從美通社獲知,近日,天地和興旗下“地盾”系列工控防火牆順利通過公安部計算機信息系統安全產品質量檢測中心測試,取得工業控制系統專用防火牆(增強級)銷售許可證(以下簡稱銷售許可證)。 天地和興作為國內工業網絡安全領航者,憑藉其在工業網絡安全領域深耕數十年的服務經驗,不斷精雕細琢各類工業網絡安全產品,以求給用戶提供更好的使用體驗。工控防火牆作為天地和興旗下防護類主打產品,擁有國內領先的工控協議深度內容檢測技術。天地和興能夠在國內第一個取得工業控制系統專用防火牆(增強級)銷售許可證,不僅僅代表國家相關部門對天地和興安全產品的認可,更是天地和興綜合實力的體現。
國家現行的關於工業控制系統專用防火牆的標準是在今年三月份正式才開始實施。在此之前,國家標準化管理委員會未曾發佈任何有關工業控制系統專用防火牆的標準。儘管市面上的工控防火牆層出不窮,但大多都是在通用防火牆的基礎上增加工業控制協議解析的相關功能包裝而來。品種繁多,花樣百出的工控防火牆已經讓想要購買此類安全產品的企業挑花了眼,如今《GB/T 37933——2019信息安全技術 工業控制系統專用防火牆技術要求》標準已經發布,什麼樣的牆最適合工控企業,相信你已經有了答案。
今天,天地和興將通過比較兩個現行的防火牆相關標準GB/T 28201—2015和GB/T 37933—2019的部分內容,帶你深入瞭解工業控制系統專用防火牆。
1、包過濾安全技術要求對比
安全技術要求
20281-2015增強級
37933-2019基本級
37933-2019增強級
網
絡
層
控
制
—
—
包
過濾
1.安全策略應使用默認禁止原則,即處非明確允許,否則就禁止
√
√
√
2.安全策略應包含基於源IP地址、目的IP地址的訪問控制
√
√
√
3.安全策略應包含基於源端口、目的端口的得訪問控制
√
√
√
4.安全策略應包含基於協議類型的訪問控制
√
√
√
5.安全策略可包含基於MAC的訪問控制
√
√
√
6.安全策略可包含基於時間的訪問控制
√
無
√
7.應支持用戶自定義策略,安全策略可以是MAC地址、IP地址、端口、協議類型和時間的部分或全部組合
√
√
√
基本級工控防火牆最多支持包括源/目的IP、源/目的端口、源/目的MAC及協議類型的七元組包過濾策略,而增強級工控防火牆聚力升級,在原有基礎上又增加了基於時間的訪問控制,與通用防火牆的包過濾策略持平,更加細粒度化工業網絡中流量包的策略管理。
2、NAT安全技術要求對比
安全技術要求
20281-2015增強級
37933-2019基本級
37933-2019增強級
網絡
層控制—
—NAT
1.應支持雙向NAT:SNAT和DNAT
√
√
√
2.SNAT應至少可實現“多對一”地址轉換,使得內部網絡主機訪問外部網絡時,其原IP地址被轉換
√
√
√
3.DNAT應至少可實現“一對多”地址轉換,將DMZ的IP地址/端口映射為外部網絡合法IP地址/端口,使外部網絡主機通過訪問映射地址和端口實現對DMZ服務器的訪問
√
無
√
4.應支持動態SNAT技術,實現“多對多”的SNAT
√
無
無
NAT即網絡地址轉換,該功能最初出現是為了通過使用少量的公有IP地址代替私有IP地址,從而達到減緩可用IP地址枯竭的目的,而與此同時也衍生出了它的其它功能:隱藏局域網內部IP,保護內部主機免受攻擊;平衡負載;端口轉發等。相較基本級工控防火牆只能實現內網地址的隱藏功能,增強級工控防火牆為了滿足工控系統內部服務器需要對外網用戶提供服務的業務場景,在此基礎上增加對DNAT實現一對多轉換功能。而相對於通用防火牆需要應對大量主機同時上網的情況,工控防火牆並沒有要求支持多對多SNAT的要求。
