《工業(yè)控制系統(tǒng)信息安全》課件-第七節(jié) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全架構(gòu) - p2

你認(rèn)為最重要的信息安全措施是什么？隔離是硬件層面還是軟件層面呢？操作系統(tǒng)的重要安全措施就是隔離系統(tǒng)的隔離（硬件強(qiáng)化保護(hù)。早期的計(jì)算供應(yīng)商既提供硬件又提供軟件。例如，DigitalEquipment的VAX系列使用了實(shí)現(xiàn)四種不同保護(hù)級(jí)別的硬件設(shè)計(jì)：其中兩個(gè)保留給操作系統(tǒng)，第三個(gè)用于系統(tǒng)實(shí)用程序，最后一個(gè)保留給用戶的應(yīng)用程序。這個(gè)結(jié)構(gòu)圍繞最關(guān)鍵的功能提供了三個(gè)不同的隔離防護(hù)，包括那些實(shí)現(xiàn)安全性的功能。后來(lái)隨著操作系統(tǒng)不再依賴于硬件，底層硬件可能只在其中兩個(gè)狀態(tài)之間實(shí)施分離，其余的則由軟件代替實(shí)施。這種情況意味著攻擊者只需要通過(guò)“get_root”漏洞一步之遙就可以完整的侵入整個(gè)系統(tǒng)。）保護(hù)的基礎(chǔ)是分離/隔離系統(tǒng)的隔離系統(tǒng)分離就是將一個(gè)用戶的對(duì)象與其他用戶分開(kāi)。操作系統(tǒng)的分離主要有以下幾種方式：物理分離，不同的進(jìn)程使用不同的物理對(duì)象，因物理屬性不同在物理層面實(shí)現(xiàn)分離。時(shí)間分離，其中具有不同安全需求的過(guò)程在不同時(shí)間執(zhí)行。邏輯分離，邏輯層面的隔離使得用戶意識(shí)到?jīng)]有其他進(jìn)程存在操作的情況，例如當(dāng)操作系統(tǒng)限制程序的訪問(wèn)時(shí)，程序不能訪問(wèn)其允許的域之外的對(duì)象。密碼分離，其中進(jìn)程隱藏他們的數(shù)據(jù)和計(jì)算的方式，使他們無(wú)法被對(duì)外部進(jìn)程理解。系統(tǒng)的隔離從物理分離到之后的密碼分離，其執(zhí)行復(fù)雜度不同，其提供的安全性也不同。當(dāng)然物理隔離和時(shí)間隔離本身不有利于資源的有效利用。另外一方面分離用戶及其對(duì)象可以提高安全性，但另一方面同時(shí)希望能夠?yàn)槠渲幸恍?duì)象提供共享。因此，我們希望將保護(hù)負(fù)擔(dān)轉(zhuǎn)移到操作系統(tǒng)，以允許同時(shí)執(zhí)行具有不同安全需求的進(jìn)程。操作系統(tǒng)可以通過(guò)多種方式支持分離和共享，提供多種級(jí)別的保護(hù)：不保護(hù)孤立（每一個(gè)操作有他自身的地址空間、文件和其他對(duì)象）全分享或不分享基于訪問(wèn)限制的分享、基于能力的分享、受限使用。這些分享模式按從易到難的順序排列。特別的，對(duì)于數(shù)據(jù)時(shí)，可以在不同層次上控制訪問(wèn)：位，字節(jié)，元素或字，字段，記錄，文件或卷。因此，控制的量關(guān)系重大。對(duì)象級(jí)別越大，實(shí)現(xiàn)訪問(wèn)控制就越容易。當(dāng)然，操作系統(tǒng)允許訪問(wèn)控制需要超過(guò)用戶的需求。系統(tǒng)的隔離最簡(jiǎn)單的內(nèi)存保護(hù)措施是為單用戶操作系統(tǒng)防止錯(cuò)誤的程序破壞操作系統(tǒng)變化的柵欄注冊(cè)通常使用基址寄存器隔離，把也是程序分隔為不同的獨(dú)立片段，每一段都有獨(dú)立的名字。網(wǎng)絡(luò)隔離技術(shù)的基本原理通過(guò)專用物理硬件和安全協(xié)議在內(nèi)網(wǎng)和外網(wǎng)的之間架構(gòu)起安全隔離，使兩個(gè)系統(tǒng)在空間上物理/邏輯隔離，同時(shí)又能過(guò)濾數(shù)據(jù)交換過(guò)程中的病毒、惡意代碼等信息，以保證數(shù)據(jù)信息在可信的網(wǎng)絡(luò)環(huán)境中進(jìn)行交換、共享，同時(shí)還要通過(guò)嚴(yán)格的身份認(rèn)證機(jī)制來(lái)確保用戶獲取所需數(shù)據(jù)信息。網(wǎng)絡(luò)隔離技術(shù)的核心是通過(guò)專用硬件和安全協(xié)議來(lái)確保兩個(gè)鏈路層斷開(kāi)的網(wǎng)絡(luò)能夠?qū)崿F(xiàn)數(shù)據(jù)信息在可信網(wǎng)絡(luò)環(huán)境中進(jìn)行交互、共享。一般情況下，網(wǎng)絡(luò)隔離技術(shù)主要包括內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和專用隔離交換單元三部分內(nèi)容。