新闻详情
新闻搜索
飞塔合作伙伴 科汇科技 分享好文 网络分段与微隔离|OT网络安全最有效架构及其关键实践
tinet网络安全平台
2025年01月23日 08:30 北京
OT网络分段是指将OT网络划分为不同逻辑区域,确保工业控制系统 (ICS) 的安全性、可靠性和实时运行。其目的是隔离关键系统(例如,工业控制器、PLC、SCADA 系统),阻止威胁在不同层级之间横向传播可能导致运营停机、设备损坏或安全隐患的中断,并确保只有经过授权的设备、应用程序和用户可以访问特定系统,实现安全的访问。
安全态势的关键步骤是网络分段, 它仍然是最有效的架构概念之一,也是保护 OT 环境免受内部和外部威胁的最佳实践,也是降低攻击者在入侵 IT 网络后访问 OT 网络的可能性的关键安全实践之一。 通过下一代防火墙、VLAN或其他网络级安全设备可以实现OT网络的区域与管道的分段,并保障VLAN间的通信安全,监控南北向网络流量及威胁,同时IPS签名可以有助于实施虚拟补丁防止对网络使用交换机上的虚拟 LAN (VLAN) 来防止恶意软件在网络中横向移动。在实际操作中,OT分段涵盖普渡模型的所有层级,但重点和实施方法有所不同。
不止网络分段,在分段之上做微分段/微隔离,保持最佳实践的深化
随着数字化转型、工业物联网(IIoT)的普及以及增强型连接技术的引入,传统的网络分段已无法满足当前复杂的安全需求。在现代OT网络中,微分段正成为应对这些安全挑战的关键手段。网络分段是关注不同区域(Zones)之间的安全边界。微分段是进一步对单个设备或小设备组内部的安全控制。在OT环境中,分段和微分段是互补的,也就是分段是保护区域之间的安全,微分段是保护区域内部的安全。以下是微分段的重要性及其原因:
01
OT网络连接性的提升
OT网络不再是孤立的系统。随着IT系统、IIoT设备及云计算的深度整合,网络中出现了更多可被攻击者利用的路径。例如一个连接到OT网络的IIoT传感器可能成为黑客的攻击目标,并被利用作为在网络中横向移动的跳板。分段策略将设备分组到较大的区域内,能限制不同区域之间的横向移动,却无法控制同一区域内设备之间的通信。
微分段的优势
微分段通过为每台设备或应用制定独立的安全策略,实现更细粒度的隔离。即使在同一区域内,也能阻止未经授权的设备间通信,从而显著降低安全风险。
02
高级持续性威胁(APT)
攻击者现在常采用复杂的战术,例如横向移动,以探索网络并针对关键系统发动攻击。一个被恶意软件感染的PLC(可编程逻辑控制器)可能尝试与其他PLC或SCADA系统通信,导致系统进一步受损。分段策略只能阻止跨区域的攻击,无法对区域内部的设备间通信提供有效保护。
微分段的优势
微分段实施零信任策略,仅允许明确授权的通信。这种方法可以限制攻击范围,将潜在威胁控制在单一设备或设备组内,从而有效防范横向移动。
03
OT设备多样性与遗留系统
OT网络中使用的许多工业协议(如Modbus、DNP3和OPC UA)缺乏内置的安全功能,容易成为攻击目标。Modbus协议以明文形式传输数据,容易被拦截和篡改。许多OT环境仍依赖于老旧设备,这些设备无法支持现代安全措施。
微分段的优势
微分段能够在应用层(L7)进行深度包检测(DPI),确保仅允许安全的、符合预期的流量,即使是在遗留系统中也能实现高级别的安全保护。
04
合规要求
如IEC 62443等法规要求组织实施强大的安全控制,并提供详细的网络活动可视性。IEC 62443强调分区和通信通道,而微分段则可以进一步扩展到设备级别的精细控制。
微分段的优势
微分段不仅能够提供详细的审计记录和访问控制,还可以显著增强可视性,帮助企业超越合规要求。
05
运营和业务连续性
OT网络通常需要实时运行,任何中断都会导致严重的经济损失或安全风险。例如生产线上的HMI(人机界面)受到攻击可能导致整个操作停止,广泛的分段策略在单一设备被攻破时,影响整个区域的风险。
微分段的优势
通过隔离设备,微分段能够将中断限制在小范围内,即使发生攻击也能确保关键系统持续运行。
Fortinet OT网络分段
与微分段产品与解决方案
Fortinet提供一套全面的方案,确保在OT网络或者是普渡模型的所有层级上实现一致且高效的分段与微分段。
FortiGate NGFW
FortiGate NGFW是OT网络分段与微分段都不可或缺的核心产品,作核心安全策略执行点和控制访问,支持工业协议深度包检测(DPI)。
FortiSwitch安全交换机
提供端口级微分段,控制区域内的设备通信。
FortiAP无线接入点
扩展无线网络安全通信,保护移动设备和IoT传感器。
FortiNAC 网络访问控制
监测和保护连接到企业网络的所有数字资产,涵盖从 IT、物联网、OT/ICS 到 IoMT(医疗物联网) 等设备,提供设备可见性和访问控制,确保合规性。关于FortiNAC进一步的产品说明可参见:工控网络LAN层零信任接入解决方案:FortiNAC
FortiExtender
桥接本地以太网 LAN 和无线 LTE/5G WAN的连接。
FortiSwitch和FortiAP
在微分段中的角色
FortiSwitch安全交换机和FortiAP无线接入端在 Fortinet 的 OT 微分段解决方案中扮演了至关重要的角色,通过将细粒度的安全策略扩展至网络边缘,提升可视化能力,实现高级分段功能。
FortiSwitch:实现端口级控制的微分段
FortiSwitch 提供基于以太网的连接,并在端口级别执行微分段策略,从而对每个设备的网络访问进行精确控制。如果一台未经授权的笔记本电脑尝试连接到工业以太网端口,FortiSwitch 可以自动隔离该设备并向网络管理员发出警报。
