工控防火墙如何部署？

工业协议和其他网络协议之间的另一个区别是它们的动态性质。由于DCOM技术，OPC在数据通信过程中动态使用端口1024-65535。因此，在工业环境中使用防火墙动态端口和端口检测协议是完全不可能的。使用传统的防火墙是没有意义的。普通防火墙（如端口5185）无法分析协议使用情况。OPC客户端可以轻松地从OPC服务器读取和写入数据元素。

如果没有防火墙，黑客就会控制客户端计算机，控制系统将面临重大风险。除了端口之外，还有其他动态功能，例如Modbus协议。其中，配置点连接的数量也决定了日志数据包的动态变化。例如，100和200个连接不再具有相同的功能代码，而是执行数据包的创建和传输。对于这种动态变化，防火墙必须了解这些协议的深度，并进行全面的分析和控制。

对于ODBUS TCP/IP等未经授权的访问，主用户通常拥有从辅助用户读取和写入数据的最大权限。如果没有防火墙控制，这是非常危险的。如上所述，OPC客户端可以从OPC服务器读取和写入数据项。这些例子说明了ICS领域固有的漏洞。这只是一个做的问题。无论是内部攻击还是外部入侵者的攻击，生产损失都是不可避免的。此外，生产过程中的事故特别容易对人身安全构成威胁。这些风险是可见的和固有的，短期内无法通过更换工业控制设备来解决。

从工业网络安全的整体角度来看，由于先进的可扩展性、无线连接、远程控制和维护、现场管理以及数据传输，目前的生产网络已经完全暴露在攻击者的生产线上。SCADA、DCS系统和PLC本身的安全性非常差。黑客真的不知道SCADA、DCS和PLC吗？

也许像震网、DUQU、Flame、Havex等具有种族背景的“网络战武器”离我们很远，也永远不会发生在我们的工厂里，但越来越多的工业网络安全事件和ICS漏洞，这些ICS漏洞在地下黑市中猖獗，表明工厂环境的价值目标越来越高。对于企业运营商和安全卫士来说，建设工业网络安全还有很长的路要走，需要从全球的角度来看待。重点是实施顶层设计和深度防御安全战略。深度防御包括在网络边界部署工业控制防火墙，在工业网络内的工业环境中部署入侵检测系统，部署入侵防御系统和反病毒系统等安全基础设施，以实现多层防御策略。同时，对工业网络流量和内外部网络攻击的智能分析，积极结合主动防御安全威胁。工控防火墙是系统的第一道防线，也是工业网络的第一道防御线。这是工作保障的重要组成部分。