工业控制系统防火墙是一种需要为工业控制系统中的信息安全进行配置的设备。工业防火墙技术是工业控制系统信息安全技术的基础。工业控制系统防火墙技术实现区域控制,共享控制系统安全区域,隔离和保护安全区域,使合法用户能够连接互联网。它可以保护对大型资源的访问。它还可以深入分析控制日志,分析Modbus和DNP3等应用层的异常流量,并动态跟踪OPC端口,以保护关键寄存器和操作。
工业控制系统防火墙的目的是在不同的安全域之间设置安全检查点,并根据预定义的访问控制策略和安全策略分析和过滤通过工业控制防火墙路由的数据流。它为受保护的安全域提供访问控制服务请求。
工业控制系统防火墙的特点
工业控制防火墙和传统防火墙因环境而异,与传统防火墙相比不具有以下特征:
(1) 传统的防火墙没有工业协议解析模块,也不理解和支持工业控制协议。工业网络支持基于工业以太网的协议(第2层和第3层)和基于串行连接的协议(RS232、RS485)。使用各种类型的专用工业协议,包括。为了过滤和处理这些协议,需要特殊的工业协议验证模块。
(2) 现有的防火墙软硬件设计架构不适合工业网络和生产环境的实时性要求。首先,工业网络环境中的工业ECU对实时传输反馈有很高的要求。其次,工业生产对网络安全设备的环境适应性要求很高。许多工业场地甚至在恶劣的无人环境中运行。因此,工业控制防火墙必须为工业生产环境提供可预测的性能支持和干扰保护。
工业控制系统防火墙除了具有传统防火墙的访问控制、安全域管理、网络地址转换(NAT)等功能外,还具有专为工业协议设计的协议过滤模块和协议深度解析模块。这些集成模块可以识别、过滤和分析ICS环境中的各种工业协议。
工业控制系统防火墙的分类
在工业网络系统中,工业控制防火墙根据其使用位置大致可以分为两种类型。
(1) 机架式工业控制防火墙。机架式防火墙通常用于工厂舱室,因此与现有防火墙具有相同的规格。大多数设计都是1U或2U机架,没有风扇,并且符合IP40保护级别。这些操作用于隔离管理网络或其他工厂网络中的工厂。
(2) 铁路工业控制防火墙。大多数类似于铁路的防火墙都部署在生产环境中的生产站点。因此,这种类型的防火墙被设计为具有轨道状结构,该结构可以在不需要螺钉的情况下容易地插入轨道中,从而易于维护。此外,内部设计更加封闭和紧凑,内部组件相互之间使用集成计算机主板,该主板通常采用集成加热设计,设计紧凑,无需集成电缆连接。板载CPU和存储芯片在工业生产环境中受到保护,不受振动影响。
工业控制系统防火墙的主要应用场景
(1) 工业防火墙部署在隔离的管理网络和控制网络之间,控制跨境访问,对层间数据交换进行深度过滤,使攻击者能够基于管理网络攻击和控制网络。
(2) 位于控制网络的不同安全区域之间。工业防火墙将控制网络划分为不同的安全区域,控制安全区域之间的访问,并对不同区域之间的流量数据进行深度过滤,以防止安全风险在它们之间传播。
(3) 用于核心设备和控制网络之间。工业防火墙检测访问主设备的IP地址,以防止访问非业务端口和非法操作命令,并记录主设备的所有访问和操作记录,以对关键设备进行安全和流量检查。
