工控防火墙的功能特点

白名单管理：工业防火墙的一个重要创新，就是引入白名单形式的安全策略控制。由于工控网络通信固定化的特征，确定了使用白名单技术进行安全控制，是解决工业网络安全的一个重要且有效的方式。

安全策略规则：工业防火墙作为防火墙类的产品，内置的防火墙管理功能是其基础功能之一，工业防火墙采用状态检测防火墙的机制实现相应的访问控制功能。

安全策略无扰下装：考虑到工业网络对于可用性、持续性和实时性的要求，捷普工业防火墙采用全透明接入的方式，提供学习、测试、管控三种工作模式，产品在部署、配置和使用过程中可以根据需要实时切换到适当的工作模式下，保证在整个部署过程中都不会阻断正常的业务数据传输，无需中断生产系统的运行，而且在启动深度过滤时可选择仅警告，等确认后在进行处理，保障生产系统不间断运行。

工业防火墙的域间隔离

域间隔离的场景主要针对工控系统网络中的多域和多单元装置场景，域间需要通过工控网络互访数据。域间隔离的工业防火墙通过一系列的安全策略，防止在某个域中病毒或者受到攻击时，威胁蔓延到整个工控网络。

域间隔离的***在于多域间业务逻辑隔离，保证合法的数据在信任的主机之间进行交换，确保工控网络的某个域的设备受到恶意攻击后，其他域的网络数据能够正常运行。

工业防火墙分析

1.工业协议的深度解析：传统防火墙对传统应用的协议有着广泛的支持，但是对工控协议基本没有涉足，如果将传统防火墙用于工控场景，只能起到基础的五元组策略防护。

2.策略的动态防御：工控环境中，管理网与控制网连接场景中，服务器往往设在控制网（比如：OPC服务器），客户端设立在管理网（OPC客户端），OPC服务器固定端口，客户端是随机端口，没有动态策略，使得必须开放管理网全端口均可访问控制网设备，从而埋下重大隐患。

因此，在当前的信息安全技术和市场中，工业防火墙已经是传统防火墙的。正是因为这个原因，《工业控制系统信息安全防护指南》中明确指出，应在工控场景部署工业防火墙。