工业防火墙、普通防火墙、工业网闸的区别?

 

一、工业防火墙和普通防火墙的区别?

      工业防火墙主要使用在工控安全领域,其功能除了具备传统防火墙的安全功能之外,最大的区别点在于内置了工业通讯协议的解析和过滤功能,可针对工业协议采用深度的包检测技术和应用层通讯跟踪技术,做到对非法指令的阻断、非工控协议的拦截,以起到保护控制器的功能。

      如表1和图1所示,工业防火墙能解析常用的工业通讯协议。

                                                                         表1:常用工业通讯协议

                                           

                                                         工业防火墙、普通防火墙、工业网闸的区别?_第1张图片

                                                                       图1:工业防火墙解析工业协议

 

      其次,工业防火墙一般部署在每个独立的生产单元的边界,如图2所示,且具备Bypass机制,其延时一般只是微秒级。

                                                                                  工业防火墙、普通防火墙、工业网闸的区别?_第2张图片

                                                                            图2:工业防火墙部署位置


总结:

1 工业防火墙内置工业通讯协议的过滤模块,支持各种工业协议识别及过滤,普通防火墙不支持工业协议过滤。

2 工业防火墙一般部署在各个对立的最小生产单元的边界区域,时延一般为微秒级,且标配Bypass机制,普通防火墙一般部署在网络边界,延时一般为毫秒级,Bypass机制非标配。


二、工业网闸与防火墙的区别?

首先解释下网闸与防火墙的区别。从硬件架构上来说,网闸为2+1的结构,及前后主机+隔离硬件,防火墙是单主机系统。由于这种架构的区别,网闸在数据交换时所有数据需要落地转换,数据进入摆渡区之前要经过彻底的协议剥离,到了后主机上再进行数据封装,故不存在内外网之间的回话,连接终止与内外网主机;而防火墙工作在路由模式,直接进行数据包转发,其内部所有的TCP/IP会话都是在网络之间进行,存在被劫持和复用的风险;

其次部署位置上,网闸一般部署在办公网和业务网之间(图3所示),高安全与低安全区域之间,其功能主要为文件同步、数据库同步、组播工控协议等;防火墙主要部署在网络边界,功能包括ACL,NAT,VPN,IPS等。

                                                                            工业防火墙、普通防火墙、工业网闸的区别?_第3张图片

                                                                        图3:工业网闸部署

工业网闸相比于普通网闸,最大的区别就在于能识别和过滤工业通讯协议。


总结:

1、工业网闸采用2+1的双主机架构,数据交换可做到内外网无回话;防火墙采用单主机架构,会话存在被劫持和复用风险;

2、工业网闸部署在IT网络和工业网络之间,可对工控协议数据包进行层层剥离和数据还原,并对工控协议内容如功能码、寄存器地址、工艺参数值进行精准识别和安全控制;防火墙部署在网络边界,主要实现ACL,NAT,VPN等功能。


 

你可能感兴趣的:(网络安全)