老王，就職于一家大型能源企業
在運維崗位，干了15年
老王有個習慣
喜歡在褲腰帶上掛兩大串鑰匙
一大串是家里的，一大串是單位的

文章插圖
不過，最近老王的腰間
又多了一串“奇怪”的鑰匙
形狀和普通鑰匙，有點不一樣
不知道開啥的，充滿了神秘感

文章插圖
單位有人問，開什么門的？
老王笑而不語
這串玩意越發顯得神秘起來

文章插圖
終于有一天
答案在機房揭曉了
↓
那天，老王刷卡刷臉進了機房
打開機柜門，拿出那個奇怪的鑰匙
*** 了機架上的一臺設備里

文章插圖
老王輕輕轉動了一下鑰匙
然后回頭對運維小李說
“行了，你現在可以下發策略了”

文章插圖
萬萬沒想到
這鑰匙是用來開防火墻的！??！
沒錯，一個帶物理鎖的防火墻
確切的講
一個帶物理鎖的【工業防火墻】

文章插圖
有啥用呢，其實
這相當于是加了一層物理寫保護
只要防火墻的策略配置完畢
這道物理鎖“咔嚓”一鎖
任何來自***的修改都會被拒絕
不管是惡意的攻擊還是善意的誤操作

文章插圖
這個“物理級”寫保護
解決了困擾客戶很久的一個問題
↓
***如果先黑了安管平臺/SoC
然后再下發策略更改防火墻的配置
再牛的防火墻也會失效
如今“鐵將軍”把門，萬無一失
真需要修改策略和***下發時
老王小鑰匙一擰，即可
完事兒，再鎖上，得嘞！

文章插圖
真的要整這么復雜嗎？
那得看這“墻”用在哪兒
工業防火墻，要保護的目標
往往都是影響國計民生的關鍵基礎設施
怎么嚴苛都不為過！
↓

文章插圖
“加鎖”只是個微創新
工業防火墻的身板
還要經受各種考驗
保證其扛住各種惡劣的工業環境
看到這里
搞傳統防火墻的小伙伴表示不服

文章插圖
的確，很多人，包括我在內
內心里對工業防火墻都有點瞧不上
覺得這貨除了“皮糙肉厚”，沒啥技術含量
↓
跟***式的企業或互聯網環境相比
工業環境實在太干凈了，有些還物理隔離
設個白名單，只允許那幾個應用通過
不就完全OJBK了？

文章插圖
這樣的場景，讓傳統防火墻來干
簡直就是降維打擊，so easy
可是
當我真和老王這個大甲方聊過后
才發現：我去！隔行如隔山啊
傳統IT系統vs工控系統
各方面都存在著巨大的差異
比如實時性、故障容忍度、生命周期
再比如工控系統不允許自動化更新打補丁

文章插圖
……
這些差異，對工控安全產品提出新要求
傳統防火墻/IPS可以頻繁更新協議特征庫
而工控防火墻，卻不能這么干
按照老王的說法
↓
你看似簡單的“白名單”
其實分了三重境界

文章插圖
之一重境界：訪問控制白名單
這個吶，其實就是ACL
基于5元組來判定阻斷還是放行

文章插圖
把防火墻整到生產環境跑一會兒
了解一下都有哪些流量來往
源/目的IP、端口、協議類型
統統***在冊，形成白名單

文章插圖
一般人覺得，工控環境沒幾種應用
以后就按這個規則執行就行
簡單，粗暴，有效
可是，這個“有效”，要打個問號

推薦閱讀

• 

  靜安司的內鬼是誰
• 

  垃圾桶有小飛蟲怎么辦
• 

  白蘭花歌詞 白蘭花葉子邊緣焦黑怎么處理
• 

  手機電子發票在哪里看
• 

  正常膽囊內多少膽汁
• 

  拓跋氏是什么民族？
• 

  水兔之命 出生日期五行查詢 1963年出生是什么命？
• 

  it行業前景 it行業工資一般多少
• 

  綠蘿施什么肥料長得好，綠蘿施肥什么肥料好呢？
• 

  榮耀90和opporeno10哪個好區別在哪 榮耀10和oppor9s對比
• 

  廣州有什么好玩的
• 

  如何收集爭取孩子撫養權的證據
• 

  垃圾分類8字順口溜 塑料袋是什么垃圾
• 

  衛生棉條的優缺點介紹 衛生棉條的優缺點
• 

  黃河的歌曲 黃河的歌曲歌詞
• 

  我的理想是警察作文
• 

  對象過生日送什么禮物,安利一波誠意滿滿的
• 

  下元節十月十五出生的屬馬人命運好嗎，屬馬最吉利的出生日子
• 

  蘋果怎么能保存時間長一些 蘋果怎么能保存時間長
• 

  500ml保溫杯需要托運嗎

• 劉濤還珠格格演的誰 劉濤還珠格格
• 用猝不及防造句 猝不及防造句
• 手機電池的鼓包預防方法 手機電池鼓包是什么原因造成的
• 毛里塔尼亞是個什么樣的國家 毛里塔尼亞是哪個國家
• 消防設備電源監控系統 消防設備
• 合肥南站 ****** 熱線 合肥南站
• 輕便安全帽 安全帽的防護作用
• 啟初防曬是物理還是化學 七廚房
• 游泳的水溫最適宜的是多少度防抽筋 游泳適合多少度的水溫
• 霧霾形成的主要原因是什么防治霧霾產生的措施有哪些 霧霾形成的主要原因是什么