一、工業防火牆和普通防火牆的區別?
工業防火牆主要使用在工控安全領域,其功能除了具備傳統防火牆的安全功能之外,最大的區別點在於內置了工業通訊協議的解析和過濾功能,可針對工業協議採用深度的包檢測技術和應用層通訊跟蹤技術,做到對非法指令的阻斷、非工控協議的攔截,以起到保護控制器的功能。
如表1和圖1所示,工業防火牆能解析常用的工業通訊協議。
表1:常用工業通訊協議
圖1:工業防火牆解析工業協議
其次,工業防火牆一般部署在每個獨立的生產單元的邊界,如圖2所示,且具備Bypass機制,其延時一般只是微秒級。
圖2:工業防火牆部署位置
總結:
1、 工業防火牆內置工業通訊協議的過濾模塊,支持各種工業協議識別及過濾,普通防火牆不支持工業協議過濾。
2、 工業防火牆一般部署在各個對立的最小生產單元的邊界區域,時延一般爲微秒級,且標配Bypass機制,普通防火牆一般部署在網絡邊界,延時一般爲毫秒級,Bypass機制非標配。
二、工業網閘與防火牆的區別?
首先解釋下網閘與防火牆的區別。從硬件架構上來說,網閘爲2+1的結構,及前後主機+隔離硬件,防火牆是單主機系統。由於這種架構的區別,網閘在數據交換時所有數據需要落地轉換,數據進入擺渡區之前要經過徹底的協議剝離,到了後主機上再進行數據封裝,故不存在內外網之間的回話,連接終止與內外網主機;而防火牆工作在路由模式,直接進行數據包轉發,其內部所有的TCP/IP會話都是在網絡之間進行,存在被劫持和複用的風險;
其次部署位置上,網閘一般部署在辦公網和業務網之間(圖3所示),高安全與低安全區域之間,其功能主要爲文件同步、數據庫同步、組播工控協議等;防火牆主要部署在網絡邊界,功能包括ACL,NAT,VPN,IPS等。
圖3:工業網閘部署
工業網閘相比於普通網閘,最大的區別就在於能識別和過濾工業通訊協議。
總結:
1、工業網閘採用2+1的雙主機架構,數據交換可做到內外網無回話;防火牆採用單主機架構,會話存在被劫持和複用風險;
2、工業網閘部署在IT網絡和工業網絡之間,可對工控協議數據包進行層層剝離和數據還原,並對工控協議內容如功能碼、寄存器地址、工藝參數值進行精準識別和安全控制;防火牆部署在網絡邊界,主要實現ACL,NAT,VPN等功能。