工業網閘的系統架構及技術原理

作者：e-works李靜怡

摘要 ? ?

近年來，工業企業面臨的網絡安全威脅形勢日益嚴峻，尤其在工業環境中，工控主機遭到破壞的影響尤為深遠。工業網閘是專門為工業網絡應用設計的安全隔離設備，用于解決控制網絡如何安全接入信息網絡的問題以及控制網絡內部不同安全區域之間安全防護的問題。本文將介紹工業網閘技術的概念、特點、發展歷程、技術原理及功能，并分析對比工業網閘與工業防火墻之間的優劣。

引言 ? ?

近年來，勒索軟件成為OT環境中常見的攻擊手段，勒索病毒已成為工業互聯網安全最大的威脅之一，工業制造已成為最容易被勒索病毒攻擊的行業；同時，工業現場的網絡環境非常重要，對網絡干擾、惡意代碼和病毒滲入非常敏感，一旦遭到破壞、對生產環境可能造成巨大損害，甚至會造成災難性的事故。

工業網閘是專門為工業網絡應用設計的安全隔離設備，用于解決控制網絡如何安全接入信息網絡的問題以及控制網絡內部不同安全區域之間安全防護的問題。本文將介紹工業網閘技術的概念、特點、發展歷程、技術原理和功能，以及應用案例，并分析對比工業網閘與工業防火墻之間的優劣。

工業網閘為何物 ? ?

工業網閘的概念及特點

公安部第三研究所起草，全國信息安全標準化技術委員會歸口管理的《信息安全技術工業控制網絡安全隔離與信息交換系統安全技術要求》中提到了對工業網閘的定義：工業控制網絡安全隔離與信息交換系統部署于工業控制網絡中不同的安全域之間，采用協議隔離技術實現兩個安全域之間訪問控制、協議轉換、內容過濾和信息交換等功能的產品。

圖1工業網閘（圖源：英塞克鐵牛智能）

在工業控制系統層次結構模型中，工業網閘可部署于工業控制網絡邊界、生產管理層與過程監控層之間，能夠保護工業控制網絡、過程監控層網絡及現場控制層網絡。除了具備域間邊界隔離的功能，工業網閘還具備傳統網閘最基本的訪問控制和應用層過濾防護功能，并且支持如OPC、Modbus等主流工業控制協議的深度解析，能夠實現規約合法性檢查和深度功能碼、操作碼過濾等功能，從而能夠實現對工業網絡數據的安全傳輸。

圖2工業網閘控制網絡部署圖（圖源：安盟股份）

工業網閘的發展歷程 ? ?

網閘技術的誕生，可以追溯到上世紀90年代中期，最早出現在美國、以色列等國的軍方，用以解決涉密網絡與公共網絡連接時的安全問題。當時俄羅斯人Ry Jones提出了“空氣縫隙隔離（Air Gap）”的安全隔離概念。隨后，以色列研制成功物理隔離卡，實現網絡之間的安全隔離；美國和以色列又先后推出了e-Gap和NetGap產品，利用專有硬件實現兩個網絡在安全隔離的情況下進行數據安全交換。

工業網閘技術從第一代到第三代，經歷了從單刀雙擲開關到虛擬專用網絡（VPN）協議，再到工業協議深度解析的發展歷程?？偟膩碚f，工業網閘技術的發展歷程是從物理隔離向邏輯隔離發展，從解決基本的網絡協議攻擊向解決更復雜的工業協議攻擊發展。

第一代工業網閘基于單刀雙擲開關，通過內外網的處理單元分時存取共享存儲設備來完成數據交換。在Air Gap情況下實現數據交換，其安全原理是通過應用層數據提取與安全審查，達到杜絕基于協議層的攻擊和增強應用層安全的效果。但由于基于GAP技術的網閘使得內外網共用了存儲設備，因此不能夠滿足物理隔離的要求。

基于單刀雙擲開關的網閘技術雖然剝離了網絡特性，從而徹底解決了基于網絡協議的攻擊，但受到電子開關切換速度的限制，整體處理性能相對較低，帶來的后果是較低的吞吐量、較低的并發連接數和較大的交換延遲，容易成為網絡的瓶頸。同時，存儲設備因受到持續快速的通電與斷電的影響，導致壽命大大縮短，往往會因失效或損壞而使數據交換過程中斷。

隨著技術的發展，第二代工業網閘開始利用虛擬專用網絡（VPN）協議進行數據傳輸。VPN協議可以在公共網絡上建立加密通道，使得工業網閘可以實現對數據的加密和認證，進一步提高了數據傳輸的安全性。

第三代工業網閘則采用了工業協議深度解析技術。這種技術可以針對具體的工業協議進行深度解析，提取出協議中的關鍵信息，并進行安全審查和過濾。這使得工業網閘不僅能夠實現基于網絡協議的攻擊防護，還能夠對特定的工業協議進行深度防護。

圖3工業網閘發展歷程

工業網閘的技術原理 ? ?

