工業(yè)防火墻是什么

工業(yè)防火墻是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、網(wǎng)與公共網(wǎng)之間的邊界上構(gòu)造的保護(hù)屏障。工業(yè)防火墻，顧名思義就是針對工業(yè)網(wǎng)絡(luò)的，可以解析工業(yè)協(xié)議，專門針對工業(yè)病毒的，一般使用的是白名單機(jī)制；普通防火墻，也就是我們平時(shí)說的網(wǎng)絡(luò)防火墻主要是放在內(nèi)網(wǎng)與外網(wǎng)隔離的位置，不能解析工業(yè)協(xié)議，基于黑名單機(jī)制，需要定期升級病毒庫。

工業(yè)防火墻應(yīng)用場景

工業(yè)防火墻的應(yīng)用場景主要包括以下三種：

（1） 部署于隔離管理網(wǎng)與控制網(wǎng)之間工業(yè)防火墻控制跨層訪問并深度過濾層級間的數(shù)據(jù)交換，阻止攻擊者基于管理網(wǎng)向控制網(wǎng)發(fā)起攻擊。

（2） 部署于控制網(wǎng)的不同安全區(qū)域間工業(yè)防火墻可將控制網(wǎng)分成不同的安全區(qū)域，控制安全區(qū)域之間的訪問，并深度過濾各區(qū)域間的流量數(shù)據(jù)，以阻止區(qū)域間安全風(fēng)險(xiǎn)的擴(kuò)散。

（3） 部署于關(guān)鍵設(shè)備與控制網(wǎng)之間工業(yè)防火墻檢測訪問關(guān)鍵設(shè)備的IP，阻止非業(yè)務(wù)端口的訪問與操作指令，記錄關(guān)鍵設(shè)備的所有訪問與操作記錄，實(shí)現(xiàn)對關(guān)鍵設(shè)備的安全防護(hù)與流量審計(jì)。

工業(yè)防火墻的核心功能

四重白名單一體化防護(hù)，構(gòu)建工業(yè)生產(chǎn)安全環(huán)境

針對網(wǎng)絡(luò)層、應(yīng)用層、規(guī)約指令層、規(guī)約數(shù)據(jù)層進(jìn)行四重白名單過濾的一體化縱深防護(hù)，將各種黑流量、灰流量進(jìn)行過濾，滿足不同場景下不同協(xié)議的精細(xì)化安全訪問控制需求。同時(shí)，系統(tǒng)采用一體化的數(shù)據(jù)處理架構(gòu)，保證在四重防護(hù)情況下不影響數(shù)據(jù)流的時(shí)延，滿足工業(yè)實(shí)時(shí)性的要求。

白名單規(guī)則自學(xué)習(xí)，建立完整準(zhǔn)確防護(hù)基線

采用白名單機(jī)制設(shè)置安全策略，以適應(yīng)工控網(wǎng)絡(luò)通訊特點(diǎn)。設(shè)備實(shí)時(shí)網(wǎng)絡(luò)之間的流量，通過自學(xué)習(xí)機(jī)制生成流量基線，由此建立白名單。

三段式運(yùn)行模式，穩(wěn)妥漸進(jìn)實(shí)現(xiàn)防護(hù)目標(biāo)

提供學(xué)習(xí)、告警和防護(hù)三段式運(yùn)行模式，幫助用戶穩(wěn)妥漸進(jìn)部署安全策略，以確保不誤阻斷正常流量，避免生產(chǎn)事故。學(xué)習(xí)模式即對工業(yè)協(xié)議流量進(jìn)行分析學(xué)習(xí)建立白名單，不做任何阻斷處理；告警模式，就是對學(xué)習(xí)建立的白名單進(jìn)行測試驗(yàn)證，對于違反策略的流量發(fā)出告警，但不阻斷；防護(hù)模式，經(jīng)過告警模式的觀察磨合，確認(rèn)安全策略已完全符合管理要求后，終切換到該模式。

工業(yè)防火墻的部署方式

工業(yè)防火墻可以部署在企業(yè)網(wǎng)絡(luò)層（L 4）與生產(chǎn)管理層（L 3）之間，作為控制網(wǎng)邊界的道防線。也可以部署在生產(chǎn)管理層（L 3）和過程監(jiān)控層（L 2）之間，用于保護(hù)過程監(jiān)控層網(wǎng)絡(luò)及現(xiàn)場控制層網(wǎng)絡(luò)。還可部署于過程監(jiān)控層（L 2）和現(xiàn)場控制層（L 1）之間，用于進(jìn)行生產(chǎn)區(qū)域間隔離防護(hù)。工業(yè)防火墻可由管理平臺進(jìn)行統(tǒng)一安全管理。