工業(yè)網(wǎng)閘的系統(tǒng)架構(gòu)及技術(shù)原理

作者：e-works李靜怡

摘要 ? ?

近年來，工業(yè)企業(yè)面臨的網(wǎng)絡(luò)安全威脅形勢日益嚴(yán)峻，尤其在工業(yè)環(huán)境中，工控主機(jī)遭到破壞的影響尤為深遠(yuǎn)。工業(yè)網(wǎng)閘是專門為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的安全隔離設(shè)備，用于解決控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問題以及控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護(hù)的問題。本文將介紹工業(yè)網(wǎng)閘技術(shù)的概念、特點(diǎn)、發(fā)展歷程、技術(shù)原理及功能，并分析對比工業(yè)網(wǎng)閘與工業(yè)防火墻之間的優(yōu)劣。

引言 ? ?

近年來，勒索軟件成為OT環(huán)境中常見的攻擊手段，勒索病毒已成為工業(yè)互聯(lián)網(wǎng)安全最大的威脅之一，工業(yè)制造已成為最容易被勒索病毒攻擊的行業(yè)；同時(shí)，工業(yè)現(xiàn)場的網(wǎng)絡(luò)環(huán)境非常重要，對網(wǎng)絡(luò)干擾、惡意代碼和病毒滲入非常敏感，一旦遭到破壞、對生產(chǎn)環(huán)境可能造成巨大損害，甚至?xí)斐蔀?zāi)難性的事故。

工業(yè)網(wǎng)閘是專門為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的安全隔離設(shè)備，用于解決控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問題以及控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護(hù)的問題。本文將介紹工業(yè)網(wǎng)閘技術(shù)的概念、特點(diǎn)、發(fā)展歷程、技術(shù)原理和功能，以及應(yīng)用案例，并分析對比工業(yè)網(wǎng)閘與工業(yè)防火墻之間的優(yōu)劣。

工業(yè)網(wǎng)閘為何物 ? ?

工業(yè)網(wǎng)閘的概念及特點(diǎn)

公安部第三研究所起草，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理的《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》中提到了對工業(yè)網(wǎng)閘的定義：工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)部署于工業(yè)控制網(wǎng)絡(luò)中不同的安全域之間，采用協(xié)議隔離技術(shù)實(shí)現(xiàn)兩個(gè)安全域之間訪問控制、協(xié)議轉(zhuǎn)換、內(nèi)容過濾和信息交換等功能的產(chǎn)品。

圖1工業(yè)網(wǎng)閘（圖源：英塞克鐵牛智能）

在工業(yè)控制系統(tǒng)層次結(jié)構(gòu)模型中，工業(yè)網(wǎng)閘可部署于工業(yè)控制網(wǎng)絡(luò)邊界、生產(chǎn)管理層與過程監(jiān)控層之間，能夠保護(hù)工業(yè)控制網(wǎng)絡(luò)、過程監(jiān)控層網(wǎng)絡(luò)及現(xiàn)場控制層網(wǎng)絡(luò)。除了具備域間邊界隔離的功能，工業(yè)網(wǎng)閘還具備傳統(tǒng)網(wǎng)閘最基本的訪問控制和應(yīng)用層過濾防護(hù)功能，并且支持如OPC、Modbus等主流工業(yè)控制協(xié)議的深度解析，能夠?qū)崿F(xiàn)規(guī)約合法性檢查和深度功能碼、操作碼過濾等功能，從而能夠?qū)崿F(xiàn)對工業(yè)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。

圖2工業(yè)網(wǎng)閘控制網(wǎng)絡(luò)部署圖（圖源：安盟股份）

工業(yè)網(wǎng)閘的發(fā)展歷程 ? ?

網(wǎng)閘技術(shù)的誕生，可以追溯到上世紀(jì)90年代中期，最早出現(xiàn)在美國、以色列等國的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全問題。當(dāng)時(shí)俄羅斯人Ry Jones提出了“空氣縫隙隔離（Air Gap）”的安全隔離概念。隨后，以色列研制成功物理隔離卡，實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全隔離；美國和以色列又先后推出了e-Gap和NetGap產(chǎn)品，利用專有硬件實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)在安全隔離的情況下進(jìn)行數(shù)據(jù)安全交換。