FortiSwitch与FortiGate 无缝集成,可以动态执行安全策略。它支持 VLAN 和访问控制列表 (ACL),实现 OT 区域之间的严格分段。即使是同一区域内的设备,未经明确授权也无法直接通信,实现基于端口级微分段。
FortiAP:无线安全与可视化
FortiAP 将微分段扩展到无线网络,保护移动设备、IoT 传感器和控制器之间的通信安全,并对无线流量进行细粒度控制,以防止未经授权的访问。例如在制造车间部署的 FortiAP 能够隔离 IoT 传感器,使其无法访问关键控制系统,从而确保运营安全。
FortiAP 还支持 WPA3 加密、用户认证,并与 FortiNAC 集成以提供端点可视化和自动化威胁响应。在确保网络性能的同时,符合 OT 特定的安全标准。
与传统的网络设备不同,FortiSwitch和FortiAP针对工业环境提供了加固设计Rugged系列,能够支持极端温度、湿度和振动,非常适合工厂、炼油厂等 OT 应用场景。
Fortinet的解决方案可以随着OT网络的增长轻松扩展。无论是连接少量设备还是跨多个设施管理数千台设备,FortiSwitch和FortiAP都能确保一致的安全策略执行,同时保持卓越的性能。
另外,FortiSwitch和FortiAP借助FortiNAC和 FortiGate可实施零信任策略,自动检测威胁并遏制事件,大大减少OT团队的手动工作量。关于OT网络分段与微隔离部署与案例,可参考:工控网络微隔离东西向流量,新增OT网络分层全面且深度可视化
Fortinet OT网络高度集成的分段与微分段解决方案(FortiGate、FortiSwitch、FortiAP、FortiNAC等)确保在每个层级实现有效的分段和微分段,保护关键基础设施免受不断演变的网络威胁,同时保障操作的持续性和稳定性。
IT解决方案:
下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新 以更低的复杂性提供业内的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、高级威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应,Fortinet 安全运营解决方案,早期检测和防御(EDP)解决方案,集中分析和自动化响应(CARA)解决方案
飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络
品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、高级威胁检测、事件分析溯源
飞塔防火墙, 飞塔防火墙官网, 飞塔信息, 防特网 fortnet,飞塔公司, 防特网 飞塔信息科技有限公司 飞塔是哪个国家的, 飞塔官网,飞塔防火墙配置手册, 飞塔防火墙配置, 飞塔sdwan, 防特网信息科技(北京)有限公司
防特网股票,防特网股票代码, 防特网怎么样, 防特网待遇, 防特网招聘,防特网信息科技(北京)有限公司上海分公司 防特网信息科技(北京)有限公司 官网
fortinet是什么公司, fortinet 防火墙, fortinet股价,飞塔防火墙, fortigate防火墙, fortinet上海办公室 fortinet防火墙配置, FORTINET待遇
方案适用机型:
机框设备:FortiGate-3500F,FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E,FortiGate 5144C
超高端设备:FortiGate 6300F/6301F/6500F/6501F
高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700D、FortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、fortigate 2200E、 fortigate 2601F、 FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D 、FortiGate 1000F、FortiGate 1001F、FG-1800F/-DC 、FG-1801F/-DC、FG-2600F、FG-2601F、FG-3000F、FG-3001F、FG-3200F 、FG-3201F 、FG-3501F、FG-3700F、FG-3701F、FG-4200F/-DC、FG-4201F/-DC、FG-4400F/-DC、FG-4401F/-DC、FG-4800F、FG-4801F、FG-4800F/-DC、FG-4801F/-DC、FG-6001F、 FG-6300F/-DC、 FG-6301F/-DC、 FG-6500F/-DC、FG-6501F/-DC、FG-7121F、 FG-7081F、FG-7081F-DC、FG-7081F-2、 FG-7081F-2-DC、 FIM-7921F、FIM-7941F、 FPM-7620
中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 501E 、FortiGate 400E 、FortiGate 300E、fg-200f-bdl-811-60, FortiGate 200E 、FortiGate 100E 、FortiGate 401E 、FortiGate 601E、FG-900G、 FG-901G、FG-600F 、FG-601F、FG-100F 、FG-101F、FG-200F 、FG-201F、FG-400F 、FG-401F
