CIP Security新增基于设备的防火墙配置以进一步提高EtherNet/IP网络安全性

ODVA近日宣布，EtherNet/IP™的网络安全扩展CIP SecurityT™新增了基于设备的防火墙配置，以增强对入侵的威慑力。CIP Security基于设备的防火墙为用户提供了一个简单的流量过滤器，类似于IP Tables程序在Linux中设置防火墙的方式。基于设备的防火墙是通过新的CIP Security防火墙配置文件实现，该功能还可根据需要灵活启动或禁用。通过基于设备的防火墙，CIP Security现在可以提供更强大的设备级保护，帮助阻止不良行为者侵入EtherNet/IP工业网络。

CIP Security基于设备的防火墙是一种根据IP地址、端口和协议来过滤流量的机制。基于设备的防火墙是通过名为 “Ingress Egress Object（入口出口对象）”的新CIP对象来实现的，该对象支持建立已知IP地址的白名单、配置可用密码套件，并根据IP地址和端口号来定义路由规则。这意味着支持CIP Security的EtherNet/IP设备可以确定与哪些节点安全通信， 以及是否需要TLS或DTLS加密。此外，用户还可以决定是否允许其他设备通过配置的CIP Security设备路由CIP通信。作为深度防御的一部分，这种全新的基于设备的防火墙增加了另一层威慑力，帮助保护物理和数字资产免受损害。

EtherNet/IP系统结构特别兴趣小组（SIG）副主席Jack Visoky表示：“CIP Security将继续增加额外的安全功能，如全新的基于设备的防火墙，以帮助保护EtherNet/IP设备免遭滥用，避免关键系统遭到损坏或信息丢失。”ODVA总裁兼执行董事Al Beydoun博士也表示认同，他说：“阻止未经授权的IP地址和端口号访问支持CIP Security的EtherNet/IP设备，为关键工业自动化应用提供了另一层保护，是深度防御的一部分。CIP Security新增的基于设备的防火墙配置是持续打击可能导致经济和声誉损失的恶意网络入侵的又一重要更新。”

新增的CIP Security基于设备的防火墙配置只允许已知IP地址使用标准EtherNet/IP进行通信。此外，允许的CIP路由能基于一组可信的IP地址、端口和加密进行配置。使用基于设备的防火墙后，来自不匹配的IP地址或端口的数据包将被丢弃，从而无法完成企图的恶意任务。ODVA致力于确保EtherNet/IP用户通过CIP Security获得强大且持续更新的设备安全选项，作为深度防御的一部分。若想了解更多关于新版EtherNet/IP及CIP Security规范的信息，请访问odva.org。

关于ODVA

ODVA是由世界自动化先进企业组成的一个国际性标准制定和贸易组织。其使命是推动互操作的开放性工业自动化信息和通信技术的发展。其标准包括通用工业协议（"CIP™"），ODVA的媒介独立网络协议，以及EtherNet/IP、DeviceNet等工业通信技术。为了实现生产系统的互操作性及与其他系统的集成，ODVA将采用现有的商用标准化互联网和以太网技术为指导原则。EtherNet/IP就是这一原则的典范，也是当今领先的工业以太网网络。欲知详情，请访问ODVA网站：www.odva.org。