工業控制網絡中的防火墻

羅克韋爾自動化（中國）有限公司 華镕

什么是防火墻？

防火墻是一種機制，用于控制和監視網絡上來往的信息流，目的是保護網絡上的設備。流過的信息要與預定義的安全標準或政策進行比較，丟棄不符合政策要求的信息。實際上，它是一個過濾器，阻止了不必要的網絡流量，限制了受保護網絡與其它網絡（如因特網，或站點網絡的另一部分）之間通信的數量和類型。下圖顯示了一個簡單的防火墻，禁止來自因特網對個人計算機（PC）和可編程邏輯控制器（PLC）的訪問，但允許對企業Web服務器的訪問。

圖1 一個簡化的防火墻舉例

防火墻類型

防火墻具有很多不同的設計和配置。它可以是一個連接到網絡的單獨物理硬件設備（如思科的PIX?或賽門鐵克的安全網關防火墻），可以是一個帶有操作系統和防火墻功能（如運行在Linux?服務器上的“iptables”）的硬件/軟件單元，甚至可以是一個完全基于主機的軟件解決方案，即直接在工作站上安裝防火墻軟件（如諾頓的個人防火墻?或Sygate的個人防火墻）。

獨立的硬件或硬件/軟件單元通常被稱為網絡防火墻，通常是最安全的解決方案，把企業網絡與工業自動化控制網絡（IACN）分開。它們是專用的功能單元，除了個別例外，加固后可以抵擋一切攻擊。此外，網絡防火墻通常提供最佳的管理選項，因此通常允許對它們進行遠程管理。

基于主機的防火墻通常能夠接受某些妥協，因為主機的主要功能不是安保，通常要完成一些工作站或服務器的任務，例如數據庫訪問或Web服務。

同時，基于主機的防火墻解決方案目前僅適用于Windows或基于Unix的平臺，只能為網絡上的嵌入式控制設備（如PLC）做一定的流量管理?；谥鳈C的防火墻可以放置在IACN / 監控與數采（SCADA）網絡上，但它們通常在我們今天要考慮的范圍之外。因此，除少數情況外，本文假定IACN / SCADA防火墻是一個專用的硬件或硬件/軟件解決方案，通過一系列規則，對傳送到控制網絡信息流實施允許或拒絕。

防火墻分類

網絡使用離散的位組發送數據，通常把一定數量的位組稱為數據包。每個數據包通常包含若干個獨立的信息，包括（但不限于）的項目有：

? 發件人的身份（源地址）;

? 收件人的身份（目的地址）;

? 包涉及的服務（端口號）;

? 網絡操作和狀態標志;

? 把數據的有效載荷傳遞到該服務。

接收一個數據包時，防火墻對包的這些特征進行分析，并決定對這個包采取什么行動?？梢赃x擇丟棄該包、允許立即通過、因帶寬限制而暫時緩存，或轉發給不同的收件人–應按照網絡安全策略采取適當的行動。

這些決定都基于一系列的規則，該規則通常被稱為訪問控制列表（ACL）。防火墻具有不同的類型，每種類型都具有復雜的分析和行動能力。下面給予分別介紹。

（1）包過濾防火墻

最簡單一類的防火墻被稱為包過濾防火墻。它具有一系列的靜態規則，對收到的報文按規則采取行動。下面的示例表明了包過濾防火墻是如何按規則處理數據包的：

? 在用戶數據報協議（UDP）端口53上接受域名服務（DNS）響應數據包；

? 阻止因特網協議（IP）地址為24.116.25.21的任何數據；

? 通過阻斷傳輸訪問控制協議（TCP）端口80、443、3128、8000和8080傳出的數據包以阻止網上沖浪，除非他們指向企業內部網Web服務器的IP地址；

? 丟棄源路由包；

? 接受來自特定IP地址范圍的工程操作站，通過TCP端口23遠程登錄（telnet）到一個特定的分布式控制系統（DCS）IP地址的數據。

不幸的是，包過濾防火墻缺乏理解一系列數據包之間關系的能力。例如，廣泛適用的規則“接受UDP端口53上的DNS響應數據包”包含一個嚴重的缺陷。如果DNS沒有發過查詢，而用一個偽造的DNS“響應”包來代替呢？這個簡單的防火墻會接受這個數據包，并提供給“請求”主機，這可能會帶來麻煩。比較狡猾的黑客會利用防火墻的這些弱點潛入內部系統。

