成了ICS的風險。這些風險直接或間接地影響著企業運營者的安全生產。因此在這樣的趨勢下，工控防火墻首先需要防護的就是一些已知的ICS脆弱性，比如未經授權的訪問以及不加密的協議等。

針對于工業協議不加密來說，工業協議最初在設計的時候不考慮加密也是因為先天性的不足，比如現場設備計算能力低、工業網絡實時性要求，采用加密的工業協議將無法承受加密解密的計算量和延遲。這就造成了工業網絡通訊協議與普通的網絡協議有很大不同：

1、工業協議基本上都是明文的協議，并且傳輸的數據包具有順序性。由于最開始時期工業環境是專用是軟件硬件和專用的協議，而且處于隔離的網絡環境，設備計算性能低下，因此工業協議設計都從未考慮加密的特性，基本上都是明文的傳輸。雖然工業設備的廠家幾乎大致都各自開發了自己的私有協議，但是這些私有的協議通過抓包進行分析，就可以得出這個協議大體的實現。這是因為工業協議還有另外一個特征是，其協議發送的數據包幾乎是具有順序性的，而ICT環境的網絡協議大部分是隨機性的。因此就協議上來說，工控防火墻對工業協議的過濾和解析控制，區別于傳統防火墻的工作模式是：工控防火墻只能夠利用已知的工業專有通訊協議（例如OPC、Profibus等）建立防護規則，其他的未公開的私有工業協議需要工控防火墻再利用智能學習的模式學習來建立該協議的規則庫。工控防火墻的智能學習模式就是利用了工業協議的明文傳輸且具有順序性質的特點，抓取一定數量的協議數據包進行分析，就可以得出這個私有協議的協議特征，從而針對這個特征就可以建立規則庫。

2、 工業協議區別于其他網絡協議的另外一點是，工業協議有動態變化的特征。比如OPC，因為其基于DCOM技術，在進行數據通訊時其端口從1024到65535動態使用，其對端口的動態使用，防火墻再利用端口識別協議根本就不可能。所以在工業環境中使用傳統防火墻時根本沒有任何意義，對于協議使用端口5185等一般防火墻根本就無法進行剖析，而使OPC客戶端可以輕易對OPC服務器數據項進行讀寫，在沒有防火墻的情況下，一旦黑客對客戶端電腦取得控制權，控制系統就面臨很大風險。除了動態端口以外，還具有別的動態特征，比如Modbus協議，其組態點連接的數量也決定著協議數據包的動態變化，比如100點的連接和200點的連接，其功能碼以及數據包生成和傳輸的就不再一樣。這些動態的變化都需要防火墻具有對這些協議深度的認識，深度的解析控制。

針對未授權訪問來說，如MODBUS TCP/IP，在很多場合下，主設備（Master）用戶的權限是最高的，可以任意對從站（Slave）數據進行讀寫，如果沒有防火墻管控，這就很危險的。還有上述的所說，OPC客戶端是可以任意對OPC服務器數據項進行讀寫的。這些例子只是簡單的說明了ICS領域本身的脆弱性，這些脆弱性不管是基于內部進行攻擊還是由外部入侵者進來發起的攻擊，都講不可避免的造成生產損失，況且生產環節發生事故還特別容易威脅人身生命安全。這些風險是看得見的本身就存在的，不可能短期內通過更換工控設備來解決，必須要通過工控防火墻來實施防護，從而扼殺掉這樣的風險。

從工業網絡安全整體的考慮，現在的這些生產網由于擴大的規模、連接的無線、遠程的運維、現場的管理和數據的傳輸，已經使生產線完全暴露在攻擊者面前。SCADA、DCS系統和PLC本身的安全性就很脆弱，而黑客們真的不懂SCADA、DCS系統和PLC嗎？也許震網、DUQU、火焰和Havex等可能有國家背景的“網絡戰武器”離我們很遠，也許永遠不會發生在我們的工廠中。但是現在不斷暴增的工業網絡安全事件和ICS的漏洞，以及這些ICS漏洞在地下黑市中的瘋狂流轉，無不說明工廠環境的價值目標越來越大。對于企業的運營者以及安全的防護者，工業網絡安全的建設任重道遠，必須從全局上看，整體上看，著重于頂層設計，實施縱深防御的安全戰略。縱深防御是一種實施多層防御的策略，比如在網絡邊界部署工控防火墻，在工業網絡內部部署針對工業環境的入侵檢測系統、入侵防御系統、反病毒系統等安全基礎設施。同時結合對工業網絡的流量分析以及內外網攻擊的情報，積極主動防御面臨的安全威脅。工控防火墻是這個體系的第一道防線，是工業網絡安全的重要組成部分。