目前对控制系统的防护，通常采用禁用光驱和USB、安装杀毒软件等措施。但这些技术主要面向商用网络应用，缺乏有效的主动防御手段。杀毒软件的病毒库需要不定期的经常更新，这一点尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的，导致每年都会大规模地爆发病毒攻击，特别是新病毒。

       Tofino防火墙通过内置工业通讯协议和工业模型，在实现全面控制功能的同时，打造制造商专有通讯网络信道，建立通讯管控“白名单”，从而阻挡其他一切非法通讯，包括黑客病毒等恶意程序攻击，以及基于Windows平台的其他非工控需求的通讯。

       Tofino防火墙专业针对控制网络特点而设计，支持在线修改组态，对实时通讯无影响，通过对组态规则完美配置，保证了工控需求的完整性以及独特的实时性和可靠性等特点尤其适合工业控制系统信息安全防护。

       Tofino会定期发布工业控制软硬件的漏洞，内置的工业模型嵌入了已知漏洞保护功能，在已知漏洞的工业控制系统应用中提供全方位的安全保障。Tofino防火墙不仅是在端口上的防护，更重要的是其能提供应用层上的数据包深度检查，属于新一代的工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。

保护APC先控站：
a）只允许APC先控站与OPC Server之间通信；
b）只允许OPC标准格式的DCE/RPC 访问请求，支持OPC DA、HDA、A＆E的通讯；
c）TSA本身不设IP地址；
d）隐藏被保护的OPC Server IP地址。

隔离工程师站：
a）仅允许DCS控制系统相关通讯协议通过；
b）防止服务器与其他站之间病毒互相感染；
c）已知漏洞保护。

保护重要的控制器：
a）仅允许DCS控制系统相关通讯协议通过，授权某OP站访问；
b）阻止拒绝服务攻击；
c）已知漏洞保护。