6.1.1網(wǎng)絡(luò)隔離的概述隔離設(shè)備或產(chǎn)品要具有高度的自身安全性通過(guò)隔離設(shè)備或產(chǎn)品確保網(wǎng)絡(luò)之間在嚴(yán)格意義上是隔離的隔離的核心是審計(jì)處理網(wǎng)絡(luò)間交換的通信數(shù)據(jù)隔離要對(duì)網(wǎng)絡(luò)間的訪問(wèn)進(jìn)行嚴(yán)格的控制和檢查要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明6.1.1網(wǎng)絡(luò)隔離的要點(diǎn)6.1.2隔離的基本類型和方式按傳輸介質(zhì)和傳輸方式的不同，隔離技術(shù)可分為以下幾種（EX）：物理網(wǎng)絡(luò)隔離邏輯網(wǎng)絡(luò)隔離虛擬局域網(wǎng)(VLAN)虛擬路由和轉(zhuǎn)發(fā)多協(xié)議標(biāo)簽交換(MPLS)虛擬交換機(jī)按隔離技術(shù)的不同，主要由如下幾種類型：雙機(jī)雙網(wǎng)的隔離雙硬盤(pán)的隔離（硬盤(pán)與隔離卡）單硬盤(pán)的隔離（公共和安全分區(qū)）集線器級(jí)隔離（隔離切換器）服務(wù)器端隔離按隔離技術(shù)角度的不同，主要由如下幾種類型：防火墻技術(shù)（訪問(wèn)控制）入侵檢測(cè)技術(shù)（行為的安全審計(jì)）安全網(wǎng)關(guān)技術(shù)（內(nèi)外網(wǎng)絡(luò)的邊界）電路隔離：電路隔離起初的主要目的是通過(guò)隔離元器件把噪聲干擾的路徑切斷，從而達(dá)到抑制噪聲干擾的效果。6.1.3常見(jiàn)的隔離技術(shù)實(shí)現(xiàn)方式光耦隔離及電氣保護(hù)電路設(shè)計(jì)圖脈沖變壓器也是隔離性開(kāi)關(guān)電源中的關(guān)鍵器件沙盒技術(shù)：發(fā)現(xiàn)可疑行為后讓程序繼續(xù)運(yùn)行，當(dāng)發(fā)現(xiàn)的確是病毒時(shí)才會(huì)終止?！吧澈小奔夹g(shù)的實(shí)踐運(yùn)用流程是：讓疑似病毒文件的可疑行為在虛擬的“沙盒”里充分表演，“沙盒”會(huì)記下它的每一個(gè)動(dòng)作；當(dāng)疑似病毒充分暴露了其病毒屬性后，“沙盒”就會(huì)執(zhí)行“回滾”機(jī)制：將病毒的痕跡和動(dòng)作抹去，恢復(fù)系統(tǒng)到正常狀態(tài)。6.1.3常見(jiàn)的隔離技術(shù)實(shí)現(xiàn)方式時(shí)分多址接入（TDMA）機(jī)制：時(shí)分多址是把時(shí)間分割成周期性的幀(Frame)每一個(gè)幀再分割成若干個(gè)時(shí)隙向基站發(fā)送信號(hào)，在滿足定時(shí)和同步的條件下，基站可以分別在各時(shí)隙中接收到各移動(dòng)終端的信號(hào)而不混擾。6.1.3常見(jiàn)的隔離技術(shù)實(shí)現(xiàn)方式分布式能量感知節(jié)點(diǎn)活動(dòng)協(xié)議的時(shí)間幀分配TrustZone:TrustZone是ARM針對(duì)消費(fèi)電子設(shè)備設(shè)計(jì)的一種硬件架構(gòu)，其目的是為消費(fèi)電子產(chǎn)品構(gòu)建一個(gè)安全框架來(lái)抵御各種可能的攻擊。6.1.3常見(jiàn)的隔離技術(shù)實(shí)現(xiàn)方式TrustZone在概念上將SoC的硬件和軟件資源劃分為安全(SecureWorld)和非安全(NormalWorld)兩個(gè)世界，所有需要保密的操作在安全世界執(zhí)行（如指紋識(shí)別、密碼處理、數(shù)據(jù)加解密、安全認(rèn)證等），其余操作在非安全世界執(zhí)行（如用戶操作系統(tǒng)、各種應(yīng)用程序等），安全世界和非安全世界通過(guò)一個(gè)名為MonitorMode的模式進(jìn)行轉(zhuǎn)換。網(wǎng)閘技術(shù):安全隔離網(wǎng)閘是一種由帶多種控制功能專用硬件、在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。6.1.3常見(jiàn)的隔離技術(shù)實(shí)現(xiàn)方式數(shù)據(jù)泵技術(shù)中雖然數(shù)據(jù)是單向傳遞的，但協(xié)議控制信息是雙向傳遞的，若協(xié)議本身存在漏洞，則有可能利用協(xié)議的漏洞達(dá)到反向發(fā)送數(shù)據(jù)的目的。數(shù)據(jù)二極管技術(shù)的關(guān)鍵：由于是單向的“盲發(fā)”，沒(méi)有交互的控制協(xié)議，數(shù)據(jù)的容錯(cuò)控制就是一個(gè)大問(wèn)題。6.2隔離控制網(wǎng)絡(luò)Case2Case3Case4公司辦公網(wǎng)和控制網(wǎng)Case16.2.1隔離控制網(wǎng)絡(luò)控制網(wǎng)和辦公網(wǎng)的物理隔離能夠加強(qiáng)網(wǎng)絡(luò)安全完全隔離有條件選擇隔離物理隔離邏輯隔離訪問(wèn)控制（ACL）：狀態(tài)檢測(cè)為訪問(wèn)控制的重要技術(shù)服務(wù)控制：例如，網(wǎng)絡(luò)服務(wù)、安全等級(jí)設(shè)定。