工业控制系统应用与安全防护技术（微课版）课件 第6章 工业控制系统防火墙技术.pptx

工业控制系统应用与安全防护技术

第6章工业控制系统防火墙技术

6.1防火墙概述防火墙是由位于两个信任程度不同的网络之间的软件或与硬件设备组合而成的一种装置，集多种安全机制为一体，它是网络之间信息的唯一通道，能够对两个网络之间的通信进行控制。防火墙作为一个过滤器，阻止了不必要的网络流量，保证了受保护网络与其他网络之间的合法通信，限制了受保护网络与其他网络之间的非法通信。

6.1.1防火墙的定义国家标准《信息安全技术防火墙安全技术要求和测试评价方法》（GB/T20281-2020）给出的防火墙（Firewall）定义为：防火墙是对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。根据这个定义，防火墙具有以下4个基本特征：（1）部署位置上，防火墙是一个边界网关，设置在不同网络（如可信的企业内部网络和不可信的公共网络）或不同安全域之间，而且应当是不同网络或不同安全域之间信息的唯一出入口。（2）工作原理上，防火墙根据网络安全策略对流经的数据信息进行解析、过滤、限制等控制。（3）性能上，防火墙应具有较高的数据信息处理效率和较强的自身抗攻击能力。（4）功能上，防火墙主要在网络层、传输层和应用层控制出入网络的信息流，新型防火墙还能实现对更多应用层程序的访问控制、信息泄露防护、恶意代码防护及入侵防御等功能，保证受保护部分的安全。

6.1.2防火墙的主要技术指标防火墙的主要技术指标包括吞吐量、时延、并发连接数、丢包率等，以下分别进行说明。1）吞吐量（Throughput）网络中的数据是由一个个数据帧组成，防火墙对每个数据帧的处理都要耗费资源。吞吐量是指在通信过程中没有任何数据帧丢失，防火墙所能接收和转发数据帧的最大速率。2）时延（TimeDelay）网络的应用越来越普遍，当防火墙在网络中进行应用后，其对数据的处理会产生一定的时延，如果时延较大将对应用产生不良影响。3）并发连接数（ConcurrentConnections）并发连接数是衡量防火墙性能的—个重要指标，在IETFRFC2647中将该指标定义为一种最大的连接数，该连接通常建立在防火墙的主机之间，也可以是建立在防火墙和主机之间。4）丢包率（PacketLossRate）丢包率是指在正常稳定的网络状态下，数据包应该被转发，但由于缺少资源而没有被转发的数量占全部数据包数量的百分比。较低的丢包率，意味着防火墙在强大的负载压力下，能够稳定的工作，可以适应各种复杂网络应用和较大数据流量对处理性能的高要求。

6.1.3防火墙的分类1.按防火墙表现形态分类按照防火墙表现形态进行分类一般可以分为软件防火墙和硬件防火墙两类。2.按防火墙的应用部署位置分类按防火墙的应用部署位置分类包括边界防火墙、个人防火墙、混合防火墙。3.按防火墙通道带宽分类如果按防火墙的通道带宽，或者说是吞吐量来分类可以分为百兆级防火墙、千兆级防火墙和万兆级防火墙等。因为防火墙通常位于网络边界，所以十兆级带宽的防火墙一般不能够满足需求。当然通道带宽越宽，性能越高，这样的防火墙因为包过滤或应用代理所产生的延时会越小，对整个网络通信性能的影响也就越小。

6.1.4防火墙规则1.防火墙规则定义防火墙的规则可以由七元属性组成，这七元属性包括三部分：第一部分是规则号，即规则在防火墙规则集中的位置；第二部分是过滤域，过滤域包含协议类型、源IP、源端口、目的IP以及目的端口五元属性，防火墙规则根据数据包的这五元属性值进行匹配；第三部分是动作域，动作域是指当数据包与防火墙规则匹配成功后防火墙对数据包进行的操作，一般有允许通过（Accpet）和拒绝通过（Deny）两种。所以一条防火墙规则可以表示为：Rule=Order,Protocol,Sip,Sport,Dip,Dport,Action（6-1）

2.规则过滤域关系过滤域的五元属性的取值可以是某一个区间，所以规则的过滤域之间可能存在关联，一般来说，过滤域之间会存在四种关系：无关、相等、包含和交叉。用Fa表示第a条规则的过滤域，Fa[i]表示过滤域的第i个属性，i=1,2,3,4,5分别对应Protocol、Sip、Sport、Dip、Dport。

3.防火墙规则异常防火墙在对数据包进行匹配过滤时遵循找到第一条匹配成功的规则即终止匹配的原则，因此防火墙规则集对顺序是敏感的，数据包与不同的规则匹配存在先后关系，可能会导致前后规则之间存在异常，一般来说，防火墙规则之间的冲突可以分为以下四类：屏蔽异常、交叉异常、包含异常以及冗余异常。（1）屏蔽异常。对于规则Ra和Rb，如果ab，Fa包含Fb并且Ra[Action]≠Rb[Action]，则规则Ra和Rb之间存在屏蔽异常，Rb被Ra屏蔽。一般屏蔽异常是