防火墙对公司安全的功能和作用

防火墙是当今网络安全概念中不可或缺的技术组成部分。各种类型的防火墙从简单的包过滤器一直到强大的解决方案，直接支持专门的工业协议。防火墙的设计，从个人电脑的软件包到用于现场的金属外壳的工业硬化产品，都是千变万化的。目前的攻击威胁在这方面发挥了很大的作用，因为它对于确定正确的技术和部署位置非常重要。

现代安全概念采用整体方法，不仅考虑到技术，还考虑到涉及的流程和人员。这就是为什么很长一段时间以来，防火墙都没有被宣传为足够或唯一的措施，以确保工业工厂的信息安全，甚至被视为网络安全的代名词。防火墙继续代表着网络分割的核心元素，因此是有关网络安全的任何安全策略的重要组成部分。

“防火墙”一词已被广泛应用。这导致该术语被应用于具有不同操作方法和目标的非常广泛的技术。各种防火墙的例子包括无状态和有状态防火墙、透明防火墙、不同级别的网络参考体系结构上的防火墙、具有深度数据包检测的防火墙，甚至具有入侵检测功能的防火墙。还有一些其他的方法也可以限制网络流量，比如访问控制列表。但哪种防火墙是合适的针对哪种情况?

防火墙通用功能

防火墙是保护网络或网络设备(如工业pc、控制系统、摄像机等)免受未经授权访问的系统，通过阻止网络流量进出这些系统。这里的第一个主要区别是主机防火墙和网络防火墙之间的区别。第一种是安装在计算机(主机)上或已经由操作系统提供的软件特性。这些防火墙的例子是微软Windows系统防火墙或大多数Linux系统提供的iptables防火墙。

网络防火墙是专门开发用于防火墙的设备，它被放置在网络中，而不是在PC上。这些网络或硬件防火墙是工业设施中的重要元素，特别是当它们连接到其他网络或当有线传输与不太安全的网络技术(例如无线网络)相结合时。在这些情况下，网络防火墙用于设置网络边界，作为防御攻击的第一道防线，只允许所需的流量进出网络。

任何防火墙的基本技术功能都是对数据包进行过滤。在这里，防火墙检查它应该转发的数据包，以确定它们是否对应于所需的流量模式模板。这些模板以规则的形式建模。例如，网络边界的防火墙可以包含这样的规则:“网络内的通信链路只能在指定的服务器上进行”或“只有用于远程维护的pc才能在网络外连接，而不能与任何其他设备连接”。也可以创建特殊的规则，比如针对工业协议的规则。

基于网络的防火墙对工业设施具有重要意义，但在当今的安全概念中，它们在哪里使用呢?

工业环境中防火墙的应用程序和需求

防火墙是当今安全概念中重要的基本组件。它们被用于网络中的不同位置。一方面，他们可以保护公司网络免受外部攻击。另一方面，它们可以将网络中的各种设备彼此分开，或者只允许设备之间进行指定的通信。

这种精确限制内部网络参与者之间通信的概念，以及相互划分各种网络区域，称为纵深防御，通常与区域和管道结合在一起:具有多个安全级别的分层防御，一个在另一个后面。

对需要防御的系统或网络的攻击可以通过这样一组分层防御来阻止——攻击者必须击败多个安全级别，而不仅仅是一个障碍。但是，在网络的多个区域进行分区可以在其中一个网络区域实际上被攻击者破坏的情况下保护它们。在这种情况下，整个网络不会立即受到损害;就是攻击者能够到达的被分割的区域。

这个概念并不新鲜，但在中世纪城堡和其他防御建筑的建造中就已经被考虑到。特别危险的地方有多堵墙保护，城堡里的守军守着，在城堡内部，是最后一道防线。城堡的各个部分被大门和闸门隔开，使攻击者的行动更加困难。

在通信网络中，将一组网络设备隔离成区域和管道，代表门和闸门。此程序通常与深度叠加防御结合使用。区域和通道实际上总是要求使用纵深防御，因为没有墙，大门和闸门是无用的。区域和管道是国际标准的核心组成部分IEC 62443(原ISA99)．为了在通信网络中实现这些经过验证的过程，在网络的不同位置大量使用防火墙。

在公司边界设置防火墙

防火墙在网络部分的划分中扮演着不同的角色。首先，防火墙可以保护公司免受来自外部的威胁。在许多情况下，这种整体保护属于IT防火墙解决方案的领域，它们位于公司的数据中心。另一方面，它们也可以实现，例如，在生产中，以便有效地将生产网络与公司网络的其余部分分离。