用戶控制：例如，內(nèi)部用戶、外部用戶的認(rèn)證機(jī)制。通信控制：例如，明確授權(quán)的通信與拒絕。內(nèi)容控制：例如，TCP和UDP端口過(guò)濾/ICMP類型過(guò)濾/MAC地址的過(guò)濾。行為控制：例如，控制具體的服務(wù)怎樣被實(shí)現(xiàn)。設(shè)置安全緩沖（DMZ）：設(shè)置獨(dú)立的區(qū)域。不允許直接連接。文檔記錄：異構(gòu)網(wǎng)之間的接入點(diǎn)設(shè)置文檔記錄。6.2.1隔離控制網(wǎng)絡(luò)1.單個(gè)防火墻隔離3.多個(gè)防火墻和DMZ隔離2.路由器和防火墻隔離6.2.2邏輯隔離技術(shù)1.防火墻在辦公網(wǎng)和控制網(wǎng)絡(luò)中的應(yīng)用正確地配置，可以明顯地降低外部攻擊的成功率。如果不能仔細(xì)設(shè)計(jì)并監(jiān)控，將會(huì)導(dǎo)致安全漏洞。6.2.2邏輯隔離技術(shù)1.一個(gè)防火墻在辦公網(wǎng)和控制網(wǎng)絡(luò)中的應(yīng)用但這種設(shè)計(jì)中存在兩個(gè)問(wèn)題：（1）海量數(shù)據(jù)記錄問(wèn)題/海量數(shù)據(jù)記錄系統(tǒng)位置問(wèn)題。惡意的或者不正確配置主機(jī)發(fā)送的數(shù)據(jù)包傳送到控制器上；控制網(wǎng)絡(luò)中的其他節(jié)點(diǎn)也成為了蠕蟲(chóng)病毒和交叉攻擊的突破口。（2）影響控制網(wǎng)絡(luò)的偽造數(shù)據(jù)包被構(gòu)造，可能令一些不公開(kāi)的數(shù)據(jù)得以在允許的協(xié)議上傳輸。6.2.2邏輯隔離技術(shù)總之，使用這種架構(gòu)需要仔細(xì)設(shè)計(jì)并監(jiān)控，否則將會(huì)導(dǎo)致安全漏洞。6.2.2邏輯隔離技術(shù)1.一個(gè)防火墻在辦公網(wǎng)和控制網(wǎng)絡(luò)中的應(yīng)用2.路由器和防火墻結(jié)合的方式。路由器配置在防火墻之前，提供一些基本的包過(guò)濾服務(wù)；防火墻則利用狀態(tài)檢測(cè)或代理技術(shù)負(fù)責(zé)更加復(fù)雜的事物。這種設(shè)計(jì)廣泛應(yīng)用于面向因特網(wǎng)的防火墻，因?yàn)樗罡焖俚穆酚善魈幚砹舜罅總魅氲臄?shù)據(jù)包，尤其是DoS攻擊，并降低了防火墻的負(fù)載。同時(shí)提供了更好的深度檢測(cè)，對(duì)于兩臺(tái)不同的設(shè)備，對(duì)手必須繞道。6.2.2邏輯隔離技術(shù)6.2.2邏輯隔離技術(shù)3.帶DMZ的防火墻隔離：在辦公網(wǎng)和控制網(wǎng)絡(luò)之間使用成對(duì)的防火墻。例1：公共服務(wù)器被布置于防火墻之間。如海量數(shù)據(jù)記錄系統(tǒng)（例如制造執(zhí)行系統(tǒng)MES層）。例2：配置功能互補(bǔ)的防火墻。一臺(tái)防火墻負(fù)責(zé)基于協(xié)議的數(shù)據(jù)包分析過(guò)濾（如，丟棄進(jìn)入控制結(jié)構(gòu)的公共數(shù)據(jù)包）；另一臺(tái)負(fù)責(zé)訪問(wèn)控制（如防止錯(cuò)誤的服務(wù)器連接控制網(wǎng)絡(luò)/共享服務(wù)器對(duì)控制網(wǎng)絡(luò)的沖擊）。例3：配置不同廠商的防火墻。不同廠商的工藝和信息技術(shù)使用不同，可以獨(dú)自管理防火墻，實(shí)現(xiàn)雙層分析與過(guò)濾，使之不依賴于單純的資產(chǎn)配置。對(duì)于那些對(duì)安全有嚴(yán)格要求或需要明確管理分離的環(huán)境，這種架構(gòu)具備較強(qiáng)的優(yōu)勢(shì)。6.2.2邏輯隔離技術(shù)隔離區(qū)隔離出一個(gè)或多個(gè)重要組成部分，比如海量數(shù)據(jù)記錄系統(tǒng)，無(wú)線網(wǎng)絡(luò)接入點(diǎn)或者遠(yuǎn)程、第三方接入系統(tǒng)。由于把那些可存取部分分布在隔離區(qū)，辦公網(wǎng)和控制網(wǎng)之間不再直接通信，轉(zhuǎn)而都以隔離區(qū)為通信目標(biāo)。這一架構(gòu)中最主要的風(fēng)險(xiǎn)在于：（1）如果DMZ中的一臺(tái)主機(jī)被攻陷，它將被用于制造控制網(wǎng)絡(luò)和DMZ中的攻擊。通過(guò)強(qiáng)化并及時(shí)更新DMZ中的服務(wù)器，規(guī)定防火墻只接受有控制網(wǎng)絡(luò)設(shè)備發(fā)起的與DMZ的通信，這種風(fēng)險(xiǎn)可以大大降低。