版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
工業(yè)控制系統(tǒng)應(yīng)用與安全防護技術(shù)第6章
工業(yè)控制系統(tǒng)防火墻技術(shù)6.1防火墻概述防火墻是由位于兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或與硬件設(shè)備組合而成的一種裝置,集多種安全機制為一體,它是網(wǎng)絡(luò)之間信息的唯一通道,能夠?qū)蓚€網(wǎng)絡(luò)之間的通信進行控制。防火墻作為一個過濾器,阻止了不必要的網(wǎng)絡(luò)流量,保證了受保護網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間的合法通信,限制了受保護網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間的非法通信。6.1.1防火墻的定義國家標(biāo)準(zhǔn)《信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法》(GB/T20281-2020)給出的防火墻(Firewall)定義為:防火墻是對經(jīng)過的數(shù)據(jù)流進行解析,并實現(xiàn)訪問控制及安全防護功能的網(wǎng)絡(luò)安全產(chǎn)品。根據(jù)這個定義,防火墻具有以下4個基本特征:(1)部署位置上,防火墻是一個邊界網(wǎng)關(guān),設(shè)置在不同網(wǎng)絡(luò)(如可信的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的公共網(wǎng)絡(luò))或不同安全域之間,而且應(yīng)當(dāng)是不同網(wǎng)絡(luò)或不同安全域之間信息的唯一出入口。(2)工作原理上,防火墻根據(jù)網(wǎng)絡(luò)安全策略對流經(jīng)的數(shù)據(jù)信息進行解析、過濾、限制等控制。(3)性能上,防火墻應(yīng)具有較高的數(shù)據(jù)信息處理效率和較強的自身抗攻擊能力。(4)功能上,防火墻主要在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層控制出入網(wǎng)絡(luò)的信息流,新型防火墻還能實現(xiàn)對更多應(yīng)用層程序的訪問控制、信息泄露防護、惡意代碼防護及入侵防御等功能,保證受保護部分的安全。6.1.2防火墻的主要技術(shù)指標(biāo)防火墻的主要技術(shù)指標(biāo)包括吞吐量、時延、并發(fā)連接數(shù)、丟包率等,以下分別進行說明。1)吞吐量(Throughput)網(wǎng)絡(luò)中的數(shù)據(jù)是由一個個數(shù)據(jù)幀組成,防火墻對每個數(shù)據(jù)幀的處理都要耗費資源。吞吐量是指在通信過程中沒有任何數(shù)據(jù)幀丟失,防火墻所能接收和轉(zhuǎn)發(fā)數(shù)據(jù)幀的最大速率。2)時延(TimeDelay)網(wǎng)絡(luò)的應(yīng)用越來越普遍,當(dāng)防火墻在網(wǎng)絡(luò)中進行應(yīng)用后,其對數(shù)據(jù)的處理會產(chǎn)生一定的時延,如果時延較大將對應(yīng)用產(chǎn)生不良影響。3)并發(fā)連接數(shù)(ConcurrentConnections)并發(fā)連接數(shù)是衡量防火墻性能的—個重要指標(biāo),在IETFRFC2647中將該指標(biāo)定義為一種最大的連接數(shù),該連接通常建立在防火墻的主機之間,也可以是建立在防火墻和主機之間。4)丟包率(PacketLossRate)丟包率是指在正常穩(wěn)定的網(wǎng)絡(luò)狀態(tài)下,數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā),但由于缺少資源而沒有被轉(zhuǎn)發(fā)的數(shù)量占全部數(shù)據(jù)包數(shù)量的百分比。較低的丟包率,意味著防火墻在強大的負(fù)載壓力下,能夠穩(wěn)定的工作,可以適應(yīng)各種復(fù)雜網(wǎng)絡(luò)應(yīng)用和較大數(shù)據(jù)流量對處理性能的高要求。6.1.3防火墻的分類1.按防火墻表現(xiàn)形態(tài)分類按照防火墻表現(xiàn)形態(tài)進行分類一般可以分為軟件防火墻和硬件防火墻兩類。2.按防火墻的應(yīng)用部署位置分類按防火墻的應(yīng)用部署位置分類包括邊界防火墻、個人防火墻、混合防火墻。3.按防火墻通道帶寬分類如果按防火墻的通道帶寬,或者說是吞吐量來分類可以分為百兆級防火墻、千兆級防火墻和萬兆級防火墻等。因為防火墻通常位于網(wǎng)絡(luò)邊界,所以十兆級帶寬的防火墻一般不能夠滿足需求。當(dāng)然通道帶寬越寬,性能越高,這樣的防火墻因為包過濾或應(yīng)用代理所產(chǎn)生的延時會越小,對整個網(wǎng)絡(luò)通信性能的影響也就越小。6.1.4防火墻規(guī)則1.防火墻規(guī)則定義