工業網閘系統架構

網閘通用的系統架構為“2+1”系統架構，該架構是指采用雙主機架構，包括內端機、外端機和隔離控制單元。隔離控制單元采用專用的私有協議，用于內端處理單元和外端處理單元之間的通信，以提高工業控制網絡邊界的安全防護能力；內端機與外端機各自獨立，但通過隔離控制單元進行通信。

圖4網閘通用“2+1”系統架構（來源：知乎-邊界安全之二網閘）

工業網閘采用“2+1”結構，即2個主機和1個隔離板，數據純單向傳輸。隔離板為雙FPGA組成，數據傳輸使用基于SERDES（Serializer/Deserializer，串行化/解串行化）技術的高速串行通信，數據封裝使用自定義格式，傳輸速率取決于其所支持的接口與協議，以及硬件性能、所處理的數據量、協議處理效率；常見的以太網網閘傳輸速率有10Mbps、100Mbps、1000Mbps、10Gbps，串行通信網閘一般在幾十kbps至幾Mbps之間，其他類型網閘如Profinet、Modbus、CAN等專用協議網閘在數十kbps至數百kbps之間。

圖5工業網閘系統架構

工業網閘技術原理

工業網閘是一種重要的網絡安全設備，主要用于保護工業控制系統（ICS）免受網絡攻擊。它通過物理隔離和數據擺渡的機制，實現了內外網的安全隔離。

工業網閘的硬件部分包括兩個主要部分：接口機A和接口機B。接口機A連接外部網絡，而接口機B連接內部網絡。這兩臺接口機取消了所有系統自帶的網絡功能，例如ICMP協議、所有TCP協議以及OPC、Modbus等工業控制協議，從而使得內外網的用戶和網絡掃描工具無法感知工業網閘的存在。

在軟件層面，工業網閘通常配備一個客戶端，這個客戶端只能運行在特定的主機上，這些主機被稱為節點機。節點機通過預設的端口與工業網閘進行單向通信，從而實現內外網數據的交換。工業網閘的數據交換不使用TCP/IP協議，而是通過特定的硬件卡或者存儲設備建立一個數據交換區，這種方式提高了數據交換的安全性，可抵御如中間人攻擊等。

圖6工業網閘工作原理（來源：博客園-網閘）

工業網閘如何實現業務數據自動交換

工業網閘可以在物理層實現對內、外網的隔離和控制，防止網絡攻擊和信息泄露，其在保證業務通訊隔離的基礎上，實現了數據交換。工業網閘的設計重點不僅在隔離與交換的控制邏輯設計上，還包括業務代理的實現模式上。通過工業網閘實現業務數據自動交換的原理模型如下：

圖7工業網閘實現業務數據自動交換原理模型（來源：簡書-004網閘【產品】）

在內網和外網之間，內網接口單元和外網接口單元分別作為數據交換的門戶，它們之間的文件或者數據傳輸通常需要通過文件交換緩沖區來完成，以優化傳輸效率。同時，隔離與交換控制單元作為安全監控點，確保數據交換的安全性和合規性。在內網側，數據經過處理和審核后，通過內網接口單元進入內網，在內網內部經過必要的處理后，再通過內網交換文件緩沖區傳輸至相應的內網資源或用戶；外網同理。

工業網閘的基本特性

網閘設備的基本特性主要包括無完整網絡連接，單向傳輸，數據格式認證三個方面，工業網閘也不例外。正是具備以上特性，網閘才可以杜絕兩端網絡建立任何TCP/IP網絡連接，保證物理隔離的同時，還能達到傳輸特定數據的目的。

無完整網絡連接是指通過網閘的擺渡控制，讓數據交換區與內外網在任意時刻不能同時連接，該設計中斷了內外網的直接連接，使得內外網達到物理隔離效果。一般的網絡應用包括病毒，木馬等都無法經過網閘建立所需的網絡連接。

單向傳輸是指網閘硬件與軟件之間采用特定的私有協議，保證與預設方向相反的方向無法傳輸數據，HTTP，FTP，SMTP等協議均無法通過。如果內外網需要數據交互，一般需要部署正向反向兩套網閘，采用不同的策略，通過內外網不同的節點機分別執行數據發送。

數據格式認證是指不支持協議解析，不透傳業務應用，只對認證后的特定文件格式的數據文件進行擺渡，從而確保數據的安全和完整性，防止惡意代碼和攻擊者入侵，保護內部網絡資源；該特性有助于提高企業網絡的安全性和穩定性，降低安全風險。

工業網閘的功能 ? ?

