?

?

產(chǎn)品簡介

? ? ? ? “震網(wǎng)病毒”是人類歷史上第一個(gè)實(shí)現(xiàn)物理精準(zhǔn)打擊的計(jì)算機(jī)病毒。震網(wǎng)事件發(fā)生之前，大多數(shù)人會(huì)認(rèn)為工控網(wǎng)絡(luò)與傳統(tǒng)信息網(wǎng)絡(luò)處在一個(gè)物理隔離的狀態(tài)，網(wǎng)絡(luò)病毒不會(huì)對(duì)工控系統(tǒng)產(chǎn)生影響，而震網(wǎng)事件讓人們意識(shí)到即使是物理隔離的專用局域網(wǎng)，也并非牢不可破；專用的工業(yè)控制系統(tǒng)，也可能會(huì)受到攻擊。

? ? ? ? 東土科技工控防火墻（簡稱工控防火墻）是針對(duì)工業(yè)安全控制網(wǎng)絡(luò)和工業(yè)安全應(yīng)用而研發(fā)、推出的一款涵蓋傳統(tǒng)防火墻、工控協(xié)議數(shù)據(jù)包深度解析、工控協(xié)議指令控制等功能在內(nèi)的工控網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。

? ? ? ? 工控防火墻采用多核并行系統(tǒng)為上層應(yīng)用封裝底層數(shù)據(jù)，提供底層數(shù)據(jù)的高速轉(zhuǎn)發(fā)和安全感知能力；在流會(huì)話的基礎(chǔ)上，實(shí)現(xiàn)了狀態(tài)檢測(cè)防火墻功能，智能檢測(cè) TCP 流量狀態(tài)信息并進(jìn)行控制，智能進(jìn)行應(yīng)用層檢測(cè)并打開動(dòng)態(tài)端口；能夠識(shí)別超過 4000+互聯(lián)網(wǎng)應(yīng)用特征攻擊行為，支持基于規(guī)則庫的特征行為控制，做到細(xì)粒度的內(nèi)容識(shí)別控制、審計(jì)和安全防護(hù)，對(duì)常見的 SYN Flood、ICMP Flood、UDP Flood 、TearDrop、Land、超大 ICMP 等異常包攻擊行為進(jìn)行阻斷和防護(hù)。

? ? ? ? 針對(duì)工控網(wǎng)絡(luò)和系統(tǒng)，工業(yè)防火墻支持對(duì)包括Ethernet/IP、CIP、DNP3、Modbus、 OPC DA、OPC UA、S7、S7 COMM PLUS、IEC104、BACNET、Profinet、

? ? ? ? IEC61850MMS、TRDP、自定義等在內(nèi)的各類主流工控網(wǎng)絡(luò)協(xié)議的深度解析，并在此基礎(chǔ)上基于工控網(wǎng)絡(luò)白名單對(duì)工控流量進(jìn)行智能保護(hù)和指令級(jí)控制。此外，防火墻通過集成工控入侵檢測(cè)特征庫，以工控網(wǎng)絡(luò)黑名單技術(shù)對(duì)工控網(wǎng)絡(luò)中的攻擊和入侵行為進(jìn)行檢測(cè)和阻斷。

?

關(guān)鍵特性

高效安全的防護(hù)功能

產(chǎn)品支持應(yīng)用防護(hù)功能和工控防護(hù)功能。

應(yīng)用防護(hù)功能支持自定義防護(hù)規(guī)則，支持自定義規(guī)則生成的應(yīng)用防護(hù)模板，支持網(wǎng)絡(luò)掃描防護(hù)和DOS防護(hù)。

工控防護(hù)功能支持多個(gè)工控防護(hù)協(xié)議集合，支持各類主流工控協(xié)議，可識(shí)別多種工控協(xié)議和協(xié)議里傳輸?shù)闹噶?，并能?duì)各類數(shù)據(jù)包進(jìn)行快速有針對(duì)性的捕獲和深度解析。

全面的統(tǒng)計(jì)功能

產(chǎn)品支持應(yīng)用流量統(tǒng)計(jì)、應(yīng)用防護(hù)統(tǒng)計(jì)、網(wǎng)口信息統(tǒng)計(jì)、病毒防護(hù)統(tǒng)計(jì)和在線用戶統(tǒng)計(jì)，全面統(tǒng)計(jì)用戶關(guān)注的信息，并以圖表形式展示，支持統(tǒng)計(jì)結(jié)果導(dǎo)出，方便用戶查看。

