工业控制系统应用与安全防护技术（微课版）课件 第6章 工业控制系统防火墙技术

工业控制系统应用与安全防护技术第6章

工业控制系统防火墙技术6.1防火墙概述防火墙是由位于两个信任程度不同的网络之间的软件或与硬件设备组合而成的一种装置，集多种安全机制为一体，它是网络之间信息的唯一通道，能够对两个网络之间的通信进行控制。防火墙作为一个过滤器，阻止了不必要的网络流量，保证了受保护网络与其他网络之间的合法通信，限制了受保护网络与其他网络之间的非法通信。6.1.1防火墙的定义国家标准《信息安全技术防火墙安全技术要求和测试评价方法》（GB/T20281-2020）给出的防火墙（Firewall）定义为：防火墙是对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。根据这个定义，防火墙具有以下4个基本特征：（1）部署位置上，防火墙是一个边界网关，设置在不同网络（如可信的企业内部网络和不可信的公共网络）或不同安全域之间，而且应当是不同网络或不同安全域之间信息的唯一出入口。（2）工作原理上，防火墙根据网络安全策略对流经的数据信息进行解析、过滤、限制等控制。（3）性能上，防火墙应具有较高的数据信息处理效率和较强的自身抗攻击能力。（4）功能上，防火墙主要在网络层、传输层和应用层控制出入网络的信息流，新型防火墙还能实现对更多应用层程序的访问控制、信息泄露防护、恶意代码防护及入侵防御等功能，保证受保护部分的安全。6.1.2防火墙的主要技术指标防火墙的主要技术指标包括吞吐量、时延、并发连接数、丢包率等，以下分别进行说明。1）吞吐量（Throughput）网络中的数据是由一个个数据帧组成，防火墙对每个数据帧的处理都要耗费资源。吞吐量是指在通信过程中没有任何数据帧丢失，防火墙所能接收和转发数据帧的最大速率。2）时延（TimeDelay）网络的应用越来越普遍，当防火墙在网络中进行应用后，其对数据的处理会产生一定的时延，如果时延较大将对应用产生不良影响。3）并发连接数（ConcurrentConnections）并发连接数是衡量防火墙性能的—个重要指标，在IETFRFC2647中将该指标定义为一种最大的连接数，该连接通常建立在防火墙的主机之间，也可以是建立在防火墙和主机之间。4）丢包率（PacketLossRate）丢包率是指在正常稳定的网络状态下，数据包应该被转发，但由于缺少资源而没有被转发的数量占全部数据包数量的百分比。较低的丢包率，意味着防火墙在强大的负载压力下，能够稳定的工作，可以适应各种复杂网络应用和较大数据流量对处理性能的高要求。6.1.3防火墙的分类1.按防火墙表现形态分类按照防火墙表现形态进行分类一般可以分为软件防火墙和硬件防火墙两类。2.按防火墙的应用部署位置分类按防火墙的应用部署位置分类包括边界防火墙、个人防火墙、混合防火墙。3.按防火墙通道带宽分类如果按防火墙的通道带宽，或者说是吞吐量来分类可以分为百兆级防火墙、千兆级防火墙和万兆级防火墙等。因为防火墙通常位于网络边界，所以十兆级带宽的防火墙一般不能够满足需求。当然通道带宽越宽，性能越高，这样的防火墙因为包过滤或应用代理所产生的延时会越小，对整个网络通信性能的影响也就越小。6.1.4防火墙规则1.防火墙规则定义

防火墙的规则可以由七元属性组成，这七元属性包括三部分：第一部分是规则号，即规则在防火墙规则集中的位置；第二部分是过滤域，过滤域包含协议类型、源

IP、源端口、目的IP以及目的端口五元属性，防火墙规则根据数据包的这五元属性值进行匹配；第三部分是动作域，动作域是指当数据包与防火墙规则匹配成功后防火墙对数据包进行的操作，一般有允许通过（Accpet）和拒绝通过（Deny）两种。所以一条防火墙规则可以表示为：Rule=<Order,Protocol,Sip,Sport,Dip,Dport,Action>（6-1）

