网关安全设置/网关安全吗-新手网络安全自学

网关安全设置/网关安全吗-新手网络安全自学

360 网神工业控制安全网关系统产品白皮书© 2019 360 企业安全集团 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明 外，所有版权均属 360 企业安全集团所有，受到有关产权及版权法保护。任何个人、机构 未经360 企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。360 网神工业控制安全网关系统产品白皮书 目 录 | 一. 引言 11.1 概述 11.2 传统防火墙不适用工业环境 1 二. 360 网神工业控制安全网关系统 22.1 产品概述 22.2 产品架构 32.3 主要功能 42.3.1 符合工控网络特点的三段式工作模式 42.3.2 四重白名单的一体化纵深防护 42.3.3 基于精准工控协议指令级控制的白名单 52.3.4 基于工控服务的一体化安全策略配置 52.3.5 基于应用层的综合攻击防护功能 52.3.6 完善的工控网络数据防泄漏 62.3.7 采用全新先进的多维动态特征异常检测引擎 62.3.8 全方位风险信息展示及分析、审计 62.3.9 管理员权限三权分立 62.3.10高性能高可靠的软硬件一体化架构 72.4 产品优势 72.4.1 专有硬件适用工业环境 72.4.2 工控协议深度解析 82.4.3 IT、OT 一体化防护 82.5 典型部署 8 三. 客户价值 93.1 边界隔离防御，提升工业网络稳定性 93.2 满足政策合规要求，降低安全责任风险 93.3 集中式的统一运维，降低运维成本，提升运维效率 10360 网神工业控制安全网关系统产品白皮书 一.引言 1.1 概述随着工业信息化的快速发展，工业化与信息化的融合趋势越来越明显，工业控制系统也 在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。

未来为了提 高生产效率和效益，工控网络会越来越开放，而开放带来的安全问题将成为制约两化融合以 及工业4.0发展的重要因素。传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对 安全的需求了，广大的工业控制系统用户迫切需要解决如下问题： 防止非法的对工控系统的指令操作； 防止非法身份的用户对工控系统的访问； 防止非法时间段对工控系统的操作； 防止非法协议进入工控系统等；目前，工业控制系统受到了越来越多的安全威胁，其中既有来自敌对政府、恐怖组织、 商业间谍、内部不法人员、外部非法入侵者等的攻击与破坏，也有由于系统复杂性、人为事 故、操作失误、设备故障和自然灾害等造成的工业控制系统损害。电力、能源、交通等国家 关键基础所依赖的工业控制网络系统的安全是国家经济稳定运行的关键，受到攻击的后果极 其严重，因此工业控制网络信息安全问题急需解决。 1.2 传统防火墙不适用工业环境目前市场上的安全产品主要是针对传统IT安全的，对工控协议无法识别，而少数工控安 全产品厂家提供的通用防火墙产品有如下不足： 基于传统IT架构硬件平台，在功耗、可靠性、稳定性、实时性等方面满足不了工控系统要求； @2018 360 企业安全集团-1-密级：完全公开360 网神工业控制安全网关系统产品白皮书 无法对工控网络流量进行七层深度解析，因此无法发现针对工控协的攻击和破坏行为； 开启工控协议识别及病毒扫描的性能下降严重； 无法实现对工控网络流量的精细化管控和审计； 无法实现对工控网络中IT流量进行识别和攻击防护； 无法实现对工控网络中核心数据及文件进行隐私防护； 无法实现对工控网络中安全风险进行全方位展示； 二.360 网神工业控制安全网关系统 2.1 产品概述360网神工业控制安全网关系统 （简称：360工业安全网关）是360企业安全公司全新推出 的工业防火墙系列产品，其基于业界领先的软、硬件体系架构，硬件层面上，具有全封闭、 无风扇、多电源冗余等特点，确保达到工业级可靠性和稳定性要求。

软件层面上，具备完全 自主知识产权的智能工控安全操作系统（即： 简称：IICS-OS）并结合工业特性的协议深度解析引擎，其工控协议深度 包解析技术不仅对二层三层网络协议进行解析，更进一步解析到工控网络包的应用层，对OPC、 、、、S7、、DNP3、EIP、FINS等主流工控协议进行深度分析， 防止应用层协议被篡改或破坏，全面提升了360工业安全网关的协同防御能力、数据生成能力、 数据分析能力、数据处置能力。360工业安全网关，用于企业网络层和生产管理层、生产管理层和过程监控层、过程监控 层和现场控制层的边界。利用360工业安全网关可以建立可信任的数采通信及工控网络区域间 通信的模型，采用结合智能学习的白名单的安全策略，过滤一切非法访问，保证只有可信任 的设备可以接入工控网络，只有可信任的流量可以在网络上传输。为企业网络层（L4）与生 产管理层（L3）的连接、过程监控层（L2）和现场控制层（L1）内部各区域的连接提供安全 保障。

