177-7177-8292
工业防火墙是面向工业控制网络,进行区域边界安全防护的硬件产品,满足国家等级保护的安全技术要求。
产品采用工业级的硬件设计,基于对主流工业协议的深度解析,综合运用工控威胁特征识别技术、机器自学习与可信白名单技术,在提供传统防火墙的网络层控制和状态监控能力的同时,也可有效抵御各类针对工控系统的网络攻击和恶意破坏,为生产控制系统的稳定运行提供安全保障。
产品可广泛应用于电力、石油、石化、烟草、水利、轨道交通、智能制造等领域,为SCADA、DCS、PLC、以及智能终端等系统提供高效可靠的安全防护,满足行业政策法规及安全技术要求。
主要功能
(1)基础防火墙功能
支持基于五元组及时间段的访问控制功能,支持状态检测,支持基于IP组的连接数限制,支持基于IP、MAC绑定功能,策略支持地址对象,支持主要的DDOS攻击和扫描攻击检测和防护,支持NAT,支持VPN。
(2)工控协议白名单
内置工业通讯协议的过滤模块实现对工业协议识别及过滤,内置自学习引擎对工控协议进行深度解析、分析协议指令控制行为过程,自动建立基于工控协议的操作行为和规则的工控安全检测模型,实现对非法指令的阻断、非工控协议的拦截,起到保护关键控制器的作用。
(3)工业协议深度解析
支持Ethernet/IP、Modbus/TCP,IEC104,DNP3,Profinet,MMS,S7,GOOSE,SV等众多工控协议报文最深达值域级的深度解析,支持报文格式检查、功能码控制、动态端口识别、寄存器控制,连接状态控制等的检测。
(4)工控行为自学习
基于对工控协议的深度解析,分析工控协议通信行为过程,自动学习基于工控协议的操作行为和规则,对正常工控协议的通信行为建立模型,以此作为可信白名单防护的基线,保障业务正常运行的同时阻止、异常攻击行为。
(5)自定义白名单
支持Modbus TCP,IEC104,DNP3,Profinet,MMS,S7,GOOSE,SV等工控协议白名单规则自定义功能,包括工控协议报文的功能码、地址范围和工艺参数范围进行配置及定义,从而达到阻断异常指令、可疑操作的功能。可根据需要快速开发协议,满足特殊工业控制系统安全防护需求。
(6)系统自身安全性
基于SSL的远程管理:通过网络可以直接对工业防火墙进行管理和配置。通讯采用了SSL加密技术,所有配置管理信息在网络上全部以密文传输,可以防止恶意攻击者使用网络监听工具窃取信息。
系统具备网络层恶意攻击检测及过滤控制能力(支持SYN Flood、UDP Flood、ICMP Flood、抗Ping of Death、Smurf、Land attack攻击等)。
(7)DMZ区域规则配置
针对不同工控网络区域提供不同安全级别的保护,可以构建一个叫做“Demilitarized Zone”(DMZ)的区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域。当客户规划设计一个DMZ区的网络时候,通过防火墙可以明确各个网络之间的访问关系,可以确定以内网可以访问外网、内网可以访问DMZ、外网不能访问内网、外网可以访问DMZ、DMZ不能访问内网、DMZ不能访问外网的访问控制策略。
(8)工控威胁检测库
实时检测工控网络中的攻击行为,通过内置的工控威胁库及威胁特征检测规则,实时对网络中的入侵进行识别、处置和告警。
(9)流量分析可视化
对所有通过防火墙上的实时数据流量进行实时显示,并按照设备、MAC、IP地址、协议类型等维度进行分析统计,包括流量占比图表、实时流量趋势图、平均流量等。
(10)实时网络拓扑图
展现已接入网络产品设备,并对设备进行统一布局,动态增加新接入设备,查看布局时一目了然,也可根据现场需求设计定制化布局,实时监测网络。
(11)安全集中管控
支持安全设备的集中管理,包括配置统一下发,规则库统一更新,安全日志,流量日志实时上报等功能。
部署模式
考虑到工业网络对于可用性、持续性和实时性的要求,工业防火墙提供学习、测试、管控三种工作模式,产品在部署、配置和使用过程中可以根据需要实时切换到适当的工作模式下,保证在整个部署过程中都不会阻断正常的业务数据传输,无需中断生产系统的运行,而且在启动深度过滤时可选择仅警告,等确认后在进行处理,保障生产系统不间断运行。
工业防火墙支持透明及路由部署模式,可以满足各种复杂工业网络结构和系统应用。
适用范围
对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护,并满足特定工业环境和功能要求的防火墙。产品适用于PLC、DCS、SCADA、PCS、SIS、MES、APC等工业控制系统,可以被广泛的应用在烟草、化工、石油石化、冶金、天然气、电力、水利、供水、供热、煤炭等与国际民生密切相关的领域, 保障国计民生的基础设施和工矿企业的控制系统安全生产、可靠运行,提升其工控网络的安全防范能力。
