工控防火墻的功能特點

 白名單管理：工業防火墻的一個重要創新，就是引入白名單形式的安全策略控制。由于工控網絡通信固定化的特征，確定了使用白名單技術進行安全控制，是解決工業網絡安全的一個重要且有效的方式。

 安全策略規則：工業防火墻作為防火墻類的產品，內置的防火墻管理功能是其基礎功能之一，工業防火墻采用狀態檢測防火墻的機制實現相應的訪問控制功能。

 安全策略無擾下裝：考慮到工業網絡對于可用性、持續性和實時性的要求，捷普工業防火墻采用全透明接入的方式，提供學習、測試、管控三種工作模式，產品在部署、配置和使用過程中可以根據需要實時切換到適當的工作模式下，保證在整個部署過程中都不會阻斷正常的業務數據傳輸，無需中斷生產系統的運行，而且在啟動深度過濾時可選擇僅警告，等確認后在進行處理，保障生產系統不間斷運行。

工業防火墻的域間隔離

 域間隔離的場景主要針對工控系統網絡中的多域和多單元裝置場景，域間需要通過工控網絡互訪數據。域間隔離的工業防火墻通過一系列的安全策略，防止在某個域中病毒或者受到攻擊時，威脅蔓延到整個工控網絡。

 域間隔離的***在于多域間業務邏輯隔離，保證合法的數據在信任的主機之間進行交換，確保工控網絡的某個域的設備受到惡意攻擊后，其他域的網絡數據能夠正常運行。

工業防火墻分析

 1.工業協議的深度解析：傳統防火墻對傳統應用的協議有著廣泛的支持，但是對工控協議基本沒有涉足，如果將傳統防火墻用于工控場景，只能起到基礎的五元組策略防護。

 2.策略的動態防御：工控環境中，管理網與控制網連接場景中，服務器往往設在控制網（比如：OPC服務器），客戶端設立在管理網（OPC客戶端），OPC服務器固定端口，客戶端是隨機端口，沒有動態策略，使得必須開放管理網全端口均可訪問控制網設備，從而埋下重大隱患。

 因此，在當前的信息安全技術和市場中，工業防火墻已經是傳統防火墻的。正是因為這個原因，《工業控制系統信息安全防護指南》中明確指出，應在工控場景部署工業防火墻。