防火墙是网络安全的第一道防线，是目前应用最为广泛的网络安全防护技术产品。本文将围绕防火墙技术特点、产品类型及如何挑选一款优秀的防火墙等问题展开探讨。

防火墙是什么？

防火墙，本是一建筑领域词汇，原指建筑中用于阻止火灾蔓延的墙。现多用于网络领域，指在内部网络与外部网络之间、专用网络和公共网络之间设置的一道保护屏障。防火墙是目前使用最为广泛的网络安全防护技术，也是解决网络隔离与连通矛盾的一种较好的方案，可在网络环境下构筑内部网和外部网之间保护层。

防火墙的发展历程

第一代防火墙诞生于1989年，采用静态包过滤技术，俗称包过滤防火墙。历经35年发展进化，防火墙由低级到高级、从简单到复杂。目前，防火墙已经发展成为了一款能够全面应对应用层深层威胁的集成式、高性能、智能化的网络安全领域的基础安全设施。

第一代防火墙：包过滤防火墙，采用静态包过滤技术，依附于路由器包过滤功能实现，根据定义好的过滤规则审查每个数据包，遵循“最小特权原则”允许管理员通过设定策略决定数据包是否能通过防火墙。

第二代防火墙：电路层防火墙，同样于1989年推出，通过使用TCP连接将可信任网络中继到非信任网络来工作，但客户端和服务器之间不会直接连接。电路层防火墙不能感知应用协议，必须由客户端提供连接信息。

第三代防火墙：应用层防火墙(也称代理防火墙)的初步结构，由贝尔实验室在1989年同步推出，应用层防火墙通过代理服务实现防火墙内外计算机系统的隔离。

第四代防火墙：基于动态包过滤技术的防火墙，采用动态设置包过滤规则的方法依据设定好的过滤逻辑，检查数据流中的每个数据包，根据数据包的源地址、目标地址、所使用的端口确定是否允许通过。

第五代防火墙：使用自适应代理技术的防火墙，由NAI公司在1998年推出自适应代理技术，并在其产品中体现，给代理类型的防火墙赋予了全新意义。

第六代防火墙：IDC在2004年提出统一威胁管理(UTM)概念，将防病毒、入侵检测和防火墙安全设备划归统一威胁管理，包含多功能安全网关、综合安全网关、一体化安全设备等产品。

下一代防火墙：Palo Alto Networks公司在2008年发布下一代防火墙，以应用感知和全栈可视化、深度集成IPS、适用于大企业环境并集成外部安全智能为主要技术特点，解决统一威胁管理多功能同时运行情况下性能下降的问题，还可基于用户、应用和内容进行管控。

经历35年发展进化，防火墙形态各异，从构成形态上来看，防火墙又可分为硬件防火墙、软件防火墙和芯片防火墙。

硬件防火墙

最常见的防火墙形态，基于PC架构，软硬一体化产品，主要用于网络级安全防护。

软件防火墙

运行于独立的计算机上，需要计算机操作系统的支持，纯软件化产品，用于计算机主机的安全防护。

芯片防火墙

专有的ASIC芯片、多总线结构具有更快处理速度，更高处理能力，非x86架构，专用操作系统，具有更高的安全性。

而从部署应用上来看，防火墙又分为网络防火墙、主机防火墙和混合防火墙。

网络防火墙

通常部署在网络边界，用于子网之间访问控制的网络设备。

主机防火墙

针对于单个主机进行防护，以软件形式部署在主机操作系统上。

混合防火墙

将分布式技术与传统防火墙相结合，通常由内、外两部分构成，可自动根据具体情况完成内外主机直接通信，智能更新信息的过滤规则，自动配置过滤策略等智能化的防火墙系统。

防火墙在工业领域的兴起 

近年来，随着工业4.0、数字化浪潮的到来，工业企业信息化、智能化建设不断推进，工业网络与互联网有了更多的连接与交互。原本存在于互联网的病毒、木马、勒索软件和黑客攻击正逐步向工业网络渗透，肆意破坏正常工业生产甚至危及国家安全。

防火墙作为网络防护的标准化产品，逐步被应用到工业网络的安全防护中。然而，由于工业网络与普通网络存在巨大差别，其使用环境更复杂，对防护产品稳定性要求更高、延时更低等特殊要求，促使安全厂商对防火墙做出针对性开发，工业防火墙就此诞生。

如何选择一款优秀的工业防火墙 

工业防火墙在我国各项法规标准中扮演着中流砥柱角色，并且市场中几乎所有的工业安全厂商都能够提供此类产品。那么，如何在繁杂的产品中选择一款优秀的工业防火墙产品就成为工业企业的一道必答题。

关于工业防火墙的产品选择，我们可以从功能、性能、稳定性等几个方面来综合考量。

功能是每一款工业防火墙产品安全防护能力的具体体现。优秀的工业防火墙需要具备以下功能：

1、工业协议的解析能力和支持能力

工业控制设备之间的通讯往往采用设备厂商的专有协议，公开的或半公开的，因为有比较直接的协议标准文档能够采用，所以相对来说比较容易理解和做到协议解析。但是对于专用的未公开协议，就需要依靠安全设备厂商的网络流量分析能力甚至是逆向解析能力。如果不支持特定通讯协议，工业防火墙的协议解析和保护能力就会大打折扣，当然，其他功能诸如流量隔离仍然可以发挥应有的作用。

