貴州工控安全防火墻報(bào)價(jià)點(diǎn)擊了解更多 國泰網(wǎng)信科技

工業(yè)防火墻應(yīng)用場景

工業(yè)防火墻的應(yīng)用場景主要包括以下三種：

（1） 部署于隔離管理網(wǎng)與控制網(wǎng)之間工業(yè)防火墻控制跨層訪問并深度過濾層級(jí)間的數(shù)據(jù)交換，阻止攻擊者基于管理網(wǎng)向控制網(wǎng)發(fā)起攻擊。

（2） 部署于控制網(wǎng)的不同安全區(qū)域間工業(yè)防火墻可將控制網(wǎng)分成不同的安全區(qū)域，控制安全區(qū)域之間的訪問，并深度過濾各區(qū)域間的流量數(shù)據(jù)，以阻止區(qū)域間安全風(fēng)險(xiǎn)的擴(kuò)散。

（3） 部署于關(guān)鍵設(shè)備與控制網(wǎng)之間工業(yè)防火墻檢測訪問關(guān)鍵設(shè)備的IP，阻止非業(yè)務(wù)端口的訪問與操作指令，記錄關(guān)鍵設(shè)備的所有訪問與操作記錄，實(shí)現(xiàn)對關(guān)鍵設(shè)備的安全防護(hù)與流量審計(jì)。

工業(yè)網(wǎng)閘與防火墻的區(qū)別

首先解釋下網(wǎng)閘與防火墻的區(qū)別。從硬件架構(gòu)上來說，網(wǎng)閘為2 1的結(jié)構(gòu)，及前后主機(jī) 隔離硬件，防火墻是單主機(jī)系統(tǒng)。由于這種架構(gòu)的區(qū)別，網(wǎng)閘在數(shù)據(jù)交換時(shí)所有數(shù)據(jù)需要落地轉(zhuǎn)換，數(shù)據(jù)進(jìn)入擺渡區(qū)之前要經(jīng)過的協(xié)議剝離，到了后主機(jī)上再進(jìn)行數(shù)據(jù)封裝，故不存在內(nèi)外網(wǎng)之間的回話，連接終止與內(nèi)外網(wǎng)主機(jī)；而防火墻工作在路由模式，直接進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，其內(nèi)部所有的TCP/IP會(huì)話都是在網(wǎng)絡(luò)之間進(jìn)行，存在被劫持和復(fù)用的風(fēng)險(xiǎn)；

其次部署位置上，網(wǎng)閘一般部署在辦公網(wǎng)和業(yè)務(wù)網(wǎng)之間，高安全與低安全區(qū)域之間，其功能主要為文件同步、數(shù)據(jù)庫同步、組播工控協(xié)議等；防火墻主要部署在網(wǎng)絡(luò)邊界，功能包括ACL,NAT,IPS等。

工控防火墻和傳統(tǒng)防火墻的區(qū)別

傳統(tǒng)防火墻未裝載工業(yè)協(xié)議解析模塊，不理解不支持工業(yè)控制協(xié)議。工業(yè)網(wǎng)絡(luò)采用的是工業(yè)協(xié)議，工業(yè)協(xié)議的類別很多，有基于工業(yè)以太網(wǎng)（基于二層和三層）的協(xié)議，有基于串行鏈路的協(xié)議，這些協(xié)議都需要專門的工業(yè)協(xié)議解析模塊來對其進(jìn)行協(xié)議過濾和解析。傳統(tǒng)防火墻只針對于ICT環(huán)境，無法完全支持對工業(yè)協(xié)議的無/有狀態(tài)過濾，也無法對工業(yè)協(xié)議進(jìn)行深度解析和控制。

工業(yè)防火墻的域間隔離

域間隔離的場景主要針對工控系統(tǒng)網(wǎng)絡(luò)中的多域和多單元裝置場景，域間需要通過工控網(wǎng)絡(luò)互訪數(shù)據(jù)。域間隔離的工業(yè)防火墻通過一系列的安全策略，防止在某個(gè)域中病毒或者受到攻擊時(shí)，威脅蔓延到整個(gè)工控網(wǎng)絡(luò)。

域間隔離的重點(diǎn)在于多域間業(yè)務(wù)邏輯隔離，保證合法的數(shù)據(jù)在信任的主機(jī)之間進(jìn)行交換，確保工控網(wǎng)絡(luò)的某個(gè)域的設(shè)備受到惡意攻擊后，其他域的網(wǎng)絡(luò)數(shù)據(jù)能夠正常運(yùn)行。