防火墻很容易發生配置錯誤的情況。盡管對于有些防火墻來說，配置錯誤的安全后果是可以接受的，但深度防御OT（運營技術）網絡體系結構中錯誤配置的防火墻所帶來的累積風險通常是不可接受的，甚至是毀滅性的。

　　大多數工業站點都將防火墻部署作為其OT/工業網絡的第一道防線。但是，配置和管理這些防火墻是一項異常復雜的工作，因為無論是配置本身還是其他方面都非常容易出錯。

　　工業防火墻.png" alt="工業防火墻.png" width="675" height="427"/>

　　8種常見的OT/工業防火墻錯誤

　　01 保留IP“任意”訪問規則

　　防火墻對于接入和傳出連接的表現是不一致的。默認情況下，大多數用戶防火墻都拒絕所有接入本地網絡的連接，但對于所有傳出連接的規則是“允許任何/任意”。這一點上，商業級和工業級防火墻表現得有所不同——有些防火墻對所有方向的流量都具有“拒絕所有”的默認策略。而有些則默認設置為“允許所有人共享”。在配置第一個非默認規則之前，有些默認設置為“允許任意使用”，然后默認設置切換為“全部拒絕”。有些只在其配置用戶界面中顯示其默認規則，而其他地方不顯示。

　　對于某些型號的防火墻來說，就很容易錯誤地將“允許任意使用”規則保留。而錯誤地保留可見的默認值或不可見的隱含“允許任意使用”規則的后果是，使工業網絡中的多種類型的連接都處于啟用狀態——這就等于允許那些并未被我們配置的其他規則明確禁止的所有連接/攻擊進入我們的工業網絡之中。

　　02 使用錯誤的規則順序

　　一旦確定了需要為防火墻設置的所有規則，就必須仔細注意規則集中規則的順序。防火墻規則是按順序進行處理的。按照錯誤的順序輸入或配置的規則可能會導致意外和不良的防火墻行為。

　　例如，假設我們有兩個規則，第一個規則是“接受來自子網中IP地址1-64的所有連接”，第二個規則是“拒絕來自同一子網中IP地址23的連接”。如果接受規則位于規則集中的第一個，并且防火墻從地址23接收到連接請求，則“接受1-64”規則將導致允許連接，“拒絕”規則永遠發揮不了作用。

　　03 沒有禁用未使用的管理接口

　　由于防火墻制造商希望確保輕松配置，因此默認情況下，他們會啟用多種類型的管理接口，通常包括SSH、Telnet和串行接口以及加密和未加密的Web界面。啟用未加密的接口意味著使用這些接口時，攻擊者可能能夠在網絡上看到密碼。此外，保留所有不必要的接口處于啟用狀態還會增加攻擊面和暴露程度。它還使攻擊者能夠使用網絡釣魚攻擊或其他攻擊來竊取這些接口的密碼，并只需登錄即可重新配置防火墻。

　　04 保留防火墻默認密碼不變

　　大多數防火墻附帶默認的管理用戶名和密碼。這些密碼記錄在設備的用戶手冊中，因此對于攻擊者和其他搜索信息的人來說，這些信息都是眾所周知的。沒有更改默認密碼，意味著能夠連接到任何一個處于啟用狀態的管理界面的攻擊者都可以登錄防火墻并重新配置它。

　　當防火墻連接到外部身份驗證，授權和計費（AAA）服務（例如RADIUS服務器、Active Directory服務器、IAM基礎設施或其他口令管理服務器）時，未能更改默認密碼是一個特別常見的錯誤。密碼管理服務通常無法控制內置的管理員賬戶和密碼。實際上，最佳實踐認為，至少有一個管理員賬戶應該脫離身份管理系統，以作為因任何原因失去與AAA系統聯系的備份。