2、链接状态检测和深度数据包解析能力

工业防火墙直接借鉴了传统IT防火墙的形态，目前直接在DPI应用层检测阶段。工业网络发展到现代，底层越来越多的采用以太网通讯协议，同时协议应用层采用动态端口协商技术，这就要求工业防火墙需要支持协议状态检测和动态端口协商技术。工业防火墙需要具备深度数据包解析能力，才能够支持以数据包解析为基础的很多安全功能。

3、白名单或者流量模型自学习模式

工业网络中的流量相对单纯和明确，本地自封闭局域网络，不与外部广域互联网相连或直接相连，区别于常见的基于各类漏洞库、病毒库、攻击特征库的黑名单防御机制，更多采用的是白名单的防御思维。

工业防火墙上线后，先作为一个流量的旁观者，默默学习一定的时间范围，进而自动生成待定的白名单目录，这时再配合自动化控制系统工程师进行策略调优和白名单确认，通过确认之后才作为通信安全基线正式生效。

4、工业级的可靠性和硬件支持

工业防火墙硬件需要采用工业级元器件进行设计制造，以保证产品长期稳定的运行。区别于传统墙，当现场环境恶略情况下，常使用无风扇封闭式形态硬件进行部署，并支持工业直流电源，满足IP40及以上防尘等级要求和宽温要求。

5、集中管控和设备联动能力

典型的工业防火墙部署数量都不只是单台设备，参考整个工业网络的范围和工艺工段的数量，数量有可能在十数台到数十台不等，所以设备的集中管控能力就显得异常重要，可以通过统一的管理平台进行集中管理会大大提高设备的调配能力和快速响应能力。

6、工控漏洞库、工控设备指纹库、工控攻击特征库等工业专有库能力

工业现场通常使用自动化控制设备，及其专用通信协议，专有库可以针对工业特殊环境进行有效防护，可以通过网络流量分析做到设备资产自动识别和网络拓扑描绘。

除上述功能之外，性能和稳定性也是考量的重要部分。工业网络环境里面对于设备的延迟要求很高，必须满足操作的实时性，否则容易影响工业设备的正常响应。

珞安科技工业防火墙 

珞安科技面向工业控制网络边界防护问题，自主研发工业防火墙产品。工业防火墙采用工业级的硬件设计，基于对主流工业协议的深度解析，综合运用工控威胁特征识别技术、机器学习与可信白名单技术，在提供指令级细粒度访问控制能力的同时，也可有效抵御各类针对工控系统的网络攻击和恶意破坏，为生产控制系统的稳定运行提供安全保障。

该产品支持X86，ARM，MIPS等多种硬件架构。可广泛应用于电力、石油、石化、烟草、水利、轨道交通、智能制造等领域，为SCADA、DCS、PLC以及智能终端等系统提供高效可靠的安全防护，满足行业政策法规及安全技术要求。

1、产品功能

全面的工控协议深度解析

可对 OPC、Modbus、Siemens S7、EtherNetIP、IEC104、DNP3、IEC61850、Profinet、BacNet、Omron Fins、MELSECQ、SCNet、SONet、MQTT 等 30 余种主流工业协议进行深度解析，同时支持以自定义的方式对私有协议进行适配。

支持对工控指令的精准管控

支持对主流工控协议进行值域级的精准指令控制。支持 OPC、FTP 等协议动态端口；支持 OPCDA 协议状态自动备份和恢复，结合 BYPASS 能力，可在设备断电、重启等任何异常状态下都能保证业务连续性。

文件级还原审计

支持 FTP 及多种主要工控协议的文件还原，能够还原特定协议流量中传输的文件；支持对 NC 文件的语义核查。

多重防护机制

基于工控威胁特征识别技术、可信白名单技术构建多重防护机制。业务流量通过可信白名单的检测后，可对报文信息做进一步的黑名单检测。系统提供 IP 地址盗用、未知设备接入监控、DOS 攻击、工控规约检查和工控关键事件审计等多重防护机制，更有效的抵御针对工控系统的各类网络攻击。

智能构建安全防护规则

通过流量自学习建立工控业务可信行为基线，辅助用户构建安全防护规则，降低人工部署的难度。

强大的网络适应性

支持透明模式和路由模式部署，路由模式下支持静态路由和动态路由（OSPF）, 适应复杂的工业网络环境；同时支持测试模式和工作模式，方便实施部署。

2、产品优势

全面的工控协议支持

支持30+种工控协议的深度解析；

细到值域级的精准控制；

支持工控协议文件级操作审计；

支持协议自定义，满足私有协议的管控需要。

多层次的安全防护

7000+工控威胁特征识别，抵御已知威胁；

白名单式通信管控，抵御未知威胁；

21种网络层恶意攻击检测，抵御传统攻击；

支持与安管平台进行安全联动，及时封堵威胁。

便捷的访问控制构建

采用流量自学习构建白名单访问控制规则；

支持白名单自定义，便于快速补充规则；

预置1000余种应用协议流量识别。

灵活的部署管理

单机自管理和集中管理同步配置；

支持串口、网口多种网络接入防护；

支持链路聚合、VPN、动态路由、策略路由功能。

3、客户价值

控制风险保障生产

有效规避工控网络脆弱性风险，保证生产的安全有序进行，降低工控网络攻击所带来的各种损失，确保企业工业控制系统的正常运行。

简化运维降低成本

基于自学习的安全基线核查手段，可以有效简化部署运维过程，操作人员的技术要求较低，降低人工成本。

政策合规满足监管

满足行业对工业控制网络安全的政策法规要求以及相关的安全技术要求。