第3章工业控制系统信息安全技术与方案部署精选.pptVIP

-*- -*- -*- -*- -*- 第3章 工业控制系统信息安全技术与方案部署 《工业控制系统信息安全》 第3章工业控制系统信息安全技术与方案部署 3.1 工业防火墙技术 3.2 虚拟专用网（VPN）技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构 3.1.1 防火墙的定义 3.1.2 工业防火墙技术 1．数据包过滤（Packet Filtering）技术 数据包过滤技术是在OSI第3层网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。 “白名单” “黑名单” 数据包过滤防火墙适用于工业控制，早期市场中已普遍使用，但其缺陷也慢慢显现出来。 3.1.2 工业防火墙技术 2．状态包检测（Stateful Inspection）技术 状态包检测防火墙采用基于会话连接的状态检测机制，将属于同一连接的所有数据包作为一个整体的数据流看待，构成动