ODVA近日宣布，EtherNet/IP?的網絡安全擴展CIP SecurityT?新增了基于設備的防火墻配置，以增強對入侵的威懾力。CIP Security基于設備的防火墻為用戶提供了一個簡單的流量過濾器，類似于IP Tables程序在Linux中設置防火墻的方式。基于設備的防火墻是通過新的CIP Security防火墻配置文件實現，該功能還可根據需要靈活啟動或禁用。通過基于設備的防火墻，CIP Security現在可以提供更強大的設備級保護，幫助阻止不良行為者侵入EtherNet/IP工業網絡。

CIP Security基于設備的防火墻是一種根據IP地址、端口和協議來過濾流量的機制。基于設備的防火墻是通過名為 “Ingress Egress Object(入口出口對象)”的新CIP對象來實現的，該對象支持建立已知IP地址的白名單、配置可用密碼套件，并根據IP地址和端口號來定義路由規則。這意味著支持CIP Security的EtherNet/IP設備可以確定與哪些節點安全通信， 以及是否需要TLS或DTLS加密。此外，用戶還可以決定是否允許其他設備通過配置的CIP Security設備路由CIP通信。作為深度防御的一部分，這種全新的基于設備的防火墻增加了另一層威懾力，幫助保護物理和數字資產免受損害。

EtherNet/IP系統結構特別興趣小組(SIG)副主席Jack Visoky表示：“CIP Security將繼續增加額外的安全功能，如全新的基于設備的防火墻，以幫助保護EtherNet/IP設備免遭濫用，避免關鍵系統遭到損壞或信息丟失。”ODVA總裁兼執行董事Al Beydoun博士也表示認同，他說：“阻止未經授權的IP地址和端口號訪問支持CIP Security的EtherNet/IP設備，為關鍵工業自動化應用提供了另一層保護，是深度防御的一部分。CIP Security新增的基于設備的防火墻配置是持續打擊可能導致經濟和聲譽損失的惡意網絡入侵的又一重要更新。”

新增的CIP Security基于設備的防火墻配置只允許已知IP地址使用標準EtherNet/IP進行通信。此外，允許的CIP路由能基于一組可信的IP地址、端口和加密進行配置。使用基于設備的防火墻后，來自不匹配的IP地址或端口的數據包將被丟棄，從而無法完成企圖的惡意任務。ODVA致力于確保EtherNet/IP用戶通過CIP Security獲得強大且持續更新的設備安全選項，作為深度防御的一部分。