Agate7000 工控防火墻

?

?

產(chǎn)品簡介

? ? ? ? “震網(wǎng)病毒”是人類歷史上第一個實現(xiàn)物理精準打擊的計算機病毒。震網(wǎng)事件發(fā)生之前,大多數(shù)人會認為工控網(wǎng)絡(luò)與傳統(tǒng)信息網(wǎng)絡(luò)處在一個物理隔離的狀態(tài),網(wǎng)絡(luò)病毒不會對工控系統(tǒng)產(chǎn)生影響,而震網(wǎng)事件讓人們意識到即使是物理隔離的專用局域網(wǎng),也并非牢不可破;專用的工業(yè)控制系統(tǒng),也可能會受到攻擊。

? ? ? ? 東土科技工控防火墻(簡稱工控防火墻)是針對工業(yè)安全控制網(wǎng)絡(luò)和工業(yè)安全應(yīng)用而研發(fā)、推出的一款涵蓋傳統(tǒng)防火墻、工控協(xié)議數(shù)據(jù)包深度解析、工控協(xié)議指令控制等功能在內(nèi)的工控網(wǎng)絡(luò)安全防護產(chǎn)品。

? ? ? ? 工控防火墻采用多核并行系統(tǒng)為上層應(yīng)用封裝底層數(shù)據(jù),提供底層數(shù)據(jù)的高速轉(zhuǎn)發(fā)和安全感知能力;在流會話的基礎(chǔ)上,實現(xiàn)了狀態(tài)檢測防火墻功能,智能檢測 TCP 流量狀態(tài)信息并進行控制,智能進行應(yīng)用層檢測并打開動態(tài)端口;能夠識別超過 4000+互聯(lián)網(wǎng)應(yīng)用特征攻擊行為,支持基于規(guī)則庫的特征行為控制,做到細粒度的內(nèi)容識別控制、審計和安全防護,對常見的 SYN Flood、ICMP Flood、UDP Flood 、TearDrop、Land、超大 ICMP 等異常包攻擊行為進行阻斷和防護。

? ? ? ? 針對工控網(wǎng)絡(luò)和系統(tǒng),工業(yè)防火墻支持對包括Ethernet/IP、CIP、DNP3、Modbus、 OPC DA、OPC UA、S7、S7 COMM PLUS、IEC104、BACNET、Profinet、

? ? ? ? IEC61850MMS、TRDP、自定義等在內(nèi)的各類主流工控網(wǎng)絡(luò)協(xié)議的深度解析,并在此基礎(chǔ)上基于工控網(wǎng)絡(luò)白名單對工控流量進行智能保護和指令級控制。此外,防火墻通過集成工控入侵檢測特征庫,以工控網(wǎng)絡(luò)黑名單技術(shù)對工控網(wǎng)絡(luò)中的攻擊和入侵行為進行檢測和阻斷。

?

關(guān)鍵特性

高效安全的防護功能

產(chǎn)品支持應(yīng)用防護功能和工控防護功能。

應(yīng)用防護功能支持自定義防護規(guī)則,支持自定義規(guī)則生成的應(yīng)用防護模板,支持網(wǎng)絡(luò)掃描防護和DOS防護。

工控防護功能支持多個工控防護協(xié)議集合,支持各類主流工控協(xié)議,可識別多種工控協(xié)議和協(xié)議里傳輸?shù)闹噶睿⒛軐Ω黝悢?shù)據(jù)包進行快速有針對性的捕獲和深度解析。

全面的統(tǒng)計功能

產(chǎn)品支持應(yīng)用流量統(tǒng)計、應(yīng)用防護統(tǒng)計、網(wǎng)口信息統(tǒng)計、病毒防護統(tǒng)計和在線用戶統(tǒng)計,全面統(tǒng)計用戶關(guān)注的信息,并以圖表形式展示,支持統(tǒng)計結(jié)果導(dǎo)出,方便用戶查看。

NAT地址轉(zhuǎn)換

支持SNAT地址轉(zhuǎn)換、DNAT地址轉(zhuǎn)換,允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議、提供給外部的端口、協(xié)議,極大的提升了地址轉(zhuǎn)換服務(wù)的靈活性和適應(yīng)性。