(2)增加額外的復(fù)雜性以及端口個(gè)數(shù)帶來(lái)日益增加的防火墻消耗。對(duì)于那些更為關(guān)鍵的系統(tǒng)，優(yōu)勢(shì)顯然大于劣勢(shì)。6.2.2邏輯隔離技術(shù)隔離區(qū)（DMZ）1、必須使用防火墻實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)的隔離，例如辦公網(wǎng)和控制網(wǎng)之間。2、使用防火墻方案防護(hù)，要保證嚴(yán)格的安全維護(hù)。3、更為安全、可靠的網(wǎng)絡(luò)隔離方案則是配置至少三塊區(qū)域，其中至少有一塊DMZ區(qū)。6.2.2邏輯隔離技術(shù)總結(jié)6.3防火墻防火墻應(yīng)滿足的條件：（1）所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。（2）只允許經(jīng)過(guò)授權(quán)的數(shù)據(jù)流通過(guò)防火墻。（3）防火墻自身對(duì)入侵是免疫的。6.3防火墻分類包過(guò)濾防火墻：最基礎(chǔ)的防火墻。包過(guò)濾防火墻本質(zhì)上就是具有訪問(wèn)控制功能的路由器。這種訪問(wèn)控制由系統(tǒng)管理員設(shè)置的訪問(wèn)控制規(guī)則來(lái)控制。狀態(tài)檢測(cè)防火墻：狀態(tài)檢測(cè)防火墻在包過(guò)濾防火墻的基礎(chǔ)上加入了對(duì)OSI模型第四層——傳輸層的感知。這種防火墻在網(wǎng)絡(luò)層過(guò)濾數(shù)據(jù)包，判定會(huì)話包是否合法，以及在傳輸層上評(píng)估其內(nèi)容（例如TCP，UDP）。狀態(tài)檢測(cè)跟蹤活動(dòng)會(huì)話并使用該信息來(lái)確定數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)還是阻止。它提供了高級(jí)別的安全性和良好的性能，但是管理起來(lái)可能更昂貴和復(fù)雜。ICS應(yīng)用的附加規(guī)則集是必需的。應(yīng)用代理網(wǎng)關(guān)防火墻：這類防火墻檢查應(yīng)用層上的數(shù)據(jù)包，并基于特定的應(yīng)用規(guī)則過(guò)濾流量，例如指定的應(yīng)用程序（例如瀏覽器）或協(xié)議（例如，F(xiàn)TP）。它提供了高級(jí)別的安全性，但是可能對(duì)網(wǎng)絡(luò)性能產(chǎn)生開(kāi)銷和延遲影響，這在ICS環(huán)境中是不可接受的。6.3防火墻分類靜態(tài)包過(guò)濾防火墻采用一組過(guò)濾規(guī)則對(duì)每個(gè)數(shù)據(jù)包進(jìn)行檢查，然后根據(jù)檢查結(jié)果確定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。這種防火墻對(duì)從內(nèi)網(wǎng)到外網(wǎng)和從外網(wǎng)到內(nèi)網(wǎng)兩個(gè)方向的數(shù)據(jù)包進(jìn)行過(guò)濾，其過(guò)濾規(guī)則是基于IP與TCP/UDP頭中的幾個(gè)字段。應(yīng)用表示傳輸網(wǎng)絡(luò)數(shù)據(jù)鏈路物理會(huì)話6.3防火墻分類安全性討論包過(guò)濾器有一個(gè)天然的缺陷：僅檢查數(shù)據(jù)的IP頭和TCP頭，它不能區(qū)分真實(shí)的IP地址和偽造的IP地址。若一個(gè)偽造的IP地址滿足規(guī)則，則該數(shù)據(jù)包將被允許通過(guò)。規(guī)則雖然是精心創(chuàng)建的，但黑客只須用某個(gè)已知可信客戶機(jī)的原地址代替惡意數(shù)據(jù)包的實(shí)際源地址就可以達(dá)到目的，把這種形式的攻擊稱為IP地址欺騙。用IP地址欺騙攻擊來(lái)對(duì)付包過(guò)濾型防火墻是非常有效的。同時(shí)我們注意到靜態(tài)包過(guò)濾防火墻并沒(méi)有對(duì)數(shù)據(jù)包做太多的檢查。靜態(tài)包過(guò)濾防火墻僅檢查那些特定的協(xié)議頭信息而沒(méi)有檢查數(shù)據(jù)包的凈荷部分，使惡意的命令或數(shù)據(jù)有機(jī)會(huì)隱藏到數(shù)據(jù)凈荷中，這一攻擊方式通常被稱為“隱信道攻擊”。最后，包過(guò)濾防火墻并沒(méi)有“狀態(tài)感知”的能力。管理員必須為某個(gè)會(huì)話的兩端都配置相應(yīng)的規(guī)則以保護(hù)服務(wù)器。（現(xiàn)在人們使用FTP和E-mali等服務(wù)，需要?jiǎng)討B(tài)包過(guò)濾防火墻能夠動(dòng)態(tài)地為這些服務(wù)分配端口。）6.3防火墻分類動(dòng)態(tài)包過(guò)濾是在靜態(tài)包過(guò)濾防火墻的基礎(chǔ)上發(fā)展而來(lái)的。