工业网闸与防火墙的区别

首先解释下网闸与防火墙的区别。从硬件架构上来说，网闸为2+1的结构，及前后主机+隔离硬件，防火墙是单主机系统。由于这种架构的区别，网闸在数据交换时所有数据需要落地转换，数据进入摆渡区之前要经过的协议剥离，到了后主机上再进行数据封装，故不存在内外网之间的回话，连接终止与内外网主机；而防火墙工作在路由模式，直接进行数据包转发，其内部所有的TCP/IP会话都是在网络之间进行，存在被劫持和复用的风险；

其次部署位置上，网闸一般部署在办公网和业务网之间，高安全与低安全区域之间，其功能主要为文件同步、数据库同步、组播工控协议等；防火墙主要部署在网络边界，功能包括***,NAT,IPS等。

传统防火墙没有工控防火墙的特性

传统防火墙软硬件设计架构不适应工业网络实时性和生产环境的要求。首先，工业网络环境中工控设备对于实时性传输反馈要求非常高，一个小问题就可能导致某个开关停止响应,这就要求接入的工控防火墙也必须具备工业网络的实时性要求。而一般的传统防火墙主要应用于传统的ICT环境，在软硬件架构设计之初就未考虑过工业网络的实时性，因此传统防火墙无法适应工业网络实时性要求。其次，工业生产对网络安全设备的环境适应性要求很高，很多工业现场甚至是在无人值守的恶劣环境。因此工控防火墙必须具备对工业生产环境可预见的性能支持和抗干扰水平的支持。例如，一般部署在工业现场的防火墙以导轨式为主，该环境对防火墙的环境适应性要求就很高，产品往往要求无风扇、宽温支持等。传统防火墙无法适应工业网络严苛复杂的生产环境。

工业防火墙的终端防护

终端防护的目的是保护重要的工控设备，包括PLC、RTU、DCS控制器等工业控制系统的大脑。工业防火墙部署在控制器与上位机之间，通过一系列的安全策略，防御工业针对特定控制器漏洞的特征攻击，允许合法的数据访问控制器，保护控制器安全，为了使业务正常运行。

终端防护的***在于保护控制器数据不被恶意篡改，防止对控制器的已知漏洞进行攻击，保证控制器正常运行。

工控网络安全用途

工控网络安全从严管理则是因为生产设备有限定用途，仅执行特定应用程序，因此工业防火墙使用白名单设定，可阻挡所有不在名单内的应用程序。反观商业防火墙为企业网络的统一出口，通行应用程序五花八门，实行黑名单机制，仅阻挡列举在名单上的应用程序，放行标准相对较宽，因此工业防火墙更能有效保护工控网络。