为啥传统防火墙不能用在工业环境中？所谓工业防火墙又是怎么回事儿？

在能源企业的工业网络中，运行着 DCS、PLC、SCADA 等各种过程控制系统，它们往往是生产系统的核心，负责完成基本的生产控制。工业防火墙可以切实保障核心生产控制系统的网络安全，在不影响工业生产实时性的同时保护工业网络数据的安全传输。避免过程控制系统遭受入侵破坏对工业生产造成的影响。可用过防火墙的人都说，传统的防火墙在工控环境中根本没法用？

传统防火墙为啥不行？

一方面，为了提高安全防护能力，传统防火墙在发展过程中不断的添加新的功能，但是防火墙的安全性与其速度、功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目（即防火墙的功能）就越繁杂越精细，对CPU和内存的消耗也就越大，从而导致防火墙的性能下降，这一点与工业网络对于实时性的要求是相背离的。

而另一方面，才是传统防火墙最要命的地方，1它不理解不支持工控协议，这一点就等同虚设了；2它不适应工业网络对实时性的要求，而且工控设备对于实时性传输反馈要求非常高，一个小问题就可能导致某个开关停止响应了。

工业防火墙都用在哪？工业防火墙怎么部署

随着工信部有关《工业控制系统信息安全防护指南》的发布，工控安全又被提升到了一个新的高度。指南指出工业控制系统应用企业应从十一个方面做好工控安全防护工作，作为工控安全防护重要环节的边界安全在指南的第三大点进行了重点阐述，特别指出工业控制网络与企业网或互联网之间的边界应通过工业控制网络边界防护设备进行安全防护，通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。可以看出，作为边界防护的重要安全设备工业防火墙，在企业工控安全防护中起到了至关重要的作用。

那具体说道工控防火墙的使用及部署主要有几个方面，包括安全区域之间的防护、重点设备的防护、分散工控网络之间的互联、远程维护等，下面为大家一一图示说明。

安全区域之间的访问控制和安全防护

在纵向不同层次网络之间部署防火墙，控制跨层访问并对层间数据交换进行深度过滤，防止攻击者通过上层网络向下层网络的渗透和攻击。

在同层次中平行的厂区、工艺流程和业务子系统之间部署防火墙，将它们分割成不同的安全区域，控制不同安全区域之间的访问，并对区域间数据交换进行深度过滤，减少区域之间安全问题的扩散和影响。

重点设备的安全防护

在重点设备的前端部署防火墙，限制可以访问它的IP地址、屏蔽非业务端口访问、过滤非法的操作指令、记录所有的访问和操作，对其进行全面的安全防护和审计。

分散工业网络的安全互联

对作业区内部的工业网络进行安全保护，阻断来自公用网络的攻击，实现作业区网络的边界安全防护。

使用VPN对作业区与调度中心之间的数据传输进行加密和保护，搭建安全的数据交换通道，解决两者之间的数据传输安全问题。

安全的远程维护

在工业网络与公用网络接口处部署防火墙，并启用VPN功能，将其作为远程维护的堡垒设备。远程维护人员使用VPN连接到防火墙上，一方面进行身份认证，另一方面对通过公用网络完成的远程维护操作进行加密保护，实现安全的远程维护。

采购工业防火墙需要参考工业防火墙国标

公安部第三研究所，公安部计算机信息系统安全产品质量监督检验中心 邹春明 介绍到，各类信息安全均面临着广泛的威胁，而工控系统尤为突出，主要是因为工业控制领域信息安全的先天不足，这包括工控设备（如PLC、DCS等）以及工控协议本身普遍在设计之初就较少考虑信息安全方面的问题，工控系统在建设之初较少考虑信息安全问题，随着互联网的发展，“两化融合”、“互联网+”、“工业4.0”等概念的推进，工控系统与互联网的信息交互变得十分必要且频繁，这就把系统中隐藏的风险、漏洞暴露出来，同时也会引入新的风险。

目前典型的工控信息安全产品主要分为如下几类

1. 第一类为隔离类产品，主要部署在工控系统中控制网与管理网之间。
2. 第二类为工控防火墙，根据防护的需要，在工控系统中部署的位置存在多种情况，通常用于各层级之间、各区域之间的访问控制，也可能部署在单个或一组控制器前方提供保护。
3. 其它的工控信息安全产品目前相对较少，主要包括工控审计、工控漏洞扫描、工控主机防护等产品。此外还有2013年发改委专项支持的10款工控网关产品。

