《工业互联网网络互联技术》 课件 项目二 任务5 配置工业网络安全设备.ppt

任务5配置工业网络安全设备任务描述：在工业网络中，利用工控边界防护设备对OT网与IT网或互联网之间的边界进行安全防护，禁止OT网直接与IT网或互联网连接，进而提升工控网络的安全性。本任务主要围绕防火墙、工业网闸等进行介绍，为读者具备后续实现部署工业现场网络提供工业防火墙配置的能力。

任务5配置工业网络安全设备1.认识工业防火墙防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

任务5配置工业网络安全设备工业防火墙主要使用在工控安全领域，其主要作用是保护工业控制系统不受恶意攻击和意外故障的影响，同时保证工业控制系统的数据传输的保密性、完整性和可用性。

任务5配置工业网络安全设备工业防火墙的功能除了具备传统防火墙的安全功能之外，最大的区别点在于内置工业通信协议的解析和过滤功能，可针对工业协议采用深度的包检测技术和应用层通信跟踪技术，做到对非法指令的阻断、非工控协议的拦截，以起到保护控制器的功能。工业防火墙一般部署在每个独立的生产单元的边界，且具备Bypass机制，其延时一般只是微秒级。

任务5配置工业网络安全设备工业防火墙相比于传统防火墙能更好地满足工业现场的特殊要求，其在工业现场中的作用主要包括以下几个方面。①网络数据安全保障②业务网络策略制定③功能扩展④性能优化

任务5配置工业网络安全设备①网络数据安全保障工业防火墙能够对物理网络进行安全分区，对工业控制系统（ICS）进行网络安全保护，避免非法入侵和计算机病毒的攻击，保护ICS系统的数据安全和完整性。

任务5配置工业网络安全设备②业务网络策略制定工业防火墙具备在TCP/IP协议栈、端口层和应用层等多个层面上进行策略禁止和授权的能力，可以允许或拒绝从不同的IP地址和子网网络访问公用网络和厂商内部站点、限制不同协议、端口和应用程序使用，保障工业应用网络的稳定和安全。

任务5配置工业网络安全设备③功能扩展工业防火墙通常具有VPN、负载均衡、DDoS攻击防御、反垃圾邮件、反病毒、审计和日志记录接口，从而进一步扩展网络设备的功能，提高网络设备的可靠性、功能性和应用性。

任务5配置工业网络安全设备④性能优化工业防火墙具有优化和安全强特性的处理器，能够提高数据传输的速度和效率，并对网络负载进行平衡控制，提升网络传输速度和性能。而且支持实时报警和实时统计，同时对网络流量进行持久的流量统计，从而分析网络流量的来源和结构，为其他设备提供性能保障。

任务5配置工业网络安全设备工业防火墙不仅能够保证工业网络的数据安全性、完整性和流畅性，还能为工业应用提供全面的网络数据保护支持，进而为工业控制系统的稳定运营和数字化转型提供了绿色通道。

任务5配置工业网络安全设备2.认识工业网闸工业网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。

任务5配置工业网络安全设备工业网闸为2+1的结构，及前后主机+隔离硬件，防火墙是单主机系统。工业网闸在数据交换时所有数据需要落地转换，数据进入摆渡区之前要经过彻底的协议剥离，到了后主机上再进行数据封装，故不存在内外网之间的回话，连接终止于内外网主机。针对工业场景的特殊要求，工业网闸在保证安全隔离的前提下，实现生产网与企业网之间的数据安全交换，满足国家及行业对于安全隔离相关政策法规要求。

任务5配置工业网络安全设备工业网闸通过对工业数据的访问进行控制，有效防范恶意攻击和敏感信息泄漏，保障生产网与企业网隔离的同时，实现安全、高速、可靠的数据交换。工业网闸主要对工业网络边界进行安全防护，实现生产网与企业网间的物理隔离，彻底切断网络中木马、蠕虫等恶意程序的传播，保护工业网络中关键设施的安全，提升了工业网络边界的安全防护能力。

任务5配置工业网络安全设备工业网闸一般部署在办公网和业务网之间，高安全与低安全区域之间，其功能主要为文件同步、数据库同步、组播工控协议等。工业网闸相比于普通网闸，最大的区别就在于能识别和过滤工业通信协议。

任务5配置工业网络安全设备工业网闸和工业防火墙都是工业网络安全设备，它们的主要任务是保护工业网络的安全性和稳定性，防御网络攻击和恶意软件的侵入。虽然两者目标相同，但是它们的工作原理和应用场景有所不同，主要区别一般包括以下几个方面。①不同功能面向②不同应用场景③安全策略选择

任务5配置工业网络安全设备①功能方面工业网闸主要工作在数据链路层或传输层，它能够隔离和管理网络流量，并控制从一个网络到另一个网络的数据传输，对上层应用程序没有太多的