图1. 防火墙的基本概念

但还有更多问题：防火墙如何工作？如何配置以及存储在哪里？为了得到这些以及更多问题的答案，我向OnLogic 的朋友们请教，得到了以下见解。

一、工业网络与家庭/ 办公室网络的防火墙之间有区别吗？

无论是在何种环境下，TCP/IP 或其他网络数据包的格式都是相同的。然而，每种环境无疑都有其自身的需求。

家庭网络通常只需要电缆/ DSL / 光纤路由器中自带的防火墙就够了，这类防火墙通常有默认规则，大致意思是：“允许我的手机通过家庭无线网络连接互联网，并接收回复和相关流量，但不允许互联网上的陌生人主动连接我的智能电视。”

同时，中小型办公室可能会有一个单独的防火墙设备，它会阻挡意外流量，同时仍允许员工连接到文件服务器、打印机和其他公司服务。

一家在全球拥有多个办公室、生产基地和数据中心设施的跨国公司，可能会有更高级的分段和站点间虚拟专用网络（VPN），并同时托管公共和私人网站。为了满足这些需求，必须配置多个防火墙来过滤掉不需要的流量，同时仍允许所有必要的交互进行。在此过程中，还会同时记录来自入侵检测系统的网络事件，用于审计和分析，以及实现其他高级功能。上述这些例子中所选择的防火墙很可能（也应该）是大不相同的。

二、防火墙究竟是如何阻止访问网络的？

从最基本的层面来说，防火墙是一种限制网络流量的设备或软件应用程序。过滤方式取决于防火墙的类型。

传统的网络防火墙会检查单个数据包的源IP 地址、目标 IP 地址以及 TCP 或 UDP 端口号，然后参照预先定义的配置来决定是否允许该流量通过。

更复杂的状态防火墙不会孤立地看待每个数据包，而是会将数据包放在网络会话的背景下考虑，通过查看其前后的数据包来判断该流量是否是预期且可接受的。

更复杂的防火墙可能会实际检查数据包本身的应用层逻辑。例如，Web 应用防火墙（通常称为 WAF）会检查 HTTP 流量中是否存在已知的攻击模式或请求正文中的异常数据。在仅通过 IP 地址或端口进行过滤不足以在允许必要访问的同时将风险降低到可接受水平的情况下，这种类型的防火墙会非常强大且有效。

还有一种类似但略有不同的技术是入侵检测系统（IDS）或入侵防御系统（IPS）。与防火墙类似，IDS/IPS 会检查网络流量、系统日志和其他可用数据。IDS/IPS 采用各种启发式方法或 “学习” 算法来判断流量是否具有潜在威胁，然后要么向安全团队发出警报，要么自行采取直接行动（这就是检测和防御之间的区别）。与防火墙有一套严格的允许和阻止规则不同，IDS/IPS 通常依赖不断更新的策略。就像更新杀毒软件一样，IDS/IPS 的规则集也应该定期更新，以应对新出现的威胁模式。

三、他们是否是双向的？也就是说，它们能同时阻止进出网络的未授权流量吗？

是的！防火墙可以配置为检查入站流量、出站流量，或者两者都检查。虽然传统上人们认为防火墙是用来阻止对网络或设备的访问的，但在现代威胁环境中，出站过滤即使不是更重要，也同样至关重要。

工业网络上的设备往往比多用途用户网络上的设备有着更严格定义的网络流量。这种情况下，通过实施严格的出站防火墙规则，可显著提高安全性。试想一下，如果一个设备因供应链攻击而被植入了恶意软件（比如恶意软件通过更新程序注入），如果该设备所在的网络有严格的出站过滤，它可能就无法联系到其命令和控制服务器，这会大大降低在被发现和修复之前，它被用来进行更大范围攻击的可能性。

四、防火墙“存在” 于哪里？是在控制器、交换机、网关还是工业个人计算机（IPC）中？

一些工业控制器（例如PLC）可能开始融入安全功能，但目前大多数并没有内置这样的防火墙和过滤功能，而是更注重安全性和性能。

网络交换机可能具有一些防火墙功能，或者说“访问控制列表”，这取决于交换机及其开放系统互连（OSI）模型功能。作为网关或路由器运行的设备通常会具有防火墙功能，甚至充当主防火墙本身。

较简单的控制系统架构可能会有一个供不同功能共享的隔离网络，这根本不需要内部网络防火墙。但更多情况下，当这样的分段网络与其他网络连接时，防火墙就很可能会派上用场了。话虽如此，一些更复杂的控制系统架构会在不同功能之间设置防火墙，例如在操作员界面和控制器之间，以防止某些形式的操作员失误或界面误用。它们的存在也可能只是为了保护控制器网络接口不必与意外的网络数据包进行交互，从而使其性能专注于其预定任务。

图2. 像此示例这样的隔离网络可能不需要内部防火墙，除非是为了防止设备之间的流量过大，而不是为了安全。

当工业网络segment 与其他网络（如员工电子邮件或其他服务）或架构中的另一个 segment 物理连接时，这些网络之间的网关通常会是一个防火墙，或者是一个执行防火墙功能的路由器。

五、防火墙是下载安装的软件，控制器的最终用户可以选择特定的防火墙软件，还是由制造商安装的？

防火墙有多种类型，既有面向终端用户的软件，也有操作系统级别的软件，还有专门为优化网络数据包检查而设计的工业计算设备。

运行微软Windows 系统的个人计算机都有内置的软件防火墙，企业网络可能会使用Cisco、Palo Alto、Fortinet等公司的设备来保护公司环境。开源软件包集合也可用于简单到复杂网络环境的防火墙。

在工业环境中，有很多选择可供使用。例如，包含PLC和HMI的网络可以完全进行物理分段，在这种情况下，其他计算设备即使物理上位于附近，如果不物理接入另一根电缆，也无法向自动化设备发送任何流量，而这类接入通常是受到严格管控的。同样的环境也可以连接到具有 “默认拒绝” 规则的网络防火墙设备，只设置少数 “允许” 规则，让某些特权设备可以调整自动化控制器的配置，无论是本地调整还是通过VPN远程。

六、最终用户对设置有多少控制权，这些设置需要随着时间的推移进行更新吗？

虽然许多防火墙都试图做到尽可能用户友好，将复杂设置隐藏在简单的用户界面背后，但也有一些防火墙允许用户完全控制网络数据包检查，甚至可以精确到检查网络数据包中特定比特位是0 还是 1。

通常，对于复杂程度较高的网络，具有状态检测功能（能检测源/目标IP 以及源 / 目标 TCP 或 UDP 端口）的防火墙就足够了。

在设备和网络拓扑很少变化的环境中，防火墙规则的修改可能在很长一段时间内都不需要进行。但在某些情况下，例如引入新设备或新工程师时，可能需要对防火墙配置进行微小调整，以确保必要的访问权限。其他环境的变化可能更频繁，比如经常引入新服务、人员变动或开设新站点，这就需要更频繁地调整防火墙设置。

即使变化不频繁，也建议定期审计防火墙配置，以确保没有意外授予的权限，因为这可能会导致错误，更糟的是，可能会留下可被攻击利用的漏洞。

工业网络中的防火墙

本文只是对有关防火墙和安全的一些问题进行了简要概述。希望这能为未来学习更多安全网络原则打下坚实的基础。