工控防火墙解析

工控防火墙解析（ICF）：工业控制网络环境中使用的防火墙，如工业防火墙（IFW）或工业控制防火墙。与ICT环境中的防火墙功能类似，它控制两个网络之间隔离的特定设备（物理或虚拟）。在信息和通信技术的背景下，防火墙主要用于保护网络区域免受来自另一个网络区域的网络攻击和入侵。

由于隔离和防御特性，企业网络输出、大型网络内部子网隔离、数据中心边界等网络边界被隔离；它可以灵活地应用于子网隔离和其他位置。在ICS环境中，工业控制防火墙主要用于管理网络（办公网络）和生产网络之间或控制层之间的边界，并分析连续的工业控制网络流量，识别和控制。防止对工业生产设备的内部和外部网络攻击。

工业控制防火墙和传统防火墙因环境而异，与传统防火墙相比不具有以下特征：

1、传统防火墙没有工业协议解析模块，难以理解和支持工业控制协议。工业网络包括基于工业以太网的协议（第2层和第3层）和基于串行连接的协议（RS232、RS485）。

使用各种类型的专用工业协议，包括为了过滤和处理这些协议，需要一个特殊的工业协议验证模块。现有防火墙仅针对ICT环境，无法完全支持工业协议的无状态/无状态过滤，也无法对工业协议进行深入分析，无法提供过度控制。

2、现有的防火墙软硬件设计结构不适合工业网络和生产环境的实时性要求。首先，工业网络环境下的工业ECU对实时传输反馈有很高的要求。小问题可能会导致交换机停止响应，并要求连接的工业控制防火墙满足工业网络的实时要求。然而，传统的防火墙主要用于传统的ICT环境、软件。

3、最初的硬件架构没有考虑工业网络的实时性能，因此现有的防火墙不适合工业网络的即时性要求。其次，工业生产对网络安全设备的环境适应性要求很高。许多工业场地甚至处于恶劣的环境中，无人看管。因此，工业控制防火墙必须为工业生产环境提供可预测的性能支持和干扰保护。例如，工业设施中常用的防火墙主要是动态防火墙，对防火墙环境的适应性要求很高。现有的防火墙不适用于工业网络中复杂的生产环境。