強大的過濾功能

基于狀態(tài)檢測包過濾技術(shù),防火墻策略決定了特定的網(wǎng)絡(luò)包能否通過安全網(wǎng)關(guān),同時它也提供相關(guān)的選項(如入侵模板,DDOS模板等)以保護網(wǎng)絡(luò)免受攻擊。

安全策略控制

支持防火墻策略、NAT策略、IP黑白名單、IP/MAC綁定。

支持自學(xué)習(xí)功能

提供設(shè)置學(xué)習(xí)模板,供運行模式為學(xué)習(xí)模式的時候使用;學(xué)習(xí)結(jié)束后可以在策略中引用,進行工控防護;支持將學(xué)習(xí)結(jié)果進行展示。

強大的日志報表功能

工控防火墻支持記錄/導(dǎo)出多種日志信息,如:系統(tǒng)日志、操作日志、安全日志、NAT日志、掃描日志、工控日志、應(yīng)用防護日志、DOS防護日志、黑白名單日志、IP/MAC日志等;同時支持以圖表格式展示日志信息,方便用戶更直觀獲取日志信息。

工控協(xié)議檢測與解析

工控防火墻支持各類主流工控協(xié)議,可識別多種工控協(xié)議和協(xié)議里傳輸?shù)闹噶?,如Ethernet/IP、CIP、DNP3、Modbus、OPC、S7、IEC104、IEC61850-MMS、BACnet、Profinet、TRDP、自定義等;并能對各類數(shù)據(jù)包進行快速有針對性的捕獲和深度解析,同時為企業(yè)內(nèi)部的私有協(xié)議提供定制化功能,全面滿足工控系統(tǒng)兼容性要求。

入侵檢測與防御

工業(yè)防火墻可檢測和防御針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊,保證工控系統(tǒng)的安全。產(chǎn)品內(nèi)置1000多個工控特征規(guī)則庫,涵蓋了DNP3,Modbus等多種協(xié)議。

工業(yè)防火墻的IPS同時使用特征匹配和異常分析的方法識別并阻斷網(wǎng)絡(luò)攻擊行為,能夠檢測4000+種以上攻擊和入侵行為,如各種DoS攻擊、DDoS攻擊。

工控網(wǎng)絡(luò)白名單

自動學(xué)習(xí)生成工控網(wǎng)絡(luò)流量白名單,形成白名單規(guī)則并進行部署;通過白名單規(guī)則匹配、判斷工控協(xié)議數(shù)據(jù)包是否異常,得出允許、告警等結(jié)果,對工控協(xié)議流量實現(xiàn)指令級控制。

?

產(chǎn)品優(yōu)勢

采用多核架構(gòu)和高效的并行調(diào)度算法

工控防火墻采用多核架構(gòu),在硬件架構(gòu)上運行操作系統(tǒng),高效的并行調(diào)度算法和內(nèi)存管理機制提高了流量轉(zhuǎn)發(fā)報文的性能。工控防火墻實現(xiàn)了數(shù)據(jù)層面和控制層面的分離,采用模塊化設(shè)計思想,各個模塊可以獨立升級,達到系統(tǒng)性能最優(yōu)和系統(tǒng)擴展性最優(yōu)。

靈活高效全面,場景支持更豐富

工控防火墻是自主可控的防火墻系統(tǒng),融合了豐富的網(wǎng)絡(luò)特性,配合靜態(tài)路由、動態(tài)路由、策略路由等,可在 802.1Q、RIP、OSPF、BGP 等各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中靈活組網(wǎng);具備與第三方系統(tǒng)對接,數(shù)據(jù)共享,提升業(yè)務(wù)價值。工控防火墻產(chǎn)品具備優(yōu)秀的適應(yīng)性,適用各種復(fù)雜場景,更符合業(yè)務(wù)需要。

領(lǐng)先的多核架構(gòu)及一體化檢測引擎,配合高性能的處理器,多業(yè)務(wù)并行處理,確保工控防火墻在各種流量、復(fù)雜應(yīng)用的環(huán)境下,仍能具備快速高效的業(yè)務(wù)處理和防護能力。

工控防火墻產(chǎn)品集防火墻、入侵防御、病毒過濾、應(yīng)用識別、行為控制、VPN 接入、業(yè)務(wù)可視、報表調(diào)度等功能于一體,為用戶提供了一個靈活、高效、全面的網(wǎng)絡(luò)解決方案。