靜態(tài)包過(guò)濾防火墻的規(guī)則表是固定的，而動(dòng)態(tài)包過(guò)濾防火墻可以根據(jù)網(wǎng)絡(luò)當(dāng)前的狀態(tài)檢查數(shù)據(jù)包，即根據(jù)當(dāng)前所交換的信息動(dòng)態(tài)調(diào)整過(guò)濾規(guī)則表，它具有“狀態(tài)感知”的能力。動(dòng)態(tài)包過(guò)濾防火墻需要對(duì)已建連接和規(guī)則表進(jìn)行動(dòng)態(tài)維護(hù)，因此它是動(dòng)態(tài)的和有狀態(tài)的。實(shí)現(xiàn)動(dòng)態(tài)包過(guò)濾器有兩種主要方式。一種方式是實(shí)時(shí)地改變普通包過(guò)濾器的規(guī)則集。另一種方式是采用類似電路級(jí)網(wǎng)關(guān)的方式轉(zhuǎn)發(fā)數(shù)據(jù)包。所有進(jìn)入防火墻的呼叫連接將終止于防火墻，然后防火墻再與目標(biāo)主機(jī)建立新的連接。防火墻在兩個(gè)連接之間來(lái)回復(fù)制數(shù)據(jù)。6.3防火墻分類安全性討論由于某些動(dòng)態(tài)包過(guò)濾增添了許多新的功能，有效的解決了普通包過(guò)濾防火墻存在的問(wèn)題。（沒(méi)有狀態(tài)感知，會(huì)話兩端都需要配置相應(yīng)的規(guī)則）動(dòng)態(tài)包過(guò)濾防火墻的安全性優(yōu)于靜態(tài)包過(guò)濾防火墻。由于具有了“狀態(tài)感知”能力，所以防火墻可以區(qū)分連接的發(fā)起方和接收方，也可以檢查數(shù)據(jù)包的狀態(tài)阻斷一些攻擊行為。與此同時(shí)，對(duì)于不確定端口的協(xié)議數(shù)據(jù)報(bào)，防火墻可以通過(guò)分析打開(kāi)相應(yīng)的端口。6.3防火墻分類電路級(jí)網(wǎng)關(guān)又稱線路級(jí)網(wǎng)關(guān)，目前通常作為應(yīng)用代理服務(wù)器的一部分在應(yīng)用代理型的防火墻中實(shí)現(xiàn)。它不允許端到端的TCP連接。當(dāng)兩個(gè)主機(jī)首先建立TCP連接時(shí)，電路級(jí)網(wǎng)關(guān)在兩個(gè)主機(jī)之間建立一到屏障。電路級(jí)網(wǎng)關(guān)的作用就好像是一臺(tái)中繼計(jì)算機(jī)，用來(lái)在兩個(gè)連接之間來(lái)回地復(fù)制數(shù)據(jù)，也可以記錄或緩存數(shù)據(jù)。此方案采用C/S結(jié)構(gòu)，網(wǎng)關(guān)充當(dāng)了服務(wù)器的角色，而內(nèi)部網(wǎng)絡(luò)的主機(jī)充當(dāng)了客戶機(jī)的角色。當(dāng)某個(gè)客戶機(jī)希望連接到某個(gè)服務(wù)器時(shí)，它首先要連接到中繼主機(jī)上；然后中繼主機(jī)再連接到服務(wù)器上。對(duì)服務(wù)器來(lái)說(shuō)，該客戶機(jī)的名稱和IP地址是不可見(jiàn)的。電路級(jí)網(wǎng)關(guān)工作在OSI模型的第5層——會(huì)話層，在許多方面電路級(jí)網(wǎng)關(guān)僅僅是包過(guò)濾防火墻的一種擴(kuò)展，它除了進(jìn)行基本的包過(guò)濾檢查外，還要增加對(duì)連接建立過(guò)程中的握手信息及序列號(hào)合法性檢查。6.3防火墻分類安全性討論：電路級(jí)網(wǎng)關(guān)完全是從包過(guò)濾防火墻的基礎(chǔ)上演化而來(lái)的，它與包過(guò)濾防火墻一樣，工作在OSI模型的基礎(chǔ)上，因此對(duì)網(wǎng)絡(luò)的性能影響較小。然而，一旦電路級(jí)網(wǎng)關(guān)建立一個(gè)連接，任何應(yīng)用均可通過(guò)該連接運(yùn)行，這是因?yàn)殡娐芳?jí)網(wǎng)關(guān)仍然是在會(huì)話層和網(wǎng)絡(luò)層上對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾的，而不對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行檢查。這就存在潛在的風(fēng)險(xiǎn)，電路級(jí)網(wǎng)關(guān)有可能放過(guò)有害的數(shù)據(jù)包，使其順利到達(dá)防火墻后面的服務(wù)器。但由于電路級(jí)網(wǎng)關(guān)過(guò)濾檢查的項(xiàng)目多，可以提供認(rèn)證功能，因此其安全性要優(yōu)于包過(guò)濾防火墻。電路級(jí)網(wǎng)關(guān)實(shí)現(xiàn)的一個(gè)例子是SOCKS軟件包。SOCKS其實(shí)是一種網(wǎng)絡(luò)代理協(xié)議。