包過濾防火墻的優點具有：成本低廉且對網絡性能影響較小，因為只檢查數據包中的IP地址和端口號。這種方法有時也稱為靜態過濾。它往往是直接部署在交換機或路由器的第3層，而不是專用的“防火墻”。

（2）狀態防火墻

這是一種更復雜的防火墻，具有智能跟蹤流經的數據包，以及了解他們之間的相互關系。因為具有接收包的歷史和當前連接的狀態，它只能接收“預期”的數據包。由于防火墻是智能的，所以有條件制定狀態防火墻的規則集。例如：

? 只有當發出的DNS查詢與相同的DNS請求標識相匹配時，才接收UDP端口53上的DNS響應數據包。

? 僅在控制通道協商成功后，才允許文件傳輸協議（FTP）通道傳輸數據。

? 阻止所有源自TCP端口80傳入的網絡數據，除非他是專門針對先前傳出的超文本傳輸協議（HTTP）的請求。

這種類型的防火墻提供了一種高層次的安保和性能，以及對最終用戶的透明度，但價格比較昂貴。由于它的復雜性，如果沒有相關資質的人員管理，這類防火墻可以比簡單類型的防火墻更不安保。這種方法有時也稱為動態包過濾。

（3）應用代理防火墻

應用代理防火墻在應用層打開數據包，按照特定的應用規則來處理他們，然后重新組裝，轉發到所需的目標設備。通常，它們被設計成針對于各種應用協議（如Telnet、FTP、HTTP等）的單一機器，隨后轉發到各個主機計算機完成各項服務?？蛻舳瞬恢苯舆B接外部服務器，而是連接代理防火墻，需要時由代理防火墻發起連接外部服務器的請求。有些代理防火墻，支持配置內部客戶端自動執行這種重定向，且不用用戶知道。有些人可能會要求用戶直接連接代理服務器，然后通過指定的格式發起連接。

代理防火墻提供了一些重要的安保特性，例如防火墻可以識別和控制有些應用協議。它可以對應用協議使用訪問控制列表，在要求用戶或系統授權訪問之前提供額外的驗證。此外，可以創建規則集，用于理解特定的協議，可以僅為阻止協議子集進行配置。例如，可以創建這樣的HTTP防火墻規則：阻止所有含腳本的HTTP數據包入站。相比之下，過濾路由器要么阻止所有的HTTP數據，要么不阻止，而不是阻止一個子集。

這種類型的防火墻可以提供一個高水平的安保，但也明顯影響了網絡性能。此外，大部分應用代理防火墻產品只支持幾種常見的因特網協議，如HTTP、FTP或簡單郵件傳輸協議（SMTP）。其結果是，對含有工業應用層協議的報文，如公共工業協議?（CIP）或Modbus / TCP?，需要在防火墻狀態或包過濾模式中增加對工業應用層協議的數據處理。

在過去的幾年中，市場上出現了很多利用狀態與應用代理技術組合的防火墻，他們通常被稱為混合型防火墻。

（4）深度包檢測防火墻

防火墻市場目前已經遷移到了第四代技術，被稱為“深度包檢測”（DPI）或“應用防火墻”。比起傳統的應用代理，它通常提供更深入的應用層過濾，但不執行完整的TCP連接代理。例如，DPI防火墻能夠用可擴展標記語言（XML）在Web連接上檢查簡單對象訪問協議（SOAP）的對象，實施允許/禁止什么對象進入網絡的政策。

其他防火墻服務

除了數據包過濾的核心服務，現代的防火墻還提供其他基于網絡的安保服務。這些服務可能包括：

（1）執行像入侵檢測系統（IDS）的功能，可以記錄被拒絕訪問的數據包，識別專門導致網絡問題的數據包，或報告異常的信息流。

（2）在防火墻上部署“一線”的防病毒軟件。如果發現有感染數據的特征，這種數據在進入網絡前就被阻止。

（3）身份驗證服務，要求用戶連接到防火墻另一側的設備使用密碼或強大的驗證方法（如公共密鑰加密）通過防火墻驗證。

（4）虛擬專用網（VPN）網關服務，在防火墻和遠程主機設備之間建立一個加密的隧道。

（5）網絡地址轉換（NAT），在防火墻一側的一組IP地址映射到另一側不同的一組地址。

這些額外的服務將依賴于購買的防火墻的品牌和型號。顯然，這些附加功能可能意味著額外的成本，增加了配置的復雜性并降低了網絡的性能。然而，利用了這些功能，往往能顯著提高IACN / SCADA網絡的整體安保性能。