|
從美通社獲知�,近日���,天地和興旗下“地盾”系列工控防火墻順利通過公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量檢測中心測試���,取得工業(yè)控制系統(tǒng)專用防火墻(增強級)銷售許可證(以下簡稱銷售許可證)�。天地和興作為國內(nèi)工業(yè)網(wǎng)絡(luò)安全領(lǐng)航者�����,憑借其在工業(yè)網(wǎng)絡(luò)安全領(lǐng)域深耕數(shù)十年的服務(wù)經(jīng)驗�,不斷精雕細(xì)琢各類工業(yè)網(wǎng)絡(luò)安全產(chǎn)品�����,以求給用戶提供更好的使用體驗��。工控防火墻作為天地和興旗下防護(hù)類主打產(chǎn)品���,擁有國內(nèi)領(lǐng)先的工控協(xié)議深度內(nèi)容檢測技術(shù)��。天地和興能夠在國內(nèi)第一個取得工業(yè)控制系統(tǒng)專用防火墻(增強級)銷售許可證����,不僅僅代表國家相關(guān)部門對天地和興安全產(chǎn)品的認(rèn)可����,更是天地和興綜合實力的體現(xiàn)���。
國家現(xiàn)行的關(guān)于工業(yè)控制系統(tǒng)專用防火墻的標(biāo)準(zhǔn)是在今年三月份正式才開始實施。在此之前���,國家標(biāo)準(zhǔn)化管理委員會未曾發(fā)布任何有關(guān)工業(yè)控制系統(tǒng)專用防火墻的標(biāo)準(zhǔn)。盡管市面上的工控防火墻層出不窮��,但大多都是在通用防火墻的基礎(chǔ)上增加工業(yè)控制協(xié)議解析的相關(guān)功能包裝而來����。品種繁多,花樣百出的工控防火墻已經(jīng)讓想要購買此類安全產(chǎn)品的企業(yè)挑花了眼��,如今《GB/T 37933——2019信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》標(biāo)準(zhǔn)已經(jīng)發(fā)布,什么樣的墻最適合工控企業(yè)�,相信你已經(jīng)有了答案。
今天,天地和興將通過比較兩個現(xiàn)行的防火墻相關(guān)標(biāo)準(zhǔn)GB/T 28201—2015和GB/T 37933—2019的部分內(nèi)容�,帶你深入了解工業(yè)控制系統(tǒng)專用防火墻��。
1����、包過濾安全技術(shù)要求對比
|
安全技術(shù)要求
|
20281-2015增強級
|
37933-2019基本級
|
37933-2019增強級
|
|
網(wǎng)
絡(luò)
層
控
制
—
—
包
過濾
|
1.安全策略應(yīng)使用默認(rèn)禁止原則�,即處非明確允許�,否則就禁止
|
√
|
√
|
√
|
|
2.安全策略應(yīng)包含基于源IP地址�����、目的IP地址的訪問控制
|
√
|
√
|
√
|
|
3.安全策略應(yīng)包含基于源端口、目的端口的得訪問控制
|
√
|
√
|
√
|
|
4.安全策略應(yīng)包含基于協(xié)議類型的訪問控制
|
√
|
√
|
√
|
|
5.安全策略可包含基于MAC的訪問控制
|
√
|
√
|
√
|
|
6.安全策略可包含基于時間的訪問控制
|
√
|
無
|
√
|
|
7.應(yīng)支持用戶自定義策略�����,安全策略可以是MAC地址���、IP地址���、端口�����、協(xié)議類型和時間的部分或全部組合
|
√
|
√
|
√
|
基本級工控防火墻最多支持包括源/目的IP�����、源/目的端口、源/目的MAC及協(xié)議類型的七元組包過濾策略��,而增強級工控防火墻聚力升級���,在原有基礎(chǔ)上又增加了基于時間的訪問控制,與通用防火墻的包過濾策略持平���,更加細(xì)粒度化工業(yè)網(wǎng)絡(luò)中流量包的策略管理。
2、NAT安全技術(shù)要求對比
|
安全技術(shù)要求
|
20281-2015增強級
