【应用案例】用施耐德电气ConneXium多芬诺防火墙，让SCADA安全更简单

       正如多数人了解的那样，大多SCADA和ICS协议并不支持网络消息的粒度检测。在TCP/IP层，读数据包看起来就和PLC固件升级包一样。如果你允许读数据包通过传统防火墙，你也让固件升级包通过了。这就是一个很严重的问题了。

       ConneXium Tofino产品在自身每个单元中配置了我公司的Modbus TCP Enforcer模块，就可以解决这个问题。Modbus TCP Enforcer只允许被认可的Modbus指令从被核准的设备发出并通过防火墙。这被称为“深度包检测”，这项技术阻止了不恰当的远程编程或来自于恶意软件和黑客的蓄意破坏消息等多种攻击。类似于这样的技术在防火墙领域中是非常稀缺的。

       再次说明，使用的便利性对Modbus TCP Enforcer来说非常关键。这就无需要求控制工程师们掌握应用程序所使用的特定Modbus功能编码，因为很多标准应用场景已经定义好了。比如，若你想让ConneXium Tofino只允许读数据指令在PLC和HMI之间传送，那你可以直接选Read Only选项。

针对产品漏洞的多芬诺安全文件

       在之前的一篇博客中我讨论过需要在不停地打补丁这一措施之外寻找其他备选方案。ConneXium Tofino防火墙通过支持多芬诺安全文件实现了这一目标。他们是定制规则，以及为抵御最新公开的漏洞和恶意软件所定义协议的集合。每个多芬诺安全文件都是已经打包好的，因而能够迅速配置且不会影响运行，从而提供抵御新威胁的快速且有效的安全屏障。

        例如，上周我发布了针对CoDeSys漏洞的安全文件。CoDeSys漏洞是影响上百个不同控制产品安全的威胁。由于CoDeSys公司还没有提供产品补丁，因此我们与Joel Langill公司 (www.scadahacker.com)合作，即时发布了解决方案。

网络安全防护是有效果的

        如果你是本博客专栏的定期读者的话，你会了解我们刊登的大部分文章旨在普及相关知识而非营销。不过这一篇的确是在“为自己宣传”，因而非常感谢大家一如既往的支持！

        然而更重要的是，我希望本篇博客能够说明科学技术能够设计的让工业网络安全易于实现。不论你是否选择使用多芬诺技术，我们都希望你能够看到网络安全技术是可以交付使用的，这样控制器使用者们就能确保他们的系统是安全的——而且也就能够专注于安全可靠的生产活动，做好本职工作。

        我再从Bob Lockhart在Pike Research上的发言中引用两句作为本文的结尾：

        “自动化系统面临着特殊的网络安全挑战，需要由了解这些系统如何运行的企业提供安全防护……那些想要专注于他们的核心业务，而非技术的公司。”