工業(yè)網(wǎng)閘為何物？是如何應用的

近年來，工業(yè)企業(yè)面臨的網(wǎng)絡安全威脅形勢日益嚴峻，尤其在工業(yè)環(huán)境中，工控主機遭到破壞的影響尤為深遠。工業(yè)網(wǎng)閘是專門為工業(yè)網(wǎng)絡應用設計的安全隔離設備，用于解決控制網(wǎng)絡如何安全接入信息網(wǎng)絡的問題以及控制網(wǎng)絡內部不同安全區(qū)域之間安全防護的問題。本文將介紹工業(yè)網(wǎng)閘技術的概念、特點、發(fā)展歷程、技術原理及功能，并分析對比工業(yè)網(wǎng)閘與工業(yè)防火墻之間的優(yōu)劣。引言近年來，勒索軟件成為OT環(huán)境中常見的攻擊手段，勒索病毒已成為工業(yè)互聯(lián)網(wǎng)安全最大的威脅之一，工業(yè)制造已成為最容易被勒索病毒攻擊的行業(yè)；同時，工業(yè)現(xiàn)場的網(wǎng)絡環(huán)境非常重要，對網(wǎng)絡干擾、惡意代碼和病毒滲入非常敏感，一旦遭到破壞、對生產環(huán)境可能造成巨大損害，甚至會造成災難性的事故。工業(yè)網(wǎng)閘是專門為工業(yè)網(wǎng)絡應用設計的安全隔離設備，用于解決控制網(wǎng)絡如何安全接入信息網(wǎng)絡的問題以及控制網(wǎng)絡內部不同安全區(qū)域之間安全防護的問題。本文將介紹工業(yè)網(wǎng)閘技術的概念、特點、發(fā)展歷程、技術原理和功能，以及應用案例，并分析對比工業(yè)網(wǎng)閘與工業(yè)防火墻之間的優(yōu)劣。工業(yè)網(wǎng)閘為何物工業(yè)網(wǎng)閘的概念及特點公安部第三研究所起草，全國信息安全標準化技術委員會歸口管理的《信息安全技術工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)安全技術要求》中提到了對工業(yè)網(wǎng)閘的定義：工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)部署于工業(yè)控制網(wǎng)絡中不同的安全域之間，采用協(xié)議隔離技術實現(xiàn)兩個安全域之間訪問控制、協(xié)議轉換、內容過濾和信息交換等功能的產品。圖1工業(yè)網(wǎng)閘（圖源：英塞克鐵牛智能）在工業(yè)控制系統(tǒng)層次結構模型中，工業(yè)網(wǎng)閘可部署于工業(yè)控制網(wǎng)絡邊界、生產管理層與過程監(jiān)控層之間，能夠保護工業(yè)控制網(wǎng)絡、過程監(jiān)控層網(wǎng)絡及現(xiàn)場控制層網(wǎng)絡。除了具備域間邊界隔離的功能，工業(yè)網(wǎng)閘還具備傳統(tǒng)網(wǎng)閘最基本的訪問控制和應用層過濾防護功能，并且支持如OPC、Modbus等主流工業(yè)控制協(xié)議的深度解析，能夠實現(xiàn)規(guī)約合法性檢查和深度功能碼、操作碼過濾等功能，從而能夠實現(xiàn)對工業(yè)網(wǎng)絡數(shù)據(jù)的安全傳輸。圖2工業(yè)網(wǎng)閘控制網(wǎng)絡部署圖（圖源：安盟股份）工業(yè)網(wǎng)閘的發(fā)展歷程網(wǎng)閘技術的誕生，可以追溯到上世紀90年代中期，最早出現(xiàn)在美國、以色列等國的軍方，用以解決涉密網(wǎng)絡與公共網(wǎng)絡連接時的安全問題。當時俄羅斯人RyJones提出了“空氣縫隙隔離（AirGap）”的安全隔離概念。隨后，以色列研制成功物理隔離卡，實現(xiàn)網(wǎng)絡之間的安全隔離；美國和以色列又先后推出了e-Gap和NetGap產品，利用專有硬件實現(xiàn)兩個網(wǎng)絡在安全隔離的情況下進行數(shù)據(jù)安全交換。工業(yè)網(wǎng)閘技術從第一代到第三代，經(jīng)歷了從單刀雙擲開關到虛擬專用網(wǎng)絡（VPN）協(xié)議，再到工業(yè)協(xié)議深度解析的發(fā)展歷程。總的來說，工業(yè)網(wǎng)閘技術的發(fā)展歷程是從物理隔離向邏輯隔離發(fā)展，從解決基本的網(wǎng)絡協(xié)議攻擊向解決更復雜的工業(yè)協(xié)議攻擊發(fā)展。