工控防火墙如何部署？

在工业网络系统中，工控防火墙根据其使用位置大致可以分为两种类型。

1、机架式工控防火墙

2、导轨式工控防火墙

机架式工控防火墙通常在工厂内部使用，因此与现有防火墙具有相同的规格。大多数设计为1U或2U机架，不带风扇，符合IP40保护级别。这些任务用于隔离管理网络或其他工厂网络中的工厂。大多数类似于铁路的防火墙都类似于生产防火墙，部署在环境中的生产站点。因此，这种类型的防火墙被设计成类似于轨道的结构，无需螺钉即可轻松插入轨道，便于维护。内部设计更加封闭和紧凑，内部组件之间使用集成的计算机主板。该主板通常采用集成散热设计，设计紧凑，不需要内置电缆连接。板载CPU和存储芯片在工业生产环境中受到保护，不受振动影响。

由于部署位置和保护对象的不同，防火墙类型可能具有不同的功能，但功能通常是相同的。从ICS建筑本身的角度来看，由于其设计，其建筑设计具有固有的不可修复的脆弱性，最初既不考虑安全性，也几乎没有考虑安全性。因此，信息通信系统领域与信息通信技术领域不同。

ICT领域的快速更新和迭代技术几乎确保了架构的安全设计。随着工业化的快速发展和物联网的融合，SCADA、DCS PLC等工业控制系统广泛应用于中国的核心基础设施和工业行业。以太网，TCP/IP和OPC等计算机和网络技术的日益使用，极大地促进了工业生产，并进一步开放了工业控制系统的接口。

这些接口用于管理网络和互联网连接，容易受到ICS漏洞的内部和外部攻击。因此，ICS本身具有很强的体系结构漏洞。性能攻击和潜在的内部和外部漏洞会对ICS构成风险，直接或间接影响工人的生产安全。因此，在这种趋势下，工业控制防火墙必须首先保护已知的ICS漏洞，例如未经授权的访问和未加密的协议。

对于不需要加密的工业协议，由于现场设备的计算性能低和工业网络的实时性要求等固有限制，工业协议的原始设计考虑了加密。加密工业协议的使用无法承受加密和解密的工作量和延迟。工业网络通信协议与传统网络协议之间存在显著差异。

工业协议基本上是纯文本协议。发送的数据包是连续的。最初的工业环境是软件，由于是专门为硬件和专用协议设计的，并且位于孤立的网络环境中，设备的计算性能相对较低。因此，工业协议主要设计用于纯文本传输，而不考虑加密的特性。几乎所有的工业设备制造商都开发了自己的专用协议，但在此之前，协议的一般实现可以通过组分析来实现。

工业协议的另一个特点是，它们发送的数据包几乎是连续的，而ICT环境中的大多数网络协议都是随机的。因此，工业控制防火墙对工业协议的过滤和解析控制与现有防火墙的工作方法不同。工业控制防火墙包括OPC您可以使用已知的工业专用通信协议（如Profibus）来设置保护规则。

其他非公共私有工业协议需要工业控制防火墙使用智能学习模型来构建协议规则库。工业控制防火墙的智能学习模式是工业协议的明文，使用传输和排序。捕获并分析特定数量的日志包可以获得个人日志的日志属性，并基于这些属性创建规则库。