工業(yè)防火墻基本概念

工業(yè)防火墻是一款應(yīng)用于工控網(wǎng)絡(luò)安全的串行防護(hù)產(chǎn)品，用于解析、識別與控制所有通過工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)流量，以抵御來自內(nèi)外網(wǎng)對工控設(shè)備的攻擊。工業(yè)防火墻的主要功能包括工業(yè)協(xié)議深度解析、濾、端口掃描防護(hù)、安全審計(jì)、惡意代碼防護(hù)、漏洞防護(hù)、訪問權(quán)限限定等。

工業(yè)防火墻的產(chǎn)品形態(tài)分為導(dǎo)軌式與機(jī)架式。

1、導(dǎo)軌式：符合德國 DIN導(dǎo)軌標(biāo)準(zhǔn)，可便捷地部署在條件嚴(yán)苛的生產(chǎn)現(xiàn)場。

2、機(jī)架式：通常部署在工廠的機(jī)房中。

工業(yè)防火墻應(yīng)用場景

工業(yè)防火墻的應(yīng)用場景主要包括以下三種：

（1） 部署于隔離管理網(wǎng)與控制網(wǎng)之間工業(yè)防火墻控制跨層訪問并深度過濾層級間的數(shù)據(jù)交換，阻止攻擊者基于管理網(wǎng)向控制網(wǎng)發(fā)起攻擊。

（2） 部署于控制網(wǎng)的不同安全區(qū)域間工業(yè)防火墻可將控制網(wǎng)分成不同的安全區(qū)域，控制安全區(qū)域之間的訪問，并深度過濾各區(qū)域間的流量數(shù)據(jù)，以阻止區(qū)域間安全風(fēng)險(xiǎn)的擴(kuò)散。

（3） 部署于關(guān)鍵設(shè)備與控制網(wǎng)之間工業(yè)防火墻檢測訪問關(guān)鍵設(shè)備的IP，阻止非業(yè)務(wù)端口的訪問與操作指令，記錄關(guān)鍵設(shè)備的所有訪問與操作記錄，實(shí)現(xiàn)對關(guān)鍵設(shè)備的安全防護(hù)與流量審計(jì)。

工業(yè)防火墻的邊界防護(hù)

邊界防護(hù)的場景主要針對工控網(wǎng)絡(luò)的過程監(jiān)控層與生產(chǎn)管理層通信的場景，生產(chǎn)管理層與過程監(jiān)控層之間通過OPC協(xié)議或者ODBC等數(shù)據(jù)庫協(xié)議進(jìn)行數(shù)據(jù)交互，邊界防護(hù)主要是防范來自企業(yè)生產(chǎn)管理層和互聯(lián)網(wǎng)的威脅，需要結(jié)合傳統(tǒng)網(wǎng)絡(luò)信息安全與工控網(wǎng)絡(luò)安全的特點(diǎn)，防止生產(chǎn)管理層的網(wǎng)絡(luò)病毒和惡意攻擊時(shí)，威脅通過通訊服務(wù)器蔓延到工控網(wǎng)絡(luò)，影響生產(chǎn)和業(yè)務(wù)正常運(yùn)行。

邊界防護(hù)的重點(diǎn)在于防護(hù)生產(chǎn)管理層和互聯(lián)網(wǎng)的惡意攻擊，保證生產(chǎn)管理層的可信任主機(jī)訪問過程監(jiān)控層的合法數(shù)據(jù)，確保生產(chǎn)管理層和互聯(lián)網(wǎng)的設(shè)備受到惡意攻擊后，工控網(wǎng)絡(luò)不會(huì)受到影響，保證工控網(wǎng)絡(luò)正常運(yùn)行

工業(yè)防火墻的域間隔離

域間隔離的場景主要針對工控系統(tǒng)網(wǎng)絡(luò)中的多域和多單元裝置場景，域間需要通過工控網(wǎng)絡(luò)互訪數(shù)據(jù)。域間隔離的工業(yè)防火墻通過一系列的安全策略，防止在某個(gè)域中病毒或者受到攻擊時(shí)，威脅蔓延到整個(gè)工控網(wǎng)絡(luò)。

域間隔離的重點(diǎn)在于多域間業(yè)務(wù)邏輯隔離，保證合法的數(shù)據(jù)在信任的主機(jī)之間進(jìn)行交換，確保工控網(wǎng)絡(luò)的某個(gè)域的設(shè)備受到惡意攻擊后，其他域的網(wǎng)絡(luò)數(shù)據(jù)能夠正常運(yùn)行。