网御工业防火墙是专门为工业控制系统开发的信息安全产品。适用于SCADA、DCS、PCS、PLC等工业控制系统,可以被广泛的应用到核设施、钢铁、有色、化工、石油石化、电力、天然气、******制造、水利枢纽、环境保护、铁路、城市轨道交通、、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统的安全防护中。
常用的的工业网络分为三层信息层、监控层和设备层。
信息层:传统的办公网。包括管理信息系统,办公电脑和服务器等。
监控层:数据采集服务器和工程师站等。
设备层:是生产的核心,它通过相应的指令对现场设备进行控制,完成生产任务。其中硬件主要包括PLC、RTU和Controller等。
工业防火墙可以部署在工业网络每层的边界位置;如部署在监控层的边界,对数据采集进行安全过滤,或部署设备层的边界对不同的工厂进行逻辑隔离。
产品也实现对关键位置的防护,如部署到关键的工程师站前面或者PLC前面进行逻辑隔离防护。
工业防火墙除了具备基础防火墙功能外,还支持工业协议深度检测,支持多种工业协议深度解析,包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104和EIP等协议,支持指令级访问控制;同时工业防火墙预置工控系统攻击事件库,全面提升工业网络安全防护能力;同时提供了流量自学习功能,使流量可视化,并自动推荐安全策略,帮助管理员制定更加符合实际需求的安全策略。
产品优势
品质的环境适应性工业生产对网络安全设备的环境适应性要求很高,很多工业现场甚至是在无人值守的恶劣环境。因此工业防火墙必须具备对环境可预见的性能,以及在某些******条件下,很好的干扰性水平。
凭借在行业多年的积累,IFW-3000能很好满足工业环境中的机械要求(如冲击、振动、拉伸等)、气候保护要求(如工作温度、存储温度、湿度、紫外线)、侵入保护要求(如保护等级、污染等级)以及电磁辐射和免疫要求(发射、免疫);同时具备网络级和设备级的高******性。
气候保护要求:具备*的耐寒暑环境适应能力。工作温度支持-40~70℃;存储温度支持-40-85℃;湿度支持5%-95%,无凝结等;
侵入保护要求:全金属外壳,无风扇设计,符合IP40的防护等级,可有效的防护直径>1mm异物进入,******适应尘土飞扬的工业环境。
高******性:具备冗余电源和ByPass功能,不存在单点故障。
工控网络协议支持工业协议访问控制工业防火墙可以对专用的工业协议进行白名单或黑名单的访问控制:
1、 预置了百种以上工业协议,可实现工业协议的白名单安全防护。
2、 预置了常用的PLC防护模型,可快速实现控制器的白名单防护。
3、 支持基于二层协议号和三层网络端口号的自定义工业协议白名单安全防护。
工业协议深度过滤IFW-3000针对工业协议的安全防护,除了具备白名单访问控制等基本功能外,还需要对工业协议有应用层的理解与控制,可以实现对工业指令的过滤。IFW-3000支持基于Modbus/TCP、Modbus/RTU、IEC104等协议的深度过滤功能。
OPC深度解析防护OPC classical是工业领域数据传输交换的标准,它基于微软的DCOM技术。由于OPC是工业领域的专有协议,传统的防火墙无法进行安全防护。IFW-3000可以检查、追踪并安全保护由OPC程序创建的每一个连接,只打开OPC数据通讯所使用的动态端口。无需更改OPC客户端和服务器的任何配置。支持的功能如下:
支持动态连接跟踪技术防护OPC
支持OPC DA、Hda和A&E协议的安全
跟踪OPC数据链接的动态端口
检查和阻止不符合DCE/RPC标准的OPC请求
Modbus/TCP深度解析防护工业协议在设计之初并没有太多的考虑安全机制,作为一种应用广泛的工业协议Modbus也存在很多安全问题:缺乏认证、和加密等安全防护机制。如功能码滥用是modbus网络经常存在的一个问题。
IFW-3000的Modbus/TCP深度解析模块可以支持应用层细粒度控制:
功能码的访问控制
设备地址的访问控制
线圈范围的读写访问控制
寄存器范围的读写访问控制
输入地址访问控制
同时还支持:
支持阻断时Reset回复
支持阻断时异常回复
黑白名单机制
通过这种方式可以******工业网络在防护设备阻断时不会出现异常。
同时还支持:
状态检查
合规性检查
通过这种方式,可以有效检查基于Modbus的异常报文,并进行有效的阻断。
管理员通过对业务和实际生产网络的梳理,可以建立起合法业务的Modbus指令列表,通过Modbus深度解析防护模块可以建立合法白名单,阻止非法和入侵的报文通过,极大提高Modbus网络的安全防护能力。