3、流量監測安全技術要求對比
安全技術要求
20281-2015增強級
37933-2019基本級
37933-2019增強級
網絡層
控制—
—流量監測
1.能夠通過IP地址、網絡服務、時間和協議類型等參數或他們的組合對流量進行正確的統計
√
無
√
2.能夠實時或者以報表形式輸出流量統計結果
√
√
3.能夠對流量超過預警值的行為進行告警
√
增強級工控防火牆要求可對防火牆監控區域內的網絡總流量、併發連接數、設備流量排名、協議流量排名、接口流量等進行統計,並基於正常的流量基線及時對異常流量行為進行告警。流量監測不僅能夠發現、預防網絡流量中的瓶頸,還為網絡性能優化提供依據,更能幫助用戶排查出各種病毒感染的主機風險。
4、應用協議控制安全技術要求對比
安全技術要求
20281-2015增強級
37933-2019基本級
37933-2019增強級
應用層
控制—
—應用
協議控制
1.http、FTP、Telnet、SMTP和POP3等常見應用
√
√
√
2.及時聊天類應用、P2P流媒體類應用、網絡流媒體類應用、網絡遊戲、股票軟件
√
無
無
3.逃逸或隧道加密特點的應用
√
無
無
3.自定義應用類型
√
無
√
4.支持常用工業控制協議、如OPC、Modbus TCP、Profinet、BACnet、DNP3、IEC104等
無
√
√
增強級工控防火牆除配有常見的預定義服務方便用戶引用,另增加了自定義服務功能可對私有協議進行識別,更能靈活地適應多種工業生產控制場景。而相對於通用防火牆,減少了對一些工業控制環境中並不需要的第三方應用的識別控制。
5、工業協議深度內容檢測安全技術要求對比
安全技術要求
20281-2015增強級
37933-2019基本級
37933-2019增強級
應用層
控制—
—工業
協議深
度內容
檢測
1.工控協議格式規約檢查,禁止不符合協議規約的通信
無
√
√
2.對工業協議的操作類型、操作對象、操作範圍等參數進行控制
√
√
3.至少支持三種主流工控協議
無
√
這是工控防火牆最核心的功能。GB/T 37933-2019規定了增強級工控防火牆至少應支持三種以上的常用工控協議,並且對工控協議內容檢測的細節問題也進行了明確要求。深度檢測過程大致如下:對流入的網絡流量首先進行協議格式檢查,發現不符合協議標準的訪問數據包時及時阻斷,之後對請求的數據包內容進行檢查。以Modbus為例,增強級工控防火牆支持對Modbus的幾十位功能碼進行細粒度解析,對讀寫操作,地址範圍及操作值進行檢查,此外還可對功能碼進行自定義。
除了以上技術要求對比外,應用於工業控制環境的防火牆與通用防火牆還有以下應用差異:
1. 用於工業控制環境的防火牆比通用防火牆具有更高的環境適應能力,如:低功耗、寬溫、防護等級等要求;
2. 工業控制環境中,通常流量相對較小,但對控制命令的執行要求具有實時性。因此,工業控制防火牆的吞吐量性能要求可相對低一些,而對實時性要求更高;
3. 工業控制環境下的防火牆比通用防火牆具有更高的可靠性、穩定性要求,如:硬件bypass設計、標配冗餘電源等。
天地和興工控防火牆採用工業級的專用硬件平臺,支持DIN導軌式和機架式安裝,採用了低功耗、寬溫等工業設計,支持IP40防護等級;擁有全面的攻擊防護能力,具有自學習白名單、全適應IPV6、與平臺類設備聯動等一系列功能,完全符合《GB/T 37933——2019信息安全技術 工業控制系統專用防火牆技術要求》標準要求。天地和興工控防火牆現已廣泛應用於電力、軌道交通、鋼鐵冶金、石油石化、智能製造等工業領域,時刻保障國家關鍵信息基礎設施安全運行。
