老王,就职于一家大型能源企业
在运维岗位,干了15年
老王有个习惯
喜欢在裤腰带上挂两大串钥匙
一大串是家里的,一大串是单位的
文章插图
不过,最近老王的腰间
又多了一串“奇怪”的钥匙
形状和普通钥匙,有点不一样
不知道开啥的,充满了神秘感
文章插图
单位有人问,开什么门的?
老王笑而不语
这串玩意越发显得神秘起来
文章插图
终于有一天
答案在机房揭晓了
↓
那天,老王刷卡刷脸进了机房
打开机柜门,拿出那个奇怪的钥匙
*** 了机架上的一台设备里
文章插图
老王轻轻转动了一下钥匙
然后回头对运维小李说
“行了,你现在可以下发策略了”
文章插图
万万没想到
这钥匙是用来开防火墙的!!!
没错,一个带物理锁的防火墙
确切的讲
一个带物理锁的【工业防火墙】
文章插图
有啥用呢,其实
这相当于是加了一层物理写保护
只要防火墙的策略配置完毕
这道物理锁“咔嚓”一锁
任何来自***的修改都会被拒绝
不管是恶意的攻击还是善意的误操作
文章插图
这个“物理级”写保护
解决了困扰客户很久的一个问题
↓
***如果先黑了安管平台/SoC
然后再下发策略更改防火墙的配置
再牛的防火墙也会失效
如今“铁将军”把门,万无一失
真需要修改策略和***下发时
老王小钥匙一拧,即可
完事儿,再锁上,得嘞!
文章插图
真的要整这么复杂吗?
那得看这“墙”用在哪儿
工业防火墙,要保护的目标
往往都是影响国计民生的关键基础设施
怎么严苛都不为过!
↓
文章插图
“加锁”只是个微创新
工业防火墙的身板
还要经受各种考验
保证其扛住各种恶劣的工业环境
看到这里
搞传统防火墙的小伙伴表示不服
文章插图
的确,很多人,包括我在内
内心里对工业防火墙都有点瞧不上
觉得这货除了“皮糙肉厚”,没啥技术含量
↓
跟***式的企业或互联网环境相比
工业环境实在太干净了,有些还物理隔离
设个白名单,只允许那几个应用通过
不就完全OJBK了?
文章插图
这样的场景,让传统防火墙来干
简直就是降维打击,so easy
可是
当我真和老王这个大甲方聊过后
才发现:我去!隔行如隔山啊
传统IT系统vs工控系统
各方面都存在着巨大的差异
比如实时性、故障容忍度、生命周期
再比如工控系统不允许自动化更新打补丁
文章插图
……
这些差异,对工控安全产品提出新要求
传统防火墙/IPS可以频繁更新协议特征库
而工控防火墙,却不能这么干
按照老王的说法
↓
你看似简单的“白名单”
其实分了三重境界
文章插图
之一重境界:访问控制白名单
这个呐,其实就是ACL
基于5元组来判定阻断还是放行
文章插图
把防火墙整到生产环境跑一会儿
了解一下都有哪些流量来往
源/目的IP、端口、协议类型
统统***在册,形成白名单
文章插图
一般人觉得,工控环境没几种应用
以后就按这个规则执行就行
简单,粗暴,有效
可是,这个“有效”,要打个问号
推荐阅读
![教你如何使用迅雷离线下载[新发布]](http://img.zhejianglong.com/220413/032F04306-0-lp.jpg)
- 刘涛还珠格格演的谁 刘涛还珠格格
- 用猝不及防造句 猝不及防造句
- 手机电池的鼓包预防方法 手机电池鼓包是什么原因造成的
- 毛里塔尼亚是个什么样的国家 毛里塔尼亚是哪个国家
- 消防设备电源监控系统 消防设备
- 合肥南站 ****** 热线 合肥南站
- 轻便安全帽 安全帽的防护作用
- 启初防晒是物理还是化学 七厨房
- 游泳的水温最适宜的是多少度防抽筋 游泳适合多少度的水温
- 雾霾形成的主要原因是什么防治雾霾产生的措施有哪些 雾霾形成的主要原因是什么