防火墙功能，不管说的怎样神秘，其基本原理无非是，对网络上试图通过各种TCP/UDP连接请求或服务请求方式，对本地的外网路由器进行攻击、阻塞，并试图通过本地路由器，进一步侵入本地局域网的行为，进行有效的抵御；

       防护强产品，无论宣传的怎样天花乱坠，绝大多数，都是依据操作系统内核自带的工具（如IPTABLES）或者是开源的防火墙软件（很多，不一一列举）修改而来。

       为不断追求新的市场空间，互联网行业的防火墙产品厂家，已经将其产品延伸到了工业自动化控制领域，但绝大多数号称工业防火墙的产品，实际上是传统的互联网防火墙设备和功能，再加上几个标准的通信协议（如modbus、IEC104、OPC等），快速组合而形成的产品。

       一个工业防火墙产品，如果仅具备对几个标准通信协议的解析和控制功能，那是远远不够的。由于各种现场的通信协议很多，如果只能通过临时开发，是无法验证整个协议的准确性、有效性和稳定性的，产生误报、漏报，是大概率事件。所以是这样的工业防火墙产品，那距离实用化和真正的产品化，还是相距甚远的。

       促使工业防火墙走向实用化和产品化的技术路线有两条：

       1、在网关的基础上，进行防火墙的功能开发，将网关已有的协议库的动作全部解析出来

       2、在一个通用的互联网防火墙设备平台上做各种协议的添加、解析

       毫无疑问，道路1更加合理，快捷。道理很简单：防火墙的功能相对明确，开发相对简单，与协议的对接也相对固定；而大量协议-尤其是行业协议的积累、验证与完善，却非一朝一夕之功，还有对各种串口、各种工业网络接口、以及工业级高低温抗干扰的设计理念与传承等等，都是与互联网防火墙应用于机房里纯净的以太网环境相去甚远的。

       拿人举例，网关产品好比经得起折腾的汉子，有很多现场经验，但需要学习相对固定的管理理念，提升自己的能力；而互联网防火墙产品好比一个已经掌握了很多管理理念的书生，需要在实践中积累更多的现场经验，并强健身躯适应恶劣环境。

       两条道路，孰易孰难，孰快孰慢，不言自明。

       沿着道路1，CS系列网关，在完成网关的常规功能、视频功能、SCADA功能之外，利用Linux内核集成的IPTABLES，实现 IP 信息包过滤。防火墙的相关定义，在网关的统一定义工具中实现。

        CS网关目前完成的防火墙功能包括：   

        1、具备网桥模式、监测模式、管控模式等多种工作模式。

        2、访问控制：支持默认禁止原则，可基于地址、端口、协议等条件的访问控制；

        3、支持工控应用层协议的深度过滤，可以支持IEC-104、Modbus、Siemens S7、OPC，以及CS网关300+协议的扩展支持；支持对工业协议的属性进行深度解析与精细控制。

        4、支持工控协议的畸形报文检测。

        5、在网络层，提供IPMAC绑定，访问控制、会话控制、抗渗透等安全功能。                              

        6、具备路由、NAT等功能。                                          

        7、具备流量统计功能。                                                          

        8、具备统一管理功能，通过管理平台可进行设备的统一管理，实现配置下发等功能，方便操作。                           

        9、具备日志上报功能，可支持定制化的私有日志格式和syslog格式的日志上报。                                    

        目前此产品正在龙芯2K1000的嵌入式网关上进行小批量验证测试，一旦成熟，将可以迅速部署到全系列CS网关上。

        此前相关的物联网接入与安全审计产品，已经通过JY认证，是目前工作的基础。