工控防火墙概述
我们将应用于工业控制网络环境中的防火墙称为工业控制防火墙、工业防火墙或工控防火墙(在本文中主要称为工控防火墙)。和ICT环境的防火墙作用类似,其是一个具体设备(物理或虚拟),用于两个网络之间的隔离控制。在ICT环境中,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。而在ICS环境中,工控防火墙主要部署于管理网(办公网)与生产网之间或部署在控制设备层的边界,对通过的工业控制网络流量进行解析、识别和控制,以抵御来自内外网对工业生产设备的攻击。
工控防火墙和传统防火墙的区别
传统防火墙未装载工业协议解析模块,不理解不支持工业控制协议。工业网络采用的是工业协议,工业协议的类别很多,有基于工业以太网(基于二层和三层)的协议,有基于串行链路的协议,这些协议都需要专门的工业协议解析模块来对其进行协议过滤和解析。传统防火墙只针对于ICT环境,无法完全支持对工业协议的无/有状态过滤,也无法对工业协议进行深度解析和控制。
工业防火墙使用
1.挂架形式不适用:现场电器柜采用工业挂架,传统防火墙多采用机架式部署。
2.环境参数不适用:工业现场环境因行业和工艺不同,需要耐高温、耐低温、防结露、放盐雾、防震、防电磁辐射等参数,传统防火墙不可能对这些需求做出响应。
3.业务连续性需求:现场控制层的安全产品的业务连续性要求不能低于控制产品要求,且现场控制层的通信是设备到设备的,实时性要求极高,对安全产品的延迟和延迟抖动有极高的要求。
4.功能安全需求:现场控制层的安全产品应符合整体系统的功能安全需求,必须具有面向安全侧的失效功能,传统防火墙对失效方面没有相应的功能。