工业防火墙价格常用解决方案 国泰网信科技有限公司

工业防火墙的功能

四重白名单一体化防护，构建工业生产安全环境

针对网络层、应用层、规约指令层、规约数据层进行四重白名单过滤的一体化纵深防护，将各种黑流量、灰流量进行过滤，满足不同场景下不同协议的精细化安全访问控制需求。同时，系统采用一体化的数据处理架构，---在四重防护情况下不影响数据流的时延，满足工业实时性的要求。

白名单规则自学习，建立完整准确防护基线

采用白名单机制设置安全策略，以适应工控网络通讯特点。设备实时网络之间的流量，通过自学习机制生成流量基线，由此建立白名单。

三段式运行模式，稳妥渐进实现防护目标

提供学习、告警和防护三段式运行模式，帮助用户稳妥渐进部署安全策略，以---不误阻断正常流量，避免生产事故。学习模式即对工业协议流量进行分析学习建立白名单，不做任何阻断处理；告警模式，就是对学习建立的白名单进行测试验证，对于违反策略的流量发出告警，但不阻断；防护模式，经过告警模式的观察磨合，确认安全策略已完全符合管理要求后，终切换到该模式。

工业防火墙的适用场景

工业安全网关可以部署在生产管理层l3与过程监控层l2之间，作为控制网边界的道防线，用来阻止来自企业管理---、生产管理网的---、木马、网络等安全威胁。也可以部置在过程监控层l2和现场控制层l1内各个功能区域间，帮助用户根据业务和功能特性对控制网络划分安全域。继而根据各区域的安全特点有针对性的为该区域提供安全防护策略，控制---或攻击事件扩散。

工业防火墙的部署方式

工业防火墙可以部署在企业网络层l 4与生产管理层l 3之间，作为控制网边界的道防线。也可以部署在生产管理层l 3和过程监控层l 2之间，用于保护过程监控层网络及现场控制层网络。还可部署于过程监控层l 2和现场控制层l 1之间，用于进行生产区域间隔离防护。工业防火墙可由管理平台进行统一安全管理。

工业网闸与防火墙的区别

首先解释下网闸与防火墙的区别。从硬件架构上来说，网闸为2+1的结构，及前后主机+隔离硬件，防火墙是单主机系统。由于这种架构的区别，网闸在数据交换时所有数据需要落地转换，数据进入摆渡区之前要经过的协议剥离，到了后主机上再进行数据封装，故不存在内外网之间的回话，连接终止与内外网主机；而防火墙工作在路由模式，直接进行数据包转发，其内部所有的tcp/ip会话都是在网络之间进行，存在被-和复用的风险；

其次部署位置上，网闸一般部署在办公网和业务网之间，高安全与低安全区域之间，其功能主要为文件同步、数据库同步、组播工控协议等；防火墙主要部署在网络边界，功能包括acl,nat,ips等。