版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
工業(yè)控制系統(tǒng)應用與安全防護技術第6章
工業(yè)控制系統(tǒng)防火墻技術6.1防火墻概述防火墻是由位于兩個信任程度不同的網(wǎng)絡之間的軟件或與硬件設備組合而成的一種裝置,集多種安全機制為一體,它是網(wǎng)絡之間信息的唯一通道,能夠?qū)蓚€網(wǎng)絡之間的通信進行控制。防火墻作為一個過濾器,阻止了不必要的網(wǎng)絡流量,保證了受保護網(wǎng)絡與其他網(wǎng)絡之間的合法通信,限制了受保護網(wǎng)絡與其他網(wǎng)絡之間的非法通信。6.1.1防火墻的定義國家標準《信息安全技術防火墻安全技術要求和測試評價方法》(GB/T20281-2020)給出的防火墻(Firewall)定義為:防火墻是對經(jīng)過的數(shù)據(jù)流進行解析,并實現(xiàn)訪問控制及安全防護功能的網(wǎng)絡安全產(chǎn)品。根據(jù)這個定義,防火墻具有以下4個基本特征:(1)部署位置上,防火墻是一個邊界網(wǎng)關,設置在不同網(wǎng)絡(如可信的企業(yè)內(nèi)部網(wǎng)絡和不可信的公共網(wǎng)絡)或不同安全域之間,而且應當是不同網(wǎng)絡或不同安全域之間信息的唯一出入口。(2)工作原理上,防火墻根據(jù)網(wǎng)絡安全策略對流經(jīng)的數(shù)據(jù)信息進行解析、過濾、限制等控制。(3)性能上,防火墻應具有較高的數(shù)據(jù)信息處理效率和較強的自身抗攻擊能力。(4)功能上,防火墻主要在網(wǎng)絡層、傳輸層和應用層控制出入網(wǎng)絡的信息流,新型防火墻還能實現(xiàn)對更多應用層程序的訪問控制、信息泄露防護、惡意代碼防護及入侵防御等功能,保證受保護部分的安全。6.1.2防火墻的主要技術指標防火墻的主要技術指標包括吞吐量、時延、并發(fā)連接數(shù)、丟包率等,以下分別進行說明。1)吞吐量(Throughput)網(wǎng)絡中的數(shù)據(jù)是由一個個數(shù)據(jù)幀組成,防火墻對每個數(shù)據(jù)幀的處理都要耗費資源。吞吐量是指在通信過程中沒有任何數(shù)據(jù)幀丟失,防火墻所能接收和轉(zhuǎn)發(fā)數(shù)據(jù)幀的最大速率。2)時延(TimeDelay)網(wǎng)絡的應用越來越普遍,當防火墻在網(wǎng)絡中進行應用后,其對數(shù)據(jù)的處理會產(chǎn)生一定的時延,如果時延較大將對應用產(chǎn)生不良影響。3)并發(fā)連接數(shù)(ConcurrentConnections)并發(fā)連接數(shù)是衡量防火墻性能的—個重要指標,在IETFRFC2647中將該指標定義為一種最大的連接數(shù),該連接通常建立在防火墻的主機之間,也可以是建立在防火墻和主機之間。4)丟包率(PacketLossRate)丟包率是指在正常穩(wěn)定的網(wǎng)絡狀態(tài)下,數(shù)據(jù)包應該被轉(zhuǎn)發(fā),但由于缺少資源而沒有被轉(zhuǎn)發(fā)的數(shù)量占全部數(shù)據(jù)包數(shù)量的百分比。較低的丟包率,意味著防火墻在強大的負載壓力下,能夠穩(wěn)定的工作,可以適應各種復雜網(wǎng)絡應用和較大數(shù)據(jù)流量對處理性能的高要求。6.1.3防火墻的分類1.按防火墻表現(xiàn)形態(tài)分類按照防火墻表現(xiàn)形態(tài)進行分類一般可以分為軟件防火墻和硬件防火墻兩類。2.按防火墻的應用部署位置分類按防火墻的應用部署位置分類包括邊界防火墻、個人防火墻、混合防火墻。3.按防火墻通道帶寬分類如果按防火墻的通道帶寬,或者說是吞吐量來分類可以分為百兆級防火墻、千兆級防火墻和萬兆級防火墻等。因為防火墻通常位于網(wǎng)絡邊界,所以十兆級帶寬的防火墻一般不能夠滿足需求。當然通道帶寬越寬,性能越高,這樣的防火墻因為包過濾或應用代理所產(chǎn)生的延時會越小,對整個網(wǎng)絡通信性能的影響也就越小。6.1.4防火墻規(guī)則1.防火墻規(guī)則定義
