工業(yè)防火墻是專門為工業(yè)控制網(wǎng)絡(luò)安全而設(shè)計(jì)的防火墻產(chǎn)品。它采用了廣泛的溫度、灰塵、電磁和抗震設(shè)計(jì);提供兩種形式:支持多種技術(shù),包括軌道和機(jī)架BYPASS、熱備機(jī)制、接口連接、端口冗余等,以確保設(shè)備各方面的穩(wěn)定運(yùn)行。工業(yè)防火墻允許OPC和Modbus_深度過濾和分析常用的工業(yè)協(xié)議,如TCP/RTU、S7、EIP、DNP3、IEC104等,支持工業(yè)網(wǎng)絡(luò)流量學(xué)習(xí)、工業(yè)威脅檢測、工業(yè)協(xié)議適配等。工業(yè)防火墻產(chǎn)品適用于所有工業(yè)網(wǎng)絡(luò)層的邊界。
工業(yè)防火墻
1、產(chǎn)品特點(diǎn)
1)通過多個(gè)CPU做出更安全的決策
采用Philip、神威和X86 CPU的多平臺架構(gòu)和模型。
2)高可用性
該接口支持BYPASS、冗余和鏈接等功能。支持雙熱備份和系統(tǒng)備份功能。
3)環(huán)境適應(yīng)性
基于多組集成訪問控制,包括現(xiàn)有的5元組、日志、資產(chǎn)和時(shí)間。支持透明部署、路由和混合模式。
4)日志管理
防火墻是所有的審計(jì),會(huì)話和攻擊日志可以記錄并保存在本地,以便集中存儲和分析。用戶可以根據(jù)不同的標(biāo)準(zhǔn)篩選和檢索日志。管理員可以最大限度地管理大量的日志信息,日志管理系統(tǒng)提供了一些可以導(dǎo)出的統(tǒng)計(jì)分析報(bào)告。
5)用戶安全性
它是一個(gè)靈活而強(qiáng)大的用戶ID管理系統(tǒng),支持多種身份驗(yàn)證協(xié)議和方法,如RADIUS、LDAP、AD、Ukey和Fingerprint。在用戶管理方面,它實(shí)現(xiàn)了級別、組、權(quán)限等功能,充分考慮了不同應(yīng)用環(huán)境下不同的用戶需求。
6)符合行業(yè)協(xié)議
支持自定義消息檢查,提供基于自然語言描述的數(shù)據(jù)內(nèi)容檢測可擴(kuò)展引擎,并提供全面的自定義安全擴(kuò)展功能。
7)徹底審查行業(yè)協(xié)議
通過對OPC、Modbus、IEC60870-5-104、IEC61850MMS、西門子S7、以太網(wǎng)/IP(CIP)等典型工業(yè)控制協(xié)議的深入消息分析,可以識別消息的有效內(nèi)容特征、有效載荷和可用匹配信息,實(shí)現(xiàn)對工業(yè)控制協(xié)議功能的實(shí)時(shí)分析和準(zhǔn)確檢測。
2、行業(yè)特點(diǎn)
1)控制水平
基于工業(yè)協(xié)議的精確檢測功能,支持OPC、Modbus、IEC60870-5-104、IEC61850MMS、西門子S7、Ethernet/IP(CIP)、DNP3、Profinet、Fins等通用工業(yè)控制協(xié)議的1000多個(gè)功能代碼識別。在命令級,甚至在范圍級,都可以實(shí)現(xiàn)更精細(xì)的控制。
2)OPC協(xié)議分析
支持OPC DA、HAD、A&E、DX、XML DA等操作,包括OPC動(dòng)態(tài)端口支持、OPC只讀等。支持OPC范圍控制,支持OPC聯(lián)盟發(fā)布的OPC 3.0規(guī)范。
3)自定義協(xié)議
支持工業(yè)控制協(xié)議分析的適應(yīng)性,無需二次開發(fā)。
4)ODBus TCP協(xié)議分析
Odbus TCP協(xié)議語法檢查、重置和連接跟蹤支持Odbus TCP協(xié)議白名單、點(diǎn)表和范圍控制。
5)西門子S7協(xié)議分析
支持西門子S7讀寫操作的區(qū)分和控制,包括西門子S7版本號、寄存器范圍、DB區(qū)域號、點(diǎn)類型支持值范圍和傳輸層協(xié)議控制。以太網(wǎng)/IP(CIP)協(xié)議解決方案支持以太網(wǎng)/IP協(xié)議語法驗(yàn)證和數(shù)據(jù)包丟失重置,以及以太網(wǎng)/IP協(xié)議本身的自定義參數(shù)配置,CIP數(shù)據(jù)表和PCCC控制支持。
6)分析Profinet協(xié)議
支持對Profinet傳輸功能代碼和工作對象的控制。
7)IEC104協(xié)議分析
支持IEC104協(xié)議白名單,支持IEC104傳輸基數(shù)、公共地址長度、信息體地址長度等配置。
8)過程監(jiān)控級別的訪問控制
A 用作生產(chǎn)執(zhí)行層和過程監(jiān)控層之間的標(biāo)準(zhǔn)。
B 使用會(huì)話狀態(tài)檢測和數(shù)據(jù)包篩選來限制對進(jìn)程監(jiān)控級別的未經(jīng)授權(quán)的訪問。
C 自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)之間的通信關(guān)系,為正常通信行為建模,防止異常通信行為。
D 設(shè)置設(shè)備白名單基線,以執(zhí)行實(shí)時(shí)設(shè)備訪問行為測試,并在檢測到未知設(shè)備訪問時(shí)生成警告。
9)現(xiàn)場控制層設(shè)備的命令級保護(hù)
A 作為過程監(jiān)控層和現(xiàn)場控制層之間的標(biāo)準(zhǔn)。
B 基于過程控制協(xié)議對非法操作指令進(jìn)行深度分析、預(yù)防和預(yù)警。
C 基于工控協(xié)議通信數(shù)據(jù)集,自動(dòng)學(xué)習(xí)業(yè)務(wù)通信邏輯關(guān)系、操作功能代碼和參數(shù),形成正常的通信行為模型。
D 記錄安全事件日志,如數(shù)據(jù)包過濾日志和行業(yè)日志過濾日志,并將其報(bào)告給綜合安全管理平臺。