老王裤腰带上那串神秘钥匙，竟然是开防火墙的…

老王，就职于一家大型能源企业

在运维岗位，干了15年

老王有个习惯

喜欢在裤腰带上挂两大串钥匙

一大串是家里的，一大串是单位的

不过，最近老王的腰间

又多了一串“奇怪”的钥匙

形状和普通钥匙，有点不一样

不知道开啥的，充满了神秘感

单位有人问，开什么门的？

老王笑而不语

这串玩意越发显得神秘起来

终于有一天

答案在机房揭晓了

那天，老王刷卡刷脸进了机房

打开机柜门，拿出那个奇怪的钥匙

插进了机架上的一台设备里

老王轻轻转动了一下钥匙

然后回头对运维小李说

“行了，你现在可以下发策略了”

万万没想到

这钥匙是用来开防火墙的！！！

没错，一个带物理锁的防火墙

确切的讲

一个带物理锁的【工业防火墙】

有啥用呢，其实

这相当于是加了一层物理写保护

只要防火墙的策略配置完毕

这道物理锁“咔嚓”一锁

任何来自远程的修改都会被拒绝

不管是恶意的攻击还是善意的误操作

这个“物理级”写保护

解决了困扰客户很久的一个问题

黑客如果先黑了安管平台/SoC

然后再下发策略更改防火墙的配置

再牛的防火墙也会失效

如今“铁将军”把门，万无一失

真需要修改策略和远程下发时

老王小钥匙一拧，即可

完事儿，再锁上，得嘞！

真的要整这么复杂吗？

那得看这“墙”用在哪儿

工业防火墙，要保护的目标

往往都是影响国计民生的关键基础设施

怎么严苛都不为过！

“加锁”只是个微创新

工业防火墙的身板

还要经受各种考验

保证其扛住各种恶劣的工业环境

看到这里

搞传统防火墙的小伙伴表示不服

的确，很多人，包括我在内

内心里对工业防火墙都有点瞧不上

觉得这货除了“皮糙肉厚”，没啥技术含量

跟开放式的企业或互联网环境相比

工业环境实在太干净了，有些还物理隔离

设个白名单，只允许那几个应用通过

不就完全OJBK了？

这样的场景，让传统防火墙来干

简直就是降维打击，so easy

可是

当我真和老王这个大甲方聊过后

才发现：我去！隔行如隔山啊

传统IT系统vs工控系统

各方面都存在着巨大的差异

比如实时性、故障容忍度、生命周期

再比如工控系统不允许自动化更新打补丁

这些差异，对工控安全产品提出新要求

传统防火墙/IPS可以频繁更新协议特征库

而工控防火墙，却不能这么干

按照老王的说法

你看似简单的“白名单”

其实分了三重境界

第一重境界：访问控制白名单

这个呐，其实就是ACL

基于5元组来判定阻断还是放行

把防火墙整到生产环境跑一会儿

了解一下都有哪些流量来往

源/目的IP、端口、协议类型

统统登记在册，形成白名单

一般人觉得，工控环境没几种应用

以后就按这个规则执行就行

简单，粗暴，有效

可是，这个“有效”，要打个问号

因为，工控环境

并没有我们想的那么简单

第二重境界：工业协议白名单

对于普通防火墙来说

做个五元组白名单，没啥难度

尤其，到了NGFW满天飞的时代

让他们做个深度协议协议识别，也没问题

可是，真到了工控场景就会发现

曾经识别的几百上千种协议完全用不上

工控设备，完全不说“人话”

这些稀奇古怪的协议，把防火墙整懵逼

常见的几十种，偏门的上百种

都是通用场景碰不上的

而且，不是记住协议端口、协议号就完事

对于每种协议，都要深度识别

不仅要识别出工控协议类型

还要知道里面具体的指令含义

然后，形成协议白名单，精准管控

这样才稳妥

这就万无一失了吗

并没有，还有第三重

第三重境界：业务工艺白名单

五元组也好，协议管控也好

都只能算是一种静态控制

在此基础之上，还要引入工艺流程

比如在油气传输控制中

“关闭阀门”、“加压”

单独看这两个控制指令，都没毛病

可是，如果跟工艺流程结合起来

一边“加压”，一边“关阀门”

就可能是一组危险指令

所以

一份经得起考验的“白名单”

必须要跟生产场景的工艺流程融合起来

需要从业务角度

来判断指令的合理性

听老王balabala讲完

我也着实吃了一惊

原来小小一份“白名单”

竟然都有这么多学问

这时候，老王又开腔了

此时

老王再次晃起了那串钥匙

接着说道：

“要说这顶流工控墙

我用的这家就是

那带钥匙的墙是他家新款——”

这一说，我立马想起来了

原来是“威猛努力特持久”的

那就让我们来康康

威努特工控防火墙

是如何建立三重白名单的

在第➊重固化过程中

这部分由数据处理模块完成

形成主机访问路径表

进行五元组访问次数统计

最终得到访问控制规则表

这其中还包括正常访问次数阈值

比如某个控制指令频繁下发

那就有可能是违规或者威胁行为

（所以，第一重白名单也不简单）

在第➋重固化过程中

协议规则学习模块发挥作用

它在第1重基础上，解析工业协议

检查协议规约和功能码值域特征

最终，沉淀为“协议白名单”

威努特支持100+工业协议识别

30+工业协议深度识别

包括铁路RSSP、TRDP等偏门协议

对于一些特种行业

甲方不方便公开协议

威努特则提供协议解析引擎

供客户做二次开发，自定义规则

在第➌重固化过程中

威努特采用业务规则学习模块

引入业务工艺流程

对各种规则、协议进行关联分析

说白了，就是要揪出那些

看似合法却发生在错误时间/地点的动作

到了这一重，极考验厂商的项目经验

只有真正深扎工控场景，熟悉工艺

甚至得到工业老师傅的手把手真传

才能洞悉藏在合法协议里的非法动作

三重固化走下来

才有了一份值得信赖的白名单

实现从业务工艺的角度

对报文传输逻辑进行管控

这样的白名单，放眼国内工控安全圈

只有以威努特为代表的顶流才做得到

三重白名单，实际部署会不会很复杂？

威努特独创了启发式自学习

零值守、自判断、高效率

快、稳、准、狠地学成白名单

同时，在具体项目实战中

威努特采用阶梯式防护策略

最小化业务影响

Step1，学习模式：三重固化白名单

Step2，告警模式：白名单外只告警不拦截

Step3，防护模式：白名单外全拦截

学习→告警→防护，搞定！

如果后期业务逻辑发生变化

不换姿势，再来一遍

我们看看现网部署的盛况吧

每个白盒子

都是一台威努特工业防火墙

再来看看这些“墙”的内部构造

每块“砖头”都历经千锤百炼

它们深度耦合、严丝合缝

共同铸成工控环境的钢铁防线

作为工控“白环境”的开创者

威努特不断引领着国产工控墙的趋势

比如，业内首个物理写保护

这种“特殊”的保护，除了防恶意改写

也体现了威努特工控安全理念

工业现场业务一旦确定

安全防护策略也应该是确定的

与生产业务“共频”，不能随意更改

再比如全自主可控：基于飞腾+麒麟

配合可信根模块，支持国密算法

100%国产化工业防火墙已蓄势待发

最后，由于安全圈+工控圈的特殊性

具体的客户案例，就不能点名了

总之，那些“关基”扛把子工程

这只威猛努力特持久的“战狼”

都在默默守护、全力以赴！