專業(yè)智能引擎,立體防護更安全

防火墻操作系統(tǒng)具備一體化處理引擎,在多任務(wù)并行時仍然可以保持高性能。一體化引擎結(jié)構(gòu)與防火墻安全策略進行結(jié)合,同時融合了應(yīng)用防護、工控防護、DDOS 防護、IP 黑白名單、IP / MAC 綁定等功能,使得防護更為高效和安全。

帶寬優(yōu)化管理,用戶體驗更迅速

企業(yè)單位的出口帶寬有限,帶寬使用情況的不清晰、不準確,造成了帶寬未能有效的利用起來,帶寬資源白白的被浪費掉。工控防火墻可以制定帶寬管理策略,驗證策略有效性。不但可以在工作時間保障核心用戶、核心業(yè)務(wù)所需帶寬,限制無關(guān)業(yè)務(wù)對資源的占用,亦可以在帶寬空閑時實現(xiàn)動態(tài)分配,以實現(xiàn)資源的充分利用,提升用戶使用網(wǎng)絡(luò)的體驗。流量限額和時長限額,實現(xiàn)差分服務(wù),助力營銷。

健全的日志和報表

工控防火墻擁有詳細健全的日志展示;擁有用戶報表系統(tǒng),內(nèi)置報表模板,適應(yīng)各種場景,同時支持報表訂閱和實時報表功能,實現(xiàn)多維度、全方位的實時統(tǒng)計分析。

高可靠性

工業(yè)防火墻產(chǎn)品具備高可靠性,具體體現(xiàn)在軟件和硬件兩個方面。

軟件部分

高可用性:支持主備模式。

硬件部分

接口:接口數(shù)量豐富;

電源:提供冗余電源;

Bypass:支持硬件Bypass

?

機械尺寸

工控防火墻:導(dǎo)軌式

?

工控防火墻:機架式

?

訂購信息

工控防火墻型號定義:

產(chǎn)品型號:Agate7000-Ports-PS1-PS2
代碼定義代碼選型
Ports: 端口2GX4GE:2x1000Base-X SFP 接口,4×10/100/1000Base- T(X)電口;
4GX6GE:4x1000Base-X SFP 接口,6×10/100/1000Base- T(X)電口;
2GX6GE:2x1000Base-X SFP 接口,6×10/100/1000Base- T(X)電口;
4GX14GE:4x1000Base-X SFP 接口,14×10/100/1000Base-T(X)電口;
4GX7GE:4x1000Base-X SFP 接口,7×10/100/1000Base- T(X)電口;
PS1-PS2:電源輸入L3-L3=24VDC,雙電源輸入 H3-H3=220VAC,雙電源輸入

?

工控防火墻選購軟件服務(wù)定義:

產(chǎn)品服務(wù)Agate7000-Service
代碼定義代碼選型
Service: 軟件服務(wù)uIPS: 入侵防御系統(tǒng)特征庫升級
uANTI:防病毒特征庫升級

?

工控防火墻選購擴展端口定義:

產(chǎn)品型號Agate7000-Ports
代碼定義代碼選型
Ports: 端口4GE:4×10/100/1000Base-T(X)電口;
4GX:4x1000Base-X SFP 接口;
B-4GE:4×10/100/1000Base-T(X)電口,2 組 Bypass;
8GE:8×10/100/1000Base-T(X)電口;
4X:4x10G SFP+接口;

?

客戶價值

通過部署我司的工控防火墻系統(tǒng),幫助用戶獲得以下收益:

工控防火墻采用工業(yè)設(shè)計理念,融合傳統(tǒng)狀態(tài)檢測防火墻技術(shù),協(xié)議過濾引擎和安全防護引擎,為用戶提供涵蓋工控網(wǎng)絡(luò)-信息網(wǎng)絡(luò)邊界、工控網(wǎng)絡(luò)內(nèi)部安全域邊界以及重點 PLC 防護等完整的工控網(wǎng)絡(luò)縱深防御體系。

精細到協(xié)議指令級的安全策略設(shè)置,精準識別、防范外部攻擊和入侵,避免重大安全事故。

工業(yè)協(xié)議深度解析,識別和阻斷違規(guī)訪問行為。

建立可信、可靠、可控的工業(yè)控制網(wǎng)絡(luò),符合國家、企業(yè)安全生產(chǎn)。