工业防火墙
工控网络·入侵防御·网络隔离·边界防护
PRODUCT HIGHLIGHTS
PRODUCT FEATURES
在默认情况下,任何未经批准的主机、协议或功能指令都不能通过防火墙,从而抵御零日恶意软件和有针对性的攻击。一旦检测到白名单以外的网络数据,及时上报异常,对未知的攻击也能够记录。
通过内置的工业漏洞检测引擎,内置1000余种工业漏洞,涵盖多数主流工业控制系统漏洞,精确匹配工业控制网络中的数据特征,检测工业控制网络已知的恶意攻击与威胁,保护工业控制系统业务与数据安全。
主要针对工业控制网络数据中第二层网络(layer2)的控制,通过控制设备的源/目的IP、源/目的MAC,源/目的端口,快速识别工业控制网络中存在风险的设备和主机,防护工业控制网络安全于未然。
日志记录包括安全事件,操作记录,协议事件等内容。日志记录默认所有事件都上报并存储,特定场景下可以选择需要上报的告警日志,优化日志可视界面。报表展示灵活,定制内容,定制类型,定制输出的格式,满足多种报表功能需求。
由于工业控制网络的特殊性,设计三种工作模式来满足其要求:全通模式、测试模式、工作模式。全通模式下所有网络数据都通过;测试模式下所有数据都通过,匹配安全策略的数据告警而不进行控制;工作模式下工业控制网络数据根据安全策略决定通过还是阻断。
NAT(Network Address Translation, 网络地址转换),包括SNAT与DNAT功能,它是一个IETF标准,将工业控制网络的某个工段或者工作域以一个特定IP地址对外发布,防止工业控制网内主机直接暴露在对外网络中,保证工业控制网络的主机和设备安全。
VPN(Virtual Private Network,虚拟专用网络),包括IPSec与GRE功能,IPSec VPN是基于IPSec协议的VPN技术。GRE VPN(Generic Routing Encapsulation)是基于通用路由封装协议的VNP技术。
APPLICATION SCENARIO
现场控制层的控制器直接与传感器、变送器、执行装置相连,实现对现场设备的实时监控并通过通信网络实现与上层机之间的信息交互。控制器即能脱离上位机按预定的程序自动运行,又能接受上位机的操作按需要运行合适的程序。作为工业控制系统的核心大脑,如何防护控制器不受攻击是工业控制系统安全防护的重中之重。
· 保证正常业务主机对控制器的访问与操作; · 阻止异常主机对控制器的访问与操作; · 允许经过验证的工程师站下载、上传、更新控制器组态,保证控制器程序不被侵入、异常篡改。
通讯服务器在工业控制系统中担当重要的角色,对内连接工业控制系统的过程监控网络层,对外连接生产管理层。生产管理层与过程监控层可能通过通讯服务器实现数据访问,一旦互联网的主机通过生产管理层的主机访问过程监控网络的主机,整个工业控制系统都处理威胁之中,生产装置的运行不再安全,恶意攻击事件有可能导致重大生产事故。
· 隔离异常主机访问过程监控层的主机和数据; · 保证生产管理层与过程监控层主机的正常数据访问,保证业务正常运行; · 保证生产管理层的病毒与针对性攻击不影响工业生产运行。
域间通讯是同一公司的工业控制系统常用的通讯方式,具有通讯快捷,数据库一致,降低通讯成本等多种优点,但方便快捷的同时,也面临网络主机间互相访问的问题,若0号域的主机被攻击或者感染病毒,有可能1号域的设备和主机面临攻击的威胁。
· 隔离多域之间不正常的数据访问与操作; · 保证多域间数据的正常访问与业务运行; · 保证域与域之间不会相互感染病毒,实现域间数据的安全隔离。
手机扫码打开