您好,歡迎來到易龍商務(wù)網(wǎng)!
全國咨詢熱線:13366380840

貴州工控安全防火墻報(bào)價(jià)點(diǎn)擊了解更多 國泰網(wǎng)信科技

【廣告】

發(fā)布時(shí)間:2021-08-02 18:18  







工業(yè)防火墻應(yīng)用場景

工業(yè)防火墻的應(yīng)用場景主要包括以下三種:

(1) 部署于隔離管理網(wǎng)與控制網(wǎng)之間工業(yè)防火墻控制跨層訪問并深度過濾層級(jí)間的數(shù)據(jù)交換,阻止攻擊者基于管理網(wǎng)向控制網(wǎng)發(fā)起攻擊。

(2) 部署于控制網(wǎng)的不同安全區(qū)域間工業(yè)防火墻可將控制網(wǎng)分成不同的安全區(qū)域,控制安全區(qū)域之間的訪問,并深度過濾各區(qū)域間的流量數(shù)據(jù),以阻止區(qū)域間安全風(fēng)險(xiǎn)的擴(kuò)散。

(3) 部署于關(guān)鍵設(shè)備與控制網(wǎng)之間工業(yè)防火墻檢測訪問關(guān)鍵設(shè)備的IP,阻止非業(yè)務(wù)端口的訪問與操作指令,記錄關(guān)鍵設(shè)備的所有訪問與操作記錄,實(shí)現(xiàn)對關(guān)鍵設(shè)備的安全防護(hù)與流量審計(jì)。



工業(yè)網(wǎng)閘與防火墻的區(qū)別

首先解釋下網(wǎng)閘與防火墻的區(qū)別。從硬件架構(gòu)上來說,網(wǎng)閘為2 1的結(jié)構(gòu),及前后主機(jī) 隔離硬件,防火墻是單主機(jī)系統(tǒng)。由于這種架構(gòu)的區(qū)別,網(wǎng)閘在數(shù)據(jù)交換時(shí)所有數(shù)據(jù)需要落地轉(zhuǎn)換,數(shù)據(jù)進(jìn)入擺渡區(qū)之前要經(jīng)過的協(xié)議剝離,到了后主機(jī)上再進(jìn)行數(shù)據(jù)封裝,故不存在內(nèi)外網(wǎng)之間的回話,連接終止與內(nèi)外網(wǎng)主機(jī);而防火墻工作在路由模式,直接進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā),其內(nèi)部所有的TCP/IP會(huì)話都是在網(wǎng)絡(luò)之間進(jìn)行,存在被劫持和復(fù)用的風(fēng)險(xiǎn);

其次部署位置上,網(wǎng)閘一般部署在辦公網(wǎng)和業(yè)務(wù)網(wǎng)之間,高安全與低安全區(qū)域之間,其功能主要為文件同步、數(shù)據(jù)庫同步、組播工控協(xié)議等;防火墻主要部署在網(wǎng)絡(luò)邊界,功能包括ACL,NAT,IPS等。



工控防火墻和傳統(tǒng)防火墻的區(qū)別

傳統(tǒng)防火墻未裝載工業(yè)協(xié)議解析模塊,不理解不支持工業(yè)控制協(xié)議。工業(yè)網(wǎng)絡(luò)采用的是工業(yè)協(xié)議,工業(yè)協(xié)議的類別很多,有基于工業(yè)以太網(wǎng)(基于二層和三層)的協(xié)議,有基于串行鏈路的協(xié)議,這些協(xié)議都需要專門的工業(yè)協(xié)議解析模塊來對其進(jìn)行協(xié)議過濾和解析。傳統(tǒng)防火墻只針對于ICT環(huán)境,無法完全支持對工業(yè)協(xié)議的無/有狀態(tài)過濾,也無法對工業(yè)協(xié)議進(jìn)行深度解析和控制。




工業(yè)防火墻的域間隔離

域間隔離的場景主要針對工控系統(tǒng)網(wǎng)絡(luò)中的多域和多單元裝置場景,域間需要通過工控網(wǎng)絡(luò)互訪數(shù)據(jù)。域間隔離的工業(yè)防火墻通過一系列的安全策略,防止在某個(gè)域中病毒或者受到攻擊時(shí),威脅蔓延到整個(gè)工控網(wǎng)絡(luò)。

域間隔離的重點(diǎn)在于多域間業(yè)務(wù)邏輯隔離,保證合法的數(shù)據(jù)在信任的主機(jī)之間進(jìn)行交換,確保工控網(wǎng)絡(luò)的某個(gè)域的設(shè)備受到惡意攻擊后,其他域的網(wǎng)絡(luò)數(shù)據(jù)能夠正常運(yùn)行。



行業(yè)推薦