第一代工業(yè)網(wǎng)閘基于單刀雙擲開關，通過內外網(wǎng)的處理單元分時存取共享存儲設備來完成數(shù)據(jù)交換。在AirGap情況下實現(xiàn)數(shù)據(jù)交換，其安全原理是通過應用層數(shù)據(jù)提取與安全審查，達到杜絕基于協(xié)議層的攻擊和增強應用層安全的效果。但由于基于GAP技術的網(wǎng)閘使得內外網(wǎng)共用了存儲設備，因此不能夠滿足物理隔離的要求?；趩蔚峨p擲開關的網(wǎng)閘技術雖然剝離了網(wǎng)絡特性，從而徹底解決了基于網(wǎng)絡協(xié)議的攻擊，但受到電子開關切換速度的限制，整體處理性能相對較低，帶來的后果是較低的吞吐量、較低的并發(fā)連接數(shù)和較大的交換延遲，容易成為網(wǎng)絡的瓶頸。同時，存儲設備因受到持續(xù)快速的通電與斷電的影響，導致壽命大大縮短，往往會因失效或損壞而使數(shù)據(jù)交換過程中斷。隨著技術的發(fā)展，第二代工業(yè)網(wǎng)閘開始利用虛擬專用網(wǎng)絡（VPN）協(xié)議進行數(shù)據(jù)傳輸。VPN協(xié)議可以在公共網(wǎng)絡上建立加密通道，使得工業(yè)網(wǎng)閘可以實現(xiàn)對數(shù)據(jù)的加密和認證，進一步提高了數(shù)據(jù)傳輸?shù)陌踩?。第三代工業(yè)網(wǎng)閘則采用了工業(yè)協(xié)議深度解析技術。這種技術可以針對具體的工業(yè)協(xié)議進行深度解析，提取出協(xié)議中的關鍵信息，并進行安全審查和過濾。這使得工業(yè)網(wǎng)閘不僅能夠實現(xiàn)基于網(wǎng)絡協(xié)議的攻擊防護，還能夠對特定的工業(yè)協(xié)議進行深度防護。圖3工業(yè)網(wǎng)閘發(fā)展歷程工業(yè)網(wǎng)閘的技術原理工業(yè)網(wǎng)閘系統(tǒng)架構網(wǎng)閘通用的系統(tǒng)架構為“2+1”系統(tǒng)架構，該架構是指采用雙主機架構，包括內端機、外端機和隔離控制單元。隔離控制單元采用專用的私有協(xié)議，用于內端處理單元和外端處理單元之間的通信，以提高工業(yè)控制網(wǎng)絡邊界的安全防護能力；內端機與外端機各自獨立，但通過隔離控制單元進行通信。圖4網(wǎng)閘通用“2+1”系統(tǒng)架構（來源：知乎-邊界安全之二網(wǎng)閘）工業(yè)網(wǎng)閘采用“2+1”結構，即2個主機和1個隔離板，數(shù)據(jù)純單向傳輸。隔離板為雙FPGA組成，數(shù)據(jù)傳輸使用基于SERDES（Serializer/Deserializer，串行化/解串行化）技術的高速串行通信，數(shù)據(jù)封裝使用自定義格式，傳輸速率取決于其所支持的接口與協(xié)議，以及硬件性能、所處理的數(shù)據(jù)量、協(xié)議處理效率；常見的以太網(wǎng)網(wǎng)閘傳輸速率有10Mbps、100Mbps、1000Mbps、10Gbps，串行通信網(wǎng)閘一般在幾十kbps至幾Mbps之間，其他類型網(wǎng)閘如Profinet、Modbus、CAN等專用協(xié)議網(wǎng)閘在數(shù)十kbps至數(shù)百kbps之間。圖5工業(yè)網(wǎng)閘系統(tǒng)架構工業(yè)網(wǎng)閘技術原理工業(yè)網(wǎng)閘是一種重要的網(wǎng)絡安全設備，主要用于保護工業(yè)控制系統(tǒng)（ICS）免受網(wǎng)絡攻擊。它通過物理隔離和數(shù)據(jù)擺渡的機制，實現(xiàn)了內外網(wǎng)的安全隔離。工業(yè)網(wǎng)閘的硬件部分包括兩個主要部分：接口機A和接口機B。接口機A連接外部網(wǎng)絡，而接口機B連接內部網(wǎng)絡。這兩臺接口機取消了所有系統(tǒng)自帶的網(wǎng)絡功能，例如ICMP協(xié)議、所有TCP協(xié)議以及OPC、Modbus等工業(yè)控制協(xié)議，從而使得內外網(wǎng)的用戶和網(wǎng)絡掃描工具無法感知工業(yè)網(wǎng)閘的存在。在軟件層面，工業(yè)網(wǎng)閘通常配備一個客戶端，這個客戶端只能運行在特定的主機上，這些主機被稱為節(jié)點機。