一臺(tái)使用專用IP地址的內(nèi)部主機(jī)可通過(guò)SOCKS服務(wù)器獲得完全的Internet訪問(wèn)。具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是：一臺(tái)運(yùn)行SOCKS的服務(wù)器（雙宿主主機(jī)）連接內(nèi)部網(wǎng)和Internet，內(nèi)部網(wǎng)主機(jī)使用的都是專用IP地址。內(nèi)部網(wǎng)主機(jī)請(qǐng)求訪問(wèn)Internet時(shí)，首先建立一個(gè)SOCKS通道，然后再將請(qǐng)求通過(guò)這個(gè)通道發(fā)送給SOCKS服務(wù)器；SOCKS服務(wù)器再收到客戶請(qǐng)求后，向Internet上的目標(biāo)主機(jī)發(fā)出請(qǐng)求；得到響應(yīng)后，SOCKS服務(wù)器再通過(guò)先前建立的SOCKS通道將數(shù)據(jù)返回給內(nèi)網(wǎng)主機(jī)。當(dāng)然，在SOCKS通道的建立過(guò)程中可能有一個(gè)用戶認(rèn)證的過(guò)程。電路級(jí)網(wǎng)關(guān)在設(shè)計(jì)上要能夠中繼IP連接，IP地址對(duì)服務(wù)器來(lái)說(shuō)是不可見(jiàn)的。中繼請(qǐng)求會(huì)到達(dá)如圖所示的接口A。如果在接口B上也提供該服務(wù)，外部用戶就會(huì)通過(guò)中繼主機(jī)發(fā)起連接。顯然，必須對(duì)中繼服務(wù)器施加控制?？刂拼胧┛刹捎酶鞣N形式，例如，可以對(duì)端口的持續(xù)時(shí)間加以限制，也可以要求列出允許訪問(wèn)該端口的外部用戶名單，甚至可以要求對(duì)內(nèi)部用戶的連接建立請(qǐng)求進(jìn)行用戶認(rèn)證，到底要采取什么措施要視情況而定。6.3防火墻分類

應(yīng)用級(jí)網(wǎng)關(guān)與包過(guò)濾防火墻不同，包過(guò)濾防火墻能對(duì)所有不同服務(wù)的數(shù)據(jù)流進(jìn)行過(guò)濾，而應(yīng)用級(jí)網(wǎng)關(guān)只能對(duì)特定服務(wù)的數(shù)據(jù)流進(jìn)行過(guò)濾。應(yīng)用級(jí)網(wǎng)關(guān)必須為特定的應(yīng)用服務(wù)編寫(xiě)特定的代理程序，這些程序被稱為“服務(wù)代理”。在網(wǎng)關(guān)內(nèi)部分別扮演客戶機(jī)代理和服務(wù)器代理的角色。與電路級(jí)網(wǎng)關(guān)一樣，應(yīng)用級(jí)網(wǎng)關(guān)截獲進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，運(yùn)行代理程序來(lái)回復(fù)制和傳遞通過(guò)網(wǎng)關(guān)的信息，起著代理服務(wù)器的作用。應(yīng)用級(jí)網(wǎng)關(guān)上所運(yùn)行的應(yīng)用代理程序與電路級(jí)網(wǎng)關(guān)有著兩個(gè)重要的區(qū)別：代理是針對(duì)應(yīng)用的。代理對(duì)整個(gè)數(shù)據(jù)包進(jìn)行檢查，因此能在OSI模型的應(yīng)用層上對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。6.3防火墻分類安全性討論包過(guò)濾防火墻無(wú)須對(duì)數(shù)據(jù)凈荷進(jìn)行檢查，而應(yīng)用網(wǎng)關(guān)要對(duì)特定服務(wù)數(shù)據(jù)包的細(xì)節(jié)進(jìn)行檢查，更為復(fù)雜。它采用特定的代理程序處理特定應(yīng)用服務(wù)的數(shù)據(jù)包，它還很容易記錄和控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流。電子郵件通常必須經(jīng)過(guò)應(yīng)用網(wǎng)關(guān)的過(guò)濾。對(duì)大多數(shù)應(yīng)用服務(wù)來(lái)說(shuō)，它需要編寫(xiě)專門(mén)的用戶程序或不同的應(yīng)用接口。在實(shí)踐中，這意味著應(yīng)用級(jí)網(wǎng)關(guān)只能支持一些非常重要的的服務(wù)，如HTTP、RTP、SMTP、POP3、Telnet等。在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，應(yīng)用級(jí)網(wǎng)關(guān)顯得不太實(shí)用，并且可能超負(fù)荷運(yùn)行。當(dāng)然從安全角度看，人們更偏向于采用應(yīng)用級(jí)網(wǎng)關(guān)防火墻。（因?yàn)檠舆t、網(wǎng)絡(luò)性能ICS不可接受）總之，由于應(yīng)用級(jí)網(wǎng)關(guān)工作在應(yīng)用層，完全可以對(duì)服務(wù)的命令字、內(nèi)容和病毒過(guò)濾。