工業(yè)防火墻功能特點

工業(yè)防火墻相比于傳統(tǒng)防火墻能更好地滿足工業(yè)現(xiàn)場的特殊要求，主要包括以下特點：

（1）工業(yè)防火墻不僅能解析通用協(xié)議，還能解析工業(yè)協(xié)議，可適用于SCADA、DCS、PLC 、PCS等工業(yè)控制系統(tǒng)，并廣泛應(yīng)用于電力、、石油石化、制造業(yè)、水利、鐵路、軌道交通、等行業(yè)的工業(yè)控制系統(tǒng)中。

（2）工業(yè)防火墻相比傳統(tǒng)防火墻具備更強的環(huán)境適應(yīng)性、可靠性、穩(wěn)定性和實時性。具備硬件BYPASS、冗余電源、雙機熱備等功能，滿足工業(yè)級寬溫、防塵、抗電磁、抗震、無風(fēng)扇、全封閉設(shè)計等要求。

工業(yè)網(wǎng)絡(luò)通訊協(xié)議與普通的網(wǎng)絡(luò)協(xié)議有哪些不同

工業(yè)協(xié)議基本上都是明文的協(xié)議，并且傳輸?shù)臄?shù)據(jù)包具有順序性。由于時期工業(yè)環(huán)境是是軟件硬件和的協(xié)議，而且處于隔離的網(wǎng)絡(luò)環(huán)境，設(shè)備計算性能低下，因此工業(yè)協(xié)議設(shè)計都從未考慮加密的特性，基本上都是明文的傳輸。雖然工業(yè)設(shè)備的廠家?guī)缀醮笾露几髯蚤_發(fā)了自己的私有協(xié)議，但是這些私有的協(xié)議通過抓包進行分析，就可以得出這個協(xié)議大體的實現(xiàn)。這是因為工業(yè)協(xié)議還有另外一個特征是，其協(xié)議發(fā)送的數(shù)據(jù)包幾乎是具有順序性的，而ICT環(huán)境的網(wǎng)絡(luò)協(xié)議大部分是隨機性的。因此就協(xié)議上來說，工控防火墻對工業(yè)協(xié)議的過濾和解析控制，區(qū)別于傳統(tǒng)防火墻的工作模式是：工控防火墻只能夠利用已知的工業(yè)專有通訊協(xié)議建立防護規(guī)則，其他的未公開的私有工業(yè)協(xié)議需要工控防火墻再利用智能學(xué)習(xí)的模式學(xué)習(xí)來建立該協(xié)議的規(guī)則庫。工控防火墻的智能學(xué)習(xí)模式就是利用了工業(yè)協(xié)議的明文傳輸且具有順序性質(zhì)的特點，抓取一定數(shù)量的協(xié)議數(shù)據(jù)包進行分析，就可以得出這個私有協(xié)議的協(xié)議特征，從而針對這個特征就可以建立規(guī)則庫。

工業(yè)防火墻的邊界防護

邊界防護的場景主要針對工控網(wǎng)絡(luò)的過程監(jiān)控層與生產(chǎn)管理層通信的場景，生產(chǎn)管理層與過程監(jiān)控層之間通過OPC協(xié)議或者ODBC等數(shù)據(jù)庫協(xié)議進行數(shù)據(jù)交互，邊界防護主要是防范來自企業(yè)生產(chǎn)管理層和互聯(lián)網(wǎng)的威脅，需要結(jié)合傳統(tǒng)網(wǎng)絡(luò)信息安全與工控網(wǎng)絡(luò)安全的特點，防止生產(chǎn)管理層的網(wǎng)絡(luò)病毒和惡意攻擊時，威脅通過通訊服務(wù)器蔓延到工控網(wǎng)絡(luò)，影響生產(chǎn)和業(yè)務(wù)正常運行。

邊界防護的重點在于防護生產(chǎn)管理層和互聯(lián)網(wǎng)的惡意攻擊，保證生產(chǎn)管理層的可信任主機訪問過程監(jiān)控層的合法數(shù)據(jù)，確保生產(chǎn)管理層和互聯(lián)網(wǎng)的設(shè)備受到惡意攻擊后，工控網(wǎng)絡(luò)不會受到影響，保證工控網(wǎng)絡(luò)正常運行