老王，就職于一家大型能源企業

在運維崗位，干了15年

老王有個習慣

喜歡在褲腰帶上掛兩大串鑰匙

一大串是家里的，一大串是單位的

不過，最近老王的腰間

又多了一串“奇怪”的鑰匙

形狀和普通鑰匙，有點不一樣

不知道開啥的，充滿了神秘感

單位有人問，開什么門的？

老王笑而不語

這串玩意越發顯得神秘起來

終于有一天

答案在機房揭曉了

↓

那天，老王刷卡刷臉進了機房

打開機柜門，拿出那個奇怪的鑰匙

***了機架上的一臺設備里

老王輕輕轉動了一下鑰匙

然后回頭對運維小李說

“行了，你現在可以下發策略了”

萬萬沒想到

這鑰匙是用來開防火墻的！！！

沒錯，一個帶物理鎖的防火墻

確切的講

一個帶物理鎖的【工業防火墻】

有啥用呢，其實

這相當于是加了一層物理寫保護

只要防火墻的策略配置完畢

這道物理鎖“咔嚓”一鎖

任何來自***的修改都會被拒絕

不管是惡意的攻擊還是善意的誤操作

這個“物理級”寫保護

解決了困擾客戶很久的一個問題

↓

***如果先黑了安管平臺/SoC

然后再下發策略更改防火墻的配置

再牛的防火墻也會失效

如今“鐵將軍”把門，萬無一失

真需要修改策略和***下發時

老王小鑰匙一擰，即可

完事兒，再鎖上，得嘞！

真的要整這么復雜嗎？

那得看這“墻”用在哪兒

工業防火墻，要保護的目標

往往都是影響國計民生的關鍵基礎設施

怎么嚴苛都不為過！

↓

“加鎖”只是個微創新

工業防火墻的身板

還要經受各種考驗

保證其扛住各種惡劣的工業環境

看到這里

搞傳統防火墻的小伙伴表示不服

的確，很多人，包括我在內

內心里對工業防火墻都有點瞧不上

覺得這貨除了“皮糙肉厚”，沒啥技術含量

↓

跟***式的企業或互聯網環境相比

工業環境實在太干凈了，有些還物理隔離

設個白名單，只允許那幾個應用通過

不就完全OJBK了？

這樣的場景，讓傳統防火墻來干

簡直就是降維打擊，soeasy

可是

當我真和老王這個大甲方聊過后

才發現：我去！隔行如隔山啊

傳統IT系統vs工控系統

各方面都存在著巨大的差異

比如實時性、故障容忍度、生命周期

再比如工控系統不允許自動化更新打補丁

……

這些差異，對工控安全產品提出新要求

傳統防火墻/IPS可以頻繁更新協議特征庫

而工控防火墻，卻不能這么干

按照老王的說法

↓

你看似簡單的“白名單”

其實分了三重境界

這個吶，其實就是ACL

基于5元組來判定阻斷還是放行

把防火墻整到生產環境跑一會兒

了解一下都有哪些流量來往

源/目的IP、端口、協議類型

統統***在冊，形成白名單

一般人覺得，工控環境沒幾種應用

以后就按這個規則執行就行

簡單，粗暴，有效

可是，這個“有效”，要打個問號

因為，工控環境

并沒有我們想的那么簡單

對于普通防火墻來說

做個五元組白名單，沒啥難度

尤其，到了NGFW滿天飛的時代

讓他們做個深度協議協議識別，也沒問題

可是，真到了工控場景就會發現

曾經識別的幾百上千種協議完全用不上

工控設備，完全不說“人話”

這些稀奇古怪的協議，把防火墻整懵逼

常見的幾十種，偏門的上百種

都是通用場景碰不上的

而且，不是記住協議端口、協議號就完事

對于每種協議，都要深度識別

不僅要識別出工控協議類型

還要知道里面具體的指令含義

然后，形成協議白名單，精準管控

這樣才穩妥

這就萬無一失了嗎

并沒有，還有第三重

↓

五元組也好，協議管控也好

都只能算是一種靜態控制

在此基礎之上，還要引入工藝流程

比如在油氣傳輸控制中

“關閉閥門”、“加壓”

