随着科学技术的发展，现代工业生产的自动化程度越来越高，但是工业控制系统的系统资源有限，在设计网络协议之初只对系统效率与实时相关的网络特性加以考虑，并没有对工业物联网安全足够重视，加上工业物联网协议本身不成熟，以及日新月异的病毒和网络攻击手段，安全问题已经成为制约工业物联网发展的主要瓶颈之一。因此，如何有力保障工业物联网的安全显得迫在眉睫，本课题就是基于此背景之下，对工业物联网协议栈的网络层安全防护展开深入研究。对目前工业物联网安全技术现状进行分析，结合工业物联网的安全技术指标、网络安全威胁及安全策略，提出了利用状态检测防火墙保护工业物联网网络安全。通过对系统的需求分析、防火墙的技术比较与模型分析，确立了工业物联网状态检测防火墙的总体设计方案。针对工业物联网状态检测防火墙的过滤规则集的启发式优化算法需要网络的完整映射关系的问题，本文在工业物联网协议栈架构的基础上，在感知层实现网络拓扑发现协议(TDL),推导出基于不完全知识定理的工业物联网的哑设备判定规则，用于识别网络中存在的哑设备，连通网络拓扑图。本文设计的工业物联网状态检测防火墙按照软件实现的方式，将方案分为防火墙应用程序和防火墙驱动程序两部分。利用VisualStudio2008集成开发环境构建XnetFireWall应用程序，实现了过滤规则的配置、报文捕获和报文处理时间统计等功能。利用微软的WDK驱动开发包，实现了工业物联网状态防火墙的驱动，该驱动分为三个功能设备：报文过滤功能设备、状态检测功能设备和控制处理功能设备。将防火墙驱动实现在网关协议之上，解决了现有工业物联网中的防火墙无法对所有协议进行检测的弊端。采用状态机描述的方法设计了建立连接状态检测变换图和断开连接的状态检测过程，避免了状态检测过程存在安全漏洞的情况。对于无连接协议的不可靠传输特性，设计了利用虚连接的方式来实现其状态检测功能。针对状态表的匹配速度问题，设计了利用哈希匹配代替逐个表项匹配的方案，相比传统的规则匹配方法，此方法速度提高了大约5倍。采用动态管理超时时间的方法，避免了Dos攻击和伪造FIN报文网络攻击。通过对报文过滤模块和状态检测模块分别进行了测试。测试结果表明，在底层网络为9600bps令牌网和100M工业以太网组成的工业以物联网环境中，工业物联网状态防火墙比传统的报文过滤防火墙检测效率提高34.865%，安全性测试表明防火墙能够有效防范网络报文攻击，作为工业物联网的网络边界安全设备，能够有效保障工业物联网的网络安全。