防火墻的規(guī)則可以由七元屬性組成,這七元屬性包括三部分:第一部分是規(guī)則號,即規(guī)則在防火墻規(guī)則集中的位置;第二部分是過濾域,過濾域包含協(xié)議類型、源
IP、源端口、目的IP以及目的端口五元屬性,防火墻規(guī)則根據(jù)數(shù)據(jù)包的這五元屬性值進行匹配;第三部分是動作域,動作域是指當數(shù)據(jù)包與防火墻規(guī)則匹配成功后防火墻對數(shù)據(jù)包進行的操作,一般有允許通過(Accpet)和拒絕通過(Deny)兩種。所以一條防火墻規(guī)則可以表示為:Rule=<Order,Protocol,Sip,Sport,Dip,Dport,Action>(6-1)
2.規(guī)則過濾域關系
過濾域的五元屬性的取值可以是某一個區(qū)間,所以規(guī)則的過濾域之間可能存在關聯(lián),一般來說,過濾域之間會存在四種關系:無關、相等、包含和交叉。用Fa表示第a條規(guī)則的過濾域,F(xiàn)a[i]表示過濾域的第i個屬性,i=1,2,3,4,5分別對應Protocol、Sip、Sport、Dip、Dport。3.防火墻規(guī)則異常
防火墻在對數(shù)據(jù)包進行匹配過濾時遵循找到第一條匹配成功的規(guī)則即終止匹配的原則,因此防火墻規(guī)則集對順序是敏感的,數(shù)據(jù)包與不同的規(guī)則匹配存在先后關系,可能會導致前后規(guī)則之間存在異常,一般來說,防火墻規(guī)則之間的沖突可以分為以下四類:屏蔽異常、交叉異常、包含異常以及冗余異常。
(1)屏蔽異常。對于規(guī)則Ra和Rb,如果a<b,F(xiàn)a包含F(xiàn)b并且Ra[Action]≠Rb[Action],則規(guī)則Ra和Rb之間存在屏蔽異常,Rb被Ra屏蔽。一般屏蔽異常是因為防火墻策略配置出錯引起的,解決屏蔽異常需要人工檢查規(guī)則集然后根據(jù)實際防火墻策略修正規(guī)則。(2)交叉異常。對于規(guī)則Ra和Rb,如果Fa和Fb交叉并且Ra[Action]≠Rb[Action],則規(guī)則Ra和Rb之間存在交叉異常。對于存在交叉沖突的規(guī)則,將排序靠后的規(guī)則的過濾域剔除掉交叉的部分即可解決。(3)包含異常。對于規(guī)則Ra和Rb,如果a>b,F(xiàn)a包含F(xiàn)b并且Ra[Action]≠Rb[Action],則規(guī)則Ra和Rb之間存在包含異常。一般來說包含異常并不會影響防火墻的正常過濾策略,但是當Ra和Rb的相對關系發(fā)生變化時,Rb會被Ra屏蔽。解決包含異常需要將Ra過濾域中包含Rb過濾域的部分剔除,拆分成一條或兩條新的規(guī)則。(4)冗余異常。對于規(guī)則Ra和Rb,如果a<b,F(xiàn)a包含F(xiàn)b并且Ra[Action]=Rb[Action],則規(guī)則Ra和Rb之間存在冗余異常,Rb是Ra的冗余規(guī)則。解決冗余異常一般直接將Rb直接刪除即可。6.2防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)可以分為四類:屏蔽路由器結(jié)構(gòu)、雙宿堡壘主機結(jié)構(gòu)、屏蔽主機結(jié)構(gòu)、屏蔽子網(wǎng)結(jié)構(gòu)。6.2.1屏蔽路由器結(jié)構(gòu)屏蔽路由器結(jié)構(gòu)是最基本的防火墻設計結(jié)構(gòu),它不是采用專用的防火墻設備進行部署,而是在原有的包過濾路由器上進行訪問控制。具備這種包過濾技術的路由器通常稱為屏蔽路由器防火墻,又稱為包過濾路由器防火墻。在實際使用中,系統(tǒng)安全漏洞從被發(fā)現(xiàn)到被糾正的一般過程是用戶會發(fā)現(xiàn)系統(tǒng)中存在錯誤,而入侵者會有意利用其中的某些錯誤并使其成為威脅系統(tǒng)安全的工具,這時人們會認識到這個錯誤是一個系統(tǒng)安全漏洞,系統(tǒng)供應商發(fā)現(xiàn)后會盡快發(fā)布針對這個漏洞的補丁程序,糾正這個錯誤。