防火墻的規(guī)則可以由七元屬性組成,這七元屬性包括三部分:第一部分是規(guī)則號,即規(guī)則在防火墻規(guī)則集中的位置;第二部分是過濾域,過濾域包含協(xié)議類型、源
IP、源端口、目的IP以及目的端口五元屬性,防火墻規(guī)則根據(jù)數(shù)據(jù)包的這五元屬性值進行匹配;第三部分是動作域,動作域是指當(dāng)數(shù)據(jù)包與防火墻規(guī)則匹配成功后防火墻對數(shù)據(jù)包進行的操作,一般有允許通過(Accpet)和拒絕通過(Deny)兩種。所以一條防火墻規(guī)則可以表示為:Rule=<Order,Protocol,Sip,Sport,Dip,Dport,Action>(6-1)
2.規(guī)則過濾域關(guān)系
過濾域的五元屬性的取值可以是某一個區(qū)間,所以規(guī)則的過濾域之間可能存在關(guān)聯(lián),一般來說,過濾域之間會存在四種關(guān)系:無關(guān)、相等、包含和交叉。用Fa表示第a條規(guī)則的過濾域,F(xiàn)a[i]表示過濾域的第i個屬性,i=1,2,3,4,5分別對應(yīng)Protocol、Sip、Sport、Dip、Dport。3.防火墻規(guī)則異常
防火墻在對數(shù)據(jù)包進行匹配過濾時遵循找到第一條匹配成功的規(guī)則即終止匹配的原則,因此防火墻規(guī)則集對順序是敏感的,數(shù)據(jù)包與不同的規(guī)則匹配存在先后關(guān)系,可能會導(dǎo)致前后規(guī)則之間存在異常,一般來說,防火墻規(guī)則之間的沖突可以分為以下四類:屏蔽異常、交叉異常、包含異常以及冗余異常。
(1)屏蔽異常。對于規(guī)則Ra和Rb,如果a<b,F(xiàn)a包含F(xiàn)b并且Ra[Action]≠Rb[Action],則規(guī)則Ra和Rb之間存在屏蔽異常,Rb被Ra屏蔽。一般屏蔽異常是因為防火墻策略配置出錯引起的,解決屏蔽異常需要人工檢查規(guī)則集然后根據(jù)實際防火墻策略修正規(guī)則。(2)交叉異常。對于規(guī)則Ra和Rb,如果Fa和Fb交叉并且Ra[Action]≠Rb[Action],則規(guī)則Ra和Rb之間存在交叉異常。對于存在交叉沖突的規(guī)則,將排序靠后的規(guī)則的過濾域剔除掉交叉的部分即可解決。(3)包含異常。對于規(guī)則Ra和Rb,如果a>b,F(xiàn)a包含F(xiàn)b并且Ra[Action]≠Rb[Action],則規(guī)則Ra和Rb之間存在包含異常。一般來說包含異常并不會影響防火墻的正常過濾策略,但是當(dāng)Ra和Rb的相對關(guān)系發(fā)生變化時,Rb會被Ra屏蔽。解決包含異常需要將Ra過濾域中包含Rb過濾域的部分剔除,拆分成一條或兩條新的規(guī)則。(4)冗余異常。對于規(guī)則Ra和Rb,如果a<b,F(xiàn)a包含F(xiàn)b并且Ra[Action]=Rb[Action],則規(guī)則Ra和Rb之間存在冗余異常,Rb是Ra的冗余規(guī)則。解決冗余異常一般直接將Rb直接刪除即可。6.2防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)可以分為四類:屏蔽路由器結(jié)構(gòu)、雙宿堡壘主機結(jié)構(gòu)、屏蔽主機結(jié)構(gòu)、屏蔽子網(wǎng)結(jié)構(gòu)。6.2.1屏蔽路由器結(jié)構(gòu)屏蔽路由器結(jié)構(gòu)是最基本的防火墻設(shè)計結(jié)構(gòu),它不是采用專用的防火墻設(shè)備進行部署,而是在原有的包過濾路由器上進行訪問控制。具備這種包過濾技術(shù)的路由器通常稱為屏蔽路由器防火墻,又稱為包過濾路由器防火墻。在實際使用中,系統(tǒng)安全漏洞從被發(fā)現(xiàn)到被糾正的一般過程是用戶會發(fā)現(xiàn)系統(tǒng)中存在錯誤,而入侵者會有意利用其中的某些錯誤并使其成為威脅系統(tǒng)安全的工具,這時人們會認(rèn)識到這個錯誤是一個系統(tǒng)安全漏洞,系統(tǒng)供應(yīng)商發(fā)現(xiàn)后會盡快發(fā)布針對這個漏洞的補丁程序,糾正這個錯誤。