工業(yè)防火墻的功能

四重白名單一體化防護，構(gòu)建工業(yè)生產(chǎn)安全環(huán)境

針對網(wǎng)絡層、應用層、規(guī)約指令層、規(guī)約數(shù)據(jù)層進行四重白名單過濾的一體化縱深防護，將各種黑流量、灰流量進行過濾，滿足不同場景下不同協(xié)議的精細化安全訪問控制需求。同時，系統(tǒng)采用一體化的數(shù)據(jù)處理架構(gòu)，保證在四重防護情況下不影響數(shù)據(jù)流的時延，滿足工業(yè)實時性的要求。

白名單規(guī)則自學習，建立完整準確防護基線

采用白名單機制設(shè)置安全策略，以適應工控網(wǎng)絡通訊特點。設(shè)備實時網(wǎng)絡之間的流量，通過自學習機制生成流量基線，由此建立白名單。

三段式運行模式，穩(wěn)妥漸進實現(xiàn)防護目標

提供學習、告警和防護三段式運行模式，幫助用戶穩(wěn)妥漸進部署安全策略，以確保不誤阻斷正常流量，避免生產(chǎn)事故。學習模式即對工業(yè)協(xié)議流量進行分析學習建立白名單，不做任何阻斷處理；告警模式，就是對學習建立的白名單進行測試驗證，對于違反策略的流量發(fā)出告警，但不阻斷；防護模式，經(jīng)過告警模式的觀察磨合，確認安全策略已完全符合管理要求后，終切換到該模式。

工業(yè)防火墻和普通防火墻的區(qū)別

工業(yè)防火墻主要使用在工控安全領(lǐng)域，其功能除了具備傳統(tǒng)防火墻的安全功能之外，區(qū)別點在于內(nèi)置了工業(yè)通訊協(xié)議的解析和過濾功能，可針對工業(yè)協(xié)議采用深度的包檢測技術(shù)和應用層通訊跟蹤技術(shù)，做到對指令的阻斷、非工控協(xié)議的攔截，以起到保護控制器的功能。其次，工業(yè)防火墻一般部署在每個獨立的生產(chǎn)單元的邊界，具備Bypass機制，其一般只是微秒級。

工業(yè)防火墻產(chǎn)品構(gòu)架

1、基礎(chǔ)系統(tǒng)是由力控華康根據(jù)工業(yè)網(wǎng)絡通信特點和安全防護要求定制開發(fā)的底層運行平臺，為防火墻上層業(yè)務模塊提供必要的運行環(huán)境和安全保障。

2、 業(yè)務模塊是工業(yè)防火墻的業(yè)務處理單元，主要用于完成對于工業(yè)網(wǎng)絡協(xié)議的識別、解析、深度過濾和攻擊防護。

3、配置管理采用B/S架構(gòu)，用于對工業(yè)防火墻進行策略配置和運行監(jiān)控，是與防火墻進行人機交互的接口。