防火牆與單向傳輸閘道器
眼見為憑
提到單向傳輸閘道器,常聽到一個問題:「到底防火牆和單向傳輸閘道器有什麼不同?」
單向傳輸閘道器為特別需要保護的網路區段提供額外防禦,因此可說是防火牆的好拍檔。不過細究會發現,兩者的防禦概念迥然不同。
防火牆在兩段網路或系統間擔任阻隔,但允許部分資訊雙向流通。產業應用上,即是在資訊技術 (IT) 與營運技術 (OT) 系統間,根據預設路由規則調控資料轉移與否。防火牆以軟體為本,即使某些擁有專屬執行硬體的款式,也只是將軟硬體區隔架設,防護效果仍來自於軟體。防火牆允許資訊傳入與傳出,因此開放網路中的潛在問題有機會進入 OT 端(即關鍵系統),我們無從得知其中經過。組態設定不良或具有漏洞的防火牆,本身就可能是風險來源。
單向傳輸閘道器相對於防火牆,採用實體層隔離達到網路系統區隔。資訊透過單向傳輸閘道器只能從安全網路進入開放網路,由 OT 與 IT 兩端各自的代理伺服器分別運作傳送,反向資訊流則無路可通。當然,此機制會降低系統靈活性,但安全性將大幅提升。即使最糟的情況下 IT 端設備遭到入侵,OT 端的重要設備和系統也安全無虞。單向傳輸閘道器就像是實體隔離氣隙,但額外允許即時資料傳輸。