工業(yè)控制網(wǎng)絡中的防火墻

　　這些決定都基于一系列的規(guī)則，該規(guī)則通常被稱為訪問控制列表(ACL)。防火墻具有不同的類型，每種類型都具有復雜的分析和行動能力。下面給予分別介紹。

　　1.包過濾防火墻

　　最簡單一類的防火墻被稱為包過濾防火墻。它具有一系列的靜態(tài)規(guī)則，對收到的報文按規(guī)則采取行動。下面的示例表明了包過濾防火墻是如何按規(guī)則處理數(shù)據(jù)包的：

　　?在用戶數(shù)據(jù)報協(xié)議(UDP)端口53上接受域名服務(DNS)響應數(shù)據(jù)包;

　　?阻止因特網(wǎng)協(xié)議(IP)地址為的任何數(shù)據(jù);

　　?通過阻斷傳輸訪問控制協(xié)議(TCP)端口80、443、3128、8000和8080傳出的數(shù)據(jù)包以阻止網(wǎng)上沖浪，除非他們指向企業(yè)內部網(wǎng)Web服務器的IP地址;

　　?丟棄源路由包;

　　?接受來自特定IP地址范圍的工程操作站，通過TCP端口23遠程登錄(telnet)到一個特定的分布式控制系統(tǒng)(DCS)IP地址的數(shù)據(jù)。

　　不幸的是，包過濾防火墻缺乏理解一系列數(shù)據(jù)包之間關系的能力。例如，廣泛適用的規(guī)則“接受UDP端口53上的DNS響應數(shù)據(jù)包”包含一個嚴重的缺陷。如果DNS沒有發(fā)過查詢，而用一個偽造的DNS“響應”包來代替呢?這個簡單的防火墻會接受這個數(shù)據(jù)包，并提供給“請求”主機，這可能會帶來麻煩。比較狡猾的黑客會利用防火墻的這些弱點潛入內部系統(tǒng)。

　　包過濾防火墻的優(yōu)點具有：成本低廉且對網(wǎng)絡性能影響較小，因為只檢查數(shù)據(jù)包中的IP地址和端口號。這種方法有時也稱為靜態(tài)過濾。它往往是直接部署在交換機或路由器的第3層，而不是專用的“防火墻”。

　　2.狀態(tài)防火墻

　　這是一種更復雜的防火墻，具有智能跟蹤流經(jīng)的數(shù)據(jù)包，以及了解他們之間的相互關系。因為具有接收包的歷史和當前連接的狀態(tài)，它只能接收“預期”的數(shù)據(jù)包。由于防火墻是智能的，所以有條件制定狀態(tài)防火墻的規(guī)則集。例如：

　　?只有當發(fā)出的DNS查詢與相同的DNS請求標識相匹配時，才接收UDP端口53上的DNS響應數(shù)據(jù)包。

　　?僅在控制通道協(xié)商成功后，才允許文件傳輸協(xié)議(FTP)通道傳輸數(shù)據(jù)。

　　?阻止所有源自TCP端口80傳入的網(wǎng)絡數(shù)據(jù)，除非他是專門針對先前傳出的超??文本傳輸??協(xié)議(HTTP)的請求。

　　這種類型的防火墻提供了一種高層次的安保和性能，以及對最終用戶的透明度，但價格比較昂貴。由于它的復雜性，如果沒有相關資質的人員管理，這類防火墻可以比簡單類型的防火墻更不安保。這種方法有時也稱為動態(tài)包過濾。

　　3.應用代理防火墻

　　應用代理防火墻在應用層打開數(shù)據(jù)包，按照特定的應用規(guī)則來處理他們，然后重新組裝，轉發(fā)到所需的目標設備。通常，它們被設計成針對于各種應用協(xié)議(如Telnet、FTP、HTTP等)的單一機器，隨后轉發(fā)到各個主機計算機完成各項服務?？蛻舳瞬恢苯舆B接外部服務器，而是連接代理防火墻，需要時由代理防火墻發(fā)起連接外部服務器的請求。有些代理防火墻，支持配置內部客戶端自動執(zhí)行這種重定向，且不用用戶知道。有些人可能會要求用戶直接連接代理服務器，然后通過指定的格式發(fā)起連接。

　　代理防火墻提供了一些重要的安保特性，例如防火墻可以識別和控制有些應用協(xié)議。它可以對應用協(xié)議使用訪問控制列表，在要求用戶或系統(tǒng)授權訪問之前提供額外的驗證。此外，可以創(chuàng)建規(guī)則集，用于理解特定的協(xié)議，可以僅為阻止協(xié)議子集進行配置。例如，可以創(chuàng)建這樣的HTTP防火墻規(guī)則：阻止所有含腳本的HTTP數(shù)據(jù)包入站。相比之下，過濾路由器要么阻止所有的HTTP數(shù)據(jù)，要么不阻止，而不是阻止一個子集。

　　這種類型的防火墻可以提供一個高水平的安保，但也明顯影響了網(wǎng)絡性能。此外，大部分應用代理防火墻產(chǎn)品只支持幾種常見的因特網(wǎng)協(xié)議，如HTTP、FTP或簡單郵件傳輸協(xié)議(SMTP)。其結果是，對含有工業(yè)應用層協(xié)議的報文，如公共工業(yè)協(xié)議?(CIP)或Modbus / TCP?，需要在防火墻狀態(tài)或包過濾模式中增加對工業(yè)應用層協(xié)議的數(shù)據(jù)處理。

　　在過去的幾年中，市場上出現(xiàn)了很多利用狀態(tài)與應用代理技術組合的防火墻，他們通常被稱為混合型防火墻。

　　4.深度包檢測防火墻

　　防火墻市場目前已經(jīng)遷移到了第四代技術，被稱為“深度包檢測”(DPI)或“應用防火墻”。比起傳統(tǒng)的應用代理，它通常提供更深入的應用層過濾，但不執(zhí)行完整的TCP連接代理。例如，DPI防火墻能夠用可擴展標記語言(XML)在Web連接上檢查簡單對象訪問協(xié)議(SOAP)的對象，實施允許/禁止什么對象進入網(wǎng)絡的政策。

　　其他防火墻服務

　　除了數(shù)據(jù)包過濾的核心服務，現(xiàn)代的防火墻還提供其他基于網(wǎng)絡的安保服務。這些服務可能包括：

　　1.執(zhí)行像入侵檢測系統(tǒng)(IDS)的功能，可以記錄被拒絕訪問的數(shù)據(jù)包，識別專門導致網(wǎng)絡問題的數(shù)據(jù)包，或報告異常的信息流。

　　2.在防火墻上部署“一線”的防病毒軟件。如果發(fā)現(xiàn)有感染數(shù)據(jù)的特征，這種數(shù)據(jù)在進入網(wǎng)絡前就被阻止。

　　3.身份驗證服務，要求用戶連接到防火墻另一側的設備使用密碼或強大的驗證方法(如公共密鑰加密)通過防火墻驗證。

　　4.虛擬專用網(wǎng)(VPN)網(wǎng)關服務，在防火墻和遠程主機設備之間建立一個加密的隧道。

　　5.網(wǎng)絡地址轉換(NAT)，在防火墻一側的一組IP地址映射到另一側不同的一組地址。

　　這些額外的服務將依賴于購買的防火墻的品牌和型號。顯然，這些附加功能可能意味著額外的成本，增加了配置的復雜性并降低了網(wǎng)絡的性能。然而，利用了這些功能，往往能顯著提高IACN / SCADA網(wǎng)絡的整體安保性能。

（轉載）