網絡防火牆通過設置不同的安全規則來控製設備或係統之間的數據流，在實際應用中主要用於分析與互聯網連接的TCP/IP協議簇。防火牆在網絡中使用的前提是必須保證網絡的連通性，其通過規則設置和協議分析，來限製和過濾那些對管理比較敏感、不安全的信息，防止未經授權的訪問。由於工業控製與商用網絡的差異，常規的網絡安全設置規則用在控製網絡上就會存在很多問題。隻有正確地設計、配置和維護硬件防火牆的規則，才可以保護工業控製網絡係統的安全環境。建議進行特殊設置的規則包括：

（1）SCADA和工業協議。MODBUS/ TCP、EtherNet/ IP和DNP3等在工業控製係統中被大量使用，但是這些協議在設計時沒有安全加密機製，通常也不會要求任何認證便可以在遠程對一個控製裝置執行命令。這些協議應該隻被允許在控製網絡單向傳輸，不準許從辦公網絡穿透到控製網絡。能夠完成這一功能的工業防火牆或者安全路由器，通常被部署在具有以太網接口的I/O設備和控製器上，從而避免因設備聯網而造成的病毒攻擊或廣播風暴，還可以避免各子係統間的病毒攻擊和幹擾。

（2）分布式組件對象模型（DCOM） 。在過程控製中，OLE和ProfiNet（OPC）是使用DCOM的，它運用了微軟的遠程過程調用服務。該服務有很多的漏洞，很多病毒都會利用這個弱點獲取係統權限。此外OPC也利用DCOM動態地打開任意端口，這在防火牆中進行過濾是非常困難的。通用防火牆無法完成對OPC協議的規則限製，如果必須需要該協議，則要求控製網絡、網絡之間必須物理分開，將控製網絡和企業網絡橫向隔離。

（3）超文本傳輸協議（HTTP）。一般來說，HTTP不應該被允許從企業管理網透過進入控製網絡，因為它們會帶來重大安全風險。如果HTTP服務到控製網絡是絕對必需的，那麼在防火牆中需要通過HTTP代理配置來阻止所有執行腳本和Java應用程序，而且特定的設備使用HTTPS更安全。

（4）限製文件傳輸協議（FTP）。FTP用於在設備間傳輸、交換文件，在SCADA 、DCS、PLC、RTU等係統中都有應用。FTP協議並沒有任何安全原則，登入密碼不加密，有些FTP為了實現曆史緩衝區而出現溢出的漏洞，所以應配置防火牆規則阻塞其通信。如果FTP通訊不能被要求禁止，通過FTP輸出數據時，應額外增加多個特征碼授權認證，並提供加密的通信隧道。

（5）簡單郵件傳輸協議（SMTP）。SMTP在互聯網上是主要的電子郵件傳輸協議。電子郵件經常包含惡意代碼程序，所以不應允許以任何控製網絡設備接收電子郵件，SMTP郵件應主要用於從控製網絡到辦公網絡之間輸出發送報警信息。

（6）簡單網絡管理協議（SNMP）。SNMP是網絡管理服務中心，提供管理控製台與設備如網絡設備、打印機、PLC之間的監控，並製定管理的會話規則。從運維角度看，SNMP是非常有用的服務，但在安全方麵存在很多問題。SNMP V1和SNMP V2C的安全機製比較脆弱，通信不加密，所有通信字符串和數據都以明文形式發送。攻擊者一旦捕獲了網絡通信，就可以利用各種嗅探軟件直接獲取通信字符串，即使用戶改變了通信字符串的默認值也無濟於事。SNMP V3解決了上述安全性問題，但卻沒有被廣泛使用。從控製網中使用SNMP V1和V2C的命令都應被禁止，除非它是一個完全獨立的信任管理網絡。而即使設備已經支持SNMP V3，許多廠商使用的還是標準的通信字符串，存在重大安全隱患。因此，雖然SNMP V3比以前的版本提供了更多的安全特性，如果配置不當，其實際效果仍舊有限，這一點也需要引起足夠的重視。（本文作者單位：可為、苗寧、滕征岑：北京中油瑞飛信息技術有限責任公司；詹峰：中國石油天然氣集團公司）