它具有強(qiáng)大的認(rèn)證功能，比電路級(jí)網(wǎng)關(guān)要豐富。還具有比包過(guò)濾防火墻更詳細(xì)的日志功能。6.3防火墻分類狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)數(shù)據(jù)流的整體看待，構(gòu)成連接狀態(tài)表，和規(guī)則表配合對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。與傳統(tǒng)的包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，它具有更好地靈活性和安全性。先進(jìn)的狀態(tài)檢測(cè)防火墻讀取、分析和利用了全面的網(wǎng)絡(luò)通信信息和狀態(tài)，如下所述：通信信息：即所有7層協(xié)議的當(dāng)前信息。通信狀態(tài)：即以前的通信信息。應(yīng)用狀態(tài)：即其他相關(guān)應(yīng)用的信息。操作信息：即在數(shù)據(jù)包中能執(zhí)行邏輯運(yùn)算或數(shù)學(xué)運(yùn)算的信息。6.3防火墻分類安全性分析盡管狀態(tài)檢測(cè)防火墻潛在地具有在全部7層上過(guò)濾數(shù)據(jù)包的能力，但是許多管理員在安裝防火墻時(shí)僅讓其運(yùn)行在OSI的網(wǎng)絡(luò)層上，作為動(dòng)態(tài)包過(guò)濾防火墻使用，并且允許采用單個(gè)SYN數(shù)據(jù)包建立新的連接，這是非常危險(xiǎn)的。（有些防火墻廠商沒(méi)有在建立連接的過(guò)程中采用RFC草案的建議，他們的防火墻在接收到第一個(gè)SYN數(shù)據(jù)包時(shí)就打開(kāi)了一個(gè)新的連接，這一設(shè)計(jì)將使防火墻后面的服務(wù)器遭到偽裝IP地址攻擊。）狀態(tài)檢測(cè)防火墻可以模仿應(yīng)用級(jí)網(wǎng)關(guān)。狀態(tài)檢測(cè)防火墻可以在應(yīng)用層對(duì)每個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行評(píng)估，并且能夠確保這些內(nèi)容與管理員根據(jù)本及機(jī)構(gòu)的安全策略所設(shè)置的過(guò)濾規(guī)則相匹配?？傊?，狀態(tài)檢測(cè)防火墻具有動(dòng)態(tài)包過(guò)濾防火墻的所有優(yōu)點(diǎn)，同時(shí)因?yàn)樵黾恿藸顟B(tài)檢測(cè)機(jī)制而具有更高的安全性。但也只是較低的安全性，沒(méi)有一種狀態(tài)檢測(cè)防火墻能提供高于通用標(biāo)準(zhǔn)EAL2的安全性。6.3防火墻分類基于ARM或FPGA的嵌入式防火墻或網(wǎng)關(guān)具有較強(qiáng)的工業(yè)數(shù)據(jù)審計(jì)能力，例如多塊FPGA的架構(gòu)可以從計(jì)算、數(shù)據(jù)傳輸與審計(jì)和數(shù)據(jù)存儲(chǔ)等多方面協(xié)調(diào)分析通信數(shù)據(jù)安全。可以深層次地進(jìn)行數(shù)據(jù)安全審計(jì)。這種多芯片架構(gòu)所達(dá)到的安全審計(jì)作用遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)防火墻在訪問(wèn)控制方面所達(dá)到的局限作用。6.3防火墻分類工業(yè)防火墻防火墻提供了一些加強(qiáng)安全策略的工具，當(dāng)前市場(chǎng)上一系列進(jìn)程控制設(shè)備并不具備這一功能：除了某些特定的通信，未受保護(hù)的LAN與受保護(hù)的ICS中設(shè)備的通信都被阻止。這種阻止基于源、目的IP匹配，服務(wù)和端口。阻斷可以發(fā)生于出入的數(shù)據(jù)包，從而幫助減少了通信的高風(fēng)險(xiǎn)，比如e-mail。所有接入ICS的用戶都被強(qiáng)制安全用戶認(rèn)證。認(rèn)證方法較為靈活，具有多種級(jí)別的保護(hù)：簡(jiǎn)單密碼，復(fù)雜密碼，多因素認(rèn)證技術(shù)，令牌，生物測(cè)定，智能卡。具體選擇何種方式，取決于ICS需要保護(hù)脆弱性，而不是使用設(shè)備的級(jí)別上可用的方法。強(qiáng)制目的認(rèn)證。用戶可以被限制和允許僅到達(dá)控制網(wǎng)絡(luò)上的節(jié)點(diǎn)，以滿足其必要的工作需要。這減少了用戶有意或無(wú)意地獲得未授權(quán)的設(shè)備的訪問(wèn)和控制的可能性，但增加了在職培訓(xùn)或交叉培訓(xùn)員工的復(fù)雜性。記錄流量監(jiān)測(cè)，分析和入侵監(jiān)測(cè)的信息流。