一、引言

随着网络技术的迅猛发展，网络安全问题日益受到人们的关注。在网络安全领域，防火墙作为一道重要的安全防线，扮演着至关重要的角色。然而，在工业互联网时代，工业防火墙的出现为工业控制系统的安全提供了更为专业的保障。那么工业防火墙与传统防火墙能否互相替代？下面通过对比国标文件进行分析。

二、工控防火墙与传统防火墙国标对比

根据国标《信息安全技术—工业控制系统专用防火墙技术要求》（GB/T 37933-2019）与《信息安全技术—防火墙技术要求和测试测评方法》（GB/T 20281-2020）对比，工控防火墙与传统防火墙无论是应用场景、功能要求、性能参数、规格形态等各个方面均有不同要求。

1. 国家标准对工控防火墙与传统防火墙的定义与要求

工控防火墙：

工业控制系统专用防火墙（下文简称工控防火墙）是一种专为工业环境设计的网络安全设备。与传统的IT环境相比，工业环境具有更加复杂和严格的要求，工控防火墙部署于工业控制网络的不同安全域之间或者控制域内控制器之前，具有网络层访问控制功能，工业控制协议深度解析与访问控制功能并具备高可用性，能够适用于工业控制环境的安全产品。

传统防火墙

传统防火墙，作为网络安全的第一道防线，通常部署于企业网络出口处，对经过的数据进行分析、监控和访问控制与安全防护的网络安全产品。它基于预定义的规则和安全策略，对进出网络的数据流进行过滤和检查，确保网络的安全和稳定。

从两款防火墙的定义上来看，工控防火墙更强调的使用场景是工业控制网络内，并具备工业控制协议的识别、过滤以及高可用性要求。

2. 工控防火墙与传统防火墙部署场景

工控防火墙：

从部署位置上来看，工业防火墙是部署于工业控制网络中的，工控防火墙可在如下位置进行部署。

边界隔离部署：部署在控制网络边界（如管理网与控制网之间），阻断来自上层网络（管理网）的安全威胁，实现纵向防护。

区域间隔离部署：部署在同层级不同安全区域（区域1与区域2），防止不同区域间的交叉感染。

关键点隔离部署：部署在重要控制系统或设备前端，保护重要控制系统或设备，只允许必要的数据包通过，阻断对重要控制系统或设备的所有非法访问及控制。

传统防火墙：

传统防火墙主要用于保护一般企业网络或互联网环境中的资源免受网络威胁。其部署场景通常包括：

内外网边界防护：传统防火墙部署在企业网络的内外网之间，作为网络的第一道防线，阻止外部威胁的入侵，同时控制内部用户访问外部网络的权限。

网络安全区域划分：在企业网络内部，传统防火墙可以根据业务需求和安全策略，将网络划分为不同的安全区域（如DMZ区、内部网等），并控制各区域之间的通信。

3. 工控防火墙与传统防火墙的功能与性能特点

工控防火墙：

从功能来看，工控防火墙不但需要具备传统防火墙对应通用协议的识别与访问控制功能之外，还需要支持工业协议的识别，工业协议的操作类型、操作对象、操作范围深度解析与访问控制。

由于工业控制网络的普遍业务流量较小，所以工控防火墙对吞吐量、新建连接、并发连接的要求比传统防火墙略低；工控安全设备工控防火墙对网络的实时性要求更高，时延一般为微秒级。

传统防火墙：

传统防火墙主要关注ICT环境的网络防护，未装载工业协议解析模块，因此不支持工业控制协议的解析和访问控制。

性能上来看传统防火墙通常数据传输量较大，对吞吐量、新建连接与并发连接要求较高，通信延时要求略低于工控防火墙，通常为毫秒级。

4. 工控防火墙与传统防火墙的硬件特点

工控防火墙：

从硬件上来看需要在不同工业环境下具备高可用性、高可靠性，要求工控防火墙必须具备对工业生产环境可预见的性能支持和抗干扰水平的支持。比如宽温、无风扇设计，满足工业环境中的防尘、防污染、抗冲击、抗震动等要求。

传统防火墙：

传统防火墙设计初衷主要针对ICT环境，相比较严苛复杂的工业环境，硬件的环境适应性要求上低于工控防火墙。提供较多的网络端口与扩展插槽，以满足ICT环境高流量的需求。

三、国家和行业政策法规明文要求

1.《中华人民共和国网络安全法》第二十一条中指出

国家实行网络安全等级保护制度要求，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

依据网络安全法，对工控系统参照等级保护2.0相关标准进行等级保护工作是工业控制系统运营者应尽的责任和义务，拒不履行等级保护工作相关义务的，将根据情节严重程度承担相应的法律责任。

2.《工业控制系统信息安全防护指南》中第三章节边界安全防护中指出

(一)分离工业控制系统的开发、测试和生产环境。

(二)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。

(三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

四、总结

工控防火墙与传统防火墙各有其独特的技术特性和应用场景，共同构成了企业网络安全防护的双重利剑。工控防火墙以其对工业控制环境的深度适配和高实时性，确保了工业控制系统的安全稳定运行；而传统防火墙则以其成熟稳定的技术和灵活的部署方式，为企业的ICT环境提供了全面的安全防护。

在数字化和智能化的今天，企业网络安全面临着前所未有的挑战。只有充分利用工控防火墙与传统防火墙的双重利剑，才能确保企业网络的安全稳定运行，为企业的发展提供有力保障。