工业防火墙是专门为工业控制网络安全而设计的防火墙产品。它采用了广泛的温度、灰尘、电磁和抗震设计;提供两种形式:支持多种技术,包括轨道和机架BYPASS、热备机制、接口连接、端口冗余等,以确保设备各方面的稳定运行。工业防火墙允许OPC和Modbus_深度过滤和分析常用的工业协议,如TCP/RTU、S7、EIP、DNP3、IEC104等,支持工业网络流量学习、工业威胁检测、工业协议适配等。工业防火墙产品适用于所有工业网络层的边界。
工业防火墙
1、产品特点
1)通过多个CPU做出更安全的决策
采用Philip、神威和X86 CPU的多平台架构和模型。
2)高可用性
该接口支持BYPASS、冗余和链接等功能。支持双热备份和系统备份功能。
3)环境适应性
基于多组集成访问控制,包括现有的5元组、日志、资产和时间。支持透明部署、路由和混合模式。
4)日志管理
防火墙是所有的审计,会话和攻击日志可以记录并保存在本地,以便集中存储和分析。用户可以根据不同的标准筛选和检索日志。管理员可以最大限度地管理大量的日志信息,日志管理系统提供了一些可以导出的统计分析报告。
5)用户安全性
它是一个灵活而强大的用户ID管理系统,支持多种身份验证协议和方法,如RADIUS、LDAP、AD、Ukey和Fingerprint。在用户管理方面,它实现了级别、组、权限等功能,充分考虑了不同应用环境下不同的用户需求。
6)符合行业协议
支持自定义消息检查,提供基于自然语言描述的数据内容检测可扩展引擎,并提供全面的自定义安全扩展功能。
7)彻底审查行业协议
通过对OPC、Modbus、IEC60870-5-104、IEC61850MMS、西门子S7、以太网/IP(CIP)等典型工业控制协议的深入消息分析,可以识别消息的有效内容特征、有效载荷和可用匹配信息,实现对工业控制协议功能的实时分析和准确检测。
2、行业特点
1)控制水平
基于工业协议的精确检测功能,支持OPC、Modbus、IEC60870-5-104、IEC61850MMS、西门子S7、Ethernet/IP(CIP)、DNP3、Profinet、Fins等通用工业控制协议的1000多个功能代码识别。在命令级,甚至在范围级,都可以实现更精细的控制。
2)OPC协议分析
支持OPC DA、HAD、A&E、DX、XML DA等操作,包括OPC动态端口支持、OPC只读等。支持OPC范围控制,支持OPC联盟发布的OPC 3.0规范。
3)自定义协议
支持工业控制协议分析的适应性,无需二次开发。
4)ODBus TCP协议分析
Odbus TCP协议语法检查、重置和连接跟踪支持Odbus TCP协议白名单、点表和范围控制。
5)西门子S7协议分析
支持西门子S7读写操作的区分和控制,包括西门子S7版本号、寄存器范围、DB区域号、点类型支持值范围和传输层协议控制。以太网/IP(CIP)协议解决方案支持以太网/IP协议语法验证和数据包丢失重置,以及以太网/IP协议本身的自定义参数配置,CIP数据表和PCCC控制支持。
6)分析Profinet协议
支持对Profinet传输功能代码和工作对象的控制。
7)IEC104协议分析
支持IEC104协议白名单,支持IEC104传输基数、公共地址长度、信息体地址长度等配置。
8)过程监控级别的访问控制
A 用作生产执行层和过程监控层之间的标准。
B 使用会话状态检测和数据包筛选来限制对进程监控级别的未经授权的访问。
C 自动学习网络之间的通信关系,为正常通信行为建模,防止异常通信行为。
D 设置设备白名单基线,以执行实时设备访问行为测试,并在检测到未知设备访问时生成警告。
9)现场控制层设备的命令级保护
A 作为过程监控层和现场控制层之间的标准。
B 基于过程控制协议对非法操作指令进行深度分析、预防和预警。
C 基于工控协议通信数据集,自动学习业务通信逻辑关系、操作功能代码和参数,形成正常的通信行为模型。
D 记录安全事件日志,如数据包过滤日志和行业日志过滤日志,并将其报告给综合安全管理平台。
