工業(yè)防火墻應用場景

工業(yè)防火墻的應用場景主要包括以下三種：

（1） 部署于隔離管理網(wǎng)與控制網(wǎng)之間工業(yè)防火墻控制跨層訪問并深度過濾層級間的數(shù)據(jù)交換，阻止攻擊者基于管理網(wǎng)向控制網(wǎng)發(fā)起攻擊。

（2） 部署于控制網(wǎng)的不同安全區(qū)域間工業(yè)防火墻可將控制網(wǎng)分成不同的安全區(qū)域，控制安全區(qū)域之間的訪問，并深度過濾各區(qū)域間的流量數(shù)據(jù)，以阻止區(qū)域間安全風險的擴散。

（3） 部署于關鍵設備與控制網(wǎng)之間工業(yè)防火墻檢測訪問關鍵設備的IP，阻止非業(yè)務端口的訪問與操作指令，記錄關鍵設備的所有訪問與操作記錄，實現(xiàn)對關鍵設備的安全防護與流量審計。

工控防火墻和傳統(tǒng)防火墻的區(qū)別

傳統(tǒng)防火墻未裝載工業(yè)協(xié)議解析模塊，不理解不支持工業(yè)控制協(xié)議。工業(yè)網(wǎng)絡采用的是工業(yè)協(xié)議，工業(yè)協(xié)議的類別很多，有基于工業(yè)以太網(wǎng)（基于二層和三層）的協(xié)議，有基于串行鏈路的協(xié)議，這些協(xié)議都需要專門的工業(yè)協(xié)議解析模塊來對其進行協(xié)議過濾和解析。傳統(tǒng)防火墻只針對于ICT環(huán)境，無法完全支持對工業(yè)協(xié)議的無/有狀態(tài)過濾，也無法對工業(yè)協(xié)議進行深度解析和控制。

工業(yè)網(wǎng)絡通訊協(xié)議與普通的網(wǎng)絡協(xié)議有哪些不同

工業(yè)協(xié)議基本上都是明文的協(xié)議，并且傳輸?shù)臄?shù)據(jù)包具有順序性。由于時期工業(yè)環(huán)境是是軟件硬件和的協(xié)議，而且處于隔離的網(wǎng)絡環(huán)境，設備計算性能低下，因此工業(yè)協(xié)議設計都從未考慮加密的特性，基本上都是明文的傳輸。雖然工業(yè)設備的廠家?guī)缀醮笾露几髯蚤_發(fā)了自己的私有協(xié)議，但是這些私有的協(xié)議通過抓包進行分析，就可以得出這個協(xié)議大體的實現(xiàn)。這是因為工業(yè)協(xié)議還有另外一個特征是，其協(xié)議發(fā)送的數(shù)據(jù)包幾乎是具有順序性的，而ICT環(huán)境的網(wǎng)絡協(xié)議大部分是隨機性的。因此就協(xié)議上來說，工控防火墻對工業(yè)協(xié)議的過濾和解析控制，區(qū)別于傳統(tǒng)防火墻的工作模式是：工控防火墻只能夠利用已知的工業(yè)專有通訊協(xié)議建立防護規(guī)則，其他的未公開的私有工業(yè)協(xié)議需要工控防火墻再利用智能學習的模式學習來建立該協(xié)議的規(guī)則庫。工控防火墻的智能學習模式就是利用了工業(yè)協(xié)議的明文傳輸且具有順序性質(zhì)的特點，抓取一定數(shù)量的協(xié)議數(shù)據(jù)包進行分析，就可以得出這個私有協(xié)議的協(xié)議特征，從而針對這個特征就可以建立規(guī)則庫。

工業(yè)防火墻

從應用角度看，防火墻則分為傳統(tǒng)IT防火墻和工業(yè)控制系統(tǒng)防火墻（以下簡稱工業(yè)防火墻）?！缎畔踩夹g 工業(yè)控制系統(tǒng)防火墻技術要求》（征求意見稿）就針對工業(yè)防火墻提出了特殊的安全功能要求，其中指出：工業(yè)防火墻是可應用于工業(yè)控制環(huán)境，對工業(yè)控制系統(tǒng)邊界以及工業(yè)控制系統(tǒng)內(nèi)部不同控制域之間進行邊界保護，并滿足特定工業(yè)環(huán)境和功能要求的防火墻。