PLC/SCADA/DCS通讯：工控防火墙架构与技术解析

1.1.工控防火墙概述

我们将应用于工业控制网络环境中的防火墙称为工业控制防火墙（ICF，Industrial Control Firewall）、工业防火墙（IFW，IndustrialFirewalls）或工控防火墙（在本文中主要称为工控防火墙）。和ICT环境的防火墙作用类似，其是一个具体设备（物理或虚拟），用于两个网络之间的隔离控制。在ICT环境中，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。而在ICS环境中，工控防火墙主要部署于管理网（办公网）与生产网之间或部署在控制设备层的边界，对通过的工业控制网络流量进行解析、识别和控制，以抵御来自内外网对工业生产设备的攻击。

工控防火墙和传统防火墙因其所处的环境不同而有所区别，相较而言，传统防火墙没有以下所述的特性：

1. 传统防火墙未装载工业协议解析模块，不理解不支持工业控制协议。工业网络采用的是专用工业协议，工业协议的类别很多，有基于工业以太网（基于二层和三层）的协议，有基于串行链路（RS232、RS485）的协议，这些协议都需要专门的工业协议解析模块来对其进行协议过滤和解析。传统防火墙只针对于ICT环境，无法完全支持对工业协议的无/有状态过滤，也无法对工业协议进行深度解析和控制。

2. 传统防火墙软硬件设计架构不适应工业网络实时性和生产环境的要求。首先，工业网络环境中工控设备对于实时性传输反馈要求非常高，一个小问题就可能导致某个开关停止响应,这就要求接入的工控防火墙也必须具备工业网络的实时性要求。而一般的传统防火墙主要应用于传统的ICT环境，在软硬件架构设计之初就未考虑过工业网络的实时性，因此传统防火墙无法适应工业网络实时性要求。其次，工业生产对网络安全设备的环境适应性要求很高，很多工业现场甚至是在无人值守的恶劣环境。因此工控防火墙必须具备对工业生产环境可预见的性能支持和抗干扰水平的支持。例如，一般部署在工业现场的防火墙以导轨式为主，该环境对防火墙的环境适应性要求就很高，产品往往要求无风扇、宽温支持等。传统防火墙无法适应工业网络严苛复杂的生产环境。

因此，工控防火墙除了传统防火墙具备的访问控制、安全域管理、网络地址转换（Network Address Translation，NAT）等功能外，还具有专门针对工业协议的协议过滤模块和协议深度解析模块，其内置的这些模块可以在ICS环境中对各种工业协议进行识别、过滤及解析控制。例如现在市面上，国内的启明星辰天清汉马工业防火墙实现了Modbus/TCP（通用工业协议）、Modbus/RTU(基于串行链路)、IEC104协议（电力标准）、OPC协议（数据交换标准）、Ethernet/IP和Profinet等近百种的工业协议防护。国外厂商百通（收购多芬诺以及赫思曼）的工业防火墙支持工业通讯协议有Modbus TCP/OPC/Siemens/Rockwell/GEFanuc/Honeywell/Yokogawa/Emerson/Mitsubishi/Omron/PI…等50多种。这些工业防火墙针对工业协议都采用黑白名单机制以及深度包检测技术（DPI）。在对二层和三层协议进行过滤的基础上，进一步解析应用层传输的工业控制协议网络报文内容，对OPC、ModBus、DNP3、IEC104、Profinet 等普遍使用的工业协议的数据包进行深度包解析，从而对报文中传输的工业协议指令和操作数据等信息进行检查，通过与预先配置的黑名单或白名单内容进行比对，防止应用层协议被篡改或破坏。目前工控防火墙的技术一般解析到工业协议的指令层，可以实现对非法指令的阻断、非工业协议的拦截等。同时，这些工业防火墙还能很好满足工业环境中的机械要求（如冲击、振动、拉伸等）、气候保护要求（如工作温度、存储温度、湿度、紫外线）、侵入保护要求（如保护等级、污染等级）以及电磁辐射和免疫要求（发射、免疫），具备生产环境下的高可靠性和高可用性。

1.2.工控防火墙是工业网络安全的第一道防线

现在的术语“防火墙”已经广泛使用多年，“防火墙”一词已经是具有不同操作方法和目标的广泛技术的统称。现今的防火墙单就分类来说就包括了多种：无状态防火墙、有状态防火墙、透明防火墙，各级网络参考架构的防火墙（主机防火墙、网络防火墙等）、具有深度数据包检测的防火墙，甚至还具有入侵检测功能或入侵防御功能的防火墙等等。除此之外，还有其他可以控制和限制网络流量的方法也可以称之为防火墙，如访问控制列表（ACL）。这些不同的技术构成的防火墙种类繁多，其应用的地方也不尽相同。在工业网络体系中，针对部署的位置不同，工控防火墙可以大致分为两种：

l机架式工控防火墙

l导轨式工控防火墙

机架式防火墙一般部署于工厂的机房中，因此其规格同传统防火墙一样，大部分采用1U或2U规格的机架式设计，采用无风扇、符合IP40防护等级要求设计，用于隔离工厂与管理网或其他工厂的网络。而导轨式防火墙大部分部署在生产环境的生产现场，因此这种防火墙大部分采用导轨式架构设计，方便地卡在导轨上而无需用螺丝固定，维护方便。同时其内部设计更加封闭与严实，内部组件之间都采用嵌入式计算主板上，这种主板一般都采用一体化散热设计，超紧凑结构，内部无连线设计，板载CPU及内存芯片以免受工业生产环境的震动。

