工业防火墙设备全防护装置会将数据包会话接收下来，然后进行协议解析，再判断协议、端口及IP地址等内容是否在白名单中，如果在白名单列表中，则继续判断数据格式是否正确，里面是否包含病毒，如果确保正确才通过并下发到工业控制网络并记录；如果不在白名单列表中则就直接拒绝，同时也会记录日志。

工控防火墙深度解析工控协议，在应用层识别工控数据，以白名单策略对系统进行防护，及时阻断非法指令的传播，保护工控系统的脆弱性。例如某些工控系统寄存器范围不能超出太多，否则会宕机，使用工控防火墙超出的指令会被拦截，主要是阻断client端的拦截。

同时工控防火墙良好的工控使用性使其过滤信息的延时很小，数据处理能力更是完全胜任工控安全环境，此外，工控防火墙还可具有防病毒等能力，防止一些恶意代码的传播。工控防火墙本身应具备自身安全性，保障工控系统安全。

工业防火墙要满足如下功能 ：

基础功能：具备基础防火墙功能，包括基于传统五元组、协议、资产、时间等多元组一  体化访问控制；支持透明、路由、混合模式部署；设备内置多种工业防护模型，并可以自定   义防护规则；

工业 DPI：支持多种工业协议深度解析，包括 OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104 和 EIP 等协议，可以做到指令级访问控制。

工业 IPS：预置工控系统攻击事件库，全面提升工业网络安全防护能力；基于自然语言描述的可扩展规则引擎，支持自定义报文解析，具备极佳的安全防护扩展能力

流量自学习：量智能学习，自动推荐安全策略帮助管理员轻松运维，流量可视化，让管  理员洞悉工业网络情况。

工业 VPN：支持基于工业协议的数据加密传输。

集中管理：支持工业防火墙的大规模部署，全网策略统一下发，设备情况统一展现，日  志告警集中显示。

气候保护要求： 具备超强的耐寒暑环境适应能力。工作温度支持-40~70℃；存储温度支持-40-85℃；湿度支持 5％-95％，无凝结等；

侵入保护要求：全金属外壳，无风扇设计，符合 IP40 的防护等级，可有效的防护直径>1mm 异物进入，完全适应尘土飞扬的工业环境。

高可靠性：具备冗余电源和 ByPass 功能，不存在单点故障。

 支持基于二层协议号和三层网络端口号的自定义工业协议白名单安全防护

支持动态连接跟踪技术防护 OPC

支持 OPC DA、Hda 和 A&E 协议的安全

跟踪 OPC 数据链接的动态端口

检查和阻止不符合 DCE/RPC 标准的 OPC 请求

支持 APCI 的访问控制（S 帧、I 帧、U 帧）；

支持数据上送访问控制；

支持遥调的信息体地址和控制值访问控制；

支持遥控的信息体地址和控制值访问控制；

支持遥脉指令的访问控制。

支持包过滤和状态检测防火墙，支持透明、路由部署模式

支持 Ethernet/IP、OPC、Modbus、IEC104 等 100 多种工业协议

内置工业入侵防御引擎，支持自定义检测规则

支持设备自动发现，向导式安全规则推荐

支持专业级工业协议隧道加密

支持设备集中管理，统一状态检测，日志汇总，策略下发

支持管理和系统日志的记录和外发

吞吐量 ： 1Gbps    时延：40us