Skip to main content

借助灵活的防火墙,确保工业物联网安全

在 IT 领域,防火墙是最有效工具之一,用于保护敏感的网络。企业防火墙充当敏感的内部网络和互联网之间的“守护者”,通过应用预先定义的安全规则,预防未经授权的外部流量访问公司设备,同时保护内部设备上的数据不受外界干扰。传统的防火墙很好理解。IT 部门通常购买现成的防火墙设备,并将全局规则应用于企业网络中的所有设备。另一方面,工业物联网网络所需的防火墙要复杂得多。主要原因是他们所保护的设备类型。在 IT 领域中,网络上大多数系统都配备了一定级别基于设备的保护,例如防病毒 (AV) 软件,可阻止恶意代码的执行(即使恶意代码通过防火墙防御)。企业系统还运行操作系统 (OS),每当发现漏洞时都可以使用最新的软件补丁程序进行更新。因此,防火墙管理员能够实施基础级别的安全保护,仍然允许各种企业设备访问互联网。但许多工业设备运行的旧版操作系统 (OS) 不再支持安全补丁。即使采用较新的操作系统的工业设备也经常冻结软件,以确保平台的稳定性。另外,大多数工业系统受资源约束严重,无法运行本地 AV 技术。因此,工业网络防火墙为许多此类系统提供了完整的安全堆栈。由于安全要求因系统而异,因此工业防火墙通常专门用于单个生产设备或某件设备而非整个组织,并根据具体需求进行调整。它们由熟悉防火墙保护系统的操作工程师或服务技术人员进行部署和维护,支持的端口和 IP 地址远远少于企业级端口和 IP 地址。这些因素推动工业防火墙设备需要满足以下几项特别设计要求,包括:

  • 灵活,可满足多种系统的安全需求
  • 简单,方便熟悉工业系统的操作技术人员部署和维护防火墙
  • 耐用,能够承受恶劣环境(如工厂车间或大型机器内部)的影响
  • 可靠,在较长的工业生命周期内高效运行
  • 划算,可配置多个防火墙,用于保护工业网络上的所有设备

由于每个工业防火墙只保护少量设备,因此网络处理器无需提供尽可能高的数据吞吐量和计算性能。相反,支持工业防火墙设备的处理器应该具备成熟的技术和较广的市场采用率,同时还能解决上述问题。

基于英特尔凌动® 处理器的灵活型工业防火墙

英特尔凌动® 处理器 E3800 是一系列单核至四核的片上系统 (SoC),拥有在工业环境中部署的传统性能,并且具备大多数工业防火墙设备所需的性能。该处理器还包括一组支持高级安全功能的集成硬件加速器,如果使用得当,可以显著降低工业防火墙设备设计的复杂性。首先,英特尔® 高级加密标准新指令(英特尔® AES-NI)可在独立于主 CPU 内核运行的硬件模块中获得批量加密、解密和验证任务的性能提升。这是工业防火墙的一个关键功能,因为它补充了网络处理器的主要功能,同时还为其他任务腾出空间。工业防火墙设计人员可以利用英特尔 AES-NI 提供的额外处理器资源的一种方式是:通过英特尔® 虚拟化技术 (Intel® VT-x),允许多个虚拟机 (VM) 在相同的多核处理器上以接近本机的性能同时运行。同样重要的是,这些虚拟机之间保持安全的距离,为工业防火墙设计创造了多种可能。例如,在离散安全设备上虚拟机中运行的防火墙功能可以与其他服务分离,例如安全文件传输协议 (SFTP) 服务器允许传统工业系统无需额外硬件即可连接到互联网。另外,集成到现有某台机器中的工业防火墙可以将保护应用与控制功能分离,确保技术人员可以在不影响其他子系统的情况下维护一个子系统。这两种技术可以满足工业防火墙设备的灵活性和简单性要求,同时,英特尔凌动处理器 E3800 还可以承受恶劣的工业环境。SoC 具备在 -40°C 至 110°C 工作温度范围内运行的性能,3 瓦到 10 瓦的热设计功耗 (TDP) 降低了工业环境中导致可靠性问题风扇冷却需求。

灵活型工业防火墙解决方案框架

为了帮助开发可定制的工业防火墙,OEM 正在将基于 E3800 的解决方案推向市场,充分利用了上述诸多性能。例如,TQ-Group 的 MBox-V 是一种灵活、被动的冷却箱式 PC,可以作为桌面设备部署,或直接集成到安装 DIN 导轨的机柜中(图 1)。所有设备的内部电子设备都使用保形涂层,有助于抵御工厂车间常见的潮湿、气体、污垢和其他刺激物。

图 1. TQ-Group 的 MBox-V 支持灵活型工业防火墙。(资料来源:TQ-Group

默认情况下,MBox-V 包含两个千兆以太网端口,两个 USB 端口和两个 Mini DisplayPort 接口,采用 100 mm x 100 mm x 23 mm 的硬件套件。但系统是完全可配置的,并且可以通过内部的 Mini PCIe 扩展卡集成附加接口和功能。该系统还支持可选型可信平台模块 (TPM),从而提升安全性。从软件角度来看,MBox-V 可以预装基于 IP 表和 Linux 硬化版的标准工业防火墙堆栈。TQ-Group 进行的定期渗透测试可迅速发现堆栈中的任何漏洞,以便及时提供补丁。TQ 的堆栈产品也支持协议转换(FTP 到 SFTP)、网络接口、证书和密钥管理以及“隐形模式”操作(允许在白名单端口和 IP 地址之间建立通信路径)。审核和错误记录完成了功能设置。MBox-V 除了支持高级数据包过滤、入侵检测/预防和网关服务等附加功能之外,还可设计用于让用户上传自己定制的防火墙软件。TQ-Group 称,几家安全公司已经将 MBox-V 作为其工业防火墙设计的起点,软件方面会在其之上增加附加功能。

没有学习曲线的灵活性

所有类型的网络防火墙都有共同的目标:阻止敏感网络和设备上的恶意活动。但是工业网络及其连接的设备具有特别的安全需求,需要灵活、可靠、耐用的防火墙设备。像 MBox-V 这样的解决方案可以满足这些需求,并且工业工程师和 IT 人员都熟悉这种架构。这些小盒子是实施安全工业物联网网络的好方法,受学习曲线的影响非常小。

作者简介

Brandon is a long-time contributor to insight.tech going back to its days as Embedded Innovator, with more than a decade of high-tech journalism and media experience in previous roles as Editor-in-Chief of electronics engineering publication Embedded Computing Design, co-host of the Embedded Insiders podcast, and co-chair of live and virtual events such as Industrial IoT University at Sensors Expo and the IoT Device Security Conference. Brandon currently serves as marketing officer for electronic hardware standards organization, PICMG, where he helps evangelize the use of open standards-based technology. Brandon’s coverage focuses on artificial intelligence and machine learning, the Internet of Things, cybersecurity, embedded processors, edge computing, prototyping kits, and safety-critical systems, but extends to any topic of interest to the electronic design community. Drop him a line at techielew@gmail.com, DM him on Twitter @techielew, or connect with him on LinkedIn.

Profile Photo of Brandon Lewis