那如果按照从产品的保护对象、防护功能来看，工控信息安全产品又主要分为 边界防护类、审计监控类、主机防护类，而工控防火墙就属于边界防护类产品，这类产品通常以串接方式工作，部署在工控以太网与企业管理网络之间、工厂的不同区域之间，或者控制层与现场设备层之间。通过一定的访问控制策略，对工控系统边界、工控系统内部区域边界进行保护。工控防火墙、工控隔离产品均属于边界防护类。由于这类产品以串接方式部署，同时具有阻断功能，产品的稳定可靠、功能安全要求较高，产品的异常将会对工控系统的正常运行带来直接影响。

我国对信息安全产品（当然也包括工控信息安全产品）实现销售许可制度，只有通过检测中心依据相应的国家标准、公共安全行业标准检测合格之后，才允许在国内销售，国家标准和行业标准不能覆盖的时候，检测中心也会制订相应的检验规范、检测条件作为检验依据。因此，对工控信息安全产品来说，制订相应的标准非常重要。由于工控信息安全近年才受到关注，并且标准的制定周期也比较长，目前，有大批标准尚处于编制过程中。

其中前面提到的以工控防火墙为代表的边界防护类产品，需要遵循的标准有：

1. 《信息安全技术 工业控制系统专用防火墙技术要求》，国标在编。
2. 《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》，国标在编。包括逻辑隔离、网闸。
3. 《信息安全技术 工业控制系统边界安全专用网关产品安全技术要求》，行标在编，该标准基于发改委信息安全专项提出。

作为工控安全先行官的能源行业早在14年就由国家发改委发布了《电力监控系统安全防护规定》对电力企业工控系统的安全防护进行了规范，15年初国家能源局又发布了国能安全36号文进一步对电力企业工控安全进行了合规性阐述，提出了针对省调、地调、配电网、发电厂、变电站的安全防护方案和安全评估规范。无论是14号令还是36号文都对电力企业的工控安全防护起到了较强的推进作用，发文在“安全分区、网络专用、横向隔离、纵向加密”的十六字方针的基础上对边界安全进行了强化，在控制区与非控制区边界安全子项中规定安全Ⅰ 区与安全Ⅱ区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设备来实现逻辑隔离、报文过滤、访问控制等功能；在系统间安全防护子项中规定同属于安全Ⅰ区或安全Ⅱ 区内部的不同系统之间，根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、VLAN等进行逻辑隔离。这些安全防护场景均可以通过工业防火墙的部署来满足安全防护要求，从合规性与刚需两个方面做好电力企业工控系统的安全防护。

在石油石化领域，中石油、中石化发布的“十三五”发展规划中也明确了工控安全的重要性。比如油化行业的油田工业控制网络是覆盖油田生产现场（井口、站库、管线等），用于生产数据实时采集和进行远程控制、自动控制的网络。其覆盖范围广，很多设备部署在野外，并采用光缆、无线等多种组网方式，因此容易受到来自外部的搭线攻击。确保工业系统运转安全是油田工业控制网络安全的根本，因此如何防范针对业务信息，特别是指令信息的窃取、破坏、篡改，防止恶意代码或黑客从远程设备和内部局域网终端对油田工业控制网络的其他设备进行攻击，是油田工业控制网络安全需要重点解决的问题。这些迫在眉睫的信息基础设施存在的安全隐患也都可以通过工业防火墙的部署来进行安全保障，确保油田工业控制网络安全平稳高效的运行。

即便是在这个背景下，能给针对要求严苛的工控网络推出工业防火墙的厂商也不多，比如匡恩网络、天地和兴等，而昨天小编得到一个消息，绿盟科技也即将发布他们的工控防火墙，据说该款防火墙的一个型号可以帮助工业企业用户对来自网络的病毒传播、黑客攻击等攻击行为进行过滤和防护，避免其对工业控制网络的影响和对生产流程的破坏。不但支持传统防火墙的基础访问控制功能，更重要的是它提供针对工业协议的深度过滤，实现了对Modbus、OPC等主流工业协议和规约的高细粒度的过滤，针对工业网络协议的内容和数据进行细致的合规性检查。