編者按：工業防火墻作為工業網絡的第一道防線，在邊界防護、訪問控制、安全域管理、網絡地址轉換、工業協議過濾等方面發揮著重要的作用。但工業防火墻在實際的使用過程中，管理和配置卻不是一件容易的工作，稍有不慎將很容易出現配置錯誤。盡管對于有些防火墻來說，配置錯誤的安全后果是可以接受的，但對于深度防御OT網絡基礎設施來說，錯誤配置的防火墻所帶來的累積風險通常是不可接受的。常見的OT/工業防火墻錯誤有：保留IP“任意”訪問規則、使用錯誤的規則順序、沒有禁用未使用的管理接口、保留防火墻默認口令不變、未能修補防火墻、無法規劃額外的基礎設施成本、規則管理不當、認為防火墻只是出站。許多工業和關鍵基礎設施站點都在其深度防御體系結構中用單向網關替換了至少一層防火墻。最常見的此類部署是用網關替換IT/OT接口防火墻。至少使用一層單向網關，從互聯網進入到OT網絡的攻擊路徑就會被阻斷。無論多么復雜，單向網關硬件可防止任何在線網絡攻擊到達易受攻擊的生產網絡。即使不小心配置錯誤了網關軟件，硬件也可以保護OT網絡免受干擾破壞。

　　防火墻很容易配置錯誤。盡管對于有些防火墻來說，配置錯誤的安全后果是可以接受的，但深度防御OT網絡體系結構中的錯誤配置防火墻所帶來的累積風險通常是不可接受的。

　　大多數工業站點都將部署防火墻部署作為其OT/工業網絡的第一道防線。但是，配置和管理這些防火墻是一項復雜的工作，配置和其他錯誤很容易犯。

　　本文探討了防火墻管理員易犯的8種常見錯誤，并描述了這些錯誤如何危害防火墻功能和網絡安全。但是，這里吸取的經驗教訓不是“停止犯錯”。本文還探討了單向網關技術，作為最重要的OT防火墻的替代。單向網關為工業運營提供物理保護，而不僅僅是軟件保護。這意味著對于單向網關來說，配置中的任何錯誤都不會損害網關為工業網絡提供的保護。

　　每個人都會犯錯誤。確保運營安全的秘訣并不是避免所有錯誤，而是將工業網絡設計成即使在配置防御措施時出錯，也仍然不會威脅到工業運營的正確性和連續性。

　　8種常見OT/工業防火墻錯誤

　　1. 保留IP“任意”訪問規則

　　防火墻前后不一致。默認情況下，大多數用戶防火墻都拒絕所有入站到本地網絡的連接，但允許所有傳出連接的規則是“允許任何”。然而商業級和工業級防火墻不大一樣，有些防火墻對所有方向的流量都具有“拒絕所有”默認策略;有些默認設置為“允許所有人共享”;在配置第一個非默認規則之前，有些默認設置為“允許任何”，然后默認設置切換為“全部拒絕”;有些在其配置用戶界面中顯示其默認規則，而其他規則不顯示。

　　對于某些型號的防火墻，這很容易錯誤地將“允許任何使用”規則保留。錯誤地保留可見的默認值或不可見的隱含的“允許任何”規則的后果就是，使工業網絡中的多種類型的連接都處于啟用狀態，該規則允許進入網絡的所有連接/攻擊，并沒有被配置的其他規則明確禁止。

　　2. 使用錯誤的規則順序

　　一旦確定了需要為防火墻設置的所有規則，就必須仔細注意規則集合中規則的順序。防火墻規則按順序處理。以錯誤的順序輸入或配置的規則會導致意外的和不良的防火墻行為。

　　例如，假設有兩個規則，第一個規則是“接受來自子網中IP地址1-64的所有連接”，第二個規則是“拒絕來自同一子網中IP地址23的連接”。如果接受規則位于規則集中的第一個，并且防火墻從地址23接收到連接請求，則“接受1-64”規則將導致允許連接，“拒絕”規則永遠不會被使用。

　　3. 沒有禁用未使用的管理接口

　　由于防火墻制造商希望確保易于配置，因此默認情況下，他們啟用多種類型的管理接口，通常包括SSH、Telnet和串行接口、以及加密和未加密的Web接口。啟用未加密的接口意味著使用這些接口時，攻擊者可能能夠在網絡上看到口令。此外，保留所有不必要的接口處于啟用狀態會增加攻擊面和曝露程度。它還使攻擊者能夠使用網絡釣魚攻擊或其他攻擊來竊取這些接口的口令，并只需登錄即可重新配置防火墻。

　　4. 保留防火墻默認口令不變

　　大多數防火墻附帶默認的管理用戶名和口令。這些口令記錄在設備的用戶手冊中，因此攻擊者和其他搜索信息的任何人都知道這些口令。沒有更改默認口令意味著任何可以連接到啟用的管理界面之一的攻擊者都可以登錄防火墻并重新配置它。

　　當防火墻連接到外部身份驗證，授權和計費(AAA)服務(例如RADIUS服務器，Active Directory服務器，IAM基礎設施或其他口令管理服務器)時，無法更改默認口令是一個特別常見的錯誤?？诹罟芾矸胀ǔo法控制內置的管理員賬戶和口令。實際上，最佳實踐認為，至少有一個管理員賬戶應該超出身份管理系統的范圍，以作為因任何原因失去與AAA系統聯系的備份。