由于包過濾路由器工作在網(wǎng)絡(luò)層,其工作效率高,但是也因此無法對應(yīng)用層提供很好的保護,包過濾規(guī)則的設(shè)置較為復(fù)雜,因而防護能力較弱。6.2.2雙宿堡壘主機結(jié)構(gòu)雙宿堡壘主機結(jié)構(gòu)如下圖所示,雙宿堡壘主機是一臺至少配有兩個網(wǎng)絡(luò)接口的主機,它可以作為與這些接口相連的網(wǎng)絡(luò)之間的路由器來使用,在網(wǎng)絡(luò)之間發(fā)送數(shù)據(jù)包。主機上運行防火墻軟件,被保護的內(nèi)網(wǎng)與外網(wǎng)之間的通信必須通過堡壘主機,因而可以對內(nèi)網(wǎng)提供保護。而一般情況下雙宿堡壘主機的路由功能被禁止使用,因而能夠隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的直接通信,從而起到保護內(nèi)部網(wǎng)絡(luò)的作用。雙宿堡壘主機結(jié)構(gòu)要求的硬件較少,但是堡壘主機本身缺乏保護,因此容易受到攻擊。6.2.3屏蔽主機結(jié)構(gòu)屏蔽主機結(jié)構(gòu)如下圖所示,這種結(jié)構(gòu)是由一臺堡壘主機以及屏蔽路由器共同構(gòu)成防火墻系統(tǒng),屏蔽路由器提供對堡壘主機的安全防護。6.2.4屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)如下圖所示,這種結(jié)構(gòu)將防火墻的概念擴充至一個由外部和內(nèi)部屏蔽路由器包圍起來的周邊網(wǎng)絡(luò),并且將易受攻擊的堡壘主機,以及組織對外提供服務(wù)的Web服務(wù)器、郵件服務(wù)器以及其他公用服務(wù)器放在該網(wǎng)絡(luò)中。這種在內(nèi)、外網(wǎng)之間建立的被隔離的子網(wǎng)常被稱為隔離網(wǎng)絡(luò)或非軍事區(qū)(DemilitarizedZone,DMZ)。被屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻主要由四部分構(gòu)成,分別是周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器以及堡壘主機。6.3工業(yè)防火墻技術(shù)工業(yè)防火墻是工業(yè)控制系統(tǒng)信息安全必須配置的設(shè)備。工業(yè)防火墻技術(shù)是工業(yè)控制系統(tǒng)信息安全技術(shù)的基礎(chǔ)。利用工業(yè)控制系統(tǒng)防火墻技術(shù)可以實現(xiàn)區(qū)域管控,劃分控制系統(tǒng)安全區(qū)域,對安全區(qū)域?qū)崿F(xiàn)隔離保護,保護合法用戶訪問網(wǎng)絡(luò)資源。同時,可以對控制協(xié)議進行深度解析,可以解析Modbus、DNP3等應(yīng)用層異常數(shù)據(jù)流量,并對OPC端口進行動態(tài)追蹤,對關(guān)鍵寄存器和操作進行保護。6.3.1工業(yè)防火墻的概念工業(yè)防火墻是應(yīng)用于工控網(wǎng)絡(luò)安全的防護產(chǎn)品,用于解析、識別與控制所有通過工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)流量,以抵御來自內(nèi)外網(wǎng)對工控設(shè)備的攻擊。工業(yè)防火墻的主要功能包括工業(yè)協(xié)議深度解析、包過濾、端口掃描防護、惡意代碼防護、漏洞防護、安全審計、訪問權(quán)限限定等。工業(yè)控制系統(tǒng)防火墻的目的是在不同的安全域之間建立安全控制點,根據(jù)預(yù)先定義的訪問控制策略和安全防護策略,解析和過濾經(jīng)過工控防火墻的數(shù)據(jù)流,實現(xiàn)向被保護的安全域提供訪問可控的服務(wù)請求。在工業(yè)網(wǎng)絡(luò)體系中根據(jù)部署位置的不同,工控防火墻一般可以分為兩種:機架式工控防火墻和導(dǎo)軌式工控防火墻。6.3.2工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別工控防火墻和傳統(tǒng)防火墻因其所處的環(huán)境差異而有所不同,相較而言,傳統(tǒng)防火墻主要存在以下兩個問題:(1)傳統(tǒng)防火墻未裝載工業(yè)協(xié)議解析模塊,無法支持工業(yè)控制協(xié)議解析。