工业互联网安全方案火力聚焦点揭秘(21)_：工业互联网安全方案火力聚焦点揭秘不

1. 工业协议访问控制

工业防火墙可以对专用的工业协议进行白名单或黑名单的访问控制：

（1）预置了百种以上工业协议，可实现工业协议的白名单安全防护；

（2）预置了常用的 PLC 防护模型，可快速实现控制器的白名单防护；

（3）支持基于二层协议号和三层网络端口号的自定义工业协议白名单安全防护。

2. 工业协议深度过滤

天清汉马工业防火墙针对工业协议的安全防护，除了具备白名单访问控制等基本功能外，还需要对工业协议有应用层的理解与控制，可以实现对工业指令的过滤。天清汉马工业防火墙支持基于 Modbus/TCP、Modbus/RTU、IEC104 等协议的深度过滤功能。以下以 Modbus/TCP 和 Modbus/RTU 为例进行说明：

（1）MODBUS/TCP 深度解析防护

天清汉马工业防火墙的 Modbus/TCP 深度解析模块可以支持应用层细粒度控制，具体包括：功能码的访问控制、设备地址的访问控制、线圈范围的读写访问控制、寄存器范围的读写访问控制、输入地址访问控制等。此外还通过支持阻断时 Reset 回复、阻断时异常回复和黑白名单机制来保证工业网络在防护设备阻断时不会出现异常。