一、工业防火墙和普通防火墙的区别?
工业防火墙主要使用在工控安全领域,其功能除了具备传统防火墙的安全功能之外,最大的区别点在于内置了工业通讯协议的解析和过滤功能,可针对工业协议采用深度的包检测技术和应用层通讯跟踪技术,做到对非法指令的阻断、非工控协议的拦截,以起到保护控制器的功能。
如表1和图1所示,工业防火墙能解析常用的工业通讯协议。
表1:常用工业通讯协议
图1:工业防火墙解析工业协议
其次,工业防火墙一般部署在每个独立的生产单元的边界,如图2所示,且具备Bypass机制,其延时一般只是微秒级。
图2:工业防火墙部署位置
总结:
1、 工业防火墙内置工业通讯协议的过滤模块,支持各种工业协议识别及过滤,普通防火墙不支持工业协议过滤。
2、 工业防火墙一般部署在各个对立的最小生产单元的边界区域,时延一般为微秒级,且标配Bypass机制,普通防火墙一般部署在网络边界,延时一般为毫秒级,Bypass机制非标配。
二、工业网闸与防火墙的区别?
首先解释下网闸与防火墙的区别。从硬件架构上来说,网闸为2+1的结构,及前后主机+隔离硬件,防火墙是单主机系统。由于这种架构的区别,网闸在数据交换时所有数据需要落地转换,数据进入摆渡区之前要经过彻底的协议剥离,到了后主机上再进行数据封装,故不存在内外网之间的回话,连接终止与内外网主机;而防火墙工作在路由模式,直接进行数据包转发,其内部所有的TCP/IP会话都是在网络之间进行,存在被劫持和复用的风险;
其次部署位置上,网闸一般部署在办公网和业务网之间(图3所示),高安全与低安全区域之间,其功能主要为文件同步、数据库同步、组播工控协议等;防火墙主要部署在网络边界,功能包括ACL,NAT,VPN,IPS等。
图3:工业网闸部署
工业网闸相比于普通网闸,最大的区别就在于能识别和过滤工业通讯协议。
总结:
1、工业网闸采用2+1的双主机架构,数据交换可做到内外网无回话;防火墙采用单主机架构,会话存在被劫持和复用风险;
2、工业网闸部署在IT网络和工业网络之间,可对工控协议数据包进行层层剥离和数据还原,并对工控协议内容如功能码、寄存器地址、工艺参数值进行精准识别和安全控制;防火墙部署在网络边界,主要实现ACL,NAT,VPN等功能。