|
37933-2019基本級
|
37933-2019增強級
|
|
網(wǎng)絡(luò)
層控制—
—NAT
|
1.應(yīng)支持雙向NAT:SNAT和DNAT
|
√
|
√
|
√
|
|
2.SNAT應(yīng)至少可實現(xiàn)“多對一”地址轉(zhuǎn)換�,使得內(nèi)部網(wǎng)絡(luò)主機(jī)訪問外部網(wǎng)絡(luò)時,其原IP地址被轉(zhuǎn)換
|
√
|
√
|
√
|
|
3.DNAT應(yīng)至少可實現(xiàn)“一對多”地址轉(zhuǎn)換�,將DMZ的IP地址/端口映射為外部網(wǎng)絡(luò)合法IP地址/端口���,使外部網(wǎng)絡(luò)主機(jī)通過訪問映射地址和端口實現(xiàn)對DMZ服務(wù)器的訪問
|
√
|
無
|
√
|
|
4.應(yīng)支持動態(tài)SNAT技術(shù),實現(xiàn)“多對多”的SNAT
|
√
|
無
|
無
|
NAT即網(wǎng)絡(luò)地址轉(zhuǎn)換����,該功能最初出現(xiàn)是為了通過使用少量的公有IP地址代替私有IP地址,從而達(dá)到減緩可用IP地址枯竭的目的�����,而與此同時也衍生出了它的其它功能:隱藏局域網(wǎng)內(nèi)部IP���,保護(hù)內(nèi)部主機(jī)免受攻擊;平衡負(fù)載;端口轉(zhuǎn)發(fā)等��。相較基本級工控防火墻只能實現(xiàn)內(nèi)網(wǎng)地址的隱藏功能�����,增強級工控防火墻為了滿足工控系統(tǒng)內(nèi)部服務(wù)器需要對外網(wǎng)用戶提供服務(wù)的業(yè)務(wù)場景���,在此基礎(chǔ)上增加對DNAT實現(xiàn)一對多轉(zhuǎn)換功能�����。而相對于通用防火墻需要應(yīng)對大量主機(jī)同時上網(wǎng)的情況���,工控防火墻并沒有要求支持多對多SNAT的要求。
3����、流量監(jiān)測安全技術(shù)要求對比
|
安全技術(shù)要求
|
20281-2015增強級
|
37933-2019基本級
|
37933-2019增強級
|
|
網(wǎng)絡(luò)層
控制—
|
1.能夠通過IP地址、網(wǎng)絡(luò)服務(wù)�、時間和協(xié)議類型等參數(shù)或他們的組合對流量進(jìn)行正確的統(tǒng)計
|
√
|
無
|
√
|
|
2.能夠?qū)崟r或者以報表形式輸出流量統(tǒng)計結(jié)果
|
√
|
√
|
|
3.能夠?qū)α髁砍^預(yù)警值的行為進(jìn)行告警
|
|
√
|
增強級工控防火墻要求可對防火墻監(jiān)控區(qū)域內(nèi)的網(wǎng)絡(luò)總流量、并發(fā)連接數(shù)�、設(shè)備流量排名��、協(xié)議流量排名���、接口流量等進(jìn)行統(tǒng)計,并基于正常的流量基線及時對異常流量行為進(jìn)行告警。流量監(jiān)測不僅能夠發(fā)現(xiàn)���、預(yù)防網(wǎng)絡(luò)流量中的瓶頸,還為網(wǎng)絡(luò)性能優(yōu)化提供依據(jù)�����,更能幫助用戶排查出各種病毒感染的主機(jī)風(fēng)險��。
4��、應(yīng)用協(xié)議控制安全技術(shù)要求對比
|
安全技術(shù)要求
|
20281-2015增強級
|
37933-2019基本級
|
37933-2019增強級
|
|
應(yīng)用層
控制—
—應(yīng)用
協(xié)議控制
|
1.http����、FTP、Telnet��、SMTP和POP3等常見應(yīng)用
|
√
|
√
|
√
|
|
2.及時聊天類應(yīng)用、P2P流媒體類應(yīng)用��、網(wǎng)絡(luò)流媒體類應(yīng)用���、網(wǎng)絡(luò)游戲��、股票軟件
|
√
|
無
|
無
|
|
3.逃逸或隧道加密特點的應(yīng)用
|
