logo

中文|English|客服热线:4008107766

工业防火墙

产品优势

时间:2016-05-28

军工品质的环境适应性

工业生产对网络安全设备的环境适应性要求很高,很多工业现场甚至是在无人值守的恶劣环境。因此工业防火墙必须具备对环境可预见的性能,以及在某些极端条件下,很好的干扰性水平。
凭借在军工行业多年的积累,IFW-3000能很好满足工业环境中的机械要求(如冲击、振动、拉伸等)、气候保护要求(如工作温度、存储温度、湿度、紫外线)、侵入保护要求(如保护等级、污染等级)以及电磁辐射和免疫要求(发射、免疫);同时具备网络级和设备级的高可靠性。

“气候保护要求:具备超强的耐寒暑环境适应能力。工作支持宽温、高湿度环境;
侵入保护要求:全金属外壳,无风扇设计,可有效的防护直径异物进入,完全适应尘土飞扬的工业环境。
高可靠性:具备冗余电源和ByPass功能,有效避免单点故障风险。”
工控网络协议支持

工业协议访问控制
工业防火墙可以对专用的工业协议进行白名单或黑名单的访问控制:
1 预置了百种以上工业协议,可实现工业协议的白名单安全防护。
2 预置了常用的PLC防护模型,可快速实现控制器的白名单防护。
3 支持基于二层协议号和三层网络端口号的自定义工业协议白名单安全防护。

工业协议深度过滤
IFW-3000针对工业协议的安全防护,除了具备白名单访问控制等基本功能外,还需要对工业协议有应用层的理解与控制,可以实现对工业指令的过滤。IFW-3000支持基于Modbus/TCPModbus/RTUIEC104等协议的深度过滤功能。

OPC深度解析防护
OPC classical是工业领域数据传输交换的标准,它基于微软的DCOM技术。由于OPC是工业领域的专有协议,传统的防火墙无法进行安全防护。IFW-3000可以检查、追踪并安全保护由OPC程序创建的每一个连接,只打开OPC数据通讯所使用的动态端口。无需更改OPC客户端和服务器的任何配置。支持的功能如下:
支持动态连接跟踪技术防护OPC
支持OPC DAHdaA&E协议的安全
跟踪OPC数据链接的动态端口
检查和阻止不符合DCE/RPC标准的OPC请求

Modbus/TCP深度解析防护
工业协议在设计之初并没有太多的考虑安全机制,作为一种应用广泛的工业协议Modbus也存在很多安全问题:缺乏认证、授权和加密等安全防护机制。如功能码滥用是modbus网络经常存在的一个问题。
IFW-3000Modbus/TCP深度解析模块可以支持应用层细粒度控制:
功能码的访问控制
设备地址的访问控制
线圈范围的读写访问控制
寄存器范围的读写访问控制
输入地址访问控制
同时还支持:
支持阻断时Reset回复
支持阻断时异常回复
黑白名单机制
通过这种方式可以保证工业网络在防护设备阻断时不会出现异常。
同时还支持:
状态检查
合规性检查
通过这种方式,可以有效检查基于Modbus的异常报文,并进行有效的阻断。
管理员通过对业务和实际生产网络的梳理,可以建立起合法业务的Modbus指令列表,通过Modbus深度解析防护模块可以建立合法白名单,阻止非法和入侵的报文通过,极大提高Modbus网络的安全防护能力。

Modbus/RTU深度解析防护
虽然工业以太网是发展趋势,但很多生产线仍是基于串行链路进行通信。IFW-3000支持基于RS232/440/485链路的数据通信,同时可以支持引用Modbus/RTU的深度解析防护策略。
IFW-3000支持串行通信参数配置,可以针对波特率、数据位、奇偶校验、停止位、流控参数进行配置。
配置完通信参数之后,就可以对Modbus/RTU的指令进行过滤控制。

IEC104深度解析防护
60870-5-104远动规约(以下简称IEC104规约)适用于调度主站和变电站或者调度主站和RTU之间用于以太网传输数据,是IEC608705系列标准的配套标准,被广泛的应用在发电、轨道交通行业等。
IFW-3000支持对IEC104进行细粒度的深度过滤控制,保证合法的指令通过。
支持APCI的访问控制(S帧、I帧、U帧);
支持数据上送访问控制;
支持遥调的信息体地址和控制值访问控制;
支持遥控的信息体地址和控制值访问控制;
支持遥脉指令的访问控制。

