随着工控信息安全越来越成为各方关注的焦点，越来越多的工业企业对工控信息安全产品也投入了更多关注目光，众所周知，工业防火墙现阶段仍是防护工控信息安全的主流产品，作为扼守工业网络安全的重要设备，工业防火墙在运行稳定性、响应精准性、以及安全防护能力上依然是工业用户普遍关注的重点。

    三零卫士工业防火墙，为工业用户量身定制，该工业防火墙基于先进的系统架构和优化的管控体系，能及时发现潜在威胁，实时拦截恶意攻击，解决工业控制系统病毒“缠身”、防护“无力”等难题，为工业用户带来安全、稳定、精准的防护体验。

    三零卫士工业防火墙，拥有五大优势：

    一、强大的数据吞吐能力，增强实施响应能力

    400M（4接口线速）处理能力，每秒5000-10000条新建连接数，10-50万条并发连接数，三零卫士工业防火墙具有强大的数据吞吐能力和并发响应能力，更重要的是，三零卫士工业防火墙通过在应用层、传输层、网络层与数据链路层实行对内外通讯进行监控，形成立体式防护，大大增强防火墙的实时响应效率以及安全防护能力。

    二、50多种工控协议分析，OPC、MODBUS深度解析

    实现对ModBus、OPC、PI、ProfiNnet、ProfiBus/DP、DNP3.0等50多种工控以太网协议进行识别、控制与过滤，更进一步的，对OPC协议动态端口开放，只需要对控制连接进行控制即可，当会话完毕后将自行关闭动态开放的端口；同时，对MODBUS/TCP协议，提供功能码、寄存器地址基本的访问控制，阻断任何非授权的访问行为，提高工控环境的抗攻击能力。

    三、三权分立策略规则，开启用户安全关卡

    三零卫士工业防火墙实施配置管理三权分立的策略规则。权限分为超级管理员，配置管理员，审计管理员类型，实现基于用户角色的安全控制，通过三种类型的管理员操作权限相互制衡，严格限制用户在什么时间、什么地方可以登录系统、并且可以访问什么地址和服务。通过一道道用户安全关卡的设置，从根源上阻止各种不明登陆以及恶意篡改发生的可能性，同时优化系统管理流程。

    四、安全规则与连接状态共同配合，提高包过滤效率

    提高包过滤的效率，也是考验工业防火墙的技术核心之一。三零卫士工业防火墙采用了基于连接状态检查的包过滤，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合，此外，在进行包的检测时不仅将其看成是独立的单元，同时还要考虑与它的前面包的关联性。

    而针对UDP、ICMP协议的应用来说，三零卫士对基于UDP协议的连接处理时，会为UDP建立虚拟的连接，同样能够对连接过程状态进行监控。通过规则与连接状态的共同配合，达到包过滤的高效与安全。

    五、动态过滤技术，自动判断网络环境

    为了满足OPC、SQL、NET、FTP等应用程序端口动态变化的需求，三零卫士工业防火墙使用了动态过滤技术，即在实际应用中，事先只需打开极少数必须打开的端口，在建立合法的访问连接时再适当打开某些需要的端口，当连接结束时自动地关闭相应的端口，这样能够有效的防止系统存在的“开口”隐患，解决了事先打开的端口不能满足应用程序的需求等问题，并能在最大程度上挫败黑客的恶意进攻。