研究型学习材料：工业防火墙的设计资料文件与下载

北京理工大学精品课程课堂研究型学习背景材料

（本校内部教学资料，未经授权请勿扩散）

工业防火墙技术

作者：闫怀志

同学们，我们已经讲授了传统防火墙技术。但是，随着网络空间信息系统新形态和新应用的不断拓展，传统防火墙需要改造方可应用于新型信息系统的安全保障。

这就给我们提出了一个新的问题，如何将传统安全技术，经过适当改造，应用于网络空间信息系统新形态和新应用。此时，需要我们应用研究型的思维来创新性地解决这类问题。如果让你来设计一个工业防火墙，但是此前你从未接触过工业防火墙技术。那么，你会告诉我“老师，这个我没有接触过，不知道怎么弄”吗？如果你给出这样的回答，我和我的同事们作为你们的老师，肯定会感到非常失望和自责。因为，我们坚信，“没有学不会的学生，只有教不好的老师”。教会学生：思想！思想！！思想！！！方法！方法！！！方法！！！这才是我们老师的本质追求。这也是我为什么在校内课堂上，极力反对老师进行填鸭式的照本宣科式教学、同学通过死记硬背知识点来学习的根本原因。我们学校的这门课程的知识体系结构，完全是我自己设计的，我们的知识架构、课程素材、教学辅助材料、教材，全部是我们学校自己的，因为我希望为我们学校培养出独一无二的学生。

回到工业防火墙设计上来，解决这个问题，无非是靠两个关键词，一个是“工业”，再一个是“防火墙”。既然我们已经学习了防火墙的基本原理，那好，接下来就要了解工业环境和工业应用对防火墙提出了哪些要求？工业控制系统本身作为信息系统，同传统的你所熟悉的IP网络有哪些异同？这些异同对于防火墙设计来说，有哪些影响？其中哪些部分是可以复用、借鉴的共用技术，而有些哪些部分是需要针对性解决的特殊问题？

其实，物联网防火墙、云计算防火墙、WAF等的设计思路都与上面一样。

至此，我相信你对设计工业防火墙已经有了一定的思路。请同学们在查阅相关工业控制系统的资料后，进行简单的工业防火墙方案的研究型设计。然后，请认真阅读我撰写的下列素材，我会适时组织大家讨论。

虽然工业控制系统和工业控制网络早已存在，但其信息安全防护却是近年来才得到重视。工业网络应用环境与传统网络环境存在较大区别，因此工业防火墙技术也有其自身的鲜明特点。

1. 工业网络应用环境对防火墙提出的特殊需求

工业防火墙（Industrial Firewall，IFW）技术是适用于工业网络环境、具有不同操作方法和目标的防火墙技术总称。工业防火墙用于工控网络的分区、分域隔离和访问控制，可按作用域分为安全域间工业防火墙、现场工控防火墙和Web应用防火墙等。其中，安全域间工业防火墙、现场工控防火墙的体系结构、技术特征、应用场景具有鲜明的工业应用特征，对工业环境适应性具有特殊要求，宜采用尺寸紧凑、功耗低、集成度高、可靠性好、电磁兼容能力强的嵌入式工控机作为承载平台，具体要求体现在机械侵入防护能力、气候适应能力、电磁兼容能力以及机架规格等方面。表1给出了工业防火墙的特殊应用需求及相应的解决方案。

表1  工业防火墙的特殊应用需求及其解决方案

2. 安全域间工业防火墙与现场工控防火墙

1）安全域间工业防火墙

传统的工业现场生产线通常与外网隔离，但随着工业信息化的发展，生产线与外界联网成为大势所趋。应用工业防火墙，既要完成其网络隔离、访问控制的使命，又不应对生产线网络性能产生较大影响，更不应拦截有效的工控信息交互。

工业环境中需要对企业管理网与生产网等不同安全区域之间实现安全互联与访问控制、关键网络设备和工业设备的网络隔离和安全防护等，防范来自内外网的、针对工业生产网络或工业设备的恶意攻击。而安全域间工业防火墙则可以实现纵向层次网络之间的跨层访问控制和数据包深度过滤，还可以实现横向平行的生产区、生产线、工艺流程或业务子系统之间的安全隔离和风险传播。