由于包過濾路由器工作在網(wǎng)絡層,其工作效率高,但是也因此無法對應用層提供很好的保護,包過濾規(guī)則的設置較為復雜,因而防護能力較弱。6.2.2雙宿堡壘主機結(jié)構(gòu)雙宿堡壘主機結(jié)構(gòu)如下圖所示,雙宿堡壘主機是一臺至少配有兩個網(wǎng)絡接口的主機,它可以作為與這些接口相連的網(wǎng)絡之間的路由器來使用,在網(wǎng)絡之間發(fā)送數(shù)據(jù)包。主機上運行防火墻軟件,被保護的內(nèi)網(wǎng)與外網(wǎng)之間的通信必須通過堡壘主機,因而可以對內(nèi)網(wǎng)提供保護。而一般情況下雙宿堡壘主機的路由功能被禁止使用,因而能夠隔離內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的直接通信,從而起到保護內(nèi)部網(wǎng)絡的作用。雙宿堡壘主機結(jié)構(gòu)要求的硬件較少,但是堡壘主機本身缺乏保護,因此容易受到攻擊。6.2.3屏蔽主機結(jié)構(gòu)屏蔽主機結(jié)構(gòu)如下圖所示,這種結(jié)構(gòu)是由一臺堡壘主機以及屏蔽路由器共同構(gòu)成防火墻系統(tǒng),屏蔽路由器提供對堡壘主機的安全防護。6.2.4屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)如下圖所示,這種結(jié)構(gòu)將防火墻的概念擴充至一個由外部和內(nèi)部屏蔽路由器包圍起來的周邊網(wǎng)絡,并且將易受攻擊的堡壘主機,以及組織對外提供服務的Web服務器、郵件服務器以及其他公用服務器放在該網(wǎng)絡中。這種在內(nèi)、外網(wǎng)之間建立的被隔離的子網(wǎng)常被稱為隔離網(wǎng)絡或非軍事區(qū)(DemilitarizedZone,DMZ)。被屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻主要由四部分構(gòu)成,分別是周邊網(wǎng)絡、外部路由器、內(nèi)部路由器以及堡壘主機。6.3工業(yè)防火墻技術工業(yè)防火墻是工業(yè)控制系統(tǒng)信息安全必須配置的設備。工業(yè)防火墻技術是工業(yè)控制系統(tǒng)信息安全技術的基礎。利用工業(yè)控制系統(tǒng)防火墻技術可以實現(xiàn)區(qū)域管控,劃分控制系統(tǒng)安全區(qū)域,對安全區(qū)域?qū)崿F(xiàn)隔離保護,保護合法用戶訪問網(wǎng)絡資源。同時,可以對控制協(xié)議進行深度解析,可以解析Modbus、DNP3等應用層異常數(shù)據(jù)流量,并對OPC端口進行動態(tài)追蹤,對關鍵寄存器和操作進行保護。6.3.1工業(yè)防火墻的概念工業(yè)防火墻是應用于工控網(wǎng)絡安全的防護產(chǎn)品,用于解析、識別與控制所有通過工業(yè)控制網(wǎng)絡的數(shù)據(jù)流量,以抵御來自內(nèi)外網(wǎng)對工控設備的攻擊。工業(yè)防火墻的主要功能包括工業(yè)協(xié)議深度解析、包過濾、端口掃描防護、惡意代碼防護、漏洞防護、安全審計、訪問權限限定等。工業(yè)控制系統(tǒng)防火墻的目的是在不同的安全域之間建立安全控制點,根據(jù)預先定義的訪問控制策略和安全防護策略,解析和過濾經(jīng)過工控防火墻的數(shù)據(jù)流,實現(xiàn)向被保護的安全域提供訪問可控的服務請求。在工業(yè)網(wǎng)絡體系中根據(jù)部署位置的不同,工控防火墻一般可以分為兩種:機架式工控防火墻和導軌式工控防火墻。6.3.2工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別工控防火墻和傳統(tǒng)防火墻因其所處的環(huán)境差異而有所不同,相較而言,傳統(tǒng)防火墻主要存在以下兩個問題:(1)傳統(tǒng)防火墻未裝載工業(yè)協(xié)議解析模塊,無法支持工業(yè)控制協(xié)議解析。