工業網閘與防火墻的區別

 首先解釋下網閘與防火墻的區別。從硬件架構上來說，網閘為2+1的結構，及前后主機+隔離硬件，防火墻是單主機系統。由于這種架構的區別，網閘在數據交換時所有數據需要落地轉換，數據進入擺渡區之前要經過的協議剝離，到了后主機上再進行數據封裝，故不存在內外網之間的回話，連接終止與內外網主機；而防火墻工作在路由模式，直接進行數據包轉發，其內部所有的TCP/IP會話都是在網絡之間進行，存在被劫持和復用的風險；

 其次部署位置上，網閘一般部署在辦公網和業務網之間，高安全與低安全區域之間，其功能主要為文件同步、數據庫同步、組播工控協議等；防火墻主要部署在網絡邊界，功能包括***,NAT,IPS等。

傳統防火墻沒有工控防火墻的特性

 傳統防火墻軟硬件設計架構不適應工業網絡實時性和生產環境的要求。首先，工業網絡環境中工控設備對于實時性傳輸反饋要求非常高，一個小問題就可能導致某個開關停止響應,這就要求接入的工控防火墻也必須具備工業網絡的實時性要求。而一般的傳統防火墻主要應用于傳統的ICT環境，在軟硬件架構設計之初就未考慮過工業網絡的實時性，因此傳統防火墻無法適應工業網絡實時性要求。其次，工業生產對網絡安全設備的環境適應性要求很高，很多工業現場甚至是在無人值守的惡劣環境。因此工控防火墻必須具備對工業生產環境可預見的性能支持和抗干擾水平的支持。例如，一般部署在工業現場的防火墻以導軌式為主，該環境對防火墻的環境適應性要求就很高，產品往往要求無風扇、寬溫支持等。傳統防火墻無法適應工業網絡嚴苛復雜的生產環境。

工業防火墻的終端防護

 終端防護的目的是保護重要的工控設備，包括PLC、RTU、DCS控制器等工業控制系統的大腦。工業防火墻部署在控制器與上位機之間，通過一系列的安全策略，防御工業針對特定控制器漏洞的特征攻擊，允許合法的數據訪問控制器，保護控制器安全，為了使業務正常運行。

 終端防護的***在于保護控制器數據不被惡意篡改，防止對控制器的已知漏洞進行攻擊，保證控制器正常運行。

工控網絡安全用途

 工控網絡安全從嚴管理則是因為生產設備有限定用途，僅執行特定應用程序，因此工業防火墻使用白名單設定，可阻擋所有不在名單內的應用程序。反觀商業防火墻為企業網絡的統一出口，通行應用程序五花八門，實行黑名單機制，僅阻擋列舉在名單上的應用程序，放行標準相對較寬，因此工業防火墻更能有效保護工控網絡。