工業(yè)防火墻和普通防火墻的區(qū)別

工業(yè)防火墻主要使用在工控安全領(lǐng)域，其功能除了具備傳統(tǒng)防火墻的安全功能之外，區(qū)別點(diǎn)在于內(nèi)置了工業(yè)通訊協(xié)議的解析和過濾功能，可針對工業(yè)協(xié)議采用深度的包檢測技術(shù)和應(yīng)用層通訊跟蹤技術(shù)，做到對指令的阻斷、非工控協(xié)議的攔截，以起到保護(hù)控制器的功能。其次，工業(yè)防火墻一般部署在每個獨(dú)立的生產(chǎn)單元的邊界，具備Bypass機(jī)制，其一般只是微秒級。

傳統(tǒng)防火墻沒有工控防火墻的特性

傳統(tǒng)防火墻軟硬件設(shè)計架構(gòu)不適應(yīng)工業(yè)網(wǎng)絡(luò)實(shí)時性和生產(chǎn)環(huán)境的要求。首先，工業(yè)網(wǎng)絡(luò)環(huán)境中工控設(shè)備對于實(shí)時性傳輸反饋要求非常高，一個小問題就可能導(dǎo)致某個開關(guān)停止響應(yīng),這就要求接入的工控防火墻也必須具備工業(yè)網(wǎng)絡(luò)的實(shí)時性要求。而一般的傳統(tǒng)防火墻主要應(yīng)用于傳統(tǒng)的ICT環(huán)境，在軟硬件架構(gòu)設(shè)計之初就未考慮過工業(yè)網(wǎng)絡(luò)的實(shí)時性，因此傳統(tǒng)防火墻無法適應(yīng)工業(yè)網(wǎng)絡(luò)實(shí)時性要求。其次，工業(yè)生產(chǎn)對網(wǎng)絡(luò)安全設(shè)備的環(huán)境適應(yīng)性要求很高，很多工業(yè)現(xiàn)場甚至是在無人值守的惡劣環(huán)境。因此工控防火墻必須具備對工業(yè)生產(chǎn)環(huán)境可預(yù)見的性能支持和抗干擾水平的支持。例如，一般部署在工業(yè)現(xiàn)場的防火墻以導(dǎo)軌式為主，該環(huán)境對防火墻的環(huán)境適應(yīng)性要求就很高，產(chǎn)品往往要求無風(fēng)扇、寬溫支持等。傳統(tǒng)防火墻無法適應(yīng)工業(yè)網(wǎng)絡(luò)嚴(yán)苛復(fù)雜的生產(chǎn)環(huán)境。

工控網(wǎng)絡(luò)安全用途

工控網(wǎng)絡(luò)安全從嚴(yán)管理則是因為生產(chǎn)設(shè)備有限定用途，僅執(zhí)行特定應(yīng)用程序，因此工業(yè)防火墻使用白名單設(shè)定，可阻擋所有不在名單內(nèi)的應(yīng)用程序。反觀商業(yè)防火墻為企業(yè)網(wǎng)絡(luò)的統(tǒng)一出口，通行應(yīng)用程序五花八門，實(shí)行黑名單機(jī)制，僅阻擋列舉在名單上的應(yīng)用程序，放行標(biāo)準(zhǔn)相對較寬，因此工業(yè)防火墻更能有效保護(hù)工控網(wǎng)絡(luò)。