工業(yè)防火墻（IFW院溺，Industrial Firewalls）/工控防火墻（ICF浪规，Industrial Control Firewall）兔簇。

主要部署于管理網(wǎng)（辦公網(wǎng)）與生產(chǎn)網(wǎng)之間或部署在控制設(shè)備層的邊界示惊，對(duì)通過(guò)的工業(yè)控制網(wǎng)絡(luò)流量進(jìn)行解析赴涵、識(shí)別和控制，以抵御來(lái)自內(nèi)外網(wǎng)對(duì)工業(yè)生產(chǎn)設(shè)備的攻擊鸽嫂。

工控防火墻和傳統(tǒng)防火墻區(qū)別

1.傳統(tǒng)防火墻未裝載工業(yè)協(xié)議解析模塊纵装，不理解不支持工業(yè)控制協(xié)議。工業(yè)網(wǎng)絡(luò)采用的是專用工業(yè)協(xié)議据某，工業(yè)協(xié)議的類別很多橡娄，有基于工業(yè)以太網(wǎng)（基于二層和三層）的協(xié)議，有基于串行鏈路（RS232癣籽、RS485）的協(xié)議挽唉，這些協(xié)議都需要專門的工業(yè)協(xié)議解析模塊來(lái)對(duì)其進(jìn)行協(xié)議過(guò)濾和解析。傳統(tǒng)防火墻只針對(duì)于ICT環(huán)境筷狼，無(wú)法完全支持對(duì)工業(yè)協(xié)議的無(wú)/有狀態(tài)過(guò)濾橱夭，也無(wú)法對(duì)工業(yè)協(xié)議進(jìn)行深度解析和控制。

2.傳統(tǒng)防火墻軟硬件設(shè)計(jì)架構(gòu)不適應(yīng)工業(yè)網(wǎng)絡(luò)實(shí)時(shí)性和生產(chǎn)環(huán)境的要求桑逝。首先，工業(yè)網(wǎng)絡(luò)環(huán)境中工控設(shè)備對(duì)于實(shí)時(shí)性傳輸反饋要求非常高俏让，一個(gè)小問(wèn)題就可能導(dǎo)致某個(gè)開(kāi)關(guān)停止響應(yīng),這就要求接入的工控防火墻也必須具備工業(yè)網(wǎng)絡(luò)的實(shí)時(shí)性要求楞遏。而一般的傳統(tǒng)防火墻主要應(yīng)用于傳統(tǒng)的ICT環(huán)境茬暇，在軟硬件架構(gòu)設(shè)計(jì)之初就未考慮過(guò)工業(yè)網(wǎng)絡(luò)的實(shí)時(shí)性，因此傳統(tǒng)防火墻無(wú)法適應(yīng)工業(yè)網(wǎng)絡(luò)實(shí)時(shí)性要求寡喝。其次糙俗，工業(yè)生產(chǎn)對(duì)網(wǎng)絡(luò)安全設(shè)備的環(huán)境適應(yīng)性要求很高，很多工業(yè)現(xiàn)場(chǎng)甚至是在無(wú)人值守的惡劣環(huán)境预鬓。因此工控防火墻必須具備對(duì)工業(yè)生產(chǎn)環(huán)境可預(yù)見(jiàn)的性能支持和抗干擾水平的支持巧骚。例如，一般部署在工業(yè)現(xiàn)場(chǎng)的防火墻以導(dǎo)軌式為主格二，該環(huán)境對(duì)防火墻的環(huán)境適應(yīng)性要求就很高劈彪，產(chǎn)品往往要求無(wú)風(fēng)扇、寬溫支持等顶猜。傳統(tǒng)防火墻無(wú)法適應(yīng)工業(yè)網(wǎng)絡(luò)嚴(yán)苛復(fù)雜的生產(chǎn)環(huán)境沧奴。

因此，工控防火墻除了傳統(tǒng)防火墻具備的訪問(wèn)控制长窄、安全域管理滔吠、網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）等功能外挠日，還具有專門針對(duì)工業(yè)協(xié)議的協(xié)議過(guò)濾模塊和協(xié)議深度解析模塊疮绷，其內(nèi)置的這些模塊可以在ICS環(huán)境中對(duì)各種工業(yè)協(xié)議進(jìn)行識(shí)別、過(guò)濾及解析控制嚣潜。

機(jī)架式防火墻一般部署于工廠的機(jī)房中冬骚，因此其規(guī)格同傳統(tǒng)防火墻一樣，大部分采用1U或2U規(guī)格的機(jī)架式設(shè)計(jì)郑原，采用無(wú)風(fēng)扇唉韭、符合IP40防護(hù)等級(jí)要求設(shè)計(jì)，用于隔離工廠與管理網(wǎng)或其他工廠的網(wǎng)絡(luò)犯犁。而導(dǎo)軌式防火墻大部分部署在生產(chǎn)環(huán)境的生產(chǎn)現(xiàn)場(chǎng)属愤，因此這種防火墻大部分采用導(dǎo)軌式架構(gòu)設(shè)計(jì)，方便地卡在導(dǎo)軌上而無(wú)需用螺絲固定酸役，維護(hù)方便住诸。同時(shí)其內(nèi)部設(shè)計(jì)更加封閉與嚴(yán)實(shí)，內(nèi)部組件之間都采用嵌入式計(jì)算主板上涣澡，這種主板一般都采用一體化散熱設(shè)計(jì)贱呐，超緊湊結(jié)構(gòu)，內(nèi)部無(wú)連線設(shè)計(jì)入桂，板載CPU及內(nèi)存芯片以免受工業(yè)生產(chǎn)環(huán)境的震動(dòng)奄薇。