2）现场工控防火墙

工业现场的SCADA、DCS、PLC、MES、FCS等工控网络、系统及设备，需要在工程师站、PLC等工控终端和关键节点之前，部署现场工控防火墙，以实现逻辑隔离防护。现场工控防火墙的应用环境更加恶劣、严苛，对工业环境适用性要求很高。

应用工业防火墙，主要考虑工业环境适应性、网络隔离、工业通信协议识别、过滤及解析、实时性与可靠性以及自身防护等方面。具体部署时，还应根据需要分别采取全通模式、测试模式和防护模式并适时切换。全通模式是指不启动工业防火墙而令双向流量全部通过。测试模式是按照预设规则报警但不真正拦截。防护模式则是开启工业防火墙的全部防护功能。

3. 工业通信协议脆弱性及其解析与过滤

1）工业网络协议脆弱性

工业网络采用的通信与控制协议，其设计背景是应用于隔离的工控网络，虽然在一定程度上考虑了实时性、可靠性问题，但在安全性方面考虑不足，通常未采用访问控制授权和认证措施，存在着大量的安全缺陷。比如，应用层报文传输协议Modbus，其TCP报文的通信地址与指令均为明文传输，而且功能码易遭篡改。具有Modbus控制器接入权限的任何设备均可利用功能码，实现控制器输入/输出点或寄存器值修改、控制器逻辑或固件复位、禁用或升级，或构造短周期无用指令、非法长度报文、确认异常代码延迟等来完成拒绝服务攻击。CAN、PROFIBUS、RS485、FF以及RS 422等协议也存在大量的安全脆弱性。

2）工业网络协议解析目标与黑白名单控制机制

工业网络协议解析目标通常为工业Ethernet、RS232/422/485、Modbus/RTU、Modbus/TCP、IEC104、OPC、Ethernet/IP、Profinet等工业专用协议。可将工控现场设备及网络使用的专用通信协议列入工业防火墙的访问控制白名单（White List），仅对该名单中的协议放行。比如，可按现场需求定义Modbus协议可允许的指令、寄存器以及线圈名单。同时，若难以形成某协议所含指令的合法集合，则可对其中的危险指令实施黑名单控制。

3）工业网络协议深度包过滤

工业网络协议深度包过滤是协议报文实施指令层深度包解析和访问控制。深度包过滤对象包括TCP/IP协议以及Modbus、OPC、Siemens S7等协议指令、地址及内容等。为此，需要构建工业网络协议深度包过滤规则库。规则的制定依赖于工业专用协议的特征。专用协议分为两类，第一类是Modbus/TCP、OPC、Profibus等公开的工业专有通讯协议，第二类是未公开的设备厂家私有协议。比如，可针对Modbus/TCP等第一类协议，描述其潜在信息扫描、潜在拒绝服务、DoS攻击等异常行为并设定检测参数，由此构建过滤规则。第二类协议则需要通过机器学习等方式，学习其数据包顺序性及明文传输特征来构建过滤规则。

通过工业网络协议深度包过滤，可实现其报文分析与完整性检查，监控工控协议控制行为，防范恶意内容伪装流入工控网络或特定安全域，可有效降低工控网络安全风险。

4. 工业防火墙的实时性与可靠性能力保障

工控系统和工业设备对信号实时传输和反馈要求很高，应用工业防火墙必须保证工控网络信号传输的实时性要求，否则难以满足控制变量的实时刷新。实现高效传输是保证系统实时性的关键措施之一。因此，应选用NP、MIPS、FPGA等数据处理能力强的防火墙架构，以减少工业通信数据及协议的识别、解析及过滤时间。

在工业防火墙可靠性保障方面，常采用软硬件旁路（Bypass）保护、双机热备、电源冗余等措施，各种措施的特点如表2所示。

表2 工业防火墙可靠性保障措施

此外，工业防火墙还应遵循不同应用场景的工业控制标准规范，比如，在发电厂和变电站环境中应遵循IEC 61850-3和IEEE 1613标准。