- MENU
-
解决方案
2022-10-28安小盟话安盟 | 从国标看工业防火墙与传统防火墙的区别工业控制系统专用防火墙自产生以来,经常被拿来与传统防火墙进行比较。用户最大的疑问是两者到底有什么区别,为什么不能用传统防火墙替代工业防火墙使用。
工业控制系统专用防火墙作为一个独立的产品品类与传统防火墙无论从应用场景、功能要求、性能参数、规格形态等过各方面都有着很大的区别,两者无法相互替代。下面通过对两个产品的国标研读,并逐条对比:
1、执行的国家标准不同
工业坊火墙
传统防火墙
GB/T 37933-2019
信息安全技术 工业控制系统专用防火墙技术要求
GB/T 28281-2020
信息安全技术 防火墙安全技术要求和测试评价方法
2、产品定义不同
传统防火墙定义较为宽泛。
工业防火墙强调的是工业控制系统的应用场景,工业控制协议的识别与过滤,以及高可用要求。
工业防火墙
传统防火墙
部署于工业控制系统中不同安全域之间,或者控制器之前,
具备网络层访问控制级过滤功能,工业控制协议规约检查和过滤功能,
并具备高可用性,能够适用于工业控制环境的安全网关类产品。
对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。
3、产品二级分类不同工业防火墙
传统防火墙
工业防火墙依据部署位置不同,域间防火墙(部署在不同安全域间)和控制域防火墙(部署在现场控制层)。
传统防火墙根据不同的应用场景分为:网络型防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙。
4、功能要求不同:
一是工业防火墙强调工业控制协议的识别、规约检查和内容控制;
二是工业防火墙在在可靠性方面要个要求,必须具备Bypass、运行自检和修复、多运行模式实现最小影响、必须冗余电源、自然散热适应严酷环境等要求;
工业防火墙
传统防火墙
网络层控制
强调要求对流量超过阈值的行为进行告警;
强调连接数控制和会话管理;
应用层控制
支持常用工业控制协议的识别;
工业协议格式规约检查;
工业协议的操作类型、操作对象、操作范围等参数进行控制;
常用网络协议识别;
WEB应用、数据库应用、其他网路应用的内容访问控制;
可用性保障
要求部署在控制层的工业防火墙具备BYPASS功能;
不要求BYPASS功能;
设备自检
具备设备自检功能;
初始化是需要进行设备自检,可以发现异常能够即时告警和提供修复功能;
运行期间,手动或自动进行自检,发现异常并告警,能够自动修复;
无此要求;
运行模式
支持学习模式、验证模式、正常模式,
能够区分部署过程和工作过程,以实现防护系统最小影响;
无此要求;
散热方式
部署在控制层的工业防火墙要求采用自然散热方式,无风扇设计;
无此要求;
5、性能要求不同
控制层内部署的工业防火墙对于吞吐的要求相对较低,反映了工业场景中控制层的流量较小的特点。
传统防火墙性能要求吞吐较高;
工业防火墙
传统防火墙
网络层吞吐
域间防火墙:
对64字节短包,百兆工控防火墙应不小于线速的30%,千兆工控防火墙应不小于线速的40%;
控制域防火墙:
对64字节短包,百兆工控防火墙应不小于线速的10%,千兆工控防火墙应不小于线速的20%;
对64字节短包,百兆工控防火墙应不小于线速的20%,千兆工控防火墙应不小于线速的35%;
延迟
域间防火墙:
1) 对64字节短包、256字节中长包、512字节长包,百兆工控防火墙平均延迟不应超过1ms;
2) 对64字节短包、256字节中长包、512字节长包,千兆工控防火墙平均延迟不应超过200us;
控制域防火墙:
1) 对64字节短包、256字节中长包、512字节长包,百兆工控防火墙平均延迟不应超过500us;
2)对64字节短包、256字节中长包、512字节长包,千兆工控防火墙平均延迟不应超过200us;
1) 对64字节短包、256字节中长包、512字节长包,百兆防火墙平均延迟不应超过500 us;
2) 对64字节短包、256字节中长包、512字节长包,千兆万兆防火墙平均延迟不应超过90us;
TCP最大并发
a) 百兆工控防火墙的最大并发连接数应不小于60000个;
b) 千兆工控防火墙的最大并发连接数应不小于300000个。
a) 百兆防火墙的最大并发连接数应不小于50000个;
b) 千兆防火墙的最大并发连接数应不小于200000个。
TCP连接速率
要求相同
要求相同
综上,依据对产品国家标准的解读,详细分析这两种防火墙产品的差异如下:
>应用场景,工业防火墙应用在工业控制系统网络中,部署在不同安全域之间或者控制层控制器前。
>应用层过滤能力,工业防火墙除了具备传统防火墙的部分通用协议过滤功能外,还需要具备对工业控制协议的过滤能力。
>环境适应能力,工业防火墙需要更高的环境适应能力,小型化DIN轨设计、无风扇设计等。
>性能要求,由于工业场景流量较低,工业防火墙吞吐量性能要求相对低一些。
>稳定性可靠性要求,工业防火墙需要更高的可靠性要求,硬件上需要冗余电源和BYPASS设计,软件上需要提供设备自检和多运行模式实现设备上线对业务系统的最小化影响。
相关新闻
-
2023-03-16
-
2023-03-10
-
2023-02-23
-
2023-02-20
-
2023-02-03
-