工控協(xié)議和傳統(tǒng)協(xié)議區(qū)別

針對(duì)于工業(yè)協(xié)議不加密來(lái)說(shuō)，工業(yè)協(xié)議最初在設(shè)計(jì)的時(shí)候不考慮加密也是因?yàn)橄忍煨缘牟蛔憧钩睿热绗F(xiàn)場(chǎng)設(shè)備計(jì)算能力低馁蒂、工業(yè)網(wǎng)絡(luò)實(shí)時(shí)性要求呵晚，采用加密的工業(yè)協(xié)議將無(wú)法承受加密解密的計(jì)算量和延遲。這就造成了工業(yè)網(wǎng)絡(luò)通訊協(xié)議與普通的網(wǎng)絡(luò)協(xié)議有很大不同：

1.工業(yè)協(xié)議基本上都是明文的協(xié)議沫屡，并且傳輸?shù)臄?shù)據(jù)包具有順序性饵隙。由于最開(kāi)始時(shí)期工業(yè)環(huán)境是專用是軟件硬件和專用的協(xié)議，而且處于隔離的網(wǎng)絡(luò)環(huán)境沮脖，設(shè)備計(jì)算性能低下金矛，因此工業(yè)協(xié)議設(shè)計(jì)都從未考慮加密的特性，基本上都是明文的傳輸勺届。雖然工業(yè)設(shè)備的廠家?guī)缀醮笾露几髯蚤_(kāi)發(fā)了自己的私有協(xié)議驶俊，但是這些私有的協(xié)議通過(guò)抓包進(jìn)行分析，就可以得出這個(gè)協(xié)議大體的實(shí)現(xiàn)涮因。這是因?yàn)楣I(yè)協(xié)議還有另外一個(gè)特征是废睦，其協(xié)議發(fā)送的數(shù)據(jù)包幾乎是具有順序性的，而ICT環(huán)境的網(wǎng)絡(luò)協(xié)議大部分是隨機(jī)性的养泡。因此就協(xié)議上來(lái)說(shuō)嗜湃，工控防火墻對(duì)工業(yè)協(xié)議的過(guò)濾和解析控制，區(qū)別于傳統(tǒng)防火墻的工作模式是：工控防火墻只能夠利用已知的工業(yè)專有通訊協(xié)議（例如OPC澜掩、Profibus等）建立防護(hù)規(guī)則购披，其他的未公開(kāi)的私有工業(yè)協(xié)議需要工控防火墻再利用智能學(xué)習(xí)的模式學(xué)習(xí)來(lái)建立該協(xié)議的規(guī)則庫(kù)。工控防火墻的智能學(xué)習(xí)模式就是利用了工業(yè)協(xié)議的明文傳輸且具有順序性質(zhì)的特點(diǎn)肩榕，抓取一定數(shù)量的協(xié)議數(shù)據(jù)包進(jìn)行分析刚陡，就可以得出這個(gè)私有協(xié)議的協(xié)議特征，從而針對(duì)這個(gè)特征就可以建立規(guī)則庫(kù)株汉。

2.工業(yè)協(xié)議區(qū)別于其他網(wǎng)絡(luò)協(xié)議的另外一點(diǎn)是筐乳，工業(yè)協(xié)議有動(dòng)態(tài)變化的特征。比如OPC乔妈，因?yàn)槠浠贒COM技術(shù)蝙云，在進(jìn)行數(shù)據(jù)通訊時(shí)其端口從1024到65535動(dòng)態(tài)使用，其對(duì)端口的動(dòng)態(tài)使用路召，防火墻再利用端口識(shí)別協(xié)議根本就不可能勃刨。所以在工業(yè)環(huán)境中使用傳統(tǒng)防火墻時(shí)根本沒(méi)有任何意義，對(duì)于協(xié)議使用端口5185等一般防火墻根本就無(wú)法進(jìn)行剖析股淡，而使OPC客戶端可以輕易對(duì)OPC服務(wù)器數(shù)據(jù)項(xiàng)進(jìn)行讀寫身隐，在沒(méi)有防火墻的情況下，一旦黑客對(duì)客戶端電腦取得控制權(quán)唯灵，控制系統(tǒng)就面臨很大風(fēng)險(xiǎn)贾铝。除了動(dòng)態(tài)端口以外，還具有別的動(dòng)態(tài)特征，比如Modbus協(xié)議垢揩，其組態(tài)點(diǎn)連接的數(shù)量也決定著協(xié)議數(shù)據(jù)包的動(dòng)態(tài)變化大脉，比如100點(diǎn)的連接和200點(diǎn)的連接，其功能碼以及數(shù)據(jù)包生成和傳輸?shù)木筒辉僖粯铀ⅰ＿@些動(dòng)態(tài)的變化都需要防火墻具有對(duì)這些協(xié)議深度的認(rèn)識(shí)，深度的解析控制琐驴。