工業(yè)防火墻是什么

工業(yè)防火墻是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、網(wǎng)與公共網(wǎng)之間的邊界上構(gòu)造的保護屏障。工業(yè)防火墻，顧名思義就是針對工業(yè)網(wǎng)絡(luò)的，可以解析工業(yè)協(xié)議，專門針對工業(yè)病毒的，一般使用的是白名單機制；普通防火墻，也就是我們平時說的網(wǎng)絡(luò)防火墻主要是放在內(nèi)網(wǎng)與外網(wǎng)隔離的位置，不能解析工業(yè)協(xié)議，基于黑名單機制，需要定期升級病毒庫。

工業(yè)防火墻功能特點

工業(yè)防火墻相比于傳統(tǒng)防火墻能更好地滿足工業(yè)現(xiàn)場的特殊要求，主要包括以下特點：

（1）工業(yè)防火墻不僅能解析通用協(xié)議，還能解析工業(yè)協(xié)議，可適用于SCADA、DCS、PLC 、PCS等工業(yè)控制系統(tǒng)，并廣泛應(yīng)用于電力、、石油石化、制造業(yè)、水利、鐵路、軌道交通、等行業(yè)的工業(yè)控制系統(tǒng)中。

（2）工業(yè)防火墻相比傳統(tǒng)防火墻具備更強的環(huán)境適應(yīng)性、可靠性、穩(wěn)定性和實時性。具備硬件BYPASS、冗余電源、雙機熱備等功能，滿足工業(yè)級寬溫、防塵、抗電磁、抗震、無風(fēng)扇、全封閉設(shè)計等要求。

工業(yè)網(wǎng)閘與防火墻的區(qū)別

首先解釋下網(wǎng)閘與防火墻的區(qū)別。從硬件架構(gòu)上來說，網(wǎng)閘為2 1的結(jié)構(gòu)，及前后主機 隔離硬件，防火墻是單主機系統(tǒng)。由于這種架構(gòu)的區(qū)別，網(wǎng)閘在數(shù)據(jù)交換時所有數(shù)據(jù)需要落地轉(zhuǎn)換，數(shù)據(jù)進入擺渡區(qū)之前要經(jīng)過的協(xié)議剝離，到了后主機上再進行數(shù)據(jù)封裝，故不存在內(nèi)外網(wǎng)之間的回話，連接終止與內(nèi)外網(wǎng)主機；而防火墻工作在路由模式，直接進行數(shù)據(jù)包轉(zhuǎn)發(fā)，其內(nèi)部所有的TCP/IP會話都是在網(wǎng)絡(luò)之間進行，存在被劫持和復(fù)用的風(fēng)險；

其次部署位置上，網(wǎng)閘一般部署在辦公網(wǎng)和業(yè)務(wù)網(wǎng)之間，高安全與低安全區(qū)域之間，其功能主要為文件同步、數(shù)據(jù)庫同步、組播工控協(xié)議等；防火墻主要部署在網(wǎng)絡(luò)邊界，功能包括ACL,NAT,IPS等。

工控防火墻的功能特點

白名單管理：工業(yè)防火墻的一個重要創(chuàng)新，就是引入白名單形式的安全策略控制。由于工控網(wǎng)絡(luò)通信固定化的特征，確定了使用白名單技術(shù)進行安全控制，是解決工業(yè)網(wǎng)絡(luò)安全的一個重要且有效的方式。

安全策略規(guī)則：工業(yè)防火墻作為防火墻類的產(chǎn)品，內(nèi)置的防火墻管理功能是其基礎(chǔ)功能之一，工業(yè)防火墻采用狀態(tài)檢測防火墻的機制實現(xiàn)相應(yīng)的訪問控制功能。

安全策略無擾下裝：考慮到工業(yè)網(wǎng)絡(luò)對于可用性、持續(xù)性和實時性的要求，捷普工業(yè)防火墻采用全透明接入的方式，提供學(xué)習(xí)、測試、管控三種工作模式，產(chǎn)品在部署、配置和使用過程中可以根據(jù)需要實時切換到適當?shù)墓ぷ髂Ｊ较?，保證在整個部署過程中都不會阻斷正常的業(yè)務(wù)數(shù)據(jù)傳輸，無需中斷生產(chǎn)系統(tǒng)的運行，而且在啟動深度過濾時可選擇僅警告，等確認后在進行處理，保障生產(chǎn)系統(tǒng)不間斷運行。