NAT地址轉(zhuǎn)換

支持SNAT地址轉(zhuǎn)換、DNAT地址轉(zhuǎn)換，允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議、提供給外部的端口、協(xié)議，極大的提升了地址轉(zhuǎn)換服務(wù)的靈活性和適應(yīng)性。

強(qiáng)大的過濾功能

基于狀態(tài)檢測(cè)包過濾技術(shù)，防火墻策略決定了特定的網(wǎng)絡(luò)包能否通過安全網(wǎng)關(guān)，同時(shí)它也提供相關(guān)的選項(xiàng)（如入侵模板，DDOS模板等）以保護(hù)網(wǎng)絡(luò)免受攻擊。

安全策略控制

支持防火墻策略、NAT策略、IP黑白名單、IP/MAC綁定。

支持自學(xué)習(xí)功能

提供設(shè)置學(xué)習(xí)模板，供運(yùn)行模式為學(xué)習(xí)模式的時(shí)候使用；學(xué)習(xí)結(jié)束后可以在策略中引用，進(jìn)行工控防護(hù)；支持將學(xué)習(xí)結(jié)果進(jìn)行展示。

強(qiáng)大的日志報(bào)表功能

工控防火墻支持記錄/導(dǎo)出多種日志信息，如：系統(tǒng)日志、操作日志、安全日志、NAT日志、掃描日志、工控日志、應(yīng)用防護(hù)日志、DOS防護(hù)日志、黑白名單日志、IP/MAC日志等；同時(shí)支持以圖表格式展示日志信息，方便用戶更直觀獲取日志信息。

工控協(xié)議檢測(cè)與解析

工控防火墻支持各類主流工控協(xié)議，可識(shí)別多種工控協(xié)議和協(xié)議里傳輸?shù)闹噶?，如Ethernet/IP、CIP、DNP3、Modbus、OPC、S7、IEC104、IEC61850-MMS、BACnet、Profinet、TRDP、自定義等；并能對(duì)各類數(shù)據(jù)包進(jìn)行快速有針對(duì)性的捕獲和深度解析，同時(shí)為企業(yè)內(nèi)部的私有協(xié)議提供定制化功能，全面滿足工控系統(tǒng)兼容性要求。

入侵檢測(cè)與防御

工業(yè)防火墻可檢測(cè)和防御針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)攻擊，保證工控系統(tǒng)的安全。產(chǎn)品內(nèi)置1000多個(gè)工控特征規(guī)則庫，涵蓋了DNP3，Modbus等多種協(xié)議。

工業(yè)防火墻的IPS同時(shí)使用特征匹配和異常分析的方法識(shí)別并阻斷網(wǎng)絡(luò)攻擊行為，能夠檢測(cè)4000+種以上攻擊和入侵行為，如各種DoS攻擊、DDoS攻擊。

工控網(wǎng)絡(luò)白名單

自動(dòng)學(xué)習(xí)生成工控網(wǎng)絡(luò)流量白名單，形成白名單規(guī)則并進(jìn)行部署；通過白名單規(guī)則匹配、判斷工控協(xié)議數(shù)據(jù)包是否異常，得出允許、告警等結(jié)果，對(duì)工控協(xié)議流量實(shí)現(xiàn)指令級(jí)控制。

?

產(chǎn)品優(yōu)勢(shì)

采用多核架構(gòu)和高效的并行調(diào)度算法

工控防火墻采用多核架構(gòu)，在硬件架構(gòu)上運(yùn)行操作系統(tǒng)，高效的并行調(diào)度算法和內(nèi)存管理機(jī)制提高了流量轉(zhuǎn)發(fā)報(bào)文的性能。工控防火墻實(shí)現(xiàn)了數(shù)據(jù)層面和控制層面的分離，采用模塊化設(shè)計(jì)思想，各個(gè)模塊可以獨(dú)立升級(jí)，達(dá)到系統(tǒng)性能最優(yōu)和系統(tǒng)擴(kuò)展性最優(yōu)。

靈活高效全面，場景支持更豐富

工控防火墻是自主可控的防火墻系統(tǒng)，融合了豐富的網(wǎng)絡(luò)特性，配合靜態(tài)路由、動(dòng)態(tài)路由、策略路由等，可在 802.1Q、RIP、OSPF、BGP 等各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中靈活組網(wǎng)；具備與第三方系統(tǒng)對(duì)接，數(shù)據(jù)共享，提升業(yè)務(wù)價(jià)值。工控防火墻產(chǎn)品具備優(yōu)秀的適應(yīng)性，適用各種復(fù)雜場景，更符合業(yè)務(wù)需要。