工業(yè)網(wǎng)閘技術(shù)從第一代到第三代，經(jīng)歷了從單刀雙擲開關(guān)到虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議，再到工業(yè)協(xié)議深度解析的發(fā)展歷程?？偟膩碚f，工業(yè)網(wǎng)閘技術(shù)的發(fā)展歷程是從物理隔離向邏輯隔離發(fā)展，從解決基本的網(wǎng)絡(luò)協(xié)議攻擊向解決更復(fù)雜的工業(yè)協(xié)議攻擊發(fā)展。

第一代工業(yè)網(wǎng)閘基于單刀雙擲開關(guān)，通過內(nèi)外網(wǎng)的處理單元分時(shí)存取共享存儲(chǔ)設(shè)備來完成數(shù)據(jù)交換。在Air Gap情況下實(shí)現(xiàn)數(shù)據(jù)交換，其安全原理是通過應(yīng)用層數(shù)據(jù)提取與安全審查，達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。但由于基于GAP技術(shù)的網(wǎng)閘使得內(nèi)外網(wǎng)共用了存儲(chǔ)設(shè)備，因此不能夠滿足物理隔離的要求。

基于單刀雙擲開關(guān)的網(wǎng)閘技術(shù)雖然剝離了網(wǎng)絡(luò)特性，從而徹底解決了基于網(wǎng)絡(luò)協(xié)議的攻擊，但受到電子開關(guān)切換速度的限制，整體處理性能相對較低，帶來的后果是較低的吞吐量、較低的并發(fā)連接數(shù)和較大的交換延遲，容易成為網(wǎng)絡(luò)的瓶頸。同時(shí)，存儲(chǔ)設(shè)備因受到持續(xù)快速的通電與斷電的影響，導(dǎo)致壽命大大縮短，往往會(huì)因失效或損壞而使數(shù)據(jù)交換過程中斷。

隨著技術(shù)的發(fā)展，第二代工業(yè)網(wǎng)閘開始利用虛擬專用網(wǎng)絡(luò)（VPN）協(xié)議進(jìn)行數(shù)據(jù)傳輸。VPN協(xié)議可以在公共網(wǎng)絡(luò)上建立加密通道，使得工業(yè)網(wǎng)閘可以實(shí)現(xiàn)對數(shù)據(jù)的加密和認(rèn)證，進(jìn)一步提高了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第三代工業(yè)網(wǎng)閘則采用了工業(yè)協(xié)議深度解析技術(shù)。這種技術(shù)可以針對具體的工業(yè)協(xié)議進(jìn)行深度解析，提取出協(xié)議中的關(guān)鍵信息，并進(jìn)行安全審查和過濾。這使得工業(yè)網(wǎng)閘不僅能夠?qū)崿F(xiàn)基于網(wǎng)絡(luò)協(xié)議的攻擊防護(hù)，還能夠?qū)μ囟ǖ墓I(yè)協(xié)議進(jìn)行深度防護(hù)。

圖3工業(yè)網(wǎng)閘發(fā)展歷程

工業(yè)網(wǎng)閘的技術(shù)原理 ? ?

工業(yè)網(wǎng)閘系統(tǒng)架構(gòu)

網(wǎng)閘通用的系統(tǒng)架構(gòu)為“2+1”系統(tǒng)架構(gòu)，該架構(gòu)是指采用雙主機(jī)架構(gòu)，包括內(nèi)端機(jī)、外端機(jī)和隔離控制單元。隔離控制單元采用專用的私有協(xié)議，用于內(nèi)端處理單元和外端處理單元之間的通信，以提高工業(yè)控制網(wǎng)絡(luò)邊界的安全防護(hù)能力；內(nèi)端機(jī)與外端機(jī)各自獨(dú)立，但通過隔離控制單元進(jìn)行通信。

圖4網(wǎng)閘通用“2+1”系統(tǒng)架構(gòu)（來源：知乎-邊界安全之二網(wǎng)閘）

工業(yè)網(wǎng)閘采用“2+1”結(jié)構(gòu)，即2個(gè)主機(jī)和1個(gè)隔離板，數(shù)據(jù)純單向傳輸。隔離板為雙FPGA組成，數(shù)據(jù)傳輸使用基于SERDES（Serializer/Deserializer，串行化/解串行化）技術(shù)的高速串行通信，數(shù)據(jù)封裝使用自定義格式，傳輸速率取決于其所支持的接口與協(xié)議，以及硬件性能、所處理的數(shù)據(jù)量、協(xié)議處理效率；常見的以太網(wǎng)網(wǎng)閘傳輸速率有10Mbps、100Mbps、1000Mbps、10Gbps，串行通信網(wǎng)閘一般在幾十kbps至幾Mbps之間，其他類型網(wǎng)閘如Profinet、Modbus、CAN等專用協(xié)議網(wǎng)閘在數(shù)十kbps至數(shù)百kbps之間。

