工業(yè)控制系統(tǒng)防火墻是一種需要為工業(yè)控制系統(tǒng)中的信息安全進(jìn)行配置的設(shè)備。工業(yè)防火墻技術(shù)是工業(yè)控制系統(tǒng)信息安全技術(shù)的基礎(chǔ)。工業(yè)控制系統(tǒng)防火墻技術(shù)實(shí)現(xiàn)區(qū)域控制，共享控制系統(tǒng)安全區(qū)域，隔離和保護(hù)安全區(qū)域，使合法用戶(hù)能夠連接互聯(lián)網(wǎng)。它可以保護(hù)對(duì)大型資源的訪(fǎng)問(wèn)。它還可以深入分析控制日志，分析Modbus和DNP3等應(yīng)用層的異常流量，并動(dòng)態(tài)跟蹤OPC端口，以保護(hù)關(guān)鍵寄存器和操作。

工業(yè)控制系統(tǒng)防火墻的目的是在不同的安全域之間設(shè)置安全檢查點(diǎn)，并根據(jù)預(yù)定義的訪(fǎng)問(wèn)控制策略和安全策略分析和過(guò)濾通過(guò)工業(yè)控制防火墻路由的數(shù)據(jù)流。它為受保護(hù)的安全域提供訪(fǎng)問(wèn)控制服務(wù)請(qǐng)求。

工業(yè)控制系統(tǒng)防火墻的特點(diǎn)

工業(yè)控制防火墻和傳統(tǒng)防火墻因環(huán)境而異，與傳統(tǒng)防火墻相比不具有以下特征：

（1） 傳統(tǒng)的防火墻沒(méi)有工業(yè)協(xié)議解析模塊，也不理解和支持工業(yè)控制協(xié)議。工業(yè)網(wǎng)絡(luò)支持基于工業(yè)以太網(wǎng)的協(xié)議（第2層和第3層）和基于串行連接的協(xié)議（RS232、RS485）。使用各種類(lèi)型的專(zhuān)用工業(yè)協(xié)議，包括。為了過(guò)濾和處理這些協(xié)議，需要特殊的工業(yè)協(xié)議驗(yàn)證模塊。

（2） 現(xiàn)有的防火墻軟硬件設(shè)計(jì)架構(gòu)不適合工業(yè)網(wǎng)絡(luò)和生產(chǎn)環(huán)境的實(shí)時(shí)性要求。首先，工業(yè)網(wǎng)絡(luò)環(huán)境中的工業(yè)ECU對(duì)實(shí)時(shí)傳輸反饋有很高的要求。其次，工業(yè)生產(chǎn)對(duì)網(wǎng)絡(luò)安全設(shè)備的環(huán)境適應(yīng)性要求很高。許多工業(yè)場(chǎng)地甚至在惡劣的無(wú)人環(huán)境中運(yùn)行。因此，工業(yè)控制防火墻必須為工業(yè)生產(chǎn)環(huán)境提供可預(yù)測(cè)的性能支持和干擾保護(hù)。

工業(yè)控制系統(tǒng)防火墻除了具有傳統(tǒng)防火墻的訪(fǎng)問(wèn)控制、安全域管理、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等功能外，還具有專(zhuān)為工業(yè)協(xié)議設(shè)計(jì)的協(xié)議過(guò)濾模塊和協(xié)議深度解析模塊。這些集成模塊可以識(shí)別、過(guò)濾和分析ICS環(huán)境中的各種工業(yè)協(xié)議。

工業(yè)控制系統(tǒng)防火墻的分類(lèi)

在工業(yè)網(wǎng)絡(luò)系統(tǒng)中，工業(yè)控制防火墻根據(jù)其使用位置大致可以分為兩種類(lèi)型。

（1） 機(jī)架式工業(yè)控制防火墻。機(jī)架式防火墻通常用于工廠(chǎng)艙室，因此與現(xiàn)有防火墻具有相同的規(guī)格。大多數(shù)設(shè)計(jì)都是1U或2U機(jī)架，沒(méi)有風(fēng)扇，并且符合IP40保護(hù)級(jí)別。這些操作用于隔離管理網(wǎng)絡(luò)或其他工廠(chǎng)網(wǎng)絡(luò)中的工廠(chǎng)。

（2） 鐵路工業(yè)控制防火墻。大多數(shù)類(lèi)似于鐵路的防火墻都部署在生產(chǎn)環(huán)境中的生產(chǎn)站點(diǎn)。因此，這種類(lèi)型的防火墻被設(shè)計(jì)為具有軌道狀結(jié)構(gòu)，該結(jié)構(gòu)可以在不需要螺釘?shù)那闆r下容易地插入軌道中，從而易于維護(hù)。此外，內(nèi)部設(shè)計(jì)更加封閉和緊湊，內(nèi)部組件相互之間使用集成計(jì)算機(jī)主板，該主板通常采用集成加熱設(shè)計(jì)，設(shè)計(jì)緊湊，無(wú)需集成電纜連接。板載CPU和存儲(chǔ)芯片在工業(yè)生產(chǎn)環(huán)境中受到保護(hù)，不受振動(dòng)影響。

工業(yè)控制系統(tǒng)防火墻的主要應(yīng)用場(chǎng)景

（1） 工業(yè)防火墻部署在隔離的管理網(wǎng)絡(luò)和控制網(wǎng)絡(luò)之間，控制跨境訪(fǎng)問(wèn)，對(duì)層間數(shù)據(jù)交換進(jìn)行深度過(guò)濾，使攻擊者能夠基于管理網(wǎng)絡(luò)攻擊和控制網(wǎng)絡(luò)。

（2） 位于控制網(wǎng)絡(luò)的不同安全區(qū)域之間。工業(yè)防火墻將控制網(wǎng)絡(luò)劃分為不同的安全區(qū)域，控制安全區(qū)域之間的訪(fǎng)問(wèn)，并對(duì)不同區(qū)域之間的流量數(shù)據(jù)進(jìn)行深度過(guò)濾，以防止安全風(fēng)險(xiǎn)在它們之間傳播。

（3） 用于核心設(shè)備和控制網(wǎng)絡(luò)之間。工業(yè)防火墻檢測(cè)訪(fǎng)問(wèn)主設(shè)備的IP地址，以防止訪(fǎng)問(wèn)非業(yè)務(wù)端口和非法操作命令，并記錄主設(shè)備的所有訪(fǎng)問(wèn)和操作記錄，以對(duì)關(guān)鍵設(shè)備進(jìn)行安全和流量檢查。