工業網閘主要用于實現工業控制系統與其他網絡（如辦公網絡、互聯網等）之間的安全隔離和數據交換，它可以實現內外部網絡的安全隔離，確保工業控制系統的穩定運行，同時滿足生產過程中對數據交換的需求。其功能主要有以下八點：

物理隔離：工業網閘通過物理連接實現工業控制系統與其他網絡的隔離，確保工業控制系統的安全性。

數據交換：工業網閘能夠在隔離的網絡之間進行數據交換，實現信息的傳輸。例如，辦公網絡需要與工業控制網絡交換數據時，可以通過工業網閘進行安全的數據傳輸。

協議解析：工業網閘能夠解析不同網絡之間的協議，如工業控制系統的Modbus、Profinet等協議，以及辦公網絡的HTTP、SMTP等協議。

負載均衡：工業網閘可以實現網絡負載的均衡，確保工業控制系統不會因為外部網絡的沖擊而受到影響。

冗余備份：工業網閘支持冗余備份，當一臺網閘出現故障時，另一臺網閘可以立即接管其工作，確保系統的連續穩定運行。

集成管理：工業網閘可以與其他安全設備（如防火墻、入侵檢測系統等）進行集成管理，方便用戶對整個工業控制系統進行統一的安全管控。

圖8工業網閘的功能

工業網閘與工業防火墻對比 ? ?

什么是工業防火墻

傳統的防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，是一種獲取安全性方法的形象說法。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻可以看作是一個位于計算機與所連接網絡之間的軟件或硬件，計算機流入流出的所有網絡通信和數據包均需經過防火墻。

相較于傳統的防火墻，除了具備安全防護功能外，工業防火墻還內置了針對工控協議的解析與過濾的模塊，該模塊能夠識別和提取數據包的特征集，利用智能算法和機器學習技術，如支持向量機等功能，通過白名單機制來阻止異常指令和攔截非工控協議，從而為工控網絡提供了更為精準和深入的安全保護，確保了工業操作的穩定性和安全性。

與工業防火墻對比

工業網閘和工業防火墻在保護工業控制網絡方面都有重要作用，但它們在安全防護層次、工作原理和應用場景上存在一些區別。

在安全防護層次上，工業網閘應用于工控網絡與信息網絡之間的邊界，主要是為了隔離和控制兩個網絡之間的數據流，確保工業控制系統的安全運行。而工業防火墻通常部署在工控網絡與企業網絡之間的邊界，或者是工控網絡內部的關鍵節點上，以監控和控制進出工控網絡的數據流。

在工作原理上，工業網閘主要利用物理隔離和專用硬件控制實現兩個網絡之間的安全數據交換，它通常在兩個獨立主機系統之間建立物理隔離，確保內外網之間不存在通信的物理連接、邏輯連接、信息傳輸命令和信息傳輸。工業防火墻則通過檢測和過濾工業協議中的惡意指令，實現對工業控制系統的保護，它可以識別和阻止惡意流量，從而保護工業控制系統免受網絡攻擊。

在應用場景方面，工業網閘主要應用于工業生產控制系統與信息系統之間的安全數據采集和物理隔離。它可以確保工業控制系統在各個層面的安全，適用于對工業控制系統安全要求極高的場景，如關鍵基礎設施、核設施等。而工業防火墻可以有效防止網絡攻擊和數據泄露，適用于對工業控制系統安全要求較高的場景，如石油、化工、電力等。

表1工業防火墻與工業網閘對比

結語 ? ?

工業網閘作為一種不同安全域之間的安全隔離產品，在工業領域備受關注，應用范圍廣，前景非常廣闊。本文簡單介紹了工業網閘的概念、發展歷程、技術原理和功能等，幫助讀者更加清楚的了解什么是工業網閘。隨著信息安全的快速發展，虛擬化技術的普及，新一代的網閘將向虛擬化和軟件化方向發展；同時，為保障網閘自身絕對安全、自主可控，新一代網閘還應從芯片、操作系統、應用組件等各方面實現全國產化的自主設計和采取零信任的訪問模式，從而實現向全國產化方向發展的目標。

審核編輯：黃飛

閱讀全文