EIP深度解析防护
Ethernet Industry Protoco1(EIP)协议专门针对工业自动化应用的网络,广泛应用于烟草、电力、汽车等工业控制领域,它能够在广阔的区域中支持大量现场设备的连接。
网御工业防火墙可以对EIP协议做深度协议解析,可以做到只读和读写控制,并对指令类码和服务等的访问控制。

工业入侵防御
网御工业防火墙集成特有工业入侵防御引擎,可以对工业系统的私有协议或者特定攻击进行防护。事件库依托ADLab的研究成果,升级快,更精确,更加适合两化融合的大趋势。
同时该引擎独创的新一代规则定义语言,提供了灵活、强大的扩展检测的能力。本套规则定义语言支持TCPUDPHTTPDNS60多种协议解析;支持300多种协议变量的解析,且协议变量名称遵循国际标准;提供百余种功能函数专用于规则描述,简化复杂规则功能的定义;支持24种算术运算符、逻辑运算符和多种数据类型。可以精确表达类似自然语言的丰富的检测需求,减少误报的同时可增强发现各种多样化、复杂化、隐蔽化的攻击。

""""""""""""""
借助这个功能强大的检测引擎,使得用户可针对自身专用网络特点,检测自身关注的各种正常网络业务行为和异常网络业务行为,大大延展检测范围。用户更可结合现场专家定制服务,迅速制定符合客户实际的入侵防护策略。

工业VPN
产品整合了网御星云专业的VPN模块,可以对工业协议做专业级的隧道加密防护。该专业VPN模块经过了长时间的市场检验,具有稳定强、易用强、网络环境适应性强,性能高的特点,确保用户的生产、经营数据的机密、完整、可用。

流量自学习
为了解决现场工程师熟悉业务但对工控网络协议不太了解的情况,设备支持在添加防护策略前,在工控环境中进行流量自学习。
设备首先通过自学习获取工控设备的IPMAC地址、工业协议等信息;然后对工控设备进行自动命名,以资产和协议的角度更加形象化地梳理并呈现工控网络情况,并进行向导式的安全策略推荐。
通过这种,大大降低客户的部署难度,降低了设备上线对生产的影响,让不熟悉工控协议的工程师也能轻松定制更加符合实际业务需求的安全策略。

多工作模式
工业网络对可用性要求最高,管理员需要完全掌握工业网络的运行情况后,才能根据实际情况制定合适和有效的安全策略。IFW-3000支持三种工作模式,分别是:
1 全通模式:所有报文都通过,保障网络畅通。
2 测试模式:针对要阻断的报文并不实际丢弃,而是以日志报警的方式告知管理员,主要用于管理员理解策略的效果是否符合预期。
3 防护模式:安全策略经过测试模式的考验,管理员对效果进行了充分的评估,并将策略调整到最优,此时可以切换到防护模式,对工业网络进行安全防护。
通过以上模式,可以逐步引导管理实现最佳的安全防护策略。IFW-3000所有的安全模块都支持在以上三种模式下运行。

集中管理
工控网络中部署设备种类和运行协议很多,设备的统一配置、性能监控、策略配置分发等任务大多由人工来完成,大量的设备监控和管理成为将耗费大量的人力物力。不同类型设备的策略配置命令不统一还可能会造成网络中的策略不一致,从而造成潜在的安全漏洞。
针对工业防火墙大规模部署的场景,用户可以选用集中管理系统进行统一的安全策略定制。该系统支持多达50台工业防火墙的集中管理,支持的功能包括:
设备状态监控:对工业防火墙的可用性进行监控,监控的指标有接口流速和状态、CPU、内存、硬盘等,实际掌握设备健康状态。集中管理平台会保存监控数据,以便于用户查询历史数据。
设备日志收集:支持工业防火墙的日志收集与分析。
告警:集中管理平台可以提取出用户关心的设备状态监控信息。针对网御安全设备的入侵行为进行告警和动作提示。
策略管理:集中管理平台可以免客户端证书、免用户名密码登录设备。可实现批量升级、批量备份与恢复、批量策略下发等功能。
数据维护;可以定时导出集中管理平台中存储的数据。支持数据恢复,可通过FTP上传或下载数据。
设备管理:可通过SNMP自动填充设备信息。支持批量设备添加。

 

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
网御入侵防护系统V3.0(万兆) PowerV6000-P53T9-SXH
IPS特征库升级服务
防火墙
入侵检测系统
服务与下载
支持与服务
在线升级
联系我们
二维码