2.规则过滤域关系

过滤域的五元属性的取值可以是某一个区间，所以规则的过滤域之间可能存在关联，一般来说，过滤域之间会存在四种关系：无关、相等、包含和交叉。用Fa表示第a条规则的过滤域，Fa[i]表示过滤域的第i个属性，i=1,2,3,4,5分别对应Protocol、Sip、Sport、Dip、Dport。3.防火墙规则异常

防火墙在对数据包进行匹配过滤时遵循找到第一条匹配成功的规则即终止匹配的原则，因此防火墙规则集对顺序是敏感的，数据包与不同的规则匹配存在先后关系，可能会导致前后规则之间存在异常，一般来说，防火墙规则之间的冲突可以分为以下四类：屏蔽异常、交叉异常、包含异常以及冗余异常。

（1）屏蔽异常。对于规则Ra和Rb，如果a<b，Fa包含Fb并且Ra[Action]≠Rb[Action]，则规则Ra和Rb之间存在屏蔽异常，Rb被Ra屏蔽。一般屏蔽异常是因为防火墙策略配置出错引起的，解决屏蔽异常需要人工检查规则集然后根据实际防火墙策略修正规则。（2）交叉异常。对于规则Ra和Rb，如果Fa和Fb交叉并且Ra[Action]≠Rb[Action]，则规则Ra和Rb之间存在交叉异常。对于存在交叉冲突的规则，将排序靠后的规则的过滤域剔除掉交叉的部分即可解决。（3）包含异常。对于规则Ra和Rb，如果a>b，Fa包含Fb并且Ra[Action]≠Rb[Action]，则规则Ra和Rb之间存在包含异常。一般来说包含异常并不会影响防火墙的正常过滤策略，但是当Ra和Rb的相对关系发生变化时，Rb会被Ra屏蔽。解决包含异常需要将Ra过滤域中包含Rb过滤域的部分剔除，拆分成一条或两条新的规则。（4）冗余异常。对于规则Ra和Rb，如果a<b，Fa包含Fb并且Ra[Action]=Rb[Action]，则规则Ra和Rb之间存在冗余异常，Rb是Ra的冗余规则。解决冗余异常一般直接将Rb直接删除即可。6.2防火墙的体系结构防火墙的体系结构可以分为四类：屏蔽路由器结构、双宿堡垒主机结构、屏蔽主机结构、屏蔽子网结构。6.2.1屏蔽路由器结构屏蔽路由器结构是最基本的防火墙设计结构，它不是采用专用的防火墙设备进行部署，而是在原有的包过滤路由器上进行访问控制。具备这种包过滤技术的路由器通常称为屏蔽路由器防火墙，又称为包过滤路由器防火墙。在实际使用中，系统安全漏洞从被发现到被纠正的一般过程是用户会发现系统中存在错误，而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具，这时人们会认识到这个错误是一个系统安全漏洞，系统供应商发现后会尽快发布针对这个漏洞的补丁程序，纠正这个错误。由于包过滤路由器工作在网络层，其工作效率高，但是也因此无法对应用层提供很好的保护，包过滤规则的设置较为复杂，因而防护能力较弱。6.2.2双宿堡垒主机结构双宿堡垒主机结构如下图所示，双宿堡垒主机是一台至少配有两个网络接口的主机，它可以作为与这些接口相连的网络之间的路由器来使用，在网络之间发送数据包。主机上运行防火墙软件，被保护的内网与外网之间的通信必须通过堡垒主机，因而可以对内网提供保护。而一般情况下双宿堡垒主机的路由功能被禁止使用，因而能够隔离内部网络与外部网络之间的直接通信，从而起到保护内部网络的作用。双宿堡垒主机结构要求的硬件较少，但是堡垒主机本身缺乏保护，因此容易受到攻击。6.2.3屏蔽主机结构屏蔽主机结构如下图所示，这种结构是由一台堡垒主机以及屏蔽路由器共同构成防火墙系统，屏蔽路由器提供对堡垒主机的安全防护。