工業(yè)網閘與防火墻的區(qū)別

首先解釋下網閘與防火墻的區(qū)別。從硬件架構上來說，網閘為2 1的結構，及前后主機 隔離硬件，防火墻是單主機系統(tǒng)。由于這種架構的區(qū)別，網閘在數據交換時所有數據需要落地轉換，數據進入擺渡區(qū)之前要經過的協(xié)議剝離，到了后主機上再進行數據封裝，故不存在內外網之間的回話，連接終止與內外網主機；而防火墻工作在路由模式，直接進行數據包轉發(fā)，其內部所有的TCP/IP會話都是在網絡之間進行，存在被劫持和復用的風險；

其次部署位置上，網閘一般部署在辦公網和業(yè)務網之間，高安全與低安全區(qū)域之間，其功能主要為文件同步、數據庫同步、組播工控協(xié)議等；防火墻主要部署在網絡邊界，功能包括ACL,NAT,IPS等。

工業(yè)防火墻的邊界防護

邊界防護的場景主要針對工控網絡的過程監(jiān)控層與生產管理層通信的場景，生產管理層與過程監(jiān)控層之間通過OPC協(xié)議或者ODBC等數據庫協(xié)議進行數據交互，邊界防護主要是防范來自企業(yè)生產管理層和互聯網的威脅，需要結合傳統(tǒng)網絡信息安全與工控網絡安全的特點，防止生產管理層的網絡病毒和惡意攻擊時，威脅通過通訊服務器蔓延到工控網絡，影響生產和業(yè)務正常運行。

邊界防護的重點在于防護生產管理層和互聯網的惡意攻擊，保證生產管理層的可信任主機訪問過程監(jiān)控層的合法數據，確保生產管理層和互聯網的設備受到惡意攻擊后，工控網絡不會受到影響，保證工控網絡正常運行

工業(yè)防火墻產品構架

1、基礎系統(tǒng)是由力控華康根據工業(yè)網絡通信特點和安全防護要求定制開發(fā)的底層運行平臺，為防火墻上層業(yè)務模塊提供必要的運行環(huán)境和安全保障。

2、 業(yè)務模塊是工業(yè)防火墻的業(yè)務處理單元，主要用于完成對于工業(yè)網絡協(xié)議的識別、解析、深度過濾和攻擊防護。

3、配置管理采用B/S架構，用于對工業(yè)防火墻進行策略配置和運行監(jiān)控，是與防火墻進行人機交互的接口。

工業(yè)防火墻分析

1.工業(yè)協(xié)議的深度解析：傳統(tǒng)防火墻對傳統(tǒng)應用的協(xié)議有著廣泛的支持，但是對工控協(xié)議基本沒有涉足，如果將傳統(tǒng)防火墻用于工控場景，只能起到基礎的五元組策略防護。

2.策略的動態(tài)防御：工控環(huán)境中，管理網與控制網連接場景中，服務器往往設在控制網（比如：OPC服務器），客戶端設立在管理網（OPC客戶端），OPC服務器固定端口，客戶端是隨機端口，沒有動態(tài)策略，使得必須開放管理網全端口均可訪問控制網設備，從而埋下重大隱患。

因此，在當前的信息安全技術和市場中，工業(yè)防火墻已經是傳統(tǒng)防火墻的。正是因為這個原因，《工業(yè)控制系統(tǒng)信息安全防護指南》中明確指出，應在工控場景部署工業(yè)防火墻。