節(jié)點機通過預設的端口與工業(yè)網(wǎng)閘進行單向通信，從而實現(xiàn)內外網(wǎng)數(shù)據(jù)的交換。工業(yè)網(wǎng)閘的數(shù)據(jù)交換不使用TCP/IP協(xié)議，而是通過特定的硬件卡或者存儲設備建立一個數(shù)據(jù)交換區(qū)，這種方式提高了數(shù)據(jù)交換的安全性，可抵御如中間人攻擊等。圖6工業(yè)網(wǎng)閘工作原理工業(yè)網(wǎng)閘如何實現(xiàn)業(yè)務數(shù)據(jù)自動交換工業(yè)網(wǎng)閘可以在物理層實現(xiàn)對內、外網(wǎng)的隔離和控制，防止網(wǎng)絡攻擊和信息泄露，其在保證業(yè)務通訊隔離的基礎上，實現(xiàn)了數(shù)據(jù)交換。工業(yè)網(wǎng)閘的設計重點不僅在隔離與交換的控制邏輯設計上，還包括業(yè)務代理的實現(xiàn)模式上。通過工業(yè)網(wǎng)閘實現(xiàn)業(yè)務數(shù)據(jù)自動交換的原理模型如下：圖7工業(yè)網(wǎng)閘實現(xiàn)業(yè)務數(shù)據(jù)自動交換原理模型在內網(wǎng)和外網(wǎng)之間，內網(wǎng)接口單元和外網(wǎng)接口單元分別作為數(shù)據(jù)交換的門戶，它們之間的文件或者數(shù)據(jù)傳輸通常需要通過文件交換緩沖區(qū)來完成，以優(yōu)化傳輸效率。同時，隔離與交換控制單元作為安全監(jiān)控點，確保數(shù)據(jù)交換的安全性和合規(guī)性。在內網(wǎng)側，數(shù)據(jù)經(jīng)過處理和審核后，通過內網(wǎng)接口單元進入內網(wǎng)，在內網(wǎng)內部經(jīng)過必要的處理后，再通過內網(wǎng)交換文件緩沖區(qū)傳輸至相應的內網(wǎng)資源或用戶；外網(wǎng)同理。工業(yè)網(wǎng)閘的基本特性網(wǎng)閘設備的基本特性主要包括無完整網(wǎng)絡連接，單向傳輸，數(shù)據(jù)格式認證三個方面，工業(yè)網(wǎng)閘也不例外。正是具備以上特性，網(wǎng)閘才可以杜絕兩端網(wǎng)絡建立任何TCP/IP網(wǎng)絡連接，保證物理隔離的同時，還能達到傳輸特定數(shù)據(jù)的目的。無完整網(wǎng)絡連接是指通過網(wǎng)閘的擺渡控制，讓數(shù)據(jù)交換區(qū)與內外網(wǎng)在任意時刻不能同時連接，該設計中斷了內外網(wǎng)的直接連接，使得內外網(wǎng)達到物理隔離效果。一般的網(wǎng)絡應用包括病毒，木馬等都無法經(jīng)過網(wǎng)閘建立所需的網(wǎng)絡連接。單向傳輸是指網(wǎng)閘硬件與軟件之間采用特定的私有協(xié)議，保證與預設方向相反的方向無法傳輸數(shù)據(jù)，HTTP，F(xiàn)TP，SMTP等協(xié)議均無法通過。如果內外網(wǎng)需要數(shù)據(jù)交互，一般需要部署正向反向兩套網(wǎng)閘，采用不同的策略，通過內外網(wǎng)不同的節(jié)點機分別執(zhí)行數(shù)據(jù)發(fā)送。數(shù)據(jù)格式認證是指不支持協(xié)議解析，不透傳業(yè)務應用，只對認證后的特定文件格式的數(shù)據(jù)文件進行擺渡，從而確保數(shù)據(jù)的安全和完整性，防止惡意代碼和攻擊者入侵，保護內部網(wǎng)絡資源；該特性有助于提高企業(yè)網(wǎng)絡的安全性和穩(wěn)定性，降低安全風險。工業(yè)網(wǎng)閘的功能工業(yè)網(wǎng)閘主要用于實現(xiàn)工業(yè)控制系統(tǒng)與其他網(wǎng)絡（如辦公網(wǎng)絡、互聯(lián)網(wǎng)等）之間的安全隔離和數(shù)據(jù)交換，它可以實現(xiàn)內外部網(wǎng)絡的安全隔離，確保工業(yè)控制系統(tǒng)的穩(wěn)定運行，同時滿足生產過程中對數(shù)據(jù)交換的需求。其功能主要有以下八點：物理隔離：工業(yè)網(wǎng)閘通過物理連接實現(xiàn)工業(yè)控制系統(tǒng)與其他網(wǎng)絡的隔離，確保工業(yè)控制系統(tǒng)的安全性。