030 工业防火墙设计⑴概述

工业防火墙（IFW，Industrial Firewalls）/工控防火墙（ICF，Industrial Control Firewall）。

主要部署于管理网（办公网）与生产网之间或部署在控制设备层的边界，对通过的工业控制网络流量进行解析、识别和控制，以抵御来自内外网对工业生产设备的攻击。

工控防火墙和传统防火墙区别

1.传统防火墙未装载工业协议解析模块，不理解不支持工业控制协议。工业网络采用的是专用工业协议，工业协议的类别很多，有基于工业以太网（基于二层和三层）的协议，有基于串行链路（RS232、RS485）的协议，这些协议都需要专门的工业协议解析模块来对其进行协议过滤和解析。传统防火墙只针对于ICT环境，无法完全支持对工业协议的无/有状态过滤，也无法对工业协议进行深度解析和控制。

2.传统防火墙软硬件设计架构不适应工业网络实时性和生产环境的要求。首先，工业网络环境中工控设备对于实时性传输反馈要求非常高，一个小问题就可能导致某个开关停止响应,这就要求接入的工控防火墙也必须具备工业网络的实时性要求。而一般的传统防火墙主要应用于传统的ICT环境，在软硬件架构设计之初就未考虑过工业网络的实时性，因此传统防火墙无法适应工业网络实时性要求。其次，工业生产对网络安全设备的环境适应性要求很高，很多工业现场甚至是在无人值守的恶劣环境。因此工控防火墙必须具备对工业生产环境可预见的性能支持和抗干扰水平的支持。例如，一般部署在工业现场的防火墙以导轨式为主，该环境对防火墙的环境适应性要求就很高，产品往往要求无风扇、宽温支持等。传统防火墙无法适应工业网络严苛复杂的生产环境。

因此，工控防火墙除了传统防火墙具备的访问控制、安全域管理、网络地址转换（Network Address Translation，NAT）等功能外，还具有专门针对工业协议的协议过滤模块和协议深度解析模块，其内置的这些模块可以在ICS环境中对各种工业协议进行识别、过滤及解析控制。

机架式防火墙一般部署于工厂的机房中，因此其规格同传统防火墙一样，大部分采用1U或2U规格的机架式设计，采用无风扇、符合IP40防护等级要求设计，用于隔离工厂与管理网或其他工厂的网络。而导轨式防火墙大部分部署在生产环境的生产现场，因此这种防火墙大部分采用导轨式架构设计，方便地卡在导轨上而无需用螺丝固定，维护方便。同时其内部设计更加封闭与严实，内部组件之间都采用嵌入式计算主板上，这种主板一般都采用一体化散热设计，超紧凑结构，内部无连线设计，板载CPU及内存芯片以免受工业生产环境的震动。

工控协议和传统协议区别

针对于工业协议不加密来说，工业协议最初在设计的时候不考虑加密也是因为先天性的不足，比如现场设备计算能力低、工业网络实时性要求，采用加密的工业协议将无法承受加密解密的计算量和延迟。这就造成了工业网络通讯协议与普通的网络协议有很大不同：

1.工业协议基本上都是明文的协议，并且传输的数据包具有顺序性。由于最开始时期工业环境是专用是软件硬件和专用的协议，而且处于隔离的网络环境，设备计算性能低下，因此工业协议设计都从未考虑加密的特性，基本上都是明文的传输。虽然工业设备的厂家几乎大致都各自开发了自己的私有协议，但是这些私有的协议通过抓包进行分析，就可以得出这个协议大体的实现。这是因为工业协议还有另外一个特征是，其协议发送的数据包几乎是具有顺序性的，而ICT环境的网络协议大部分是随机性的。因此就协议上来说，工控防火墙对工业协议的过滤和解析控制，区别于传统防火墙的工作模式是：工控防火墙只能够利用已知的工业专有通讯协议（例如OPC、Profibus等）建立防护规则，其他的未公开的私有工业协议需要工控防火墙再利用智能学习的模式学习来建立该协议的规则库。工控防火墙的智能学习模式就是利用了工业协议的明文传输且具有顺序性质的特点，抓取一定数量的协议数据包进行分析，就可以得出这个私有协议的协议特征，从而针对这个特征就可以建立规则库。

2.工业协议区别于其他网络协议的另外一点是，工业协议有动态变化的特征。比如OPC，因为其基于DCOM技术，在进行数据通讯时其端口从1024到65535动态使用，其对端口的动态使用，防火墙再利用端口识别协议根本就不可能。所以在工业环境中使用传统防火墙时根本没有任何意义，对于协议使用端口5185等一般防火墙根本就无法进行剖析，而使OPC客户端可以轻易对OPC服务器数据项进行读写，在没有防火墙的情况下，一旦黑客对客户端电脑取得控制权，控制系统就面临很大风险。除了动态端口以外，还具有别的动态特征，比如Modbus协议，其组态点连接的数量也决定着协议数据包的动态变化，比如100点的连接和200点的连接，其功能码以及数据包生成和传输的就不再一样。这些动态的变化都需要防火墙具有对这些协议深度的认识，深度的解析控制。