九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

防火墻的一些基本要素

   為了更好地理解DPI，首先要了解傳統(tǒng)的IT防火墻是如何工作的。防火墻只是一個監(jiān)測、控制網(wǎng)絡(luò)內(nèi)或網(wǎng)絡(luò)間通訊流量的設(shè)備。它先要捕捉流經(jīng)它的通訊，然后把這些通訊與預定義的一套規(guī)則（也就是所謂的訪問控制表ACL）進行對比。任何與ACL不匹配的信息都會被丟棄。

   傳統(tǒng)的IT防火墻允許ACL檢查一條信息的三個主要方面¹。

1.    發(fā)送信息的計算機的IP地址（即源IP），

2.    接收信息的計算機的IP地址（即目標IP），

3.    IP幀中“TCP目的端口號”所定義的上層協(xié)議。

   對于TCP目的端口號，需要進一步解釋的是這些端口不是物理端口，如以太網(wǎng)端口，而是嵌入在每個TCP或UDP信息中用來識別信息攜帶的應(yīng)用協(xié)議的特殊號碼。例如，Modbus/TCP使用502端口，HTTP使用80端口。這些號碼已在互聯(lián)網(wǎng)地址編號分配機構(gòu)（IANA）注冊，很少變更。

   結(jié)合起來看的話，假設(shè)你只允許IP地址為192.168.1.10的客戶端到IP地址為192.168.1.20的web服務(wù)器之間的web通訊（即HTTP通訊）。你可以寫這樣一條ACL規(guī)則：

“AllowSrc=192.168.1.10 Dst=192.168.1.20 Port=HTTP”

   然后將這一ACL裝載到防火墻中，任何信息只要滿足這三個條件就允許通過?；蛘呷绻阆胱柚顾械?/span>Modbus通訊通過防火墻的話，你只需在目的端口區(qū)域定義一條阻止所有包含502端口的數(shù)據(jù)包的規(guī)則就可以了?？雌饋砗芎唵危瑢?？

問題是：SCADA/ICS協(xié)議本身沒有細粒度控制

  這個簡單計劃的問題在于它的黑白分明。你要么允許某一協(xié)議，要么阻止它。協(xié)議的細粒度控制是不可能的。這一點很不好，原因在于SCADA/ICS協(xié)議本身并沒有細粒度控制。從端口號的角度看，數(shù)據(jù)讀取信息酷似固件升級信息。所以如果你允許從HMI到PLC的數(shù)據(jù)讀取信息通過傳統(tǒng)的防火墻，同時也就允許了編程信息通過防火墻。這是一個嚴重的安全問題。

解決方案：深度數(shù)據(jù)包檢測

  很明顯防火墻需要更深入地探究協(xié)議，確切地理解該協(xié)議主要用于什么。這正是深度數(shù)據(jù)包檢測的工作內(nèi)容。在應(yīng)用傳統(tǒng)的防火墻規(guī)則后，防火墻檢查信息內(nèi)容并應(yīng)用更詳細的規(guī)則。

   例如，多芬諾ModbusDPI防火墻（如霍尼韋爾的Modbus只讀防火墻）可以決定Modbus信息是讀信息還是寫信息，然后丟棄所有的寫信息。一個好的DPI防火墻也能針對非法格式的信息以及異常行為（如10,000個應(yīng)答信息都是響應(yīng)的單個請求信息）對通訊進行完整性檢查。這些異常信息都表明黑客創(chuàng)建的通訊正試圖破壞PLC，必需被阻止。

在SCADA安全中應(yīng)用DPI的案例

    SCADA/ICS通訊的細粒度控制可以顯著提高系統(tǒng)的安全性和可靠性。

例如某個航道管理公司的案例。該公司在其所有的控制水閘和橋梁處都使用施耐德PLC來確保船只和車輛交通的安全。確保這些PLC不被篡改對于保障船只以及在橋上行駛的公眾的安全是至關(guān)重要的.

   公司面臨的問題是一些操作計算機需要持續(xù)訪問PLC來獲取數(shù)據(jù)。但是，只有特殊的控制計算機才允許發(fā)送指令，影響設(shè)備的操作。傳統(tǒng)的密碼或IT防火墻解決方案并不安全，因為它們不能提供必要的細粒度控制。

   實際應(yīng)用的解決方案是使用多芬諾ModbusDPI防火墻³來控制所有到PLC的通訊。只允許Modbus讀信息到達PLC（除了少數(shù)高度安全的電腦外）。所有的遠程Modbus編程命令都被阻止，只有現(xiàn)場工程師才有編程權(quán)限。總共在24個位置安裝了54個多芬諾DPI防火墻，系統(tǒng)從2008年年底運行以來從未出現(xiàn)過故障。

是時候采用超越傳統(tǒng)防火墻的技術(shù)來保障SCADA的安全了

  通過簡單地阻止或允許網(wǎng)絡(luò)間的整個類別的協(xié)議已無法滿足現(xiàn)代SCADA/ICS操作。是時候考慮怎樣應(yīng)用DPI這樣的技術(shù)來使我們的系統(tǒng)更安全更可靠了。

1從技術(shù)上來講，典型的IT防火墻也可以檢查其他區(qū)域，但是這三個區(qū)域占據(jù)了99.9%的防火墻規(guī)則。

3使用的ModbusDPI防火墻由多芬諾TSA和ModbusTCP Enforcer firewall共同組成。