防火墙在光伏电站电二次系统中的应用

1. 防火墙在光伏电站的应用
     1.1. 在光伏电站二次系统中，防火墙作为生产控制大区或管理信息大区内部网络之间必备的横向边界防护措施，如光伏电站功率预测服务器（安全Ⅱ区）与电站监控系统（安全Ⅰ区）进行数据交互须在通信链路中间加装防火墙;天气预报服务器（安全Ⅲ区）接收 Inter-net 网络中的气象数据，须在通信链路中间加装防火墙。通信链路中的防火墙通过对数据来源和流向进行控制，以保证网络安全性。它能允许你"同意"的人和数据进入你的网络，同时将你"不同意"的人和数据拒之门外，最大限度地阻止低安全等级网络中的非法访问者来访问高安全等级的网络。
     1.2. 光伏电站防火墙的一般要求设备本身具有预防入侵的功能，并且自身具有较高的抗攻击能力;外部网络与内部网络互相访问的双向数据流必须通过防火墙;只有被安全策略允许（合法）的数据才可以通过防火墙。

     1.3. 硬件防火墙是设置在内部网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在的破坏性侵入。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护
     1.4. 根据组网架构内不同网元的功能，将整个网络划分为UPF域、DMZ域、信任域，域/域边界部署防火墙，提供边界隔离，做好安全策略配置。实现区域边界安全审计、恶意代码防范等。

2 . 光伏电站防火墙功能

    2.1.过滤进出网络的数据。数据包在通过防火墙时，不符合规定的IP 地址的信息包会被过滤掉，以保证内部网络的安全。通过过滤不安全的服务，防火墙可以极大地提高内部网络安全和减少内部网络中主机的风险。例如，防火墙可以禁止 NIS、NFS服务通过，同时可以拒绝源路由和 ICMP重定向封包。

    2.2.记录进出网络的信息和活动，对危险行为进行检测和告警。防火墙可以记录和统计通过防火墙的网络通信。提供关于外部网络访问内部网络的统计数据，并且通过这些数据来判断可能的攻击和探测，及时对网络攻击进行检测和告警。

    2.3.管理进出网络的访问行为。防火墙可以提供对内部网络的访问管理。如允许从外部网络访问内部网络某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Mail Server 和 Web Server。防火墙对内部网络实现集中的安全管理，防火墙定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。外部用户也只需要经过一次认证即可访问内部网络。