Промышленные сети и системы оперативных технологий (ОТ, Operational Technology) управляют физическими процессами на производстве, в энергетике, транспорте и водоснабжении. В отличие от корпоративных IT-сетей, здесь даже кратковременный сбой может привести к остановке оборудования, авариям или угрозе жизни людей. Поэтому защита таких систем требует специализированных подходов, где сетевые экраны играют одну из ключевых ролей.
Обычные офисные межсетевые экраны, ориентированные на HTTP/HTTPS-трафик и корпоративные приложения, часто оказываются недостаточно эффективными в ОТ-среде. Промышленные протоколы работают по другим принципам: они детерминированы, имеют жёсткие требования к задержкам и редко используют стандартные порты или шифрование. Именно поэтому появились специализированные промышленные сетевые экраны (Industrial Firewalls), которые глубоко понимают Modbus TCP, PROFINET, EtherNet/IP, DNP3, OPC UA, S7comm и другие протоколы реального времени.
Основные отличия промышленных экранов от IT-решений
Промышленные сетевые экраны строятся с учётом приоритета доступности (availability) над конфиденциальностью и целостностью. В ОТ-сетях недопустимы ситуации, когда защитное средство само становится причиной отказа контроллера или ПЛК из-за чрезмерной инспекции или перегрузки.
Классические корпоративные NGFW часто выполняют глубокий анализ пакетов (DPI) на уровне приложений, проверяют антивирусные сигнатуры и фильтруют URL. В промышленной среде такие функции либо отключаются, либо реализуются в очень ограниченном виде, потому что они добавляют задержку от нескольких миллисекунд до десятков миллисекунд, что критично для контуров управления с циклом 1–10 мс.
Промышленные экраны обычно:
- Поддерживают stateful-инспекцию именно для промышленных протоколов;
- Позволяют задавать правила на основе адресов регистров Modbus, типов функций, тегов OPC;
- Обеспечивают очень низкую латентность (часто < 50 микросекунд в режиме прозрачного моста);
- Работают в жёстких условиях: широкий диапазон температур от –40 °C до +75 °C, защита от вибрации и электромагнитных помех;
- Поддерживают резервирование по схемам PRP/HSR или параллельные устройства.
Компания FortiTrade занимается поставкой и продажей решений для обеспечения сетевой информационной безопасности на базе технологий Fortinet. В ассортименте представлены различные устройства и программные продукты, включая межсетевые экраны FortiGate, а также системы управления и анализа безопасности — FortiAnalyzer, FortiManager, FortiAuthenticator, FortiMail, FortiWeb и другие решения для защиты сетевой инфраструктуры, веб-приложений, электронной почты и баз данных. Компания fortitrade.ru предлагает оборудование, лицензии и подписки Fortinet, предназначенные для защиты корпоративных сетей, мониторинга трафика, выявления угроз и противодействия DDoS-атакам, помогая коммерческим организациям, промышленным предприятиям и государственным структурам выстраивать надежную систему кибербезопасности.
Модель Purdue и место сетевых экранов в архитектуре
Модель Purdue (Purdue Enterprise Reference Architecture) остаётся основным ориентиром при построении безопасной архитектуры АСУ ТП. Она делит систему на уровни от 0 до 5, где нижние уровни отвечают за непосредственное управление процессом, а верхние — за бизнес-логику и взаимодействие с корпоративной сетью.
Наиболее эффективно промышленные экраны размещаются в двух ключевых местах:
- Между уровнем 3 (сайт-управление производством) и уровнем 3.5 (демилитаризованная зона IDMZ) Здесь устанавливаются мощные NGFW нового поколения, часто с функциями промышленной СОВ (IDS/IPS), способные выполнять глубокий анализ и фильтрацию. Они контролируют весь обмен между производственной и корпоративной сетью, блокируют несанкционированные запросы к SCADA-системам и Historian, ограничивают типы разрешённых команд. Такие экраны понимают как классические IT-протоколы, так и OPC UA, MQTT, IEC 60870-5-104.
