工業(yè)防火墻是什么

工業(yè)防火墻是一個有軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、網(wǎng)與公共網(wǎng)之間的邊界上構造的保護屏障。工業(yè)防火墻，顧名思義就是針對工業(yè)網(wǎng)絡的，可以解析工業(yè)協(xié)議，專門針對工業(yè)病毒的，一般使用的是白名單機制；普通防火墻，也就是我們平時說的網(wǎng)絡防火墻主要是放在內(nèi)網(wǎng)與外網(wǎng)隔離的位置，不能解析工業(yè)協(xié)議，基于黑名單機制，需要定期升級病毒庫。

工控防火墻的功能特點

白名單管理：工業(yè)防火墻的一個重要創(chuàng)新，就是引入白名單形式的安全策略控制。由于工控網(wǎng)絡通信固定化的特征，確定了使用白名單技術進行安全控制，是解決工業(yè)網(wǎng)絡安全的一個重要且有效的方式。

安全策略規(guī)則：工業(yè)防火墻作為防火墻類的產(chǎn)品，內(nèi)置的防火墻管理功能是其基礎功能之一，工業(yè)防火墻采用狀態(tài)檢測防火墻的機制實現(xiàn)相應的訪問控制功能。

安全策略無擾下裝：考慮到工業(yè)網(wǎng)絡對于可用性、持續(xù)性和實時性的要求，捷普工業(yè)防火墻采用全透明接入的方式，提供學習、測試、管控三種工作模式，產(chǎn)品在部署、配置和使用過程中可以根據(jù)需要實時切換到適當?shù)墓ぷ髂Ｊ较?，保證在整個部署過程中都不會阻斷正常的業(yè)務數(shù)據(jù)傳輸，無需中斷生產(chǎn)系統(tǒng)的運行，而且在啟動深度過濾時可選擇僅警告，等確認后在進行處理，保障生產(chǎn)系統(tǒng)不間斷運行。

工業(yè)網(wǎng)絡通訊協(xié)議與普通的網(wǎng)絡協(xié)議有哪些不同

工業(yè)協(xié)議基本上都是明文的協(xié)議，并且傳輸?shù)臄?shù)據(jù)包具有順序性。由于時期工業(yè)環(huán)境是是軟件硬件和的協(xié)議，而且處于隔離的網(wǎng)絡環(huán)境，設備計算性能低下，因此工業(yè)協(xié)議設計都從未考慮加密的特性，基本上都是明文的傳輸。雖然工業(yè)設備的廠家?guī)缀醮笾露几髯蚤_發(fā)了自己的私有協(xié)議，但是這些私有的協(xié)議通過抓包進行分析，就可以得出這個協(xié)議大體的實現(xiàn)。這是因為工業(yè)協(xié)議還有另外一個特征是，其協(xié)議發(fā)送的數(shù)據(jù)包幾乎是具有順序性的，而ICT環(huán)境的網(wǎng)絡協(xié)議大部分是隨機性的。因此就協(xié)議上來說，工控防火墻對工業(yè)協(xié)議的過濾和解析控制，區(qū)別于傳統(tǒng)防火墻的工作模式是：工控防火墻只能夠利用已知的工業(yè)專有通訊協(xié)議建立防護規(guī)則，其他的未公開的私有工業(yè)協(xié)議需要工控防火墻再利用智能學習的模式學習來建立該協(xié)議的規(guī)則庫。工控防火墻的智能學習模式就是利用了工業(yè)協(xié)議的明文傳輸且具有順序性質(zhì)的特點，抓取一定數(shù)量的協(xié)議數(shù)據(jù)包進行分析，就可以得出這個私有協(xié)議的協(xié)議特征，從而針對這個特征就可以建立規(guī)則庫。

工業(yè)防火墻特點

1、阻止控制設備/系統(tǒng)被訪問，阻斷下發(fā)控制指令；防止病毒、惡意代碼等肆意傳播。

2、內(nèi)置工業(yè)通訊協(xié)議的過濾模塊，支持各種工業(yè)協(xié)議識別及過濾，彌補商業(yè)防火墻不支持工業(yè)協(xié)議過濾的不足。

3、可以離線配置，遠程配置，配置過程不影響業(yè)務。

4、過濾規(guī)則可通過自學習模塊自動學習，方便SCADA/DCS/PLC維護人員使用。

5、 具有工業(yè)協(xié)議深度防御功能

6、網(wǎng)絡攻擊的防護模塊

7、具備VPN功能

8、具備安全審計功能