工业防火墙是什么

工业防火墙是一个有软件和硬件设备组合而成、在内部网和外部网之间、网与公共网之间的边界上构造的保护屏障。工业防火墙，顾名思义就是针对工业网络的，可以解析工业协议，专门针对工业病毒的，一般使用的是白名单机制；普通防火墙，也就是我们平时说的网络防火墙主要是放在内网与外网隔离的位置，不能解析工业协议，基于黑名单机制，需要定期升级病毒库。

工业防火墙和普通防火墙的区别是什么

目前防火墙有四种类型：构建防火墙功能的路由器，构建防火墙功能的代理服务器，的软件防火墙和的软硬件融合的防火墙。

从构建功能上来讲，硬件和软件防火墙构建的功能区别并不大。纯硬件防火墙一般用的处置芯片构建诸如滤器这种功能；而软件防火墙则基于PC硬件架构构建这些功能。

因此这两种防火墙仅次于的区别就是防火墙处置性能上的差别。

工业防火墙的终端防护

终端防护的目的是保护重要的工控设备，包括PLC、RTU、DCS控制器等工业控制系统的大脑。工业防火墙部署在控制器与上位机之间，通过一系列的安全策略，防御工业针对特定控制器漏洞的特征攻击，允许合法的数据访问控制器，保护控制器安全，为了使业务正常运行。

终端防护的***在于保护控制器数据不被恶意篡改，防止对控制器的已知漏洞进行攻击，保证控制器正常运行。

工业防火墙的边界防护

边界防护的场景主要针对工控网络的过程监控层与生产管理层通信的场景，生产管理层与过程监控层之间通过OPC协议或者ODBC等数据库协议进行数据交互，边界防护主要是防范来自企业生产管理层和互联网的威胁，需要结合传统网络信息安全与工控网络安全的特点，防止生产管理层的网络病毒和恶意攻击时，威胁通过通讯服务器蔓延到工控网络，影响生产和业务正常运行。

边界防护的***在于防护生产管理层和互联网的恶意攻击，保证生产管理层的可信任主机访问过程监控层的合法数据，确保生产管理层和互联网的设备受到恶意攻击后，工控网络不会受到影响，保证工控网络正常运行