- Между уровнями 0–2 (полевое оборудование, контроллеры, ПЛК) и уровнем 3 Здесь применяются компактные промышленные межсетевые экраны, часто в форм-факторе DIN-рейки. Они сегментируют цеховые зоны, защищают отдельные производственные ячейки и предотвращают боковое перемещение атакующего внутри технологической сети. Такие устройства работают в режиме «прозрачного моста» (transparent bridge), не меняя MAC- и IP-адреса и не внося заметной задержки в обмен между ПЛК и датчиками/исполнительными механизмами.
Ключевые функции, которые должен поддерживать современный промышленный экран
При выборе решения для ОТ-среды стоит обращать внимание на следующие возможности:
- Глубокая инспекция промышленных протоколов Экран должен не просто пропускать или блокировать порт 502 (Modbus TCP) или 102 (S7), а разбирать содержимое пакетов: разрешать чтение/запись только определённых регистров, блокировать опасные функции (например, Write Single Register в критических контурах), проверять последовательность команд. Это позволяет остановить атаки вида Man-in-the-Middle или подмену значений в реальном времени.
- Режимы работы с минимальной задержкой Поддержка прозрачного моста, bump-in-the-wire или виртуального патчинга без изменения топологии сети. В реальных проектах задержка свыше 100–200 микросекунд на критических участках часто приводит к необходимости отключать защитные функции.
- Сегментация по зонам и каналам (conduits) Возможность создавать множество независимых правил для разных технологических потоков внутри одной физической сети, что соответствует принципам IEC 62443 и модели Purdue.
- Интеграция с системами мониторинга и управления изменениями Современные промышленные экраны экспортируют логи в формате CEF или LEEF, поддерживают SNMPv3 и OPC UA для передачи событий в SIEM или SCADA. Также важна функция «правил по умолчанию deny» и строгая блокировка несанкционированных изменений конфигурации.
Заключение
Сетевые экраны остаются одним из самых эффективных и обязательных элементов защиты промышленных сетей. Однако их правильный выбор и размещение напрямую влияют на безопасность и непрерывность производства. Универсальные корпоративные NGFW редко подходят для нижних уровней Purdue, а слишком простые packet-фильтры не справляются с современными целенаправленными атаками на ОТ.
Лучшая практика — комбинированный подход: мощный NGFW на границе IT/OT и специализированные промышленные экраны внутри технологической сети. Только так можно одновременно обеспечить глубокую инспекцию на верхних уровнях и сверхнизкую задержку на нижних, сохраняя при этом высокий уровень доступности критических процессов.
Вопросы и ответы
1. Чем промышленные сетевые экраны отличаются от обычных корпоративных NGFW?
Промышленные межсетевые экраны (Industrial Firewalls) проектируются с учётом жёсткого приоритета доступности (availability) над всеми остальными аспектами безопасности. В ОТ-средах даже задержка в 5–20 миллисекунд может привести к сбою технологического процесса, поэтому такие устройства минимизируют время обработки пакетов — часто до уровня менее 50–100 микросекунд в режиме прозрачного моста.
Корпоративные NGFW обычно выполняют глубокий анализ на уровне приложений, проверяют URL, сигнатуры вредоносного ПО, расшифровывают TLS и проводят интенсивный DPI. В промышленной сети эти функции либо полностью отключаются, либо сильно ограничиваются, так как они добавляют недопустимую латентность. Вместо этого промышленный экран глубоко разбирает именно полевые протоколы — Modbus TCP, PROFINET, EtherNet/IP, S7comm, DNP3, IEC 61850 — и позволяет создавать правила на уровне конкретных регистров, функций, тегов OPC UA и т.д.
Ещё одно важное отличие — физическая надёжность: промышленные экраны работают в диапазоне температур от –40 °C до +75 °C и выше, выдерживают вибрацию, удары, электромагнитные помехи и часто имеют форм-фактор для DIN-рейки.
2. Почему в ОТ-сетях нельзя просто поставить обычный офисный межсетевой экран?
Обычный офисный NGFW ориентирован на типичный IT-трафик: HTTP/HTTPS, SMTP, RDP, VoIP и т.д. Он плохо понимает (или вообще не понимает) детерминированные промышленные протоколы реального времени, которые часто работают без шифрования, используют нестандартные порты и имеют очень жёсткие тайминги.
