2022年5月,六方云发布《下一代工业防火墙白皮书》,提出了“下一代工业防火墙NIFW”的概念。六方云不是第一个提出“下一代工业防火墙”概念的厂商,而是第一个在行业内系统的、全面地阐述下一代工业防火墙的典型特征、技术要求、核心功能、扩展要求,并率先提出下一代工业防火墙成熟度评估模型的厂商。
详细的内容请阅读:业内第一部丨《下一代工业防火墙白皮书》连载,在这里对六方云提出的下一代工业防火墙进行一个概要总结:
1、下一代工业防火墙的典型特征:
2、下一代工业防火墙的核心技术要求:
三个一体化(OT/IT防护引擎一体化、OT/IT防护知识库一体化、OT/IT防护功能一体化),三个智能化(工业操作工艺异常检测、未知工业威胁防护、智能数字身份识别与访问控制)3、下一代工业防火墙的核心能力:
5、下一代工业防火墙的10大功能:
② 身份识别与访问控制:零信任(SDP、微隔离、增强认证)③ 适应下一代工业网络:TSN、工业以太网、IPv6、5G④ OT/IT融合安全:三个一体化(引擎一体化、功能一体化、知识库一体化)⑤ 工业应用安全:基于OT应用、IT应用、IoT应用的识别、控制、可视、审计⑥ 工控操作安全:基于工控协议指令或指令组实施访问控制⑦ 工业数据安全:工业VPN(IPSec、GRE、PPPoE、国密)⑧ 工业安全可视:围绕资产、网络、流量、应用、指令、行为实现属性与关系的可视⑨ 工业安全审计:工控协议合规性检查(白名单)、安全事件与日志留存与查询、攻击与异常流量留存与还原⑩ 系统本身安全:宽温、无风扇、可信计算、系统加固六方云下一代工业防火墙与当前工控行业普遍遵循的国标工业防火墙有何异同?
无论是下一代工业防火墙还是国标工业防火墙本质上还是防火墙,下面让我们从应用场景、典型特征、核心技术要求、核心能力、网络适应性、主要技术、性能效率、可靠性、安全功能九个维度进行对比:
六方云工业防火墙的特色在哪里?
在增强和保证OT与IT融合网络的安全性的同时,及时发现正在进行的网络攻击,预测和识别未知攻击,并采取各种措施使攻击者不能达到其目的;
2、让OT安全运维工程师看得懂安全告警事件:
工控通信协议解析做到四级,解读做到准确且易读;
能够让OT运维工程师看见工控系统的设备,应用,网络,流量,风险,威胁;
能够让OT运维工程师可基于自己的意图管理网络,设备,应用,会话,指令;
5、支持常见工业应用软件和加密远程访问软件的识别与控制:能够让OT运维工程师及时发现和阻止诸如非法远程访问、非法SMB共享访问等异常行为;
6、超过1000条定向针对工业设备和应用的入侵防护虚拟补丁:能够及时准确的发现和阻止遭受的勒索、蠕虫、DDoS、漏洞利用等攻击;
网络白名单、协议白名单、应用白名单、指令白名单
实现平均通信时延小于10us的超低时延,满足工业场景的高确定性要求;
在各个场站IP地址空间重叠情况下,支持各场站之间网络隔离和访问控制,各场站还能够实现与MES等生产管理系统的互通;
可实现隐藏工业历史数据库、MES等系统,不暴露在互联网;
11、支持IPSEC、GRE、PPPoE等VPN功能:可部署在OT与IT边界实现工业数据加密传输;
12、部分型号支持0配置上线;
13、支持电口/光口BYPASS、HA等技术,满足工业场景的高可靠性要求;
14、支持IPv6/IPv4双栈,可以适应工业内网改造的趋势;
15、支持基于飞腾D2000和麒麟V10操作系统的国产化硬件平台;
六方云工业防火墙的优势在哪里?
-
一台设备即可基于白名单+黑名单+行为分析三种防护技术,实现OT与IT安全防护功能于一体,性价比高;
-
支持超过25种四级工控深度解析(地址域、功能码、寄存器、值/值域),如Modbus TCP,UMAS,GE-SRTP,OPC DA,DNP3,S7,IEC104,MMS,Profinet ,Ethernet/IP, OPC UA,MQTT等
-
OT与IT安全防护功能于一体,通信时延小于10us,低于工业以太网通信时延;
-
超过1000条定向针对工控设备和工业应用的漏洞利用入侵检测特征库;
-
基于指纹(非服务端口)的应用识别与控制超过50个诸如wincc、ifix等工业应用软件、500个IT应用软件,其中包括20多个加密应用软件;
IPSeC VPN加密算法除了支持常见的商用加密算法外,还支持SM2、SM3、SM4国产加密算法;
此外,六方云工业防火墙基于工业互联网的“四层、三网、两平台、一系统”场景设计,根据部署场景的不同分为下图几种类型,在实际应用中,需要根据具体的网络环境和安全需求选择合适的安全产品。