防火墙在小单元或外部站点

具有路由器功能的工业防火墙非常适合较小的外部分支机构或站点。这允许，例如，分配站连接到公司的其他基础设施通过a无线广域网网络．防火墙控制进出外部站点本地网络的网络流量。由于这种用于连接外部站点的防火墙代表了公司自己的网络(外部站点)和外部网络(提供商网络或Internet)之间的边界，因此防火墙必须具备各种网络之间的包过滤和过滤流量的完整功能。这种防火墙被称为IP防火墙，因为它处理Internet协议(IP)流量。由于这些防火墙通常安装在离实际设施非常近的地方，因此还必须考虑到工业加固。扩大温度范围和/或批准在特殊领域(如能源供应和运输)使用至关重要。

字段级的防火墙

仅仅保护网络的外部边界不受攻击是不够的。通常，攻击是从网络内部发生的。防火墙还可以根据本地网络中的安全概念限制通信。如果设施外部的通信只能通过一台设备进行，则防火墙可以特别允许这种连接，而阻止其他通信尝试。但是，对网络内使用的防火墙的要求与对网络间使用的防火墙的要求是不同的。因此，不需要IP防火墙，需要以太网级的二层透明防火墙。因为这里的防火墙是在现场级别实现的，所以必须考虑应用程序参数(温度、振动等)以及必要的批准。

WLAN中的防火墙

从无线网络到有线网络的通信也应该由防火墙控制。例如，通过WLAN连接到设备的平板电脑的通信可以受到限制，这样它只能通过用户界面访问数据，而不能通过附加的子系统或其他设备连接到它。如果客户端集成到WLAN中，原则上可以直接与同一(子)网络中的所有其他设备通信。因此，攻击者可以将对连接到WLAN的客户端的成功攻击扩展到以太网网络上的任何其他设备。此问题可以通过在WLAN接入点设置防火墙来限制WLAN客户端之间的消息转发来解决。这里也需要一个透明的第2层防火墙，它可以过滤网络内的通信(直接在网络中的WLAN设备之间)。为了做到这一点，必须在接入点直接实现防火墙。工业硬化设备在这里也很重要。

此外，还可以将通信限制在网络中所有其他点的所需模式和通信关系上。但是，由于防火墙也会对传输延迟(传输延迟)和网络吞吐量产生负面影响，因此并不总是可以使用专用防火墙。在这种情况下，高质量的网络交换机也可以使用功能不那么强大的无状态过滤规则。这些规则通常不称为防火墙规则，而是称为访问控制列表(ACL)。acl适用于必须在网络中进行快速过滤的任何情况。

过滤的差异

环境和网络中的位置并不是决定防火墙要求的唯一因素。过滤机制的功能也有很大差异。在这里，区分防火墙能够在多大程度上观察不同设备之间的通信非常重要。这方面的范围也很广。从只能对数据包执行简单模板识别的防火墙，一直到了解工业协议中的功能和过程，从而可以有针对性地阻止单个通信模式的防火墙。

同时结合不同的安全特性，例如不同网络层上的不同防火墙机制，可以在实施深度防御概念时确保额外的安全性。再一次，中世纪的建筑大师们为防御机制的多样性概念提供了灵感:在城堡和其他防御工事中，高墙通常与其他防御方法相结合，如护城河。因此，攻击者必须制定更复杂的战略，以克服不仅是墙，而且护城河。

在现代通信网络中，同样可取的是实现多种防火墙机制，并将其与深度防御或其他安全机制相结合。以下是常见的过滤机制:

无状态的防火墙

设备之间的通信关系可能处于不同的阶段(状态)。例如，通信关系通常在第一阶段启动。主动通信在第二阶段进行，连接在第三阶段结束。使用此过程的协议的一个具体示例是传输控制协议(TCP)，它通常与IP结合形成TCP/IP。

顾名思义，无状态防火墙不能对通信连接的状态做出反应，也不能区分各个阶段。因此，只能确定单个设备或应用程序可以彼此通信。但是，不能确定参与者是否按照正常程序进行通信。特别是，防火墙无法识别或阻止任何由异常协议行为引起的攻击。例如，所谓的拒绝服务攻击会故意使工业设备的通信接口被伪造或错误的通信请求淹没和过载，从而使自卫能力最低的脆弱工业设备处于危险之中。

有状态的防火墙

与无状态防火墙相比，有状态(状态感知)防火墙可以监视参与者的通信过程，从而在基本通信操作(如连接的启动或终止)期间使用合作伙伴的行为作为包过滤的基础。因此，试图通过已经建立的连接进行通信的攻击可以被识别和阻止。同样，利用已知的错误连接来加载和过载系统的攻击也可以被阻止。

DPI (Deep packet inspection)防火墙

DPI是有状态包检测的扩展。有状态防火墙通常会检查网络中的数据包，其深度可达数据包开头的报头，因为它包含防火墙可以确定和监视通信状态的信息。例如，这些可能是常用TCP的序列号和通信标志。

