工业控制系统防火墙

工业控制系统防火墙

工业控制系统是由多种自动化控制组件和过程控制组件共同构成,组件包括SCAD、DCS、PLC等。工业控制系统是整个工业系统的控制中枢和核心部件。 经过近几十年的发展,工业控制系统逐渐趋向于采用开放、透明的通信协议,日益广泛地采用以太网/IP/TCP网络作为通信基础设施,将工业控制协议迁移到TCP/IP协议栈的应用层;采用包括IWLAN、GPRS等在内的各种无线网络;广泛采用标准的Windows等商用操作系统、设备、中间件与各种通用技术。

  • 产品概述
  • 产品功能

当前工业控制系统硬件防火墙产品通常采用三种架构:X86通用处理器、ASIC专用集成电路和基于NP网络处理器的硬件架构。综合考虑,三种硬件架构的工业控制系统硬件防火墙各有优劣。X86架构硬件防火墙灵活性好、开发周期短,功能模块可以灵活扩展,但是性能存在瓶颈;ASIC架构防火墙采用专用芯片,性能优异,但是开发周期长、灵活性较差;NP架构防火墙在性能和灵活性上均介于二者之间,综合能力较好,适用于中档防火墙产品的研发,但是开发难度较大,成本较高。

多核处理器是指在一枚处理器中集成两个或多个完整的计算引擎(内核)。计算引擎负责计算、接收/存储命令、处理数据。每个内核具有独立完整的逻辑结构,通过高速总线和内存进行数据通信和共享。单个芯片内的多个内核协同工作,从而提升整个处理器的性能。

在此系统中,为了提升工业控制防火墙的数据处理性能,防火墙架构中的报文处理模块和负载均衡处理模块采用多核处理器架构实现。

工业控制系统防火墙的业务需求需要在网络层和传输层协议解析的基础上对应用数据协议的具体内容进行深度解析,提取传输的工控指令操作内容,进行判定识别并对流量进行相应处理。

本方案针对该业务需求,综合分析了当前基于X86架构、ASIC架构和NP架构的硬件防火墙的优点和缺陷,提出采用多核处理器对工业控制防火墙的性能进行提升。多核处理器采用MIPS64体系,在一个多核处理器中同时支持多个独立构架的CPU。同时考虑到深度报文检测的应用需求,集成了硬件加速、正则匹配等硬件协处理器和网络应用加速器,实现高吞吐量、会话建立速度高、硬件支持多种高级安全功能等特性。本方案提出了一种基于多核处理器的工业控制防火墙的系统架构和处理流程。 应用多核处理器对防火墙处理性能进行优化和提升