工業網閘與防火墻的區別

 首先解釋下網閘與防火墻的區別。從硬件架構上來說，網閘為2+1的結構，及前后主機+隔離硬件，防火墻是單主機系統。由于這種架構的區別，網閘在數據交換時所有數據需要落地轉換，數據進入擺渡區之前要經過的協議剝離，到了后主機上再進行數據封裝，故不存在內外網之間的回話，連接終止與內外網主機；而防火墻工作在路由模式，直接進行數據包轉發，其內部所有的TCP/IP會話都是在網絡之間進行，存在被劫持和復用的風險；

 其次部署位置上，網閘一般部署在辦公網和業務網之間，高安全與低安全區域之間，其功能主要為文件同步、數據庫同步、組播工控協議等；防火墻主要部署在網絡邊界，功能包括***,NAT,IPS等。

工業防火墻的各項功能

 硬件結構：采用DIN軌安裝和機架式安裝，防護端采用雙路供電、寬溫、寬壓、無風扇設計，滿足電力EMC四級要求和IP40防護等級。

 學習模式：學習模式狀態下，業務全通。防護端智能學習通信流量，并自動產生相應防護策略庫，采用鑒別的方式選用防護策略。

 警告模式：警告模式狀態下，業務全通。依據防護策略，對符合的安全通信流量形成日志，對不符合的通信流量進行告警，供參考判斷。

 防護模式：防護模式狀態下，防護端基于防護策略進行控制。放行符合安全策略的，并記錄日志，阻斷不符合安全策略的通信和等攻擊行為，并記錄日志，以郵件等方式告警。

工控防火墻的標準化

 智能工廠采用標準化的以太網絡，實現實時監控、遠程管理，對于生產、管理效率提升有莫大價值，不容任何惡意攻擊***。歷經2010年伊朗廠遭駭等重大事件，用戶紛紛對工業設備安全有所警覺，捍衛設備生產力價值的過程中，可望發揮關鍵助力的工業防火墻，未來發展前景自然看俏。工控網絡接軌以太網絡，信息傳輸將行經公開網絡環境。為確保從遠程擷取到的現場數據完整、正確，在公開網絡上架設私有信道，并在數據傳輸前加密，即便資料遭到，也難以被惡意、竄改。

工業防火墻分析

 1.工業協議的深度解析：傳統防火墻對傳統應用的協議有著廣泛的支持，但是對工控協議基本沒有涉足，如果將傳統防火墻用于工控場景，只能起到基礎的五元組策略防護。

 2.策略的動態防御：工控環境中，管理網與控制網連接場景中，服務器往往設在控制網（比如：OPC服務器），客戶端設立在管理網（OPC客戶端），OPC服務器固定端口，客戶端是隨機端口，沒有動態策略，使得必須開放管理網全端口均可訪問控制網設備，從而埋下重大隱患。

 因此，在當前的信息安全技術和市場中，工業防火墻已經是傳統防火墻的。正是因為這個原因，《工業控制系統信息安全防護指南》中明確指出，應在工控場景部署工業防火墻。