工业控制网络中的防火墙.docxVIP

PAGE 1 PAGE 1 工业控制网络中的防火墙  防火墙禁止来自因特网对个人计算机(PC)和可编程规律掌握器(PLC)的访问，但允许对企业Web服务器的访问。独立的硬件或硬件/软件单元通常被称为网络防火墙，通常是最安全的解决方案，把企业网络与工业自动化掌握网络(IACN)分开。它们是专用的功能单元，除了个别例外，加固后可以抵抗一切攻击。此外，网络防火墙通常供应最佳的管理选项，因此通常允许对它们进行远程管理。  　　什么是防火墙？  　　防火墙是一种机制，用于掌握和监视网络上来往的信息流，目的是保护网络上的设备。流过的信息要与预定义的安全标准或政策进行比较，丢弃不符合政策要求的信息。实际上，它是一个过滤器，阻挡了不必要的网络流量，限制了受保护网络与其它网络(如因特网，或站点网络的另一部分)之间通信的数量和类型。下图显示了一个简洁的防火墙，禁止来自因特网对个人计算机(PC)和可编程规律掌握器(PLC)的访问，但允许对企业Web服务器的访问。  图1一个简化的防火墙举例  　　防火墙类型  　　防火墙具有许多不同的设计和配置。它可以是一个连接到网络的单独物理硬件设备(如思科的PIX?或赛门铁克的安全网关防火墙)，可以是一个带有操作系统和防火墙功能(如运行在Linux?服务器上的“iptables”)的硬件/软件单元，甚至可