结合白名单、黑名单、安全域划分、IP/MAC地址绑定等技术，抵御工业网络中各类已知和未知的恶意攻击行为，为工业网络中各类生产系统和业务系统的稳定运行提供安全保障。

产品特色

工业级硬件

• 无风扇设计，支持宽温，适应工业现场的恶劣环境;
• 双电源设计，符合工业现场电源冗余要求(部分型号);
• 多核低功耗CPU，降低整机能耗;
• 硬件ByPass功能，异常状态不会影响生产与业务 网络数据。

协议识别广而深

• 深度解析MODBUS TCP、DNP3、S7、IEC104、 MMS、PROFINETIO、OPCDA、GOOSE、SV 等多种工业协议，支持协议自定义;
• 支持大多数传统IT协议的深度解析与控制。

工业漏洞库

• 包含1000余种工业漏洞;
• 涵盖主流厂商的工业漏洞;
• 精细分类工业漏洞，精确防护工业设备。

白名单与机器学习

• 对工业控制网络中所有不符合白名单的数据和行为 特征进行阻断和告警，消除未知漏洞危害;
• 通过机器学习自动收集系统正常运行状态下的数据 行为，识别工业网络环境网络的安全数据特征，建立 网络流量安全基线。

高可靠性

• 硬件ByPass，当机器出现能源异常时，Bypass 网口自动导通，保证业务正常运行;
• 软件ByPass，当网络数据超出防火墙最大负荷 时，在条件地将部分安全数据软bypass，保证网 络时效性。

符合工业操作习惯

• 符合工业习惯的操作界面，运行情况一目了然;
• 符合工业习惯的设置方式，运行方式 简单易懂;
• 符合工业习惯的展现形式，安全事件查看驾轻就熟。

产品功能

白名单防护

在默认情况下，任何未经批准的主机、协议或功能指令都不能通过防火墙，从而抵御零日恶意软件和有针对性的攻击。一旦检测到白名单以外的网络数据，及时上报异常，对未知的攻击也能够记录。

工业漏洞检测

通过内置的工业漏洞检测引擎，内置1000余种工业漏洞，涵盖多数主流工业控制系统漏洞，精确匹配工业控制网络中的数据特征，检测工业控制网络已知的恶意攻击与威胁，保护工业控制系统业务与数据安全。

接入控制

主要针对工业控制网络数据中第二层网络（layer2）的控制，通过控制设备的源/目的IP、源/目的MAC，源/目的端口，快速识别工业控制网络中存在风险的设备和主机，防护工业控制网络安全于未然。

日志记录与报表

日志记录包括安全事件，操作记录，协议事件等内容。日志记录默认所有事件都上报并存储，特定场景下可以选择需要上报的告警日志，优化日志可视界面。报表展示灵活，定制内容，定制类型，定制输出的格式，满足多种报表功能需求。

多种工作模式

由于工业控制网络的特殊性，设计三种工作模式来满足其要求：全通模式、测试模式、工作模式。全通模式下所有网络数据都通过；测试模式下所有数据都通过，匹配安全策略的数据告警而不进行控制；工作模式下工业控制网络数据根据安全策略决定通过还是阻断。

NAT

NAT（Network Address Translation, 网络地址转换），包括SNAT与DNAT功能，它是一个IETF标准，将工业控制网络的某个工段或者工作域以一个特定IP地址对外发布，防止工业控制网内主机直接暴露在对外网络中，保证工业控制网络的主机和设备安全。 

VPN

VPN(Virtual Private Network，虚拟专用网络)，包括IPSec与GRE功能，IPSec VPN是基于IPSec协议的VPN技术。GRE VPN（Generic Routing Encapsulation）是基于通用路由封装协议的VNP技术。