　　5. 未能修補防火墻

　　工程師和管理員可能擁有大量且昂貴的測試和軟件更新程序，以保持其工業控制系統的安全。這些程序通常將重點放在難以修補的操作設備上，以排除諸如防火墻和受管交換機之類的網絡基礎結構組件。未能修補防火墻意味著攻擊者可以利用眾所周知的且廣泛使用的漏洞利用舊的和眾所周知的防火墻漏洞來破壞防火墻。

　　6. 無法規劃額外的基礎設施成本

　　部署防火墻可能會帶來重大成本和意外成本，因為防火墻部署通常需要對其他基礎結構進行重大更改。這些更改和費用可能包括：

　　l 當使用新的防火墻分割以前的“扁平”網絡時，在OT和/或企業網絡上重新編號IP地址;

　　l 其他網絡基礎結構，例如交換機、路由器、身份驗證系統;

　　l 人員和/或系統收集、關聯和分析防火墻日志、以嘗試檢測攻擊者何時猜測口令或試圖獲取網絡訪問權限。

　　甚至比這些成本更高的是，如果上述任何更改需要重新啟動整個控制系統，那么物理/工業操作可能會產生停機成本，并且通常需要重新啟動。

　　7. 隨著時間的推移，規則集管理不當

　　防火墻規則必須定期更新和檢查。為短期測試、緊急維修和其他需求而制定的“臨時”規則堅決不能長期保留。必須刪除過時的設備和軟件系統的規則。必須刪除為已離職或更改職責的員工使用的IP地址提供OT訪問權限的規則。所有這些更改以及許多其他更改都必須記錄在案，以便將來的審閱者知道與誰聯系以確定是否仍然需要配置的規則。

　　簡而言之，如果允許積累不必要的規則，那么隨著時間的推移，防火墻看起來越來越像路由器，允許太多種類型的連接進入需要設備保護的網絡。

　　8. 認為防火墻是“只能出站”

　　在過程控制系統網絡中，通常認為受到了保護，因為防火墻已配置為僅允許從工業網絡到外部網絡的出站連接。這是一個嚴重的錯誤。用著名的SANS講師Ed Skoudis的話來說，“出站訪問等于入站命令和控制”。所有TCP連接，即使是通過防火墻的TCP連接，都是雙向連接。與電子郵件服務器和Web服務器的連接始終會通過“僅出站”防火墻來發起攻擊。連接到命令和控制服務器的惡意軟件也是如此。更普遍的是，連接到受到破壞的企業服務的工業客戶可能會將破壞傳播到控制系統中，并使工業運營陷入危險。

　　單向網關技術，防范配置錯誤

　　完全安全的工業網絡越來越多地在IT/OT接口而不是防火墻上部署單向網關技術。單向技術的一個重要優點是，即使意外配置錯誤，也不會因配置錯誤而損害網關為OT網絡提供的保護。單向網關硬件實際上只能在一個方向上發送信息，從OT網絡到企業。無論多么復雜的網絡攻擊，都無法改變硬件的行為，也無法通過硬件到達任何網絡攻擊信息以任何方式損害受保護的OT網絡。

　　為了簡化安全的IT/OT集成，單向網關軟件將服務器從工業網絡復制到企業網絡。例如，假設企業用戶和應用程序從基于SQL的歷史數據庫中獲取其OT數據。在這種情況下，單向網關在OT端查詢數據庫，將接收到的數據轉換為單向格式，將數據發送到企業端，然后將數據插入到相同的SQL/歷史數據庫中。然后，企業用戶和應用程序可以從企業副本數據庫正常雙向訪問其數據。如果需要，副本數據庫服務器可以使用與工業歷史數據庫完全相同的IP地址，這是因為單向網關不是防火墻或路由器。

　　使用單向網關硬件保護工業網絡，無論有多少口令被盜或系統無法修補，都無法從企業網絡或來自網絡之外的互聯網的軟件攻擊到達受保護的OT網絡。

　　天地和興工控防火墻護航工業網絡安全

　　1.工業級專用硬件平臺

　　專為面向工業和惡劣環境下的工業網絡需求而設計，支持導軌式和機架式安裝，采用了低功耗、寬溫、無風扇工業設計，支持IP40防護等級、軟硬件Bypass和冗余電源。

　　2.專屬的工業加密通道

　　結合工控協議深度解析，建立工業加密IPSEC VPN隧道。在遠程管理過程中，保障了管理主機與工控防火墻之間的所有通訊數據加密傳輸

　　3.細粒度的工控協議解析

　　對OPC、Modbus、S7、S7Plus、IEC104和MMS等工控協議深度解析，在遵循可用性與完整性的基礎上，能夠檢測出數據包的有效內容特征、負載和可用匹配信息，從而滿足工控系統的安全防護需求

　　4.全面的攻擊防護能力

　　支持對工控指令攻擊、控制參數的篡改、病毒蠕蟲、惡意代碼攻擊、端口掃描攻擊，CC攻擊、各類DoS/DDoS攻擊防護，并且預置工控系統攻擊事件庫，全面提升工業網絡安全防護能力。

　　5.三段式的運行模式

　　提供學習模式、驗證模式和防護模式，保護工控網絡的可用性。三種模式分階段完成工控網絡信息安全保障。學習模式應用于規劃階段，驗證模式應用于預上線階段，防護模式應用于運行階段

　　6.可視化的界面設計

　　提供人性化的易用圖形界面，對工控網絡進行實時監測，通過全新的可視化管理與配置，使復雜的網絡設置和管理變得簡單易用，降低操作復雜度，避免誤操作。

　　參考資源：

　　【1】https://threatpost.com/waterfall-eight-common-ot-industrial-firewall-mistakes/155061/