6.1 基本級要求

6.1 基本級要求

6.1.1.1　包過濾

工控防火墻的包過濾要求如下：
a) 安全策略應使用默認禁止原則，即除非明確允許，否則就禁止；
b) 安全策略應包含基于源IP地址、目的IP地址的訪問控制；
c) 安全策略應包含基于源端口、目的端口的訪問控制；
d) 安全策略應包含基于協議類型的訪問控制；
e) 安全策略應包含基于MAC地址的訪問控制；

6.1.1.2　NAT

部署域間的工控防火墻應具備NAT功能，具體技術要求如下：
a) 應支持雙向NAT：SNAT和DNAT；

6.1.1.3　狀態檢測

工控防火墻應具備狀態檢測功能，支持基于狀態檢測技術的訪問控制。

6.1.1.4　動態開放端口

工控防火墻應具備動態開放端口功能，應至少支持OPC、FTP。

6.1.1.5　IP/MAC地址綁定

工控防火墻應支持自動或管理員手動綁定IP/MAC地址；應能夠檢測IP地址盜用，攔截盜用IP地址的主機經過工控防火墻的各種訪問。

6.1.1.6　抗拒絕服務攻擊

工控防火墻應具有抗拒絕服務攻擊的能力，具體技術要求如下（包括，但不限于）：
a) ICMP Flood攻擊；
b) UDP Flood攻擊；
c) SYN Flood攻擊；
d) TearDrop攻擊；
e) Land攻擊；

6.1.1.7　網絡掃描防護

工控防火墻應能夠檢測和記錄掃描行為，包括對受保護網絡的掃描。

6.1.2　應用層控制

6.1.2.1　應用協議控制

工控防火墻應能識別并控制各種應用類型，具體技術要求如下：
a) 支持HTTP、FTP、Telnet等通用應用層協議；

6.1.2.2　工業協議深度內容檢測

工控防火墻應能對主流工業協議進行深度內容檢測，具體技術要求如下：
a) 工控協議格式規約檢查，禁止不符合協議規約的通信；
b) 工業協議的操作類型、操作對象、操作范圍等參數進行控制；
c) 至少支持一種主流工控協議。

6.1.3　自身安全功能要求

6.1.3.1　運維管理

6.1.3.1.1　管理安全

工控防火墻應具備管理安全功能，具體技術要求如下：
a) 支持對授權管理員的口令鑒別方式，且口令設置滿足安全要求；
b) 應在所有授權管理員請求執行任何操作之前，對每個授權管理員進行唯一的身份鑒別；
c) 應具有登錄失敗處理功能，身份鑒別在經過一個可設定的鑒別失敗最大次數后，工控防火墻應終止管理主機或用戶建立的會話；

6.1.3.1.2　管理方式

工控防火墻應具備多種管理方式，具體技術要求如下：
a) 應支持進行本地管理工控防火墻；
b) 應支持通過網絡接口進行遠程管理，并可限定可進行遠程管理的網絡接口；

6.1.3.1.3　管理能力

工控防火墻應具備相應的管理能力，具體技術要求如下：
a) 向授權管理員提供設置和修改安全管理相關的數據參數的功能；
b) 向授權管理員提供設置、查詢和修改各種安全策略的功能；

6.1.3.2　安全審計

6.1.3.2.1　記錄事件類型

工控防火墻應具備安全審計功能，記錄事件類型要求如下：
a) 工控防火墻訪問控制策略匹配的訪問請求；
b) 訪問控制策略默認禁止的訪問請求，包括試圖穿越或到達防火墻的訪問請求；
c) 檢測到的攻擊行為；
d) 試圖登錄工控防火墻管理端口和管理身份鑒別請求；
e) 對工控防火墻系統重要管理配置操作，如增加/刪除/修改管理員、保存/刪除審計日志、更改安全策略和配置參數等；

6.1.3.2.2　日志內容

工控防火墻應具備安全審計功能，日志內容要求如下：
a) 事件發生的日期時間，日期應包括年、月、日，時間應包括時、分、秒；
b) 訪問控制日志應包括數據包的協議類型、源地址、目標地址、源端口、目標端口，允許或禁止；
c) 工控協議的深度內容檢查信息；

6.1.3.2.3　日志管理

工控防火墻應具備日志管理功能，具體技術要求如下
a) 應只允許授權審計員能夠對日志進行讀取、存檔、導出、刪除和清空等操作；
b) 應提供能查閱日志的工具，具備對審計事件以時間、日期、主體標識、客體標識等條件檢索的能力，并且只允許授權審計員使用查閱工具；

6.1.3.3　安全管理

6.1.3.3.1　安全支撐系統

工控防火墻的底層支撐系統應滿足以下要求：
a) 確保其支撐系統不提供多余的網絡服務；

6.1.3.3.2　異常處理機制

工控防火墻在非正常條件（比如掉電、強行關機）關機再重新啟動后，應滿足如下技術要求：
a) 安全策略恢復到關機前的狀態；
b) 日志信息不會丟失；

6.1.3.4　高可用性

6.1.3.4.1　可用性保障

部署在現場控制層的工控防火墻應具備Bypass功能，當工控防火墻自身出現斷電故障時，應使工控防火墻內部接口與外部接口直接物理連通，保持內部網絡與外部網絡之間的正常通信，并及時告警。

6.1.3.4.2　設備自檢

工控防火墻應具備一定的自檢功能：
a) 在初始化或啟動期間，應能對設備硬件、程序或功能模塊、重要配置文件等進行檢測，當發現異常時能夠及時告警；

6.1.3.4.3　多工作模式

工控防火墻應支持多種工作模式，保證工控防火墻區分部署和工作過程以實現對被防護系統的最小影響，具體技術要求如下：
a) 支持學習模式，工控防火墻記錄運行過程中經過防火墻的所有策略、資產等信息，形成白名單策略集；
b) 支持驗證模式或測試模式，該模式下工控防火墻對禁止策略進行告警，但不攔截；

6.1.3.4.4　安全策略無擾下裝

工控防火墻安全策略應用時不應影響正常的數據通信。

6.1.3.4.5　時間同步

工控防火墻應支持與時鐘服務器自動同步時鐘的功能。

6.1.3.4.6　電源冗余

部署現場控制層的工控防火墻應提供雙電源冗余功能；

6.1.3.4.7　散熱方式

部署現場控制層的工控防火墻應采用自然散熱，無風扇方式設計。