工業(yè)防火墻是專門為工業(yè)控制網(wǎng)絡(luò)安全而設(shè)計(jì)的防火墻產(chǎn)品。它采用了廣泛的溫度、灰塵、電磁和抗震設(shè)計(jì)；提供兩種形式：支持多種技術(shù)，包括軌道和機(jī)架BYPASS、熱備機(jī)制、接口連接、端口冗余等，以確保設(shè)備各方面的穩(wěn)定運(yùn)行。工業(yè)防火墻允許OPC和Modbus_深度過濾和分析常用的工業(yè)協(xié)議，如TCP/RTU、S7、EIP、DNP3、IEC104等，支持工業(yè)網(wǎng)絡(luò)流量學(xué)習(xí)、工業(yè)威脅檢測、工業(yè)協(xié)議適配等。工業(yè)防火墻產(chǎn)品適用于所有工業(yè)網(wǎng)絡(luò)層的邊界。

工業(yè)防火墻

1、產(chǎn)品特點(diǎn)

1）通過多個(gè)CPU做出更安全的決策

采用Philip、神威和X86 CPU的多平臺架構(gòu)和模型。

2）高可用性

該接口支持BYPASS、冗余和鏈接等功能。支持雙熱備份和系統(tǒng)備份功能。

3）環(huán)境適應(yīng)性

基于多組集成訪問控制，包括現(xiàn)有的5元組、日志、資產(chǎn)和時(shí)間。支持透明部署、路由和混合模式。

4）日志管理

防火墻是所有的審計(jì)，會(huì)話和攻擊日志可以記錄并保存在本地，以便集中存儲和分析。用戶可以根據(jù)不同的標(biāo)準(zhǔn)篩選和檢索日志。管理員可以最大限度地管理大量的日志信息，日志管理系統(tǒng)提供了一些可以導(dǎo)出的統(tǒng)計(jì)分析報(bào)告。

5）用戶安全性

它是一個(gè)靈活而強(qiáng)大的用戶ID管理系統(tǒng)，支持多種身份驗(yàn)證協(xié)議和方法，如RADIUS、LDAP、AD、Ukey和Fingerprint。在用戶管理方面，它實(shí)現(xiàn)了級別、組、權(quán)限等功能，充分考慮了不同應(yīng)用環(huán)境下不同的用戶需求。

6）符合行業(yè)協(xié)議

支持自定義消息檢查，提供基于自然語言描述的數(shù)據(jù)內(nèi)容檢測可擴(kuò)展引擎，并提供全面的自定義安全擴(kuò)展功能。

7）徹底審查行業(yè)協(xié)議

通過對OPC、Modbus、IEC60870-5-104、IEC61850MMS、西門子S7、以太網(wǎng)/IP（CIP）等典型工業(yè)控制協(xié)議的深入消息分析，可以識別消息的有效內(nèi)容特征、有效載荷和可用匹配信息，實(shí)現(xiàn)對工業(yè)控制協(xié)議功能的實(shí)時(shí)分析和準(zhǔn)確檢測。

2、行業(yè)特點(diǎn)

1）控制水平

基于工業(yè)協(xié)議的精確檢測功能，支持OPC、Modbus、IEC60870-5-104、IEC61850MMS、西門子S7、Ethernet/IP（CIP）、DNP3、Profinet、Fins等通用工業(yè)控制協(xié)議的1000多個(gè)功能代碼識別。在命令級，甚至在范圍級，都可以實(shí)現(xiàn)更精細(xì)的控制。

2）OPC協(xié)議分析

支持OPC DA、HAD、A&E、DX、XML DA等操作，包括OPC動(dòng)態(tài)端口支持、OPC只讀等。支持OPC范圍控制，支持OPC聯(lián)盟發(fā)布的OPC 3.0規(guī)范。

3）自定義協(xié)議

支持工業(yè)控制協(xié)議分析的適應(yīng)性，無需二次開發(fā)。

4）ODBus TCP協(xié)議分析

Odbus TCP協(xié)議語法檢查、重置和連接跟蹤支持Odbus TCP協(xié)議白名單、點(diǎn)表和范圍控制。

5）西門子S7協(xié)議分析

支持西門子S7讀寫操作的區(qū)分和控制，包括西門子S7版本號、寄存器范圍、DB區(qū)域號、點(diǎn)類型支持值范圍和傳輸層協(xié)議控制。以太網(wǎng)/IP（CIP）協(xié)議解決方案支持以太網(wǎng)/IP協(xié)議語法驗(yàn)證和數(shù)據(jù)包丟失重置，以及以太網(wǎng)/IP協(xié)議本身的自定義參數(shù)配置，CIP數(shù)據(jù)表和PCCC控制支持。

6）分析Profinet協(xié)議

支持對Profinet傳輸功能代碼和工作對象的控制。

7）IEC104協(xié)議分析

支持IEC104協(xié)議白名單，支持IEC104傳輸基數(shù)、公共地址長度、信息體地址長度等配置。

8）過程監(jiān)控級別的訪問控制

A 用作生產(chǎn)執(zhí)行層和過程監(jiān)控層之間的標(biāo)準(zhǔn)。

B 使用會(huì)話狀態(tài)檢測和數(shù)據(jù)包篩選來限制對進(jìn)程監(jiān)控級別的未經(jīng)授權(quán)的訪問。

C 自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)之間的通信關(guān)系，為正常通信行為建模，防止異常通信行為。

D 設(shè)置設(shè)備白名單基線，以執(zhí)行實(shí)時(shí)設(shè)備訪問行為測試，并在檢測到未知設(shè)備訪問時(shí)生成警告。

9）現(xiàn)場控制層設(shè)備的命令級保護(hù)

A 作為過程監(jiān)控層和現(xiàn)場控制層之間的標(biāo)準(zhǔn)。

B 基于過程控制協(xié)議對非法操作指令進(jìn)行深度分析、預(yù)防和預(yù)警。

C 基于工控協(xié)議通信數(shù)據(jù)集，自動(dòng)學(xué)習(xí)業(yè)務(wù)通信邏輯關(guān)系、操作功能代碼和參數(shù)，形成正常的通信行為模型。

D 記錄安全事件日志，如數(shù)據(jù)包過濾日志和行業(yè)日志過濾日志，并將其報(bào)告給綜合安全管理平臺。