單獨看這兩個控制指令，都沒毛病

可是，如果跟工藝流程結合起來

一邊“加壓”，一邊“關閥門”

就可能是一組危險指令

所以

一份經得起考驗的“白名單”

必須要跟生產場景的工藝流程融合起來

需要從業務角度

來判斷指令的合理性

聽老王balabala講完

我也著實吃了一驚

原來小小一份“白名單”

竟然都有這么多學問

這時候，老王又開腔了

此時

老王再次晃起了那串鑰匙

接著說道：

“要說這頂流工控墻

我用的這家就是

那帶鑰匙的墻是他家新款——”

這一說，我立馬想起來了

原來是“威猛努力特持久”的

那就讓我們來康康

威努特工控防火墻

是如何建立三重白名單的

↓

在第?重固化過程中

這部分由數據處理模塊完成

形成主機訪問路徑表

進行五元組訪問次數統計

最終得到訪問控制規則表

這其中還包括正常訪問次數閾值

比如某個控制指令頻繁下發

那就有可能是違規或者威脅行為

（所以，第一重白名單也不簡單）

在第?重固化過程中

協議規則學習模塊發揮作用

它在第1重基礎上，解析工業協議

檢查協議規約和功能碼值域特征

最終，沉淀為“協議白名單”

威努特支持100+工業協議識別

30+工業協議深度識別

包括鐵路RSSP、TRDP等偏門協議

對于一些特種行業

甲方不方便公開協議

威努特則提供協議解析引擎

供客戶做二次開發，自定義規則

↓

在第?重固化過程中

威努特采用業務規則學習模塊

引入業務工藝流程

對各種規則、協議進行關聯分析

說白了，就是要揪出那些

看似合法卻發生在錯誤時間/地點的動作

到了這一重，極考驗廠商的項目經驗

只有真正深扎工控場景，熟悉工藝

甚至得到工業老師傅的手把手真傳

才能洞悉藏在合法協議里的非法動作

三重固化走下來

才有了一份值得信賴的白名單

實現從業務工藝的角度

對報文傳輸邏輯進行管控

這樣的白名單，放眼國內工控安全圈

只有以威努特為代表的頂流才做得到

三重白名單，實際部署會不會很復雜？

威努特獨創了啟發式自學習

零值守、自判斷、高效率

快、穩、準、狠地學成白名單

↓

同時，在具體項目實戰中

威努特采用階梯式防護策略

最小化業務影響

Step1，學習模式：三重固化白名單

Step2，告警模式：白名單外只告警不攔截

Step3，防護模式：白名單外全攔截

學習→告警→防護，搞定！

如果后期業務邏輯發生變化

不換姿勢，再來一遍

我們看看現網部署的盛況吧

每個白盒子

都是一臺威努特工業防火墻

↓

再來看看這些“墻”的內部構造

每塊“磚頭”都歷經千錘百煉

它們深度耦合、嚴絲合縫

共同鑄成工控環境的鋼鐵防線

↓

作為工控“白環境”的開創者

威努特不斷引領著國產工控墻的趨勢

比如，業內首個物理寫保護

這種“特殊”的保護，除了防惡意改寫

也體現了威努特工控安全理念

↓

工業現場業務一旦確定

安全防護策略也應該是確定的

與生產業務“共頻”，不能隨意更改

再比如全自主可控：基于飛騰+麒麟

配合可信根模塊，支持國密算法

100%國產化工業防火墻已蓄勢待發

...

最后，由于安全圈+工控圈的特殊性

具體的客戶案例，就不能點名了

總之，那些“關基”扛把子工程

這只威猛努力特持久的“戰狼”

都在默默守護、全力以赴！