數(shù)據(jù)交換：工業(yè)網(wǎng)閘能夠在隔離的網(wǎng)絡之間進行數(shù)據(jù)交換，實現(xiàn)信息的傳輸。例如，辦公網(wǎng)絡需要與工業(yè)控制網(wǎng)絡交換數(shù)據(jù)時，可以通過工業(yè)網(wǎng)閘進行安全的數(shù)據(jù)傳輸。協(xié)議解析：工業(yè)網(wǎng)閘能夠解析不同網(wǎng)絡之間的協(xié)議，如工業(yè)控制系統(tǒng)的Modbus、Profinet等協(xié)議，以及辦公網(wǎng)絡的HTTP、SMTP等協(xié)議。負載均衡：工業(yè)網(wǎng)閘可以實現(xiàn)網(wǎng)絡負載的均衡，確保工業(yè)控制系統(tǒng)不會因為外部網(wǎng)絡的沖擊而受到影響。冗余備份：工業(yè)網(wǎng)閘支持冗余備份，當一臺網(wǎng)閘出現(xiàn)故障時，另一臺網(wǎng)閘可以立即接管其工作，確保系統(tǒng)的連續(xù)穩(wěn)定運行。集成管理：工業(yè)網(wǎng)閘可以與其他安全設備（如防火墻、入侵檢測系統(tǒng)等）進行集成管理，方便用戶對整個工業(yè)控制系統(tǒng)進行統(tǒng)一的安全管控。圖8工業(yè)網(wǎng)閘的功能工業(yè)網(wǎng)閘與工業(yè)防火墻對比什么是工業(yè)防火墻傳統(tǒng)的防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障，是一種獲取安全性方法的形象說法。防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻可以看作是一個位于計算機與所連接網(wǎng)絡之間的軟件或硬件，計算機流入流出的所有網(wǎng)絡通信和數(shù)據(jù)包均需經(jīng)過防火墻。相較于傳統(tǒng)的防火墻，除了具備安全防護功能外，工業(yè)防火墻還內置了針對工控協(xié)議的解析與過濾的模塊，該模塊能夠識別和提取數(shù)據(jù)包的特征集，利用智能算法和機器學習技術，如支持向量機等功能，通過白名單機制來阻止異常指令和攔截非工控協(xié)議，從而為工控網(wǎng)絡提供了更為精準和深入的安全保護，確保了工業(yè)操作的穩(wěn)定性和安全性。與工業(yè)防火墻對比工業(yè)網(wǎng)閘和工業(yè)防火墻在保護工業(yè)控制網(wǎng)絡方面都有重要作用，但它們在安全防護層次、工作原理和應用場景上存在一些區(qū)別。在安全防護層次上，工業(yè)網(wǎng)閘應用于工控網(wǎng)絡與信息網(wǎng)絡之間的邊界，主要是為了隔離和控制兩個網(wǎng)絡之間的數(shù)據(jù)流，確保工業(yè)控制系統(tǒng)的安全運行。而工業(yè)防火墻通常部署在工控網(wǎng)絡與企業(yè)網(wǎng)絡之間的邊界，或者是工控網(wǎng)絡內部的關鍵節(jié)點上，以監(jiān)控和控制進出工控網(wǎng)絡的數(shù)據(jù)流。在工作原理上，工業(yè)網(wǎng)閘主要利用物理隔離和專用硬件控制實現(xiàn)兩個網(wǎng)絡之間的安全數(shù)據(jù)交換，它通常在兩個獨立主機系統(tǒng)之間建立物理隔離，確保內外網(wǎng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令和信息傳輸。工業(yè)防火墻則通過檢測和過濾工業(yè)協(xié)議中的惡意指令，實現(xiàn)對工業(yè)控制系統(tǒng)的保護，它可以識別和阻止惡意流量，從而保護工業(yè)控制系統(tǒng)免受網(wǎng)絡攻擊。在應用場景方面，工業(yè)網(wǎng)閘主要應用于工業(yè)生產控制系統(tǒng)與信息系統(tǒng)之間的安全數(shù)據(jù)采集和物理隔離。它可以確保工業(yè)控制系統(tǒng)在各個層面的安全，適用于對工業(yè)控制系統(tǒng)安全要求極高的場景，如關鍵基礎設施、核設施等。而工業(yè)防火墻可以有效防止網(wǎng)絡攻擊和數(shù)據(jù)泄露，適用于對工業(yè)控制系統(tǒng)安全要求較高的場景，如石油、