工业防火墙
结合白名单、黑名单、安全域划分、IP/MAC地址绑定等技术,抵御工业网络中各类已知和未知的恶意攻击行为,为工业网络中各类生产系统和业务系统的稳定运行提供安全保障。
产品特色
工业级硬件
- 无风扇设计,支持宽温,适应工业现场的恶劣环境;
- 双电源设计,符合工业现场电源冗余要求(部分型号);
- 多核低功耗CPU,降低整机能耗;
- 硬件ByPass功能,异常状态不会影响生产与业务 网络数据。
协议识别广而深
- 深度解析MODBUS TCP、DNP3、S7、IEC104、 MMS、PROFINETIO、OPCDA、GOOSE、SV 等多种工业协议,支持协议自定义;
- 支持大多数传统IT协议的深度解析与控制。
工业漏洞库
- 包含1000余种工业漏洞;
- 涵盖主流厂商的工业漏洞;
- 精细分类工业漏洞,精确防护工业设备。
白名单与机器学习
- 对工业控制网络中所有不符合白名单的数据和行为 特征进行阻断和告警,消除未知漏洞危害;
- 通过机器学习自动收集系统正常运行状态下的数据 行为,识别工业网络环境网络的安全数据特征,建立 网络流量安全基线。
高可靠性
- 硬件ByPass,当机器出现能源异常时,Bypass 网口自动导通,保证业务正常运行;
- 软件ByPass,当网络数据超出防火墙最大负荷 时,在条件地将部分安全数据软bypass,保证网 络时效性。
符合工业操作习惯
- 符合工业习惯的操作界面,运行情况一目了然;
- 符合工业习惯的设置方式,运行方式 简单易懂;
- 符合工业习惯的展现形式,安全事件查看驾轻就熟。
产品功能
白名单防护
在默认情况下,任何未经批准的主机、协议或功能指令都不能通过防火墙,从而抵御零日恶意软件和有针对性的攻击。一旦检测到白名单以外的网络数据,及时上报异常,对未知的攻击也能够记录。
工业漏洞检测
通过内置的工业漏洞检测引擎,内置1000余种工业漏洞,涵盖多数主流工业控制系统漏洞,精确匹配工业控制网络中的数据特征,检测工业控制网络已知的恶意攻击与威胁,保护工业控制系统业务与数据安全。
接入控制
主要针对工业控制网络数据中第二层网络(layer2)的控制,通过控制设备的源/目的IP、源/目的MAC,源/目的端口,快速识别工业控制网络中存在风险的设备和主机,防护工业控制网络安全于未然。
日志记录与报表
日志记录包括安全事件,操作记录,协议事件等内容。日志记录默认所有事件都上报并存储,特定场景下可以选择需要上报的告警日志,优化日志可视界面。报表展示灵活,定制内容,定制类型,定制输出的格式,满足多种报表功能需求。
多种工作模式
由于工业控制网络的特殊性,设计三种工作模式来满足其要求:全通模式、测试模式、工作模式。全通模式下所有网络数据都通过;测试模式下所有数据都通过,匹配安全策略的数据告警而不进行控制;工作模式下工业控制网络数据根据安全策略决定通过还是阻断。
NAT
NAT(Network Address Translation, 网络地址转换),包括SNAT与DNAT功能,它是一个IETF标准,将工业控制网络的某个工段或者工作域以一个特定IP地址对外发布,防止工业控制网内主机直接暴露在对外网络中,保证工业控制网络的主机和设备安全。
VPN
VPN(Virtual Private Network,虚拟专用网络),包括IPSec与GRE功能,IPSec VPN是基于IPSec协议的VPN技术。GRE VPN(Generic Routing Encapsulation)是基于通用路由封装协议的VNP技术。