工業(yè)網(wǎng)絡(luò)采用的是專用工業(yè)協(xié)議,工業(yè)協(xié)議的類別很多,有基于工業(yè)以太網(wǎng)(基于二層和三層)的協(xié)議,有基于串行鏈路(RS232、RS485)的協(xié)議,這些協(xié)議都需要專門的工業(yè)協(xié)議解析模塊來對其進行協(xié)議過濾和解析。傳統(tǒng)防火墻只針對ICT環(huán)境,無法完全支持對工業(yè)協(xié)議的無/有狀態(tài)過濾,也無法對工業(yè)協(xié)議進行深度解析和控制。(2)傳統(tǒng)防火墻軟硬件設(shè)計架構(gòu)不適應(yīng)工業(yè)網(wǎng)絡(luò)實時性和生產(chǎn)環(huán)境的要求。首先,工業(yè)網(wǎng)絡(luò)環(huán)境中工控設(shè)備對于實時性傳輸反饋要求非常高,一個小問題就可能導(dǎo)致某個被控對象停止響應(yīng),這就要求接入的工控防火墻必須具備工業(yè)網(wǎng)絡(luò)的實時性要求。而一般的傳統(tǒng)防火墻主要應(yīng)用于傳統(tǒng)的ICT環(huán)境,在軟硬件架構(gòu)設(shè)計之初并未考慮工業(yè)網(wǎng)絡(luò)的實時性,因此傳統(tǒng)防火墻無法適應(yīng)工業(yè)網(wǎng)絡(luò)實時性要求。其次,工業(yè)生產(chǎn)對網(wǎng)絡(luò)安全設(shè)備的環(huán)境適應(yīng)性要求很高,很多工業(yè)現(xiàn)場甚至處于無人值守的惡劣環(huán)境。因此工控防火墻必須具備對工業(yè)生產(chǎn)環(huán)境可預(yù)見的性能支持和抗干擾水平的支持。例如,一般部署在工業(yè)現(xiàn)場的防火墻以導(dǎo)軌式為主,該環(huán)境對防火墻的環(huán)境適應(yīng)性要求很高,產(chǎn)品往往要求無風(fēng)扇、寬溫支持等。傳統(tǒng)防火墻無法適應(yīng)工業(yè)網(wǎng)絡(luò)嚴(yán)苛復(fù)雜的生產(chǎn)環(huán)境。6.3.3工業(yè)防火墻技術(shù)類型工業(yè)防火墻技術(shù)包括三種類型,分別是包過濾型、狀態(tài)包檢測型、應(yīng)用代理型。1.包過濾型包過濾技術(shù)是路由器最基本的訪問控制技術(shù),部署在網(wǎng)絡(luò)邊界上執(zhí)行訪問控制功能,對通過網(wǎng)絡(luò)的數(shù)據(jù)進行過濾(Filtering),允許符合網(wǎng)絡(luò)安全過濾規(guī)則(通常稱為訪問控制列表—ACL列表)的數(shù)據(jù)包通過,拒絕不符合安全過濾規(guī)則的數(shù)據(jù)包通過,并進行記錄或給管理人員發(fā)送報警信息。2.狀態(tài)檢測型狀態(tài)檢測技術(shù)(StatefulInspection)技術(shù)是由包過濾技術(shù)發(fā)展而來的。包過濾技術(shù)的安全檢查簡單,管理比較復(fù)雜,可稱為靜態(tài)包過濾技術(shù)。3.應(yīng)用代理型代理(Proxy)技術(shù)與前兩種技術(shù)不同。代理服務(wù)器在應(yīng)用層對每一特定的應(yīng)用(如Telne
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 訂貨協(xié)議法律效力
- 代理收款合同模板
- 技術(shù)教育與培訓(xùn)
- 招標(biāo)文件范本搖號定標(biāo)的法律要求
- 工薪族鞋購買協(xié)議
- 地鐵項目施工方案招標(biāo)
- 招標(biāo)采購合同中的合同解除管理程序
- 招標(biāo)文件示范文本
- 筆記本電腦購銷合同樣本
- 服務(wù)合同范本集合
- 工廠車間環(huán)境監(jiān)測控制系統(tǒng)的設(shè)計和實現(xiàn)
- 三級英語閱讀習(xí)題(3篇)
- 辦公室、宿舍現(xiàn)場處置方案
- “阿里巴巴”并購“餓了么”案例分析
- 人教版初中九年級英語全冊單詞(按詞性分類)-
- 老年人學(xué)習(xí)使用智能手機之基本功能
- 110kV輸變電工程旁站監(jiān)理方案含流程圖
- YY 0833-2011肢體加壓理療設(shè)備
- MT 97-1992液壓支架千斤頂技術(shù)條件
- GB/Z 19964-2005光伏發(fā)電站接入電力系統(tǒng)技術(shù)規(guī)定
- 2022極狐(GitLab)遠(yuǎn)程辦公白皮書
評論
0/150
提交評論