从美通社获知,近日,天地和兴旗下“地盾”系列工控防火墙顺利通过公安部计算机信息系统安全产品质量检测,测试,取得工业控制系统专用防火墙(增强级)销售许可证(以下简称销售许可证)。天地和兴作为国内工业网络安全,者,凭借其在工业网络安全领域深耕数十年的服务经验,不断精雕细琢各类工业网络安全产品,以求给用户提供更好的使用体验。工控防火墙作为天地和兴旗下防护类主打产品,拥有国内,的工控协议深度内容检测技术。天地和兴能够在国内第一个取得工业控制系统专用防火墙(增强级)销售许可证,不仅仅代表国家相关部门对天地和兴安全产品的认可,更是天地和兴综合实力的体现。
国家现行的关于工业控制系统专用防火墙的标准是在今年三月份正式才开始实施。在此之前,国家标准化管理委员会未曾发布任何有关工业控制系统专用防火墙的标准。尽管市面上的工控防火墙层出不穷,但大多都是在通用防火墙的基础上增加工业控制协议解析的相关功能包装而来。品种繁多,花样百出的工控防火墙已经让想要购买此类安全产品的企业挑花了眼,如今《GB/T 37933——2019信息安全技术 工业控制系统专用防火墙技术要求》标准已经发布,什么样的墙最适合工控企业,相信你已经有了答案。
今天,天地和兴将通过比较两个现行的防火墙相关标准GB/T 28201—2015和GB/T 37933—2019的部分内容,带你深入了解工业控制系统专用防火墙。
1、包过滤安全技术要求对比
安全技术要求 | 20281-2015增强级 | 37933-2019基本级 | 37933-2019增强级 | |
网 络 层 控 制 — — 包 过滤 | 1.安全策略应使用默认禁止原则,即处非明确允许,否则就禁止 | √ | √ | √ |
2.安全策略应包含基于源IP地址、目的IP地址的访问控制 | √ | √ | √ | |
3.安全策略应包含基于源端口、目的端口的得访问控制 | √ | √ | √ | |
4.安全策略应包含基于协议类型的访问控制 | √ | √ | √ | |
5.安全策略可包含基于MAC的访问控制 | √ | √ | √ | |
6.安全策略可包含基于时间的访问控制 | √ | 无 | √ | |
7.应支持用户自定义策略,安全策略可以是MAC地址、IP地址、端口、协议类型和时间的部分或全部组合 | √ | √ | √ |
基本级工控防火墙最多支持包括源/目的IP、源/目的端口、源/目的MAC及协议类型的七元组包过滤策略,而增强级工控防火墙聚力升级,在原有基础上又增加了基于时间的访问控制,与通用防火墙的包过滤策略持平,更加细粒度化工业网络中流量包的策略管理。
2、NAT安全技术要求对比
安全技术要求 | 20281-2015增强级 | 37933-2019基本级 | 37933-2019增强级 | |
网络 层控制— —NAT | 1.应支持双向NAT:SNAT和DNAT | √ | √ | √ |
2.SNAT应至少可实现“多对一”地址转换,使得内部网络主机访问外部网络时,其原IP地址被转换 | √ | √ | √ | |
3.DNAT应至少可实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址/端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问 | √ | 无 | √ | |
4.应支持动态SNAT技术,实现“多对多”的SNAT | √ | 无 | 无 |
NAT即网络地址转换,该功能最初出现是为了通过使用少量的公有IP地址代替私有IP地址,从而达到减缓可用IP地址枯竭的目的,而与此同时也衍生出了它的其它功能:隐藏局域网内部IP,保护内部主机免受攻击;平衡负载;端口转发等。相较基本级工控防火墙只能实现内网地址的隐藏功能,增强级工控防火墙为了满足工控系统内部服务器需要对外网用户提供服务的业务场景,在此基础上增加对DNAT实现一对多转换功能。而相对于通用防火墙需要应对大量主机同时上网的情况,工控防火墙并没有要求支持多对多SNAT的要求。