这两种防火墙会因为部署位置以及防护目标不同而功能上有所区别，但是大体上功能基本相同。从ICS本身的架构来说，由于其在设计之初并未考虑或很少考虑安全性的设计，其架构设计先天性的具有不可弥补的脆弱性。因此ICS领域并不像ICT领域那样，ICT领域快速更新迭代的技术几乎已经在架构上尽量保证其安全性设计。伴随两化融合和物联网的快速发展，我国关键性基础设施和工业行业广泛使用的SCADA、DCS、PLC等工业控制系统越来越多地采用计算机和网络技术，如Ethernet、TCP/IP以及OPC等，极大地推动了工业生产，但同时也使工业控制系统接口越来越开放。这些和管理网以及因特网互联的接口就非常容易面临着内外部的针对ICS脆弱性的攻击。因此ICS本身的架构脆弱性以及可能面临的内外部针对脆弱性的攻击就造成了ICS的风险。这些风险直接或间接地影响着企业运营者的安全生产。因此在这样的趋势下，工控防火墙首先需要防护的就是一些已知的ICS脆弱性，比如未经授权的访问以及不加密的协议等。

针对于工业协议不加密来说，工业协议最初在设计的时候不考虑加密也是因为先天性的不足，比如现场设备计算能力低、工业网络实时性要求，采用加密的工业协议将无法承受加密解密的计算量和延迟。这就造成了工业网络通讯协议与普通的网络协议有很大不同：

1、工业协议基本上都是明文的协议，并且传输的数据包具有顺序性。由于最开始时期工业环境是专用是软件硬件和专用的协议，而且处于隔离的网络环境，设备计算性能低下，因此工业协议设计都从未考虑加密的特性，基本上都是明文的传输。虽然工业设备的厂家几乎大致都各自开发了自己的私有协议，但是这些私有的协议通过抓包进行分析，就可以得出这个协议大体的实现。这是因为工业协议还有另外一个特征是，其协议发送的数据包几乎是具有顺序性的，而ICT环境的网络协议大部分是随机性的。因此就协议上来说，工控防火墙对工业协议的过滤和解析控制，区别于传统防火墙的工作模式是：工控防火墙只能够利用已知的工业专有通讯协议（例如OPC、Profibus等）建立防护规则，其他的未公开的私有工业协议需要工控防火墙再利用智能学习的模式学习来建立该协议的规则库。工控防火墙的智能学习模式就是利用了工业协议的明文传输且具有顺序性质的特点，抓取一定数量的协议数据包进行分析，就可以得出这个私有协议的协议特征，从而针对这个特征就可以建立规则库。

2、 工业协议区别于其他网络协议的另外一点是，工业协议有动态变化的特征。比如OPC，因为其基于DCOM技术，在进行数据通讯时其端口从1024到65535动态使用，其对端口的动态使用，防火墙再利用端口识别协议根本就不可能。所以在工业环境中使用传统防火墙时根本没有任何意义，对于协议使用端口5185等一般防火墙根本就无法进行剖析，而使OPC客户端可以轻易对OPC服务器数据项进行读写，在没有防火墙的情况下，一旦黑客对客户端电脑取得控制权，控制系统就面临很大风险。除了动态端口以外，还具有别的动态特征，比如Modbus协议，其组态点连接的数量也决定着协议数据包的动态变化，比如100点的连接和200点的连接，其功能码以及数据包生成和传输的就不再一样。这些动态的变化都需要防火墙具有对这些协议深度的认识，深度的解析控制。

针对未授权访问来说，如MODBUS TCP/IP，在很多场合下，主设备（Master）用户的权限是最高的，可以任意对从站（Slave）数据进行读写，如果没有防火墙管控，这就很危险的。还有上述的所说，OPC客户端是可以任意对OPC服务器数据项进行读写的。这些例子只是简单的说明了ICS领域本身的脆弱性，这些脆弱性不管是基于内部进行攻击还是由外部入侵者进来发起的攻击，都讲不可避免的造成生产损失，况且生产环节发生事故还特别容易威胁人身生命安全。这些风险是看得见的本身就存在的，不可能短期内通过更换工控设备来解决，必须要通过工控防火墙来实施防护，从而扼杀掉这样的风险。

从工业网络安全整体的考虑，现在的这些生产网由于扩大的规模、连接的无线、远程的运维、现场的管理和数据的传输，已经使生产线完全暴露在攻击者面前。SCADA、DCS系统和PLC本身的安全性就很脆弱，而黑客们真的不懂SCADA、DCS系统和PLC吗？也许震网、DUQU、火焰和Havex等可能有国家背景的“网络战武器”离我们很远，也许永远不会发生在我们的工厂中。但是现在不断暴增的工业网络安全事件和ICS的漏洞，以及这些ICS漏洞在地下黑市中的疯狂流转，无不说明工厂环境的价值目标越来越大。对于企业的运营者以及安全的防护者，工业网络安全的建设任重道远，必须从全局上看，整体上看，着重于顶层设计，实施纵深防御的安全战略。纵深防御是一种实施多层防御的策略，比如在网络边界部署工控防火墙，在工业网络内部部署针对工业环境的入侵检测系统、入侵防御系统、反病毒系统等安全基础设施。同时结合对工业网络的流量分析以及内外网攻击的情报，积极主动防御面临的安全威胁。工控防火墙是这个体系的第一道防线，是工业网络安全的重要组成部分。