工业防火墙

工控网络·入侵防御·网络隔离·边界防护

产品亮点

PRODUCT HIGHLIGHTS

工业级硬件

  • 无风扇设计,支持宽温,适应工业现场的恶劣环境;
  • 双电源设计,符合工业现场电源冗余要求(部分型号);
  • 多核低功耗CPU,降低整机能耗;
  • 硬件ByPass功能,异常状态不会影响生产与业务 网络数据。

协议识别广而深

  • 深度解析MODBUS TCP、DNP3、S7、IEC104、 MMS、PROFINETIO、OPCDA、GOOSE、SV 等多种工业协议,支持协议自定义;
  • 支持大多数传统IT协议的深度解析与控制。

工业漏洞库

  • 包含1000余种工业漏洞;
  • 涵盖主流厂商的工业漏洞;
  • 精细分类工业漏洞,精确防护工业设备。

白名单与机器学习

  • 对工业控制网络中所有不符合白名单的数据和行为 特征进行阻断和告警,消除未知漏洞危害;
  • 通过机器学习自动收集系统正常运行状态下的数据 行为,识别工业网络环境网络的安全数据特征,建立 网络流量安全基线。

高可靠性

  • 硬件ByPass,当机器出现能源异常时,Bypass 网口自动导通,保证业务正常运行;
  • 软件ByPass,当网络数据超出防火墙最大负荷 时,在条件地将部分安全数据软bypass,保证网 络时效性。

符合工业操作习惯

  • 符合工业习惯的操作界面,运行情况一目了然;
  • 符合工业习惯的设置方式,运行方式简单易懂;
  • 符合工业习惯的展现形式,安全事件查看驾轻就熟。

产品功能

PRODUCT FEATURES

白名单防护

在默认情况下,任何未经批准的主机、协议或功能指令都不能通过防火墙,从而抵御零日恶意软件和有针对性的攻击。一旦检测到白名单以外的网络数据,及时上报异常,对未知的攻击也能够记录。

工业漏洞检测

通过内置的工业漏洞检测引擎,内置1000余种工业漏洞,涵盖多数主流工业控制系统漏洞,精确匹配工业控制网络中的数据特征,检测工业控制网络已知的恶意攻击与威胁,保护工业控制系统业务与数据安全。

接入控制

主要针对工业控制网络数据中第二层网络(layer2)的控制,通过控制设备的源/目的IP、源/目的MAC,源/目的端口,快速识别工业控制网络中存在风险的设备和主机,防护工业控制网络安全于未然。

日志记录与报表

日志记录包括安全事件,操作记录,协议事件等内容。日志记录默认所有事件都上报并存储,特定场景下可以选择需要上报的告警日志,优化日志可视界面。报表展示灵活,定制内容,定制类型,定制输出的格式,满足多种报表功能需求。

多种工作模式

由于工业控制网络的特殊性,设计三种工作模式来满足其要求:全通模式、测试模式、工作模式。全通模式下所有网络数据都通过;测试模式下所有数据都通过,匹配安全策略的数据告警而不进行控制;工作模式下工业控制网络数据根据安全策略决定通过还是阻断。

NAT

NAT(Network Address Translation, 网络地址转换),包括SNAT与DNAT功能,它是一个IETF标准,将工业控制网络的某个工段或者工作域以一个特定IP地址对外发布,防止工业控制网内主机直接暴露在对外网络中,保证工业控制网络的主机和设备安全。

VPN

VPN(Virtual Private Network,虚拟专用网络),包括IPSec与GRE功能,IPSec VPN是基于IPSec协议的VPN技术。GRE VPN(Generic Routing Encapsulation)是基于通用路由封装协议的VNP技术。

应用场景

APPLICATION SCENARIO

现场控制层防护
现场控制层防护
通讯服务器防护
通讯服务器防护
域间通讯防护
域间通讯防护

场景描述:

现场控制层的控制器直接与传感器、变送器、执行装置相连,实现对现场设备的实时监控并通过通信网络实现与上层机之间的信息交互。控制器即能脱离上位机按预定的程序自动运行,又能接受上位机的操作按需要运行合适的程序。作为工业控制系统的核心大脑,如何防护控制器不受攻击是工业控制系统安全防护的重中之重。

产品应用:

 · 保证正常业务主机对控制器的访问与操作;
 · 阻止异常主机对控制器的访问与操作;
 ·  允许经过验证的工程师站下载、上传、更新控制器组态,保证控制器程序不被侵入、异常篡改。

场景描述:

通讯服务器在工业控制系统中担当重要的角色,对内连接工业控制系统的过程监控网络层,对外连接生产管理层。生产管理层与过程监控层可能通过通讯服务器实现数据访问,一旦互联网的主机通过生产管理层的主机访问过程监控网络的主机,整个工业控制系统都处理威胁之中,生产装置的运行不再安全,恶意攻击事件有可能导致重大生产事故。

产品应用:

 · 隔离异常主机访问过程监控层的主机和数据;
 ·  保证生产管理层与过程监控层主机的正常数据访问,保证业务正常运行;
 · 保证生产管理层的病毒与针对性攻击不影响工业生产运行。

场景描述:

域间通讯是同一公司的工业控制系统常用的通讯方式,具有通讯快捷,数据库一致,降低通讯成本等多种优点,但方便快捷的同时,也面临网络主机间互相访问的问题,若0号域的主机被攻击或者感染病毒,有可能1号域的设备和主机面临攻击的威胁。

产品应用:

 · 隔离多域之间不正常的数据访问与操作;
 · 保证多域间数据的正常访问与业务运行;
 · 保证域与域之间不会相互感染病毒,实现域间数据的安全隔离。

more

手机扫码打开