3、流量监测安全技术要求对比
安全技术要求 | 20281-2015增强级 | 37933-2019基本级 | 37933-2019增强级 | |
网络层 控制— —流量监测 | 1.能够通过IP地址、网络服务、时间和协议类型等参数或他们的组合对流量进行正确的统计 | √ | 无 | √ |
2.能够实时或者以报表形式输出流量统计结果 | √ | √ | ||
3.能够对流量超过预警值的行为进行告警 | √ |
增强级工控防火墙要求可对防火墙监控区域内的网络总流量、并发连接数、设备流量排名、协议流量排名、接口流量等进行统计,并基于正常的流量基线及时对异常流量行为进行告警。流量监测不仅能够发现、预防网络流量中的瓶颈,还为网络性能优化提供依据,更能帮助用户排查出各种病毒感染的主机风险。
4、应用协议控制安全技术要求对比
安全技术要求 | 20281-2015增强级 | 37933-2019基本级 | 37933-2019增强级 | |
应用层 控制— —应用 协议控制 | 1.http、FTP、Telnet、SMTP和POP3等常见应用 | √ | √ | √ |
2.及时聊天类应用、P2P流媒体类应用、网络流媒体类应用、网络游戏、股票软件 | √ | 无 | 无 | |
3.逃逸或隧道加密特点的应用 | √ | 无 | 无 | |
3.自定义应用类型 | √ | 无 | √ | |
4.支持常用工业控制协议、如OPC、Modbus TCP、Profinet、BACnet、DNP3、IEC104等 | 无 | √ | √ |
增强级工控防火墙除配有常见的预定义服务方便用户引用,另增加了自定义服务功能可对私有协议进行识别,更能灵活地适应多种工业生产控制场景。而相对于通用防火墙,减少了对一些工业控制环境中并不需要的第三方应用的识别控制。
5、工业协议深度内容检测安全技术要求对比
安全技术要求 | 20281-2015增强级 | 37933-2019基本级 | 37933-2019增强级 | |
应用层 控制— —工业 协议深 度内容 检测 | 1.工控协议格式规约检查,禁止不符合协议规约的通信 | 无 | √ | √ |
2.对工业协议的操作类型、操作对象、操作范围等参数进行控制 | √ | √ | ||
3.至少支持三种主流工控协议 | 无 | √ |
这是工控防火墙最核心的功能。GB/T 37933-2019规定了增强级工控防火墙至少应支持三种以上的常用工控协议,并且对工控协议内容检测的细节问题也进行了明确要求。深度检测过程大致如下:对流入的网络流量首先进行协议格式检查,发现不符合协议标准的访问数据包时及时阻断,之后对请求的数据包内容进行检查。以Modbus为例,增强级工控防火墙支持对Modbus的几十位功能码进行细粒度解析,对读写操作,地址范围及操作值进行检查,此外还可对功能码进行自定义。
除了以上技术要求对比外,应用于工业控制环境的防火墙与通用防火墙还有以下应用差异:
1. 用于工业控制环境的防火墙比通用防火墙具有更高的环境适应能力,如:低功耗、宽温、防护等级等要求;
2. 工业控制环境中,通常流量相对较小,但对控制命令的执行要求具有实时性。因此,工业控制防火墙的吞吐量性能要求可相对低一些,而对实时性要求更高;
3. 工业控制环境下的防火墙比通用防火墙具有更高的可靠性、稳定性要求,如:硬件bypass设计、标配冗余电源等。
天地和兴工控防火墙采用工业级的专用硬件平台,支持DIN导轨式和机架式安装,采用了低功耗、宽温等工业设计,支持IP40防护等级;拥有全面的攻击防护能力,具有自学习白名单、全适应IPV6、与平台类设备联动等一系列功能,完全符合《GB/T 37933——2019信息安全技术 工业控制系统专用防火墙技术要求》标准要求。天地和兴工控防火墙现已广泛应用于电力、轨道交通、钢铁冶金、石油石化、智能制造等工业领域,时刻保障国家关键信息基础设施安全运行。