領(lǐng)先的多核架構(gòu)及一體化檢測(cè)引擎，配合高性能的處理器，多業(yè)務(wù)并行處理，確保工控防火墻在各種流量、復(fù)雜應(yīng)用的環(huán)境下，仍能具備快速高效的業(yè)務(wù)處理和防護(hù)能力。

工控防火墻產(chǎn)品集防火墻、入侵防御、病毒過濾、應(yīng)用識(shí)別、行為控制、VPN 接入、業(yè)務(wù)可視、報(bào)表調(diào)度等功能于一體，為用戶提供了一個(gè)靈活、高效、全面的網(wǎng)絡(luò)解決方案。

專業(yè)智能引擎，立體防護(hù)更安全

防火墻操作系統(tǒng)具備一體化處理引擎，在多任務(wù)并行時(shí)仍然可以保持高性能。一體化引擎結(jié)構(gòu)與防火墻安全策略進(jìn)行結(jié)合，同時(shí)融合了應(yīng)用防護(hù)、工控防護(hù)、DDOS 防護(hù)、IP 黑白名單、IP / MAC 綁定等功能，使得防護(hù)更為高效和安全。

帶寬優(yōu)化管理，用戶體驗(yàn)更迅速

企業(yè)單位的出口帶寬有限，帶寬使用情況的不清晰、不準(zhǔn)確，造成了帶寬未能有效的利用起來，帶寬資源白白的被浪費(fèi)掉。工控防火墻可以制定帶寬管理策略，驗(yàn)證策略有效性。不但可以在工作時(shí)間保障核心用戶、核心業(yè)務(wù)所需帶寬，限制無關(guān)業(yè)務(wù)對(duì)資源的占用，亦可以在帶寬空閑時(shí)實(shí)現(xiàn)動(dòng)態(tài)分配，以實(shí)現(xiàn)資源的充分利用，提升用戶使用網(wǎng)絡(luò)的體驗(yàn)。流量限額和時(shí)長限額，實(shí)現(xiàn)差分服務(wù)，助力營銷。

健全的日志和報(bào)表

工控防火墻擁有詳細(xì)健全的日志展示；擁有用戶報(bào)表系統(tǒng)，內(nèi)置報(bào)表模板，適應(yīng)各種場景，同時(shí)支持報(bào)表訂閱和實(shí)時(shí)報(bào)表功能，實(shí)現(xiàn)多維度、全方位的實(shí)時(shí)統(tǒng)計(jì)分析。

高可靠性

工業(yè)防火墻產(chǎn)品具備高可靠性，具體體現(xiàn)在軟件和硬件兩個(gè)方面。

軟件部分

高可用性：支持主備模式。

硬件部分

接口：接口數(shù)量豐富；

電源：提供冗余電源；

Bypass：支持硬件Bypass

?

機(jī)械尺寸

工控防火墻：導(dǎo)軌式

?

工控防火墻：機(jī)架式

?

訂購信息

工控防火墻型號(hào)定義：

?

工控防火墻選購軟件服務(wù)定義：

?

工控防火墻選購擴(kuò)展端口定義：

?

客戶價(jià)值

通過部署我司的工控防火墻系統(tǒng)，幫助用戶獲得以下收益：

工控防火墻采用工業(yè)設(shè)計(jì)理念，融合傳統(tǒng)狀態(tài)檢測(cè)防火墻技術(shù)，協(xié)議過濾引擎和安全防護(hù)引擎，為用戶提供涵蓋工控網(wǎng)絡(luò)-信息網(wǎng)絡(luò)邊界、工控網(wǎng)絡(luò)內(nèi)部安全域邊界以及重點(diǎn) PLC 防護(hù)等完整的工控網(wǎng)絡(luò)縱深防御體系。

精細(xì)到協(xié)議指令級(jí)的安全策略設(shè)置，精準(zhǔn)識(shí)別、防范外部攻擊和入侵，避免重大安全事故。

工業(yè)協(xié)議深度解析，識(shí)別和阻斷違規(guī)訪問行為。

建立可信、可靠、可控的工業(yè)控制網(wǎng)絡(luò)，符合國家、企業(yè)安全生產(chǎn)。