北京2020年9月25日 /美通社/ -- 近日���,天地和興旗下“地盾”系列工控防火墻順利通過公安部計算機信息系統(tǒng)安全產(chǎn)品質量檢測中心測試,取得工業(yè)控制系統(tǒng)專用防火墻(增強級)銷售許可證(以下簡稱銷售許可證)���。天地和興作為國內工業(yè)網(wǎng)絡安全領航者���,憑借其在工業(yè)網(wǎng)絡安全領域深耕數(shù)十年的服務經(jīng)驗,不斷精雕細琢各類工業(yè)網(wǎng)絡安全產(chǎn)品,以求給用戶提供更好的使用體驗��。工控防火墻作為天地和興旗下防護類主打產(chǎn)品,擁有國內領先的工控協(xié)議深度內容檢測技術。天地和興能夠在國內第一個取得工業(yè)控制系統(tǒng)專用防火墻(增強級)銷售許可證���,不僅僅代表國家相關部門對天地和興安全產(chǎn)品的認可����,更是天地和興綜合實力的體現(xiàn)����。
國家現(xiàn)行的關于工業(yè)控制系統(tǒng)專用防火墻的標準是在今年三月份正式才開始實施�。在此之前����,國家標準化管理委員會未曾發(fā)布任何有關工業(yè)控制系統(tǒng)專用防火墻的標準�����。盡管市面上的工控防火墻層出不窮���,但大多都是在通用防火墻的基礎上增加工業(yè)控制協(xié)議解析的相關功能包裝而來。品種繁多,花樣百出的工控防火墻已經(jīng)讓想要購買此類安全產(chǎn)品的企業(yè)挑花了眼����,如今《GB/T 37933——2019信息安全技術 工業(yè)控制系統(tǒng)專用防火墻技術要求》標準已經(jīng)發(fā)布,什么樣的墻最適合工控企業(yè),相信你已經(jīng)有了答案��。
今天,天地和興將通過比較兩個現(xiàn)行的防火墻相關標準GB/T 28201—2015和GB/T 37933—2019的部分內容����,帶你深入了解工業(yè)控制系統(tǒng)專用防火墻���。
1、包過濾安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
網(wǎng) 絡 層 控 制 — — 包 過濾 |
1.安全策略應使用默認禁止原則���,即處非明確允許��,否則就禁止 |
√ |
√ |
√ |
2.安全策略應包含基于源IP地址����、目的IP地址的訪問控制 |
√ |
√ |
√ |
3.安全策略應包含基于源端口、目的端口的得訪問控制 |
√ |
√ |
√ |
4.安全策略應包含基于協(xié)議類型的訪問控制 |
√ |
√ |
√ |
5.安全策略可包含基于MAC的訪問控制 |
√ |
√ |
√ |
6.安全策略可包含基于時間的訪問控制 |
√ |
無 |
√ |
7.應支持用戶自定義策略�����,安全策略可以是MAC地址、IP地址��、端口、協(xié)議類型和時間的部分或全部組合 |
√ |
√ |
√ |
基本級工控防火墻最多支持包括源/目的IP��、源/目的端口���、源/目的MAC及協(xié)議類型的七元組包過濾策略�,而增強級工控防火墻聚力升級���,在原有基礎上又增加了基于時間的訪問控制�����,與通用防火墻的包過濾策略持平�,更加細粒度化工業(yè)網(wǎng)絡中流量包的策略管理。
2、NAT安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
網(wǎng)絡 層控制— —NAT |
1.應支持雙向NAT:SNAT和DNAT |
√ |
√ |
√ |
2.SNAT應至少可實現(xiàn)“多對一”地址轉換,使得內部網(wǎng)絡主機訪問外部網(wǎng)絡時���,其原IP地址被轉換 |
√ |
√ |
√ |
3.DNAT應至少可實現(xiàn)“一對多”地址轉換����,將DMZ的IP地址/端口映射為外部網(wǎng)絡合法IP地址/端口����,使外部網(wǎng)絡主機通過訪問映射地址和端口實現(xiàn)對DMZ服務器的訪問 |
√ |
無 |
√ |
4.應支持動態(tài)SNAT技術��,實現(xiàn)“多對多”的SNAT |
√ |
無 |
無 |
NAT即網(wǎng)絡地址轉換���,該功能最初出現(xiàn)是為了通過使用少量的公有IP地址代替私有IP地址�,從而達到減緩可用IP地址枯竭的目的���,而與此同時也衍生出了它的其它功能:隱藏局域網(wǎng)內部IP,保護內部主機免受攻擊�����;平衡負載;端口轉發(fā)等����。相較基本級工控防火墻只能實現(xiàn)內網(wǎng)地址的隱藏功能��,增強級工控防火墻為了滿足工控系統(tǒng)內部服務器需要對外網(wǎng)用戶提供服務的業(yè)務場景����,在此基礎上增加對DNAT實現(xiàn)一對多轉換功能���。而相對于通用防火墻需要應對大量主機同時上網(wǎng)的情況,工控防火墻并沒有要求支持多對多SNAT的要求。
3�、流量監(jiān)測安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
網(wǎng)絡層 控制— —流量監(jiān)測 |
1.能夠通過IP地址�、網(wǎng)絡服務、時間和協(xié)議類型等參數(shù)或他們的組合對流量進行正確的統(tǒng)計 |