在电力、石油、石化、煤炭、烟草、钢铁、轨交及工业制造等多行业得到广泛应用。 @2018 360 企业安全集团-2-密级：完全公开360 网神工业控制安全网关系统产品白皮书360工业安全网关提供工控协议深度解析、工控指令访问控制、攻击防护、日志审计等综 合安全功能。360工业安全网关采用了高性能、高稳定性的硬件架构，为用户提供高效、稳定、 可靠的安全保障。 2.2 产品架构360工业安全网关采用专用硬件平台，无风扇设计，可以有效降低硬件漏洞，增加安全性， 提高稳定性、可靠性。具备完全自主知识产权的新一代智能安全操作系统IICS-OS操作系统，在高安全性、高开 放性、高扩展性和高可移植性基础之上，结合工业特性的协议深度解析引擎重点加强了工业 安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力，让工业安全网关 具备深度解析、智能学习、异常处理、风险信息全方位展示分析及审计的能力，弥补了传统 防火墙重配置轻管理的缺点，并能提供多维度的有效信息帮助用户完成日常维护工作。同时，360工业安全网关集设备智能调度、工控协议解析、内容检测审计于一体，极大提 高了底层硬件的安全性、工控协议解析处理速度。

FW工控协议管控白名单日志审计攻击防护系统管理IP/MAC 绑定IICS-OS （智能调度、工控协议解析、内容检测）驱动适配层专用工控硬件平台图1. 360 工业安全网关架构图 @2018 360 企业安全集团-3-密级：完全公开360 网神工业控制安全网关系统产品白皮书 2.3 主要功能 2.3.1 符合工控网络特点的三段式工作模式在工控网络中可用性被公认为首位，其次是完整性和保密性。工控系统的可用性如果被 破坏，将带来比传统IT 网络中断更加严重的后果。360 工业安全网关设计了三段式工作模式来保护工控网络的可用性。它们是学习模式、 告警模式和正常模式。三种模式分阶段完成工控网络信息安全保障。学习模式应用于工控网 络信息安全规划阶段。信息安全规划机构不了解工控网络情况，通过学习模式对工控网络中 的协议和流量行为进行被动式发现。在学习模式下针对发现的策略无防护操作，所有网络流 量行为均不会被阻断。告警模式应用于工控网络信息安全预上线阶段。信息安全规划机构根 据掌握的工控网络情况完成了工业安全网关安全策略规划，通过告警模式来进行防护效果的 测试和验证。在告警模式下不符合安全策略的数据流会产生告警日志，但防护操作不会生效， 所有流量不会被阻断。

正常模式应用于工控网络信息安全运行阶段。安全策略正式生效，对 非策略定义行为进行阻断，并记录日志和进行告警。 2.3.2 四重白名单的一体化纵深防护360工业防火墙采用四重白名单的一体化纵深防护机制。其第一重防护基于五元组的网络 层白名单防护；第二重防护基于应用特征的应用层白名单防护；第三重基于特定工业协议指 令的白名单防护；第四重基于特定工业协议数据区的白名单防护。其中前两重防护与IT下一 代防火墙相同，后两重防护是针对工业协议特有的白名单访问控制。图2. 四重白名单一体化防护 @2018 360 企业安全集团-4-密级：完全公开360 网神工业控制安全网关系统产品白皮书 2.3.3 基于精准工控协议指令级控制的白名单360工业安全网关搭载了360企业安全自研的深度数据包解析引擎，可对工控协议做到实 时和精准的识别，为解决针对工控网络的安全问题提供了技术基础保障，其全面支持各大主 流工业控制协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。对不同行业 的工控系统，可以采取相应针对性的数据包探测机制和解析策略。在遵循工业控制系统可用 性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息，如恶意软 件、具体数据和应用程序类型，并结合白名单对不符合规则的流量进行过滤。

解析引擎执行 时能够满足工业控制系统在生产和制造过程中的通信效率保障和冗余机制等要求。深度数据 包解析引擎支持涵盖OPC、、、、S7、、DNP3、EIP、FINS等 主流工控协议，可以对OPC等工控协议做到指令级控制，如：OPC协议只读。 2.3.4 基于工控服务的一体化安全策略配置安全策略功能是工业安全网关的核心功能，提供基于状态检测、基于应用层之上数据识 别的动态包过滤技术。360工业安全网关内预定义多种工控服务，通过源安全域、目的安全域、 源地址、目的地址、地理位置、服务、应用等维度对数据进行识别，将用户需要进行过滤及 控制的数据流分离，并对相应的数据实现安全漏洞防护、防间谍软件、行为管控的一体化策 略配置。 2.3.5 基于应用层的综合攻击防护功能360工业安全网关的攻击防护模块通过基于安全域的Flood防护和扫描欺骗防护、IP地址 扫描攻击、端口扫描以及异常包攻击、应用层攻击、IP安全域关联等防护手段，将包括SYN Flood、 ICMP Flood、UDP Food、IP Food、 ping of death、、IP选项、TCP异常、Smurf、 、Land、等常见的攻击行为检测集成在模块中，使得用户通过启用并配置攻 击防护模块，可以有效的过滤并采取相应的措施阻止非正常报文流入工控网络，并对HTTP、 DNS、DHCP等协议提供应用层防护。

