一.工业防火墙产生的背景

伴随着等保2.0的颁布，工业网络安全市场也随之火热起来，工控主机卫士、工业审计、工业网闸、电力网闸设备逐渐进入了自动化集成商朋友的视野。今天我们就来聊一聊和现场PLC、工程师站、操作员站安全隔离息息相关的一个伙伴——工业防火墙，工业环境中控制器、服务器的守护者。

对于现场自动化工程师和维护人员来说，部署一台工业防火墙需要了解网络设备，并且需要掌握一定的网络知识。这对于自动化工程师来说可能不是一件容易之事，还好安盟工业防火墙考虑到自动化工程师的感受，有三种工作模式可供选择：防护模式、学习模式、警告模式。

二.三种工作模式介绍

防护模式：启动防护模式，设备严格执行安全策略并记录日志，阻断违规会话及非法入侵等行为并告警，以邮件等方式通知用户。

是不是太学术了，以下是通俗理解：

工业防火墙的防护模式就像乘客坐高铁，只有购买车票的乘客才能通过闸机进站，由出发地到达目的地。无票人员，只能被乘务员视做不法人员或失信人员拦截在闸机外禁止进站。购票人员相当于工业防火墙中添加的白名单策略，这些策略可以是OPC、ModbusTCP、IEC104等等，只有符合白名单上的策略的才能通过工业防火墙。无票人员相当于没有在工业防火墙中添加白名单策略，没有在白名单的策略可以是任何通讯协议可能是病毒、攻击、木马等会对工业系统产生威胁的因素，会被工业防火墙丢弃。

但大部分的工业现场已经在运维状态，对于设备的通讯协议和IP地址运维人员可能不是十分了解，甚至不知道什么工业通讯协议。

这时设备智能学习模式和警告模式就可以为您解决此类困惑。

学习模式：启动学习模式，保证业务全通，对正常业务流量进行建模，自动生成防护策略库，并推荐安全防护策略协助管理员洞悉工业网络协议，实现轻松部署。

还是太专业了，小编烧脑想出以下通俗易懂的解释：

工业防火墙的学习模式，可以理解为高考，经过十年寒窗，学生掌握了很多知识，只有达到录取分数线才能进入心目中的大学，未通过录取分数线只能是被心目中的大学放弃。可以想象学习模式时工业防火墙是一个老师，它可以根据网络流量指定考卷答案，当切换成防护模式后，工业防火墙变成了考卷，此时只有符合考卷答案的流量才能通过工业防火墙，不符合考卷答案的流量将视为没有通过考试，并最终被防火墙的考试丢弃。

警告模式：启动警告模式，保证业务全通，设备依据已配置的策略放行匹配的流量，对不符合策略的网络流量进行告警，便于进一步细化安全策略。

但为各位看官能看懂，小编还是要讲一下街头大妈能听懂的解释：

简单点说，警告模式相当于给您的工业系统安排了一个流量质检仪，您可以告诉工业防火墙只允许哪些流量通过，允许通过的流量可以理解为合格品，没有告知工业防火墙的流量也可以通过，但是会被认为是次品，次品流过之后需要质检人员予以清除，质检员清除的次品的过程，相当于用户通过工业防火墙筛选流量中的可信流量的过程，最终达到白名单部署的效果，利用告警模式工业防火墙同样可以为您的工业环境构建出安全的白名单环境。

三种工作模式，可适应不同的场合、不同工作能力的人员实施。

三.保证业务连续特性

为保证工业数据实时性在硬件设计时使用千兆电口满足大点数的实时性，为保证设备应急性硬件和软件上均设置了Bypass切换功能。用电气自动化人员可以理解的话说，Bypass就是一个继电器的常闭触点，继电器线圈通电时，常闭触点会断开，这个过程挪到工业防火墙的Bypass上是酱紫的：通电相当于内置程序（相当于继电器的线圈）接管了Bypass硬件，不让Bypass（相当于继电器的常闭触点断开了）起作用，只有符合策略部署的流量才能通过工业防火墙，当设备断电或者手动切换成Bypass，此时相当与继电器线圈断电，常闭触点吸合，任何流量都能通过防火墙。软硬件Bypass的设计，不管是设备异常断电，还是部署期间需要手动界面切换，设备可随时切换Bypass状态，保证工业实时数据连续性。

工业现场数据实时性才是企业运行的根本，我们不但要保证业务数据的安全性，也要为企业发生紧急情况做到充足的考虑。

四.数据加密传输特性

工业数据传输很多情况会借助运营商的网络进行传输，即使使用运营商的VPN专网，也不能保证数据再传输过程不被窃听与泄露。针对此种场景，安盟工业防火墙使用国密算法——我国自主研发创新的一套数据加密处理系列算法，为工业数据的传输在原有VPN隧道的基础上，再加上一层国密VPN的算法，使得隧道中的工业数据更加安全，完全避免了数据被窃听和泄露的风险。

总结：设备优点与价值

工业防火墙部署方式灵活，对现场的工业环境中的控制器和服务器进行白名单机制逻辑防护，三种工作模式实现现场的灵活部署，适应不同实施人员，软硬件Bypass保证应急情况下工业数据传输链路通畅，数据加密保证工业数据公网传输无泄露。

工业防火墙已被广泛应用于电力、钢铁、煤炭、石油化工、烟草等领域，保障着国家涉及国计民生的基础设施的安全、可靠运行。