工控防火墙和传统防火墙的区别

传统防火墙未装载工业协议解析模块，不理解不支持工业控制协议。工业网络采用的是工业协议，工业协议的类别很多，有基于工业以太网（基于二层和三层）的协议，有基于串行链路的协议，这些协议都需要专门的工业协议解析模块来对其进行协议过滤和解析。传统防火墙只针对于ICT环境，无法完全支持对工业协议的无/有状态过滤，也无法对工业协议进行深度解析和控制。

工业防火墙常见使用

1、应用广泛支持

支持常见工控协议，以及视频、FTP、***TP等常用应用协议。

2、信令深度控制

基于深度解析工控协议，可控制报文的功能码、线圈值、值阈范围等参数，以及控制指令和具体参数。

3、智能学习防护

支持智能学习、告警、防护三种工作模式，可通过智能学习工控网络业务流量自动生成安全策略库。

4、安全即插即用

采用即插即用的工作机制，可自动到管控端注册和获取防护策略，减少对现场技术人员的依赖。支持软件和硬件两种Bypass机制，大限度保证业务的连续性。

工业防火墙

从应用角度看，防火墙则分为传统IT防火墙和工业控制系统防火墙（以下简称工业防火墙）。《信息安全技术 工业控制系统防火墙技术要求》（征求意见稿）就针对工业防火墙提出了特殊的安全功能要求，其中指出：工业防火墙是可应用于工业控制环境，对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护，并满足特定工业环境和功能要求的防火墙。

工业防火墙使用

1.挂架形式不适用：现场电器柜采用工业挂架，传统防火墙多采用机架式部署。

2.环境参数不适用：工业现场环境因行业和工艺不同，需要耐高温、耐低温、防结露、放盐雾、防震、防电磁辐射等参数，传统防火墙不可能对这些需求做出响应。

3.业务连续性需求：现场控制层的安全产品的业务连续性要求不能低于控制产品要求，且现场控制层的通信是设备到设备的，实时性要求极高，对安全产品的延迟和延迟抖动有极高的要求。

4.功能安全需求：现场控制层的安全产品应符合整体系统的功能安全需求，必须具有面向安全侧的失效功能，传统防火墙对失效方面没有相应的功能。