圖5工業(yè)網(wǎng)閘系統(tǒng)架構(gòu)

工業(yè)網(wǎng)閘技術(shù)原理

工業(yè)網(wǎng)閘是一種重要的網(wǎng)絡(luò)安全設(shè)備，主要用于保護(hù)工業(yè)控制系統(tǒng)（ICS）免受網(wǎng)絡(luò)攻擊。它通過物理隔離和數(shù)據(jù)擺渡的機(jī)制，實(shí)現(xiàn)了內(nèi)外網(wǎng)的安全隔離。

工業(yè)網(wǎng)閘的硬件部分包括兩個(gè)主要部分：接口機(jī)A和接口機(jī)B。接口機(jī)A連接外部網(wǎng)絡(luò)，而接口機(jī)B連接內(nèi)部網(wǎng)絡(luò)。這兩臺(tái)接口機(jī)取消了所有系統(tǒng)自帶的網(wǎng)絡(luò)功能，例如ICMP協(xié)議、所有TCP協(xié)議以及OPC、Modbus等工業(yè)控制協(xié)議，從而使得內(nèi)外網(wǎng)的用戶和網(wǎng)絡(luò)掃描工具無法感知工業(yè)網(wǎng)閘的存在。

在軟件層面，工業(yè)網(wǎng)閘通常配備一個(gè)客戶端，這個(gè)客戶端只能運(yùn)行在特定的主機(jī)上，這些主機(jī)被稱為節(jié)點(diǎn)機(jī)。節(jié)點(diǎn)機(jī)通過預(yù)設(shè)的端口與工業(yè)網(wǎng)閘進(jìn)行單向通信，從而實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的交換。工業(yè)網(wǎng)閘的數(shù)據(jù)交換不使用TCP/IP協(xié)議，而是通過特定的硬件卡或者存儲(chǔ)設(shè)備建立一個(gè)數(shù)據(jù)交換區(qū)，這種方式提高了數(shù)據(jù)交換的安全性，可抵御如中間人攻擊等。

圖6工業(yè)網(wǎng)閘工作原理（來源：博客園-網(wǎng)閘）

工業(yè)網(wǎng)閘如何實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)自動(dòng)交換

工業(yè)網(wǎng)閘可以在物理層實(shí)現(xiàn)對內(nèi)、外網(wǎng)的隔離和控制，防止網(wǎng)絡(luò)攻擊和信息泄露，其在保證業(yè)務(wù)通訊隔離的基礎(chǔ)上，實(shí)現(xiàn)了數(shù)據(jù)交換。工業(yè)網(wǎng)閘的設(shè)計(jì)重點(diǎn)不僅在隔離與交換的控制邏輯設(shè)計(jì)上，還包括業(yè)務(wù)代理的實(shí)現(xiàn)模式上。通過工業(yè)網(wǎng)閘實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)自動(dòng)交換的原理模型如下：

圖7工業(yè)網(wǎng)閘實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)自動(dòng)交換原理模型（來源：簡書-004網(wǎng)閘【產(chǎn)品】）

在內(nèi)網(wǎng)和外網(wǎng)之間，內(nèi)網(wǎng)接口單元和外網(wǎng)接口單元分別作為數(shù)據(jù)交換的門戶，它們之間的文件或者數(shù)據(jù)傳輸通常需要通過文件交換緩沖區(qū)來完成，以優(yōu)化傳輸效率。同時(shí)，隔離與交換控制單元作為安全監(jiān)控點(diǎn)，確保數(shù)據(jù)交換的安全性和合規(guī)性。在內(nèi)網(wǎng)側(cè)，數(shù)據(jù)經(jīng)過處理和審核后，通過內(nèi)網(wǎng)接口單元進(jìn)入內(nèi)網(wǎng)，在內(nèi)網(wǎng)內(nèi)部經(jīng)過必要的處理后，再通過內(nèi)網(wǎng)交換文件緩沖區(qū)傳輸至相應(yīng)的內(nèi)網(wǎng)資源或用戶；外網(wǎng)同理。