允許ICS執(zhí)行適合于ICS的操作策略，但這在IT網(wǎng)絡(luò)中可能不合適，例如禁止電子郵件等不安全的通信，并且允許使用易于記住的用戶名和組密碼。在嚴(yán)重的網(wǎng)絡(luò)事件發(fā)生的時(shí)候，應(yīng)該做出這樣的決定——設(shè)計(jì)有文件化和最小化（盡可能的簡(jiǎn)單）的連接可以使ICS網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)隔離。6.3防火墻分類工業(yè)防火墻在ICS環(huán)境中部署防火墻，有一些特別需要注意的地方：控制系統(tǒng)通信可能帶來(lái)的額外延遲。設(shè)計(jì)符合工業(yè)應(yīng)用規(guī)則集時(shí)經(jīng)驗(yàn)的匱乏。過(guò)去，防火墻僅僅保護(hù)已經(jīng)配置好的控制系統(tǒng)，默認(rèn)的規(guī)則是禁止出入。只有在與被信任的系統(tǒng)進(jìn)行必要的連接時(shí)默認(rèn)的配置才可以修改。硬件防火墻需要持續(xù)的支持，維護(hù)和備份。規(guī)則的設(shè)置需要審查以確保它們能提供足夠的安全保護(hù)以應(yīng)對(duì)不斷變化的安全威脅。系統(tǒng)性能(例如防火墻日志存儲(chǔ)空間)必須被監(jiān)控，確保防火墻正在執(zhí)行它數(shù)據(jù)收集的任務(wù)，有違反安全策略的情況是可以依靠的。為了盡快發(fā)現(xiàn)網(wǎng)絡(luò)事故并啟動(dòng)響應(yīng)，必須實(shí)時(shí)監(jiān)控防火墻和其他一些安全傳感器。6.3防火墻分類A.SCADA和工業(yè)協(xié)議SCADA和許多工業(yè)協(xié)議，如MODBUS/TCP、EtherNet/IP、DNP3，對(duì)大多數(shù)控制設(shè)備的通信是很重要的。不幸的是，這些協(xié)議設(shè)計(jì)時(shí)并未考慮安全性，通常遠(yuǎn)程控制設(shè)備接入時(shí)也不需要用戶驗(yàn)證。這些協(xié)議只能在控制網(wǎng)絡(luò)內(nèi)使用，而穿過(guò)辦公網(wǎng)絡(luò)則不被允許.B.特定的ICS防火墻問(wèn)題除已經(jīng)討論過(guò)的的防火墻和ICS之間的問(wèn)題之外，還有一些額外的問(wèn)題需要在更詳細(xì)地審查。本節(jié)的其余部分討論了三個(gè)關(guān)注的具體領(lǐng)域：海量數(shù)據(jù)記錄系統(tǒng)的放置，支持ICS的遠(yuǎn)程登錄，組播。C.海量數(shù)據(jù)記錄系統(tǒng)控制網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)共享的服務(wù)器，如海量數(shù)據(jù)記錄系統(tǒng)和資產(chǎn)管理服務(wù)器，對(duì)防火墻的設(shè)計(jì)和配置有明顯的影響。將服務(wù)器放在防火墻的辦公網(wǎng)絡(luò)一側(cè)，意味著很多不安全的協(xié)議如MODBUS/TCP或DCOM必須被允許通過(guò)防火墻，這樣每一個(gè)向海量數(shù)據(jù)記錄系統(tǒng)報(bào)告的控制設(shè)備就暴露在辦公網(wǎng)絡(luò)的一側(cè)。相反，如果將服務(wù)器放在控制網(wǎng)絡(luò)中，意味著同樣有隱患的協(xié)議需要被允許通過(guò)防火墻，如HTTP或SQL，現(xiàn)在有一個(gè)服務(wù)器幾乎可以訪問(wèn)位于控制網(wǎng)絡(luò)上的組織中的每個(gè)節(jié)點(diǎn)。D.遠(yuǎn)程支持訪問(wèn)另一個(gè)ICS防火墻設(shè)計(jì)的問(wèn)題是遠(yuǎn)程登錄控制網(wǎng)絡(luò)。E.組播大多數(shù)通過(guò)以太網(wǎng)運(yùn)行的工業(yè)生產(chǎn)者-消費(fèi)者(發(fā)布者-訂閱者)協(xié)議都是基于IP組播的協(xié)議，如Ethernet/IP和現(xiàn)場(chǎng)總線HSE。為了解決組播消息路由的問(wèn)題，主機(jī)需要通過(guò)因特網(wǎng)組管理協(xié)議(IGMP)通知其相關(guān)組ID上的組播路由器加入(或離開(kāi))相關(guān)組。組播路由器隨后得知組播組中的成員，從而決定是否接受組播消息，這里也需要組播路由協(xié)議。從防火墻管理的角度來(lái)看，監(jiān)視和過(guò)濾IGMP流量成為另一系列管理規(guī)則集，增加了防火墻的復(fù)雜性。6.3防火墻分類工業(yè)防火墻安全性討論A.SCADA和工業(yè)協(xié)議SCADA和許多工業(yè)協(xié)議，如MODBUS/TCP、EtherNet/IP、DNP3，對(duì)大多數(shù)控制設(shè)備的通信是很重要的。不幸的是，這些協(xié)議設(shè)計(jì)時(shí)并未考慮安全性，通常