博智虚拟工控防火墙助力工业互联网安全实训-为国家安全锻矛铸盾

博智虚拟工控防火墙助力工业互联网安全实训

时间：2024-03-21 访问量：3526

随着信息技术的迅速发展和工业控制系统的数字化进程，工业互联网已成为推动工业生产和管理的重要力量。然而，工业互联网的快速发展也带来了新的安全挑战和风险。因此，加强工业互联网安全实训，提高从业人员的安全意识和技能，具有重要的现实意义和深远的影响。

随着博智工控防火墙新版本的正式发布，用于工业互联网安全教育与实训、竞赛和演练的虚拟工控防火墙配套发布。产品通过虚拟化技术能够实现设备的快速部署和灵活扩展，适应不同规模和需求的安全环境。

近期，博智虚拟工控防火墙作为博智孪生仿真靶场的配套虚拟安全防护设备，在多个工业互联网安全实验室成功使用。学生通过工业互联网安全攻击防护实训，可以提高工业互联网安全的认识和意识，理解工业互联网的安全威胁和攻击，进而掌握工业互联网安全防护的关键技能，为今后从事相关工作打下坚实的基础。

640 - 2024-03-21T155801.443.png

传统云防火墙在工业互联网安全中的不足

云防火墙是专门为云计算环境设计的虚拟化网络安全产品，例如公有云和私有云环境、软件定义的网络（SDN）和软件定义的广域网（SD-WAN）。但其应用环境还是局限于云计算网络，它对于工业控制网络环境还有诸多的不适应，主要体现在以下几个方面：

·云防火墙主要是针对通用网络协议进行审核和防护，不能对工业控制网络协议和应用数据的内容进行解析和检查。

·云防火墙基于黑名单机制，为及时应对新发现的系统和软件漏洞，以及面临不断更新的网络攻击手段和威胁需要不断升级，不符合工业现场特点。

虚拟工控防火墙在工业互联网安全中的优势

·全新一代增强级工控防火墙，全面提升和扩展了入侵防御、URL过滤、病毒过滤、网络扫描防护、IP/MAC绑定等功能，可识别和预防网络中病毒传播、恶意攻击等行为，避免其影响控制网络和破坏生产流程。

640 - 2024-03-21T160223.876.png

入侵防御告警

640 - 2024-03-21T160337.951.png

访问控制告警

提供流量带宽管理、NAT及IPv6隧道等功能，可满足更多维度的网络环境需求，更加适应当前工业网络环境与信息化网络环境相融合的发展趋势。

640 - 2024-03-21T161312.956.png

NAT

640 - 2024-03-21T161319.521.png

IPSec VPN

提供针对工业协议的指令级深度检测，实现对Modbus、S7等主流工业协议和规约的细粒度检查和过滤，并支持智能协议识别和辅助自学习工业白名单的规则生成。

640 - 2024-03-21T161525.046.png

工业协议深度检测

640 - 2024-03-21T161556.574.png

工业白名单规则

虚拟工控防火墙的典型部署拓扑

边界隔离部署：部署在控制网络边界（如管理网与控制网之间），阻断来自上层网络（管理网）的安全威胁，实现纵向防护。

640 - 2024-03-21T161817.493.png

区域间隔离部署：部署在同层级不同安全区域（区域1与区域2），防止不同区域间的交叉感染。

640 - 2024-03-21T162006.012.png

关键点隔离部署：部署在重要控制系统或设备前端，保护重要控制系统或设备，只允许必要的数据包通过，阻断对重要控制系统或设备的所有非法访问及控制。

640 - 2024-03-21T162056.044.png

双机热备部署：由两台防火墙构成双机热备系统，当主防火墙出现故障情况时，备用防火墙会及时发现并接管主防火墙进行工作。

640 - 2024-03-21T162149.044.png

博智工控防火墙特点

640 - 2024-03-21T162336.913.png

高安全性

采用了先进的系统构架和完善的抗攻击模块，能够自动适应网络状况，将恶意的攻击数据从数据流中分析出来并进行告警或阻断动作。可以实现对ICMP、UDP、TCP的Flood攻击的频度与阈值统计与告警，可以在第一时间发现Dos/DDos攻击并自动做出限流或阻断动作，提高网络安全性和可靠性。

基于角色的安全控制

提供基于状态检测技术的动态包过滤功能，同时提供用户策略规则，通过与安全策略规则配合，实现基于用户角色的安全控制。

安全数据流技术

提供物理安全通道特性。通过建立基于网络接口的安全通道控制，将物理网络接口与用户安全策略完全统一，对数据流的走向提供灵活、严格的控制。保证数据流严格按照已定义的网络接口功能在安全通道中进行处理与转发，基于网络接口的安全通道可以提高安全性和提高性能。

友好的图形化用户界面

通过鼠标的简单拖拽和点击就可以完成面向网络对象进行访问控制的配置，使复杂的网络设置和安全策略的制定变得简单易用。并且系统本身可以提供校验手段，当用户对防火墙中的参数进行定义时，系统会自动识别用户对参数概念理解的错误或输入错误，防止了因配置错误而造成的不安全隐患。

高级威胁检测与分析

具有入侵防御功能，可用于监测网络流量和识别潜在的入侵行为，并主动采取措施，阻止潜在的威胁。防火墙使用特征检测技术来识别已知的攻击模式和恶意行为，实时响应检测到的入侵尝试。同时记录所有的网络活动，对异常告警进行分析，有助于事后追溯入侵行为，以及评估网络的整体安全性。

可靠性

硬件防火墙采用低功耗、宽温、宽压电子元器件，多种模式的导散热方式，充分的减少产品的发热量，保证设备在各种恶劣环境下可以持续、稳定的运行；网口支持 Bypass 功能，根据系统运行状态开启，即当系统断电、关机及启动过程中自动开启；具备双机热备功能，当主防火墙出现故障情况时，备用防火墙会及时发现并接管主防火墙进行工作。

虚拟化部署

提供虚拟化部署解决方案。重点监控公有云或私有云上部署的工业互联网云平台与工业数据采集系统间的网络流量，基于多种典型工业控制协议深度解析和指令级访问控制，发现并阻断已知和未知的网络攻击行为，确保工业企业生产数据安全地上传至云端。