DPI更进一步，允许从通信头一直到数据包的有效载荷(例如工业应用的控制协议)的检查。通过这种方式，可以发现隐藏在通信流深处的高度专门化的攻击模式。

要做到这一点，防火墙必须能够解释各自的通信协议，以便区分格式良好的“好”数据包和恶意数据包或有害有效负载。因此，DPI防火墙通常被实现为有状态包检查防火墙的附加组件，并且仅用于某些协议和应用程序目的，例如工业协议。

DPI防火墙提供了高度的安全性，通常具有可以个性化和配置的规则集，但它需要网络防火墙的大量计算能力。它还需要一个复杂的配置接口来控制它的复杂性。

这一事实，再加上各个协议各自的适应性，导致DPI防火墙不能被应用于所有方面，而只能应用于网络中经过仔细确定的某些点。但是，在合理使用它们的地方，它们创造了一个明显更强的工业交流硬化。

防火墙管理

正如包过滤器的应用领域和功能存在差异一样，防火墙的附加功能也存在差异。它是一个实际的解决方案，还是安全策略实施的障碍，尤其可以在防火墙的管理功能中看到。这很容易从两个典型的管理任务中识别出来:a)在现有工业网络中集成一个新的防火墙;b)使用网络管理工具管理多个防火墙。

学习防火墙

在现有的工业网络中部署新的防火墙并不是一件小事。在工业网络中，通常有大量的通信关系，只有在极少数情况下才会完整正确地总结和记录。由于防火墙的主要功能是防止未知的网络流量，在这种情况下，这些设备的初始配置尤其困难。如果防火墙配置过于自由，控制和监控设施的流量可以毫无问题地流动，但是，防火墙对攻击者来说也不是很大的障碍。

如果防火墙的配置过于严格，它会阻止潜在攻击者的通信，但也会减慢设施的流量，使其不再在所有情况下都能完美运行。这可能会导致延误和昂贵的维修。正确配置防火墙以允许所需的通信，同时防止不需要的流量是很重要的。如果没有对所有通信关系的完整视图，在现有网络中集成防火墙可能是一个令人伤脑筋的情况。

现代、高质量的工业防火墙通过提供特殊的分析模式在调试期间为员工提供支持。防火墙在学习阶段对网络中的通信关系进行分析。在这个学习阶段(可以自由指定)，防火墙记录所有通信关系，而不限制任何通信关系。借助分析的连接，管理员可以快速轻松地检测所需或不需要的通信关系，并自动(半)创建防火墙的自定义配置。

这节省了时间，并能够在不冒停机和故障风险的情况下找到功能和安全的配置。学习周期的持续时间可以自由配置，因为防火墙必须在学习阶段观察所有的通信关系。特别是，在零星通信关系的情况下，例如在定期计划的维护期间，必须相应地设置时间框架，以捕获这种零星通信。

管理多个防火墙

使用防火墙将各种设备和设施组件彼此隔离是纵深防御战略的一个重要方面。如果攻击者已经克服了最初的障碍，例如渗透到网络，则附加具有更具体规则的防火墙可以防止渗透到其他更敏感的设施组件。

使用多个IP防火墙和透明二层防火墙需要对这些设备进行管理和配置。如果没有用于简单(大规模)配置防火墙的强大管理工具，在更改网络基础设施的情况下，此任务可能非常耗时且容易出错。因此，可以通过网络管理工具对防火墙进行集中管理和监控，以协助这一过程，这一点非常重要。

使用适当的管理工具，可以在新安装的防火墙上快速实现标准配置，也可以对配置进行更改。这种更改的一个例子可以是在一个新的日志服务器上，生产网络中的所有设备都可以访问该服务器。如果现在必须单独配置所有防火墙，则必须在每台防火墙上设置日志服务器的IP地址和端口。这很耗时，而且容易出错。通过网络管理工具进行大规模配置，可以为所有防火墙同时可靠地执行此任务。

总结

尽管现代安全概念它们不仅仅是由防火墙组成的，它们仍然是任何安全概念都离不开的核心元素。为了实施国际标准和经过验证的程序(最佳实践)中的重要概念，例如纵深防御、区域防御和管道防御，防火墙对于作战是绝对必要的。近年来的技术发展表明，防火墙不仅在技术特性上有很大差异，而且在硬件的特性和设备、批准、操作以及在工业环境中使用的能力上也有很大差异。

在工业网络中，由于安全概念复杂、技术多样，选择合适的防火墙来完成不同的任务至关重要。

Tobias Heer教授，未来技术，赫斯曼自动化与控制有限公司，内卡滕林根，德国;奥利弗·克莱伯格博士，先进开发，赫斯曼自动化和控制有限公司，内卡滕林根，德国。由制作编辑克里斯·瓦夫拉编辑，控制工程， CFE传媒，cvavra@cfemedia.com．

赫斯曼自动化是百登的一个品牌。百登是CSIA会员。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。