入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged,ice-61850,ice-61850-3,fortigate-40F,fortigate-60F,fortigate 61F,高级威胁防御订阅服务授权。FortiGate-100D(已停产,无法续服务,可做VPN)FortiGate-100F, FWF-40F, FWF-61F、 FWF-60F,FG-70F、FG-71F、fortigate rugged 30d rugged 35D,rugged 60D,ruggded 90D,FG-80F, FG-80F-POE, FG-80F-Bypass, FG-81F, FG-81F-POE, FG-80F-DSL, FWF-81F-2R-POE, FWF-81F-2R-3G4G-POE, FWF-80F/81F-2R, and FWF-80F/81F-2R-3G4G-DSL 、
FortiGate 60E FG-60E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口)。 管理的 FortiAP 最大数量(总计/隧道)30/10
FortiGate 60E-POE FG-60E-POE 10个 GE RJ45 接口(包括8个 PoE/PoE+ 接, 2个广域网接口) 。 管理的 FortiAP 最大数量(总计/隧道)30/10
FortiWiFi 60E FWF-60E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口), 无线(802.11a/b/g/n/ac)。 管理的FortiAP最大数量(总计/隧道)30/10
FortiGate 61E FG-61E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口),128 GB SSD 板载存储。 管理的FortiAP最大数量(总计/隧道)30/10
FortiWiFi 61E FWF-61E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口), 无线(802.11a/b/g/n/ac), 128 GB SSD 板载存储。
管理的 FortiAP 最大数量(总计/隧道) 30/1
fortiswitch 工控安全交换机,FGR-30D,FGR-35d, fgr-60d, fgr-90d,
FORTianalyzer 日志与报告分析产品型号:faz-150G, faz-300F,faz-800F,faz-1000F,faz-3000G,faz-3500G,faz-3700F,
fortimanager集中管理平台产品型号:faz-200G,fax-300F,faz-1000F,fax-3000G,faz-3500G,faz-3700F,
FDC-1000F,fdc-vm
网络准入控制:fnc-ca-500c, fnc-ca-600c,fnc-ca-700c,fnc-r-650c,fnc-m-550c,
交换机switch:FS-108F-FPOE
fortiAP 无线接入点。
Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV
专有型号/系列:FortiOS 7.0、Fortinet SASE、FortiXDR,FortiTrust,fortigate fabric, fortiap,fortiswitch,fortisandbox,fortiai,fortideceptor,fortinac,fortisoar,fortisandbox,fortisiem
终端防御软件 FortiClient, FortiEDR端点检测和响应解决方案的威胁阻断率
安全管理解决方案 FortiClient EMS
服务区域:
四川 飞塔 Fortinet:成都 防特网飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、广元防特网 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet
重庆 飞塔 Fortinet
贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet
云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet
西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet
飞塔防火墙,飞塔官网,飞塔公司,fortigate防火墙,飞塔防火墙配置
网络安全,安全SD-WAN,Fortinet FortiGate-VM,Fortinet,VPN保护,Web过滤,
网络分段,网络微分段,物联网平台保护
成都科汇科技有限公司( 一站式 安全解决方案 服务商 )
地址:四川省成都市人民南路四段一号时代数码大厦18F
电话咨询热线:400-028-1235
QQ:132 5383 361
手机:180 8195 0517(微信同号 )