√
|
無
|
無
|
|
3.自定義應(yīng)用類型
|
√
|
無
|
√
|
|
4.支持常用工業(yè)控制協(xié)議���、如OPC、Modbus TCP�����、Profinet����、BACnet、DNP3�����、IEC104等
|
無
|
√
|
√
|
增強級工控防火墻除配有常見的預(yù)定義服務(wù)方便用戶引用����,另增加了自定義服務(wù)功能可對私有協(xié)議進(jìn)行識別���,更能靈活地適應(yīng)多種工業(yè)生產(chǎn)控制場景。而相對于通用防火墻�,減少了對一些工業(yè)控制環(huán)境中并不需要的第三方應(yīng)用的識別控制。
5���、工業(yè)協(xié)議深度內(nèi)容檢測安全技術(shù)要求對比
|
安全技術(shù)要求
|
20281-2015增強級
|
37933-2019基本級
|
37933-2019增強級
|
|
應(yīng)用層
控制—
—工業(yè)
協(xié)議深
度內(nèi)容
檢測
|
1.工控協(xié)議格式規(guī)約檢查��,禁止不符合協(xié)議規(guī)約的通信
|
無
|
√
|
√
|
|
2.對工業(yè)協(xié)議的操作類型�、操作對象����、操作范圍等參數(shù)進(jìn)行控制
|
√
|
√
|
|
3.至少支持三種主流工控協(xié)議
|
無
|
√
|
這是工控防火墻最核心的功能。GB/T 37933-2019規(guī)定了增強級工控防火墻至少應(yīng)支持三種以上的常用工控協(xié)議��,并且對工控協(xié)議內(nèi)容檢測的細(xì)節(jié)問題也進(jìn)行了明確要求����。深度檢測過程大致如下:對流入的網(wǎng)絡(luò)流量首先進(jìn)行協(xié)議格式檢查����,發(fā)現(xiàn)不符合協(xié)議標(biāo)準(zhǔn)的訪問數(shù)據(jù)包時及時阻斷,之后對請求的數(shù)據(jù)包內(nèi)容進(jìn)行檢查�����。以Modbus為例,增強級工控防火墻支持對Modbus的幾十位功能碼進(jìn)行細(xì)粒度解析�,對讀寫操作,地址范圍及操作值進(jìn)行檢查����,此外還可對功能碼進(jìn)行自定義。
除了以上技術(shù)要求對比外����,應(yīng)用于工業(yè)控制環(huán)境的防火墻與通用防火墻還有以下應(yīng)用差異:
1. 用于工業(yè)控制環(huán)境的防火墻比通用防火墻具有更高的環(huán)境適應(yīng)能力,如:低功耗�����、寬溫��、防護(hù)等級等要求;
2. 工業(yè)控制環(huán)境中��,通常流量相對較小����,但對控制命令的執(zhí)行要求具有實時性。因此����,工業(yè)控制防火墻的吞吐量性能要求可相對低一些���,而對實時性要求更高;
3. 工業(yè)控制環(huán)境下的防火墻比通用防火墻具有更高的可靠性、穩(wěn)定性要求�,如:硬件bypass設(shè)計、標(biāo)配冗余電源等���。
天地和興工控防火墻采用工業(yè)級的專用硬件平臺���,支持DIN導(dǎo)軌式和機(jī)架式安裝����,采用了低功耗、寬溫等工業(yè)設(shè)計�,支持IP40防護(hù)等級;擁有全面的攻擊防護(hù)能力,具有自學(xué)習(xí)白名單����、全適應(yīng)IPV6����、與平臺類設(shè)備聯(lián)動等一系列功能�,完全符合《GB/T 37933——2019信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》標(biāo)準(zhǔn)要求�����。天地和興工控防火墻現(xiàn)已廣泛應(yīng)用于電力��、軌道交通�、鋼鐵冶金�、石油石化、智能制造等工業(yè)領(lǐng)域��,時刻保障國家關(guān)鍵信息基礎(chǔ)設(shè)施安全運行����。
|
京公網(wǎng)安備 11010602130064號