工業(yè)網(wǎng)閘的基本特性

網(wǎng)閘設(shè)備的基本特性主要包括無完整網(wǎng)絡(luò)連接，單向傳輸，數(shù)據(jù)格式認(rèn)證三個(gè)方面，工業(yè)網(wǎng)閘也不例外。正是具備以上特性，網(wǎng)閘才可以杜絕兩端網(wǎng)絡(luò)建立任何TCP/IP網(wǎng)絡(luò)連接，保證物理隔離的同時(shí)，還能達(dá)到傳輸特定數(shù)據(jù)的目的。

無完整網(wǎng)絡(luò)連接是指通過網(wǎng)閘的擺渡控制，讓數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時(shí)刻不能同時(shí)連接，該設(shè)計(jì)中斷了內(nèi)外網(wǎng)的直接連接，使得內(nèi)外網(wǎng)達(dá)到物理隔離效果。一般的網(wǎng)絡(luò)應(yīng)用包括病毒，木馬等都無法經(jīng)過網(wǎng)閘建立所需的網(wǎng)絡(luò)連接。

單向傳輸是指網(wǎng)閘硬件與軟件之間采用特定的私有協(xié)議，保證與預(yù)設(shè)方向相反的方向無法傳輸數(shù)據(jù)，HTTP，F(xiàn)TP，SMTP等協(xié)議均無法通過。如果內(nèi)外網(wǎng)需要數(shù)據(jù)交互，一般需要部署正向反向兩套網(wǎng)閘，采用不同的策略，通過內(nèi)外網(wǎng)不同的節(jié)點(diǎn)機(jī)分別執(zhí)行數(shù)據(jù)發(fā)送。

數(shù)據(jù)格式認(rèn)證是指不支持協(xié)議解析，不透傳業(yè)務(wù)應(yīng)用，只對認(rèn)證后的特定文件格式的數(shù)據(jù)文件進(jìn)行擺渡，從而確保數(shù)據(jù)的安全和完整性，防止惡意代碼和攻擊者入侵，保護(hù)內(nèi)部網(wǎng)絡(luò)資源；該特性有助于提高企業(yè)網(wǎng)絡(luò)的安全性和穩(wěn)定性，降低安全風(fēng)險(xiǎn)。

工業(yè)網(wǎng)閘的功能 ? ?

工業(yè)網(wǎng)閘主要用于實(shí)現(xiàn)工業(yè)控制系統(tǒng)與其他網(wǎng)絡(luò)（如辦公網(wǎng)絡(luò)、互聯(lián)網(wǎng)等）之間的安全隔離和數(shù)據(jù)交換，它可以實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的安全隔離，確保工業(yè)控制系統(tǒng)的穩(wěn)定運(yùn)行，同時(shí)滿足生產(chǎn)過程中對數(shù)據(jù)交換的需求。其功能主要有以下八點(diǎn)：

物理隔離：工業(yè)網(wǎng)閘通過物理連接實(shí)現(xiàn)工業(yè)控制系統(tǒng)與其他網(wǎng)絡(luò)的隔離，確保工業(yè)控制系統(tǒng)的安全性。

數(shù)據(jù)交換：工業(yè)網(wǎng)閘能夠在隔離的網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換，實(shí)現(xiàn)信息的傳輸。例如，辦公網(wǎng)絡(luò)需要與工業(yè)控制網(wǎng)絡(luò)交換數(shù)據(jù)時(shí)，可以通過工業(yè)網(wǎng)閘進(jìn)行安全的數(shù)據(jù)傳輸。

協(xié)議解析：工業(yè)網(wǎng)閘能夠解析不同網(wǎng)絡(luò)之間的協(xié)議，如工業(yè)控制系統(tǒng)的Modbus、Profinet等協(xié)議，以及辦公網(wǎng)絡(luò)的HTTP、SMTP等協(xié)議。

負(fù)載均衡：工業(yè)網(wǎng)閘可以實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載的均衡，確保工業(yè)控制系統(tǒng)不會(huì)因?yàn)橥獠烤W(wǎng)絡(luò)的沖擊而受到影響。

冗余備份：工業(yè)網(wǎng)閘支持冗余備份，當(dāng)一臺(tái)網(wǎng)閘出現(xiàn)故障時(shí)，另一臺(tái)網(wǎng)閘可以立即接管其工作，確保系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行。

集成管理：工業(yè)網(wǎng)閘可以與其他安全設(shè)備（如防火墻、入侵檢測系統(tǒng)等）進(jìn)行集成管理，方便用戶對整個(gè)工業(yè)控制系統(tǒng)進(jìn)行統(tǒng)一的安全管控。

圖8工業(yè)網(wǎng)閘的功能

工業(yè)網(wǎng)閘與工業(yè)防火墻對比 ? ?