Если такой экран начнёт активно инспектировать трафик между ПЛК и датчиками, он неизбежно внесёт задержку, которая нарушит синхронизацию контура управления. В результате возможны ложные срабатывания защитных отключений, колебания параметров процесса или полная остановка линии. Кроме того, корпоративные устройства редко сертифицированы по промышленным стандартам электромагнитной совместимости и не выдерживают условий цеха.
3. Что такое режим прозрачного моста и зачем он нужен в промышленных экранах?
Режим прозрачного моста (transparent bridge) позволяет экрану работать на канальном уровне L2 без изменения IP- и MAC-адресов устройств в сети. Устройство просто «врезается» в существующий кабель (bump-in-the-wire), не требуя перенастройки адресов на ПЛК, SCADA или датчиках.
Это критически важно, потому что в большинстве АСУ ТП изменение IP-адресов или маршрутизации требует длительной остановки и перепрограммирования сотен устройств. Прозрачный режим позволяет внедрить защиту без нарушения существующей топологии и без риска потери связи в критический момент.
4. Как сетевые экраны вписываются в модель Purdue?
Модель Purdue делит промышленную сеть на уровни от 0 (физический процесс) до 5 (корпоративный уровень). Промышленные экраны размещаются в двух основных местах: между уровнем 3 и 3.5 (DMZ/IDMZ) и между уровнями 0–2 и уровнем 3.
На границе IT/OT (уровень 3.5) ставят мощные NGFW с функциями глубокого анализа, IPS, фильтрации OPC UA/MQTT и строгого контроля команд. Внутри цеха (между уровнями 0–2 и 3) используют компактные промышленные экраны в режиме моста — они сегментируют ячейки, защищают отдельные ПЛК и минимизируют латентность.
5. Какие промышленные протоколы должен поддерживать хороший OT-firewall?
Современный промышленный экран обязан глубоко разбирать как минимум: Modbus TCP/RTU, PROFINET, EtherNet/IP (CIP), Siemens S7comm/S7comm-plus, DNP3, IEC 60870-5-104, OPC UA (включая Pub/Sub), IEC 61850 (MMS/GOOSE/SV), EtherCAT, Profibus DP, Foundation Fieldbus HSE.
При этом недостаточно просто пропускать порт — нужно уметь фильтровать по конкретным функциям (например, запретить Write Multiple Registers в критических регистратах), проверять диапазоны значений, последовательность команд и целостность сессий.
6. Что значит «глубокая инспекция промышленных протоколов»?
Это способность экрана разбирать содержимое пакета на уровне прикладного протокола, а не только заголовки TCP/UDP/IP. Например, в Modbus TCP экран может разрешить чтение Holding Registers 40001–40050, но запретить запись в регистр 40100, или блокировать функцию 0x10 (Write Multiple Coils) от определённого IP.
Такая гранулярность позволяет остановить targeted-атаки, когда злоумышленник уже находится внутри сети и пытается подменить значения в ПЛК или отправить опасные команды.
7. Почему задержка важнее, чем в IT-сетях?
В контурах управления реального времени (motion control, ПИД-регуляторы, синхронизация приводов) цикл обмена данными часто составляет 1–10 мс. Если экран добавит хотя бы 200–500 мкс на пакет, суммарная задержка на нескольких узлах может превысить допустимый jitter и привести к нестабильности процесса или аварийному останову.
Поэтому промышленные экраны стремятся к латентности <50–100 мкс в мостовом режиме, а в некоторых случаях — даже ниже 10 мкс на гигабитных портах.
8. Какие физические требования предъявляются к промышленным экранам?
Они должны работать в экстремальных условиях: температура от –40 °C до +75 °C (иногда до +85 °C), влажность до 95 %, вибрация 5–20 g, удары до 30 g, защита от пыли и брызг по IP30–IP67, электромагнитная совместимость по EN 61000-6-2/4, резервирование питания 12–48 В DC с обратной полярностью.
Часто требуется поддержка PRP/HSR (IEC 62439-3) для нулевого времени переключения при отказе канала.