工業(yè)網(wǎng)絡采用的是專用工業(yè)協(xié)議,工業(yè)協(xié)議的類別很多,有基于工業(yè)以太網(wǎng)(基于二層和三層)的協(xié)議,有基于串行鏈路(RS232、RS485)的協(xié)議,這些協(xié)議都需要專門的工業(yè)協(xié)議解析模塊來對其進行協(xié)議過濾和解析。傳統(tǒng)防火墻只針對ICT環(huán)境,無法完全支持對工業(yè)協(xié)議的無/有狀態(tài)過濾,也無法對工業(yè)協(xié)議進行深度解析和控制。(2)傳統(tǒng)防火墻軟硬件設計架構(gòu)不適應工業(yè)網(wǎng)絡實時性和生產(chǎn)環(huán)境的要求。首先,工業(yè)網(wǎng)絡環(huán)境中工控設備對于實時性傳輸反饋要求非常高,一個小問題就可能導致某個被控對象停止響應,這就要求接入的工控防火墻必須具備工業(yè)網(wǎng)絡的實時性要求。而一般的傳統(tǒng)防火墻主要應用于傳統(tǒng)的ICT環(huán)境,在軟硬件架構(gòu)設計之初并未考慮工業(yè)網(wǎng)絡的實時性,因此傳統(tǒng)防火墻無法適應工業(yè)網(wǎng)絡實時性要求。其次,工業(yè)生產(chǎn)對網(wǎng)絡安全設備的環(huán)境適應性要求很高,很多工業(yè)現(xiàn)場甚至處于無人值守的惡劣環(huán)境。因此工控防火墻必須具備對工業(yè)生產(chǎn)環(huán)境可預見的性能支持和抗干擾水平的支持。例如,一般部署在工業(yè)現(xiàn)場的防火墻以導軌式為主,該環(huán)境對防火墻的環(huán)境適應性要求很高,產(chǎn)品往往要求無風扇、寬溫支持等。傳統(tǒng)防火墻無法適應工業(yè)網(wǎng)絡嚴苛復雜的生產(chǎn)環(huán)境。6.3.3工業(yè)防火墻技術類型工業(yè)防火墻技術包括三種類型,分別是包過濾型、狀態(tài)包檢測型、應用代理型。1.包過濾型包過濾技術是路由器最基本的訪問控制技術,部署在網(wǎng)絡邊界上執(zhí)行訪問控制功能,對通過網(wǎng)絡的數(shù)據(jù)進行過濾(Filtering),允許符合網(wǎng)絡安全過濾規(guī)則(通常稱為訪問控制列表—ACL列表)的數(shù)據(jù)包通過,拒絕不符合安全過濾規(guī)則的數(shù)據(jù)包通過,并進行記錄或給管理人員發(fā)送報警信息。2.狀態(tài)檢測型狀態(tài)檢測技術(StatefulInspection)技術是由包過濾技術發(fā)展而來的。包過濾技術的安全檢查簡單,管理比較復雜,可稱為靜態(tài)包過濾技術。3.應用代理型代理(Proxy)技術與前兩種技術不同。代理服務器在應用層對每一特定的應用(如Telne
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年離婚合同程序執(zhí)行細節(jié)解析版B版
- 2024年環(huán)保節(jié)能產(chǎn)品采購與供應合同樣本2篇
- 2024年度土方車租賃與物料運輸一體化合同3篇
- 2024年企業(yè)高管勞動合同3篇
- 2024年私人定制離婚合同范本版B版
- 2024年度礦山機械臺班費用支付及合同解除條件合同范本3篇
- 2024年消防電源設計與施工合同
- 2024土方運輸工程環(huán)保達標承包服務合同3篇
- 2024年新材料研發(fā)私人股權交易合作合同范本3篇
- 2024年版青少年課后看護合同
- 校園反恐防暴主題班會
- 拼多多工作臺操作流程
- 工廠車間環(huán)境監(jiān)測控制系統(tǒng)的設計和實現(xiàn)
- 三級英語閱讀習題(3篇)
- 辦公室、宿舍現(xiàn)場處置方案
- “阿里巴巴”并購“餓了么”案例分析
- 人教版初中九年級英語全冊單詞(按詞性分類)-
- 老年人學習使用智能手機之基本功能
- 110kV輸變電工程旁站監(jiān)理方案含流程圖
- YY 0833-2011肢體加壓理療設備
- MT 97-1992液壓支架千斤頂技術條件
評論
0/150
提交評論