另一方面，针对局域网多播广播、IP地址欺骗等也提供了 专门的防护。 @2018 360 企业安全集团-5-密级：完全公开360 网神工业控制安全网关系统产品白皮书由于常见的攻击方式掺杂了大量的组合式洪攻击，攻击者实际上是在消耗被攻击者的性 能资源，因此360工业安全网关强大的性能支撑，也保证了在大量攻击消耗工业安全网关性能 的时候不会成为的瓶颈，给予了攻击防护模块和其他模块坚实的性能基础。 2.3.6 完善的工控网络数据防泄漏360工业安全网关具有工控网络数据文件防泄漏功能，文件过滤支持针对HTTP、SMTP、POP3、 IMAP、FTP协议传输的文件进行过滤，主要包含3大类：文档类、压缩类、归档类；针对工控 网络中核心工艺参数以及文件传输进行安全过滤和安全审计，保护用户隐私。同时可以针对 HTTP、SMTP、POP3、IMAP、FTP、进行行为管控，对于相关命令以及文件上传、下载操 作行为进行安全管控和安全审计，保障工控网络内用户核心数据和文件安全，防止数据泄露。 2.3.7 采用全新先进的多维动态特征异常检测引擎360工业安全网关采用全新先进的多维动态特征异常检测引擎，抛弃原有的传统防火墙异 常行为特征码静态表达的方式，将工控异常行为、恶意行为特征码通过多维度提炼，动态进 行表达，使得特征表达更加全面、精准、有效，极大提高了工业安全网关入侵防御的命中质 量，解决了传统设备检测命中率高，但是误报率同样高的问题。

2.3.8 全方位风险信息展示及分析、审计360工业安全网关为用户提供了全面的实时的风险信息展示，着重突出流量信息、威胁事 件、接口流量以及工控网络中应用信息，工业安全网关可以对威胁、应用、会话、网络的全 方位监控与分析、日志审计，确认异常行为是否具有风险。 2.3.9 管理员权限三权分立360工业安全网关针对管理员的角色建立三权分立的管理员帐号机制，将超级用户特权集 进行划分,分别授予配置管理员、安全管理员和审计管理员。实现配置管理、安全管理和审计 管理功能的同时,也保证管理员权限的隔离。防止因为管理员权限过大所引起的安全风险，也 @2018 360 企业安全集团-6-密级：完全公开360 网神工业控制安全网关系统产品白皮书 保证已经配置完成的访问控制策略不会出现未授权的修改，及出现未授权修改时可以保留相 关审计信息。 2.3.10 高性能高可靠的软硬件一体化架构工控系统对实时性要求异常苛刻，工业安全网关具备先进的硬件设计，采用专用硬件平 台，为低延时、高吞吐的数据处理提供了坚实的基础保障。其中深度数据包解析引擎在实现 稳定可靠的数据包深度解析的同时，可以做到低延迟，保证了工控系统的实时性要求。

360工业安全网关集成硬件加密引擎，为监控层系统和控制层系统的数据加密传输提供了 高性能的保证。另外，通过对工业安全网关和后台管理系统之间的所有数据交换进行加密， 确保了整个系统的安全性和可靠性。同时硬件物料精心选型，采用业内领先的硬件架构设计， 极具工业环境的特点： 全封闭无风扇设计，标准工业导轨和标准机架两种安装方式 适应在各类工业环境下运行，支持宽温差和高湿差 内部采用纯电子部件设计，高稳定性 支持多电源冗余 支持硬件故障自动旁路转换（）功能，一旦设备故障，设备自动离线，正常业务流量不会中断，切换速度达到工业级要求； 拥有强大的网络数据处理能力 2.4 产品优势 2.4.1 专有硬件适用工业环境充分考虑工业环境的特点，支持导轨式和机架式安装，宽温、无风扇设计。支持硬件和冗余电源设计，保障生产连续性。 @2018 360 企业安全集团-7-密级：完全公开360 网神工业控制安全网关系统产品白皮书 2.4.2 工控协议深度解析精准的工控协议指令级控制，深度数据包解析引擎，对工控协议做到实时和精准的识别， 支持OPC、、、、S7、、DNP3、EIP、FINS等主流工控协议。

在遵循工业控制系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和 可用匹配信息，如恶意软件、具体数据和应用程序类型。 2.4.3 IT、OT 一体化防护针对工控网络中IT、OT流量进行全方位安全防护，通过应用识别、深度数据包解析以及 一体化安全策略进行安全过滤，结合白名单、入侵防御、病毒检测等技术进行安全威胁检测 和防护，保障工控网络安全。 2.5 典型部署图3 360 工业安全网关典型部署 @2018 360 企业安全集团-8-密级：完全公开360 网神工业控制安全网关系统产品白皮书360 工业安全网关可以部署在企业网络层（L4）与生产管理

~

网络安全学习，我们一起交流

~