防火墻：實(shí)現(xiàn)工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)保護(hù)的關(guān)鍵組件

　　物聯(lián)網(wǎng)（IoT）正在改變整個(gè)世界的運(yùn)行方式，它連接起了越來(lái)越多的智能設(shè)備，并共享著它們產(chǎn)生的信息，從而改善現(xiàn)有的業(yè)務(wù)模式，同時(shí)實(shí)現(xiàn)全新的業(yè)務(wù)模式。這一點(diǎn)在工業(yè)領(lǐng)域顯得尤為明顯。專家估計(jì)，到2025年，工業(yè)物聯(lián)網(wǎng)（IIoT）的經(jīng)濟(jì)規(guī)模將達(dá)到11.1萬(wàn)億美元。

　　IIoT的發(fā)展將伴隨著更多的聯(lián)網(wǎng)設(shè)備、更多的數(shù)據(jù)以及更多的IT和互聯(lián)網(wǎng)連接。所有這些因素使得已然十分重要的工業(yè)網(wǎng)絡(luò)安全將變得越發(fā)重要。網(wǎng)絡(luò)和外部設(shè)備之間的互聯(lián)帶來(lái)了各種角度和各種形式的新威脅。不僅外部攻擊的“威脅面”變得更大，而且設(shè)備故障、軟件缺陷和用戶失誤的幾率也變得更高，所有這一切都會(huì)對(duì)系統(tǒng)的運(yùn)行產(chǎn)生極大的負(fù)面影響。

　　防火墻對(duì)于確保網(wǎng)絡(luò)的安全性和提高系統(tǒng)的可靠性及靈活性至關(guān)重要。沒(méi)有防火墻，就沒(méi)有完善的網(wǎng)絡(luò)安全模式。就像IIoT網(wǎng)絡(luò)設(shè)備的多樣化一樣，防火墻也存在各種不同的形式，不僅涵蓋了硬件功能和行業(yè)認(rèn)證，而且還涉及到不同的過(guò)濾功能。雖然防火墻聽(tīng)起來(lái)像是一種類型的設(shè)備， 但實(shí)際上它是多種設(shè)備的統(tǒng)稱，所以您必須確定哪一種類型的防火墻最適合您各個(gè)部分的應(yīng)用或環(huán)境。

　　那么，什么是防火墻呢？

　　防火墻針對(duì)進(jìn)出系統(tǒng)的網(wǎng)絡(luò)流量采取防范措施，從而保護(hù)網(wǎng)絡(luò)和設(shè)備（例如：工業(yè)PC、控制系統(tǒng)和攝像機(jī)）免受未經(jīng)授權(quán)的訪問(wèn)。防火墻是網(wǎng)絡(luò)分割的核心要素，在與IIoT相關(guān)的網(wǎng)絡(luò)安全策略中起著至關(guān)重要的作用。

　　防火墻的主要目的如下：

　　˙保護(hù)企業(yè)和工業(yè)網(wǎng)絡(luò)之間的連接，預(yù)防外部威脅。

　　˙在網(wǎng)絡(luò)內(nèi)部設(shè)置障礙，防止內(nèi)部問(wèn)題擴(kuò)散。

　　˙僅允許設(shè)備之間開(kāi)展經(jīng)過(guò)許可的通信，以防惡意攻擊、設(shè)備錯(cuò)誤或操作人員失誤。

　　為了實(shí)現(xiàn)這些目的，防火墻采取了許多不同的方式，包括簡(jiǎn)單的數(shù)據(jù)包過(guò)濾，以及專業(yè)的工業(yè)協(xié)議支持。您必須為系統(tǒng)的各個(gè)部分選擇適當(dāng)類型的防火墻，才能夠獲得良好的網(wǎng)絡(luò)保護(hù)和網(wǎng)絡(luò)性能。

　　選擇防火墻時(shí)的四點(diǎn)考慮

　　在考察防火墻安全方面的各種選項(xiàng)時(shí)，我們必須考慮一系列的因素。過(guò)濾差異、網(wǎng)絡(luò)環(huán)境問(wèn)題以及如何管理整個(gè)網(wǎng)絡(luò)的防火墻，這些是任何人在尋求防火墻解決方案時(shí)必須加以考慮的重點(diǎn)因素。

　　1、針對(duì)您的網(wǎng)絡(luò)量身定制：就像選擇具體的IIoT 設(shè)備一樣，防火墻也必須能夠完成非常具體的任務(wù)，從而支持您的特定需求和應(yīng)用。您所選擇的防火墻必須符合網(wǎng)絡(luò)設(shè)備的獨(dú)特通信模式和需求。

　　2、多層次的檢驗(yàn)：根據(jù)在系統(tǒng)中所處的位置不同，我們需要的過(guò)濾機(jī)制將會(huì)有所差別。靠近機(jī)器并作為“區(qū)域和管道”（“Zones and Conduits”）安全策略的一部分而部署的防火墻，必須懂得各種工業(yè)協(xié)議并且能夠開(kāi)展深度數(shù)據(jù)包檢驗(yàn)。相比之下，用于保護(hù)遠(yuǎn)程網(wǎng)點(diǎn)和互聯(lián)網(wǎng)之間邊界的防火墻，則必須能夠處理互聯(lián)網(wǎng)協(xié)議（IP）流量。

　　3、耐受惡劣的環(huán)境：根據(jù)您的網(wǎng)絡(luò)環(huán)境情況，防火墻有可能需要承受較大的溫度范圍、劇烈的振動(dòng)和其他各種各樣的環(huán)境因素。因此，您所選擇的防火墻必須能夠耐受惡劣的環(huán)境， 并且符合所有的行業(yè)標(biāo)準(zhǔn)和認(rèn)證。選用的防火墻如果不具備應(yīng)用所需的可靠性，那么很快就會(huì)破壞項(xiàng)目的既定目標(biāo)。

　　4、保持簡(jiǎn)單性：如果沒(méi)有強(qiáng)大的管理工具來(lái)實(shí)現(xiàn)簡(jiǎn)便的大規(guī)模防火墻配置，那么這項(xiàng)任務(wù)就有可能非常耗時(shí)，并且容易出錯(cuò)。使用多種防火墻時(shí)，團(tuán)隊(duì)必須能夠有效地管理和配置設(shè)備。重要的是，防火墻必須能夠通過(guò)網(wǎng)絡(luò)管理工具進(jìn)行集中監(jiān)控，從而保障工作的順利開(kāi)展。

　　對(duì)于利用IIoT 的企業(yè)來(lái)說(shuō)，防火墻只是其有效安全策略的一個(gè)組成部分。但是，我們不可輕視它的作用。實(shí)際上，防火墻是實(shí)現(xiàn)總體安全模式的基石。充分了解各種可用的防火墻類型，以及每種類型的防火墻所能起到的作用，我們能夠成功地保護(hù)網(wǎng)絡(luò)免受各種潛在的內(nèi)外部威脅。

　　通過(guò)實(shí)施包括防火墻在內(nèi)的總體防御策略，您所設(shè)計(jì)的網(wǎng)絡(luò)就能夠有效降低威脅，同時(shí)防范不斷擴(kuò)展的IIoT 設(shè)備和環(huán)境帶來(lái)的各種失誤與漏洞。