您好,歡迎來到易龍商務網!
全國咨詢熱線:13366380840
【廣告】
發布時間:2021-08-02 18:18
工業防火墻應用場景
工業防火墻的應用場景主要包括以下三種:
(1) 部署于隔離管理網與控制網之間工業防火墻控制跨層訪問并深度過濾層級間的數據交換,阻止攻擊者基于管理網向控制網發起攻擊。
(2) 部署于控制網的不同安全區域間工業防火墻可將控制網分成不同的安全區域,控制安全區域之間的訪問,并深度過濾各區域間的流量數據,以阻止區域間安全風險的擴散。
(3) 部署于關鍵設備與控制網之間工業防火墻檢測訪問關鍵設備的IP,阻止非業務端口的訪問與操作指令,記錄關鍵設備的所有訪問與操作記錄,實現對關鍵設備的安全防護與流量審計。
工業網閘與防火墻的區別
首先解釋下網閘與防火墻的區別。從硬件架構上來說,網閘為2 1的結構,及前后主機 隔離硬件,防火墻是單主機系統。由于這種架構的區別,網閘在數據交換時所有數據需要落地轉換,數據進入擺渡區之前要經過的協議剝離,到了后主機上再進行數據封裝,故不存在內外網之間的回話,連接終止與內外網主機;而防火墻工作在路由模式,直接進行數據包轉發,其內部所有的TCP/IP會話都是在網絡之間進行,存在被劫持和復用的風險;
其次部署位置上,網閘一般部署在辦公網和業務網之間,高安全與低安全區域之間,其功能主要為文件同步、數據庫同步、組播工控協議等;防火墻主要部署在網絡邊界,功能包括ACL,NAT,IPS等。
工控防火墻和傳統防火墻的區別
傳統防火墻未裝載工業協議解析模塊,不理解不支持工業控制協議。工業網絡采用的是工業協議,工業協議的類別很多,有基于工業以太網(基于二層和三層)的協議,有基于串行鏈路的協議,這些協議都需要專門的工業協議解析模塊來對其進行協議過濾和解析。傳統防火墻只針對于ICT環境,無法完全支持對工業協議的無/有狀態過濾,也無法對工業協議進行深度解析和控制。
工業防火墻的域間隔離
域間隔離的場景主要針對工控系統網絡中的多域和多單元裝置場景,域間需要通過工控網絡互訪數據。域間隔離的工業防火墻通過一系列的安全策略,防止在某個域中病毒或者受到攻擊時,威脅蔓延到整個工控網絡。
域間隔離的重點在于多域間業務邏輯隔離,保證合法的數據在信任的主機之間進行交換,確保工控網絡的某個域的設備受到惡意攻擊后,其他域的網絡數據能夠正常運行。