　　05 未能修補防火墻

　　工程師和管理員可能擁有大量且昂貴的測試和軟件更新程序，以保持其工業控制系統的安全。這些程序通常將重點放在難以修補的操作設備上，以排除諸如防火墻和受管交換機之類的網絡基礎結構組件。未能修補防火墻，意味著攻擊者可以利用眾所周知且廣泛使用的舊漏洞和防火墻漏洞來破壞我們的防火墻。

　　06 未能規劃額外的基礎設施成本

　　部署防火墻可能會帶來重大成本以及一些意外成本，因為防火墻部署通常需要對其他基礎結構進行重大更改。這些更改和費用可能包括：

　　當使用新的防火墻分割以前的“扁平化”網絡（flat network）時，在OT和/或企業網絡上重新編號IP地址；

　　其他網絡基礎結構，例如交換機、路由器和身份驗證系統；

　　人員和/或系統收集、關聯和分析防火墻日志，以嘗試檢測攻擊者何時猜測密碼或試圖獲取網絡訪問權限。

　　如果上述任何更改需要重新啟動整個控制系統，那么實際成本會更高，甚至可能需要加上物理/工業操作的停機成本等等。

　　07 未能定期檢查和管理的規則集

　　防火墻規則必須定期更新和檢查。為短期測試、緊急維修和其他需求而引入的“臨時”規則不得保留。必須刪除過時的設備和軟件系統的規則。必須刪除為已離職或已更換職位的員工使用的IP地址提供OT訪問權限的規則。所有這些更改以及許多其他更改都必須記錄在案，以便將來的審閱者能夠知道與誰聯系以確定這些配置的規則是否仍然有效。

　　簡單來說，如果我們允許積累不必要的規則，那么隨著時間的推移，防火墻會看起來越來越像路由器——允許太多種類型的連接進入需要設備保護的網絡。

　　08 相信防火墻是“僅出站”

　　在過程控制系統網絡中，我們通常認為受到了保護，因為防火墻已配置為僅允許從工業網絡到外部網絡的出站連接。這是一個非常嚴重的錯誤。用著名的SANS講師Ed Skoudis的話來說，“出站訪問等于入站命令和控制”。所有TCP連接，甚至是通過防火墻的TCP連接，都是雙向連接。與電子郵件服務器和Web服務器的連接始終會通過“僅出站”防火墻來發起攻擊。連接到命令和控制服務器的惡意軟件也是如此。更普遍的是，連接到受到破壞的企業服務的工業客戶可能會將破壞傳播到控制系統中，并使工業運營陷入危險。

　　防御建議：部署單向網關技術

　　相對安全的工業網絡越來越多地在IT/OT接口而不是防火墻上部署單向網關技術。單向技術的一個重要優點是，即使出現意外配置錯誤，也不會因配置錯誤而損害網關為OT網絡提供的保護。單向網關硬件實際上只能從OT網絡到企業這一個方向上傳遞信息。無論多么復雜的網絡攻擊，都無法改變硬件的行為，任何網絡攻擊信息也無法通過硬件到達，以任何方式損害受保護的OT網絡。

　　為了簡化安全的IT/OT集成，單向網關軟件將服務器從工業網絡復制到企業網絡。例如，假設企業用戶和應用程序從基于SQL的歷史數據庫中獲取其OT數據。在這種情況下，單向網關會在OT端查詢數據庫，將接收到的數據轉換為單向格式，把數據發送到企業端，然后將數據插入到相同的SQL/歷史數據庫中。之后，企業用戶和應用程序便可以從企業副本數據庫中正常雙向訪問其數據。如果需要，副本數據庫服務器還可以使用與工業歷史數據庫完全相同的IP地址——這是因為單向網關不是防火墻或路由器，不會被設備兩側使用的相同IP地址搞混。

　　使用單向網關硬件保護工業網絡，無論有多少密碼被盜或系統未打補丁，都無法從企業網絡或來自網絡之外的互聯網的軟件攻擊到達受保護的OT網絡。