什么是工業(yè)防火墻

傳統(tǒng)的防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，是一種獲取安全性方法的形象說法。防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻可以看作是一個(gè)位于計(jì)算機(jī)與所連接網(wǎng)絡(luò)之間的軟件或硬件，計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均需經(jīng)過防火墻。

相較于傳統(tǒng)的防火墻，除了具備安全防護(hù)功能外，工業(yè)防火墻還內(nèi)置了針對工控協(xié)議的解析與過濾的模塊，該模塊能夠識(shí)別和提取數(shù)據(jù)包的特征集，利用智能算法和機(jī)器學(xué)習(xí)技術(shù)，如支持向量機(jī)等功能，通過白名單機(jī)制來阻止異常指令和攔截非工控協(xié)議，從而為工控網(wǎng)絡(luò)提供了更為精準(zhǔn)和深入的安全保護(hù)，確保了工業(yè)操作的穩(wěn)定性和安全性。

與工業(yè)防火墻對比

工業(yè)網(wǎng)閘和工業(yè)防火墻在保護(hù)工業(yè)控制網(wǎng)絡(luò)方面都有重要作用，但它們在安全防護(hù)層次、工作原理和應(yīng)用場景上存在一些區(qū)別。

在安全防護(hù)層次上，工業(yè)網(wǎng)閘應(yīng)用于工控網(wǎng)絡(luò)與信息網(wǎng)絡(luò)之間的邊界，主要是為了隔離和控制兩個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)流，確保工業(yè)控制系統(tǒng)的安全運(yùn)行。而工業(yè)防火墻通常部署在工控網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)之間的邊界，或者是工控網(wǎng)絡(luò)內(nèi)部的關(guān)鍵節(jié)點(diǎn)上，以監(jiān)控和控制進(jìn)出工控網(wǎng)絡(luò)的數(shù)據(jù)流。

在工作原理上，工業(yè)網(wǎng)閘主要利用物理隔離和專用硬件控制實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的安全數(shù)據(jù)交換，它通常在兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間建立物理隔離，確保內(nèi)外網(wǎng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令和信息傳輸。工業(yè)防火墻則通過檢測和過濾工業(yè)協(xié)議中的惡意指令，實(shí)現(xiàn)對工業(yè)控制系統(tǒng)的保護(hù)，它可以識(shí)別和阻止惡意流量，從而保護(hù)工業(yè)控制系統(tǒng)免受網(wǎng)絡(luò)攻擊。

在應(yīng)用場景方面，工業(yè)網(wǎng)閘主要應(yīng)用于工業(yè)生產(chǎn)控制系統(tǒng)與信息系統(tǒng)之間的安全數(shù)據(jù)采集和物理隔離。它可以確保工業(yè)控制系統(tǒng)在各個(gè)層面的安全，適用于對工業(yè)控制系統(tǒng)安全要求極高的場景，如關(guān)鍵基礎(chǔ)設(shè)施、核設(shè)施等。而工業(yè)防火墻可以有效防止網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露，適用于對工業(yè)控制系統(tǒng)安全要求較高的場景，如石油、化工、電力等。

表1工業(yè)防火墻與工業(yè)網(wǎng)閘對比

結(jié)語 ? ?

工業(yè)網(wǎng)閘作為一種不同安全域之間的安全隔離產(chǎn)品，在工業(yè)領(lǐng)域備受關(guān)注，應(yīng)用范圍廣，前景非常廣闊。本文簡單介紹了工業(yè)網(wǎng)閘的概念、發(fā)展歷程、技術(shù)原理和功能等，幫助讀者更加清楚的了解什么是工業(yè)網(wǎng)閘。隨著信息安全的快速發(fā)展，虛擬化技術(shù)的普及，新一代的網(wǎng)閘將向虛擬化和軟件化方向發(fā)展；同時(shí)，為保障網(wǎng)閘自身絕對安全、自主可控，新一代網(wǎng)閘還應(yīng)從芯片、操作系統(tǒng)、應(yīng)用組件等各方面實(shí)現(xiàn)全國產(chǎn)化的自主設(shè)計(jì)和采取零信任的訪問模式，從而實(shí)現(xiàn)向全國產(chǎn)化方向發(fā)展的目標(biāo)。

審核編輯：黃飛

?