工業防火墻應用場景

工業防火墻的應用場景主要包括以下三種：

 （1） 部署于隔離管理網與控制網之間工業防火墻控制跨層訪問并深度過濾層級間的數據交換，阻止攻擊者基于管理網向控制網發起攻擊。

 （2） 部署于控制網的不同安全區域間工業防火墻可將控制網分成不同的安全區域，控制安全區域之間的訪問，并深度過濾各區域間的流量數據，以阻止區域間安全風險的擴散。

 （3） 部署于關鍵設備與控制網之間工業防火墻檢測訪問關鍵設備的IP，阻止非業務端口的訪問與操作指令，記錄關鍵設備的所有訪問與操作記錄，實現對關鍵設備的安全防護與流量審計。

工控防火墻和傳統防火墻的區別

 傳統防火墻未裝載工業協議解析模塊，不理解不支持工業控制協議。工業網絡采用的是工業協議，工業協議的類別很多，有基于工業以太網（基于二層和三層）的協議，有基于串行鏈路的協議，這些協議都需要專門的工業協議解析模塊來對其進行協議過濾和解析。傳統防火墻只針對于ICT環境，無法完全支持對工業協議的無/有狀態過濾，也無法對工業協議進行深度解析和控制。

工業網絡通訊協議與普通的網絡協議有哪些不同

 工業協議基本上都是明文的協議，并且傳輸的數據包具有順序性。由于時期工業環境是是軟件硬件和的協議，而且處于隔離的網絡環境，設備計算性能低下，因此工業協議設計都從未考慮加密的特性，基本上都是明文的傳輸。雖然工業設備的廠家幾乎大致都各自開發了自己的私有協議，但是這些私有的協議通過抓包進行分析，就可以得出這個協議大體的實現。這是因為工業協議還有另外一個特征是，其協議發送的數據包幾乎是具有順序性的，而ICT環境的網絡協議大部分是隨機性的。因此就協議上來說，工控防火墻對工業協議的過濾和解析控制，區別于傳統防火墻的工作模式是：工控防火墻只能夠利用已知的工業專有通訊協議建立防護規則，其他的未公開的私有工業協議需要工控防火墻再利用智能學習的模式學習來建立該協議的規則庫。工控防火墻的智能學習模式就是利用了工業協議的明文傳輸且具有順序性質的特點，抓取一定數量的協議數據包進行分析，就可以得出這個私有協議的協議特征，從而針對這個特征就可以建立規則庫。

工業防火墻

 從應用角度看，防火墻則分為傳統IT防火墻和工業控制系統防火墻（以下簡稱工業防火墻）。《信息安全技術 工業控制系統防火墻技術要求》（征求意見稿）就針對工業防火墻提出了特殊的安全功能要求，其中指出：工業防火墻是可應用于工業控制環境，對工業控制系統邊界以及工業控制系統內部不同控制域之間進行邊界保護，并滿足特定工業環境和功能要求的防火墻。