6.2.4屏蔽子网结构屏蔽子网结构如下图所示，这种结构将防火墙的概念扩充至一个由外部和内部屏蔽路由器包围起来的周边网络，并且将易受攻击的堡垒主机，以及组织对外提供服务的Web服务器、邮件服务器以及其他公用服务器放在该网络中。这种在内、外网之间建立的被隔离的子网常被称为隔离网络或非军事区（DemilitarizedZone，DMZ）。被屏蔽子网体系结构的防火墙主要由四部分构成，分别是周边网络、外部路由器、内部路由器以及堡垒主机。6.3工业防火墙技术工业防火墙是工业控制系统信息安全必须配置的设备。工业防火墙技术是工业控制系统信息安全技术的基础。利用工业控制系统防火墙技术可以实现区域管控，划分控制系统安全区域，对安全区域实现隔离保护，保护合法用户访问网络资源。同时，可以对控制协议进行深度解析，可以解析Modbus、DNP3等应用层异常数据流量，并对OPC端口进行动态追踪，对关键寄存器和操作进行保护。6.3.1工业防火墙的概念工业防火墙是应用于工控网络安全的防护产品，用于解析、识别与控制所有通过工业控制网络的数据流量，以抵御来自内外网对工控设备的攻击。工业防火墙的主要功能包括工业协议深度解析、包过滤、端口扫描防护、恶意代码防护、漏洞防护、安全审计、访问权限限定等。工业控制系统防火墙的目的是在不同的安全域之间建立安全控制点，根据预先定义的访问控制策略和安全防护策略，解析和过滤经过工控防火墙的数据流，实现向被保护的安全域提供访问可控的服务请求。在工业网络体系中根据部署位置的不同，工控防火墙一般可以分为两种：机架式工控防火墙和导轨式工控防火墙。6.3.2工业防火墙与传统防火墙的区别工控防火墙和传统防火墙因其所处的环境差异而有所不同，相较而言，传统防火墙主要存在以下两个问题：（1）传统防火墙未装载工业协议解析模块，无法支持工业控制协议解析。工业网络采用的是专用工业协议，工业协议的类别很多，有基于工业以太网（基于二层和三层）的协议，有基于串行链路（RS232、RS485）的协议，这些协议都需要专门的工业协议解析模块来对其进行协议过滤和解析。传统防火墙只针对ICT环境，无法完全支持对工业协议的无/有状态过滤，也无法对工业协议进行深度解析和控制。（2）传统防火墙软硬件设计架构不适应工业网络实时性和生产环境的要求。首先，工业网络环境中工控设备对于实时性传输反馈要求非常高，一个小问题就可能导致某个被控对象停止响应，这就要求接入的工控防火墙必须具备工业网络的实时性要求。而一般的传统防火墙主要应用于传统的ICT环境，在软硬件架构设计之初并未考虑工业网络的实时性，因此传统防火墙无法适应工业网络实时性要求。其次，工业生产对网络安全设备的环境适应性要求很高，很多工业现场甚至处于无人值守的恶劣环境。因此工控防火墙必须具备对工业生产环境可预见的性能支持和抗干扰水平的支持。例如，一般部署在工业现场的防火墙以导轨式为主，该环境对防火墙的环境适应性要求很高，产品往往要求无风扇、宽温支持等。传统防火墙无法适应工业网络严苛复杂的生产环境。6.3.3工业防火墙技术类型工业防火墙技术包括三种类型，分别是包过滤型、状态包检测型、应用代理型。1.包过滤型包过滤技术是路由器最基本的访问控制技术，部署在网络边界上执行访问控制功能，对通过网络的数据进行过滤（Filtering），允许符合网络安全过滤规则（通常称为访问控制列表—ACL列表）的数据包通过，拒绝不符合安全过滤规则的数据包通过，并进行记录或给管理人员发送报警信息。2.状态检测型状态检测技术（StatefulInspection）技术是由包过滤技术发展而来的。包过滤技术的安全检查简单，管理比较复杂，可称为静态包过滤技术。3.应用代理型代理（Proxy）技术与前两种技术不同。代理服务器在应用层对每一特定的应用（如Telne