9. Что такое сегментация по зонам и каналам (conduits) в контексте экранов?
Согласно IEC 62443, сеть делится на зоны (группы активов с одинаковым уровнем риска) и каналы (conduits) — контролируемые пути связи между зонами. Экран реализует эти каналы, применяя правила «только необходимый трафик».
Например, одна зона — линия розлива, другая — котельная. Между ними разрешается только обмен Historian-данными по OPC UA, а все остальные протоколы блокируются.
10. Можно ли использовать один экран на всю фабрику?
Теоретически можно, но на практике это не рекомендуется. Один мощный NGFW на границе IT/OT защищает от внешних угроз, но не спасает от латерального перемещения внутри цеха после компрометации.
Лучшая практика — многоуровневая защита: мощный NGFW на уровне 3.5 + несколько компактных промышленных экранов внутри уровней 0–2 для микросегментации ячеек и линий.
11. Как промышленные экраны помогают против атак Man-in-the-Middle?
Они проверяют целостность сессий, последовательность команд и могут блокировать аномальные паттерны (например, внезапное появление функции «стоп» или запись в защищённый регистр). Некоторые модели реализуют виртуальный патчинг и обнаруживают подмену значений в реальном времени.
12. Нужно ли шифрование в ОТ-сетях и как экраны с этим работают?
Шифрование (TLS, IPsec) в нижних уровнях Purdue применяется редко из-за накладных расходов на процессор ПЛК и задержек. Экраны обычно не принуждают к шифрованию, но могут проверять сертификаты в OPC UA и блокировать незащищённые соединения на верхних уровнях.
13. Какие логи и интеграции должны поддерживать промышленные экраны?
Стандарт — экспорт в CEF/LEEF/Syslog, поддержка SNMPv3, OPC UA для событий, интеграция с SIEM и SCADA. Важны также функции «правил по умолчанию deny», аудит изменений конфигурации и защита от несанкционированного доступа к самому экрану.
14. В чём разница между «прозрачным мостом» и «виртуальным патчингом»?
Прозрачный мост — это физический режим работы устройства без изменения адресов. Виртуальный патчинг — это программная функция, когда экран блокирует известные уязвимости в протоколах без обновления прошивки ПЛК (например, блокирует опасные команды в старом Modbus-устройстве).
15. Как часто нужно обновлять прошивку промышленного экрана?
Значительно реже, чем у офисных NGFW — обычно 1–2 раза в год, после тщательного тестирования на стенде. Обновления должны проходить через процесс управления изменениями (MOC), потому что ошибка может привести к остановке производства.
16. Можно ли ставить промышленный экран перед legacy-оборудованием 1990-х годов?
Да, и это одна из главных задач. Экран защищает уязвимые устройства, которые невозможно пропатчить, фильтруя только разрешённые команды и блокируя всё остальное.
17. Как экраны помогают соответствовать стандарту IEC 62443?
Они реализуют FR5 (Restricted Data Flow), FR1–FR4 (аутентификация, контроль доступа, целостность), FR7 (доступность). Правильная сегментация зон и каналов — одно из основных требований стандарта.
18. Какие производители лидируют в сегменте промышленных экранов в 2025–2026 годах?
Среди популярных решений: Fortinet (FortiGate Rugged и специальные OT-модели), Cisco (Industrial Security Appliance), Palo Alto (PA-Series с OT-поддержкой), Hirschmann (EAGLE20/30), Moxa (EDR/G4000), Belden, Nozomi (пассивный мониторинг + активная защита), Check Point (с модулями для ОТ).
19. Что лучше — один мощный NGFW или несколько маленьких промышленных экранов?
Оптимально — комбинация. Мощный NGFW на границе IT/OT для глубокой инспекции и несколько компактных экранов внутри для микросегментации и минимальной задержки.
20. Какие главные ошибки допускают при внедрении промышленных экранов?
Самые частые: попытка использовать обычный офисный NGFW в цеху, включение всех функций DPI/IPS на критических контурах, отсутствие тестирования на стенде перед внедрением, игнорирование резервирования питания и каналов, отсутствие плана отката, слабая сегментация (одна большая зона вместо микрозон).