ODVA近日宣布，EtherNet/IP™的網絡安全擴展CIP SecurityT™新增了基於設備的防火牆配置，以增強對入侵的威懾力。CIP Security基於設備的防火牆為用戶提供了一個簡單的流量過濾器
，類似於IP Tables程序在Linux中設置防火牆的方式。基於設備的防火牆是通過新的CIP Security防火牆配置文件實現
，該功能還可根據需要靈活啟動或禁用。通過基於設備的防火牆，CIP Security現在可以提供更強大的設備級保護，幫助阻止不良行為者侵入EtherNet/IP工業網絡。

CIP Security基於設備的防火牆是一種根據IP地址、端口和協議來過濾流量的機製。基於設備的防火牆是通過名為 “Ingress Egress Object(入口出口對象)”的新CIP對象來實現的，該對象支持建立已知IP地址的白名單、配置可用密碼套件，並根據IP地址和端口號來定義路由規則。這意味著支持CIP Security的EtherNet/IP設備可以確定與哪些節點安全通信， 以及是否需要TLS或DTLS加密。此外，用戶還可以決定是否允許其他設備通過配置的CIP Security設備路由CIP通信。作為深度防禦的一部分，這種全新的基於設備的防火牆增加了另一層威懾力，幫助保護物理和數字資產免受損害。

EtherNet/IP係統結構特別興趣小組(SIG)副主席Jack Visoky表示：“CIP Security將繼續增加額外的安全功能
，如全新的基於設備的防火牆，以幫助保護EtherNet/IP設備免遭濫用，避免關鍵係統遭到損壞或信息丟失。”ODVA總裁兼執行董事Al Beydoun博士也表示認同，他說：“阻止未經授權的IP地址和端口號訪問支持CIP Security的EtherNet/IP設備，為關鍵工業自動化應用提供了另一層保護，是深度防禦的一部分。CIP Security新增的基於設備的防火牆配置是持續打擊可能導致經濟和聲譽損失的惡意網絡入侵的又一重要更新。”

新增的CIP Security基於設備的防火牆配置隻允許已知IP地址使用標準EtherNet/IP進行通信。此外，允許的CIP路由能基於一組可信的IP地址、端口和加密進行配置。使用基於設備的防火牆後，來自不匹配的IP地址或端口的數據包將被丟棄

，從而無法完成企圖的惡意任務。ODVA致力於確保EtherNet/IP用戶通過CIP Security獲得強大且持續更新的設備安全選項
，作為深度防禦的一部分。