√ |
無 |
√ |
2.能夠實時或者以報表形式輸出流量統(tǒng)計結果 |
√ |
√ |
3.能夠對流量超過預警值的行為進行告警 |
|
√ |
增強級工控防火墻要求可對防火墻監(jiān)控區(qū)域內的網(wǎng)絡總流量、并發(fā)連接數(shù)����、設備流量排名�、協(xié)議流量排名����、接口流量等進行統(tǒng)計�����,并基于正常的流量基線及時對異常流量行為進行告警。流量監(jiān)測不僅能夠發(fā)現(xiàn)��、預防網(wǎng)絡流量中的瓶頸��,還為網(wǎng)絡性能優(yōu)化提供依據(jù)����,更能幫助用戶排查出各種病毒感染的主機風險。
4���、應用協(xié)議控制安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
應用層 控制— —應用 協(xié)議控制 |
1.http����、FTP����、Telnet�����、SMTP和POP3等常見應用 |
√ |
√ |
√ |
2.及時聊天類應用����、P2P流媒體類應用�、網(wǎng)絡流媒體類應用、網(wǎng)絡游戲、股票軟件 |
√ |
無 |
無 |
3.逃逸或隧道加密特點的應用 |
√ |
無 |
無 |
3.自定義應用類型 |
√ |
無 |
√ |
4.支持常用工業(yè)控制協(xié)議�、如OPC�、Modbus TCP��、Profinet��、BACnet��、DNP3���、IEC104等 |
無 |
√ |
√ |
增強級工控防火墻除配有常見的預定義服務方便用戶引用,另增加了自定義服務功能可對私有協(xié)議進行識別�,更能靈活地適應多種工業(yè)生產(chǎn)控制場景。而相對于通用防火墻���,減少了對一些工業(yè)控制環(huán)境中并不需要的第三方應用的識別控制����。
5、工業(yè)協(xié)議深度內容檢測安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
應用層 控制— —工業(yè) 協(xié)議深 度內容 檢測 |
1.工控協(xié)議格式規(guī)約檢查�,禁止不符合協(xié)議規(guī)約的通信 |
無 |
√ |
√ |
2.對工業(yè)協(xié)議的操作類型����、操作對象����、操作范圍等參數(shù)進行控制 |
√ |
√ |
3.至少支持三種主流工控協(xié)議 |
無 |
√ |
這是工控防火墻最核心的功能��。GB/T 37933-2019規(guī)定了增強級工控防火墻至少應支持三種以上的常用工控協(xié)議���,并且對工控協(xié)議內容檢測的細節(jié)問題也進行了明確要求�。深度檢測過程大致如下:對流入的網(wǎng)絡流量首先進行協(xié)議格式檢查���,發(fā)現(xiàn)不符合協(xié)議標準的訪問數(shù)據(jù)包時及時阻斷���,之后對請求的數(shù)據(jù)包內容進行檢查。以Modbus為例����,增強級工控防火墻支持對Modbus的幾十位功能碼進行細粒度解析��,對讀寫操作����,地址范圍及操作值進行檢查�����,此外還可對功能碼進行自定義。
除了以上技術要求對比外����,應用于工業(yè)控制環(huán)境的防火墻與通用防火墻還有以下應用差異:
1. 用于工業(yè)控制環(huán)境的防火墻比通用防火墻具有更高的環(huán)境適應能力�����,如:低功耗�����、寬溫��、防護等級等要求��;
2. 工業(yè)控制環(huán)境中����,通常流量相對較小���,但對控制命令的執(zhí)行要求具有實時性。因此,工業(yè)控制防火墻的吞吐量性能要求可相對低一些,而對實時性要求更高���;
3. 工業(yè)控制環(huán)境下的防火墻比通用防火墻具有更高的可靠性��、穩(wěn)定性要求�,如:硬件bypass設計����、標配冗余電源等����。
天地和興工控防火墻采用工業(yè)級的專用硬件平臺����,支持DIN導軌式和機架式安裝��,采用了低功耗���、寬溫等工業(yè)設計,支持IP40防護等級��;擁有全面的攻擊防護能力��,具有自學習白名單�、全適應IPV6���、與平臺類設備聯(lián)動等一系列功能��,完全符合《GB/T 37933——2019信息安全技術 工業(yè)控制系統(tǒng)專用防火墻技術要求》標準要求。天地和興工控防火墻現(xiàn)已廣泛應用于電力����、軌道交通�、鋼鐵冶金、石油石化��、智能制造等工業(yè)領域�����,時刻保障國家關鍵信息基礎設施安全運行。
圖片- https://photos.prnasia.com/prnh/20200924/2927914-1-a?lang=1
圖片- https://photos.prnasia.com/prnh/20200924/2927914-1-b?lang=1
圖片- https://photos.prnasia.com/prnh/20200924/2927914-1-c?lang=1
圖片- https://photos.prnasia.com/prnh/20200924/2927914-1-d?lang=1