Modbus/RTU深度解析防护虽然工业以太网是发展趋势,但很多生产线仍是基于串行链路进行通信。IFW-3000支持基于RS232/440/485链路的数据通信,同时可以支持引用Modbus/RTU的深度解析防护策略。
IFW-3000支持串行通信参数配置,可以针对波特率、数据位、奇偶校验、停止位、流控参数进行配置。
配置完通信参数之后,***可以对Modbus/RTU的指令进行过滤控制。
IEC104深度解析防护60870-5-104远动规约(以下简称IEC104规约)适用于调度主站和变电站或者调度主站和RTU之间用于以太网传输数据,是IEC60870-5系列标准的配套标准,被广泛的应用在发电、轨道交通行业等。
IFW-3000支持对IEC104进行细粒度的深度过滤控制,******合法的指令通过。
支持APCI的访问控制(S帧、I帧、U帧);
支持数据上送访问控制;
支持遥调的信息体地址和控制值访问控制;
支持遥控的信息体地址和控制值访问控制;
支持遥脉指令的访问控制。
EIP深度解析防护Ethernet Industry Protoco1((EIP)协议专门针对工业自动化应用的网络,广泛应用于烟草、电力、汽车等工业控制领域,它能够在广阔的区域中支持大量现场设备的连接。
网御工业防火墙可以对EIP协议做深度协议解析,可以做到只读和读写控制,并对指令类码和服务等的访问控制。
工业入侵防御网御工业防火墙集成*工业入侵防御引擎,可以对工业系统的私有协议或者特定攻击进行防护。事件库依托ADLab的研究成果,升级快,更******,更加适合两化融合的大趋势。
同时该引擎******的新一代规则定义语言,提供了灵活、强大的扩展检测的能力。本套规则定义语言支持TCP、UDP、HTTP、DNS等60多种协议解析;支持300多种协议变量的解析,且协议变量名称遵循国际标准;提供百余种功能函数专用于规则描述,简化复杂规则功能的定义;支持24种算术运算符、逻辑运算符和多种数据类型。可以******表达类似自然语言的丰富的检测需求,减少误报的同时可增强发现各种多样化、复杂化、隐蔽化的攻击。
借助这个功能强大的检测引擎,使得用户可针对自身专用网络特点,检测自身关注的各种正常网络业务行为和异常网络业务行为,大大延展检测范围。用户更可结合现场专家定制服务,迅速制定符合客户实际的入侵防护策略。
工业VPN产品整合了网御星云专业的VPN模块,可以对工业协议做专业级的隧道加密防护。该专业VPN模块经过了长时间的市场检验,具有稳定强、易用强、网络环境适应性强,性能高的特点,确保用户的生产、经营数据的机密、完整、可用。
流量自学习为了解决现场工程师熟悉业务但对工控网络协议不太了解的情况,设备支持在添加防护策略前,在工控环境中进行流量自学习。
设备首先通过自学习获取工控设备的IP、MAC地址、工业协议等信息;然后对工控设备进行自动命名,以资产和协议的角度更加形象化地梳理并呈现工控网络情况,并进行向导式的安全策略推荐。
通过这种,大大降低客户的部署难度,降低了设备上线对生产的影响,让不熟悉工控协议的工程师也能轻松定制更加符合实际业务需求的安全策略。
多工作模式工业网络对可用性要求******,管理员需要******掌握工业网络的运行情况后,才能根据实际情况制定合适和有效的安全策略。IFW-3000支持三种工作模式,分别是:
1、 全通模式:所有报文都通过,保障网络畅通。
2、 测试模式:针对要阻断的报文并不实际丢弃,而是以日志报警的方式告知管理员,主要用于管理员理解策略的效果是否符合预期。
3、 防护模式:安全策略经过测试模式的考验,管理员对效果进行了充分的评估,并将策略调整到***优,此时可以切换到防护模式,对工业网络进行安全防护。
通过以上模式,可以逐步引导管理实现******的安全防护策略。IFW-3000所有的安全模块都支持在以上三种模式下运行。
集中管理工控网络中部署设备种类和运行协议很多,设备的统一配置、性能监控、策略配置分发等任务大多由人工来完成,大量的设备监控和管理成为将耗费大量的人力物力。不同类型设备的策略配置命令不统一还可能会造成网络中的策略不一致,从而造成潜在的安全漏洞。
针对工业防火墙大规模部署的场景,用户可以选用集中管理系统进行统一的安全策略定制。该系统支持多达50台工业防火墙的集中管理,支持的功能包括:
设备状态监控:对工业防火墙的可用性进行监控,监控的指标有接口流速和状态、CPU、内存、硬盘等,实际掌握设备健康状态。集中管理平台会保存监控数据,以便于用户查询历史数据。
设备日志收集:支持工业防火墙的日志收集与分析。
告警:集中管理平台可以提取出用户关心的设备状态监控信息。针对网御安全设备的入侵行为进行告警和动作提示。
策略管理:集中管理平台可以免客户端证书、免用户名密码登录设备。可实现批量升级、批量备份与恢复、批量策略下发等功能。
数据维护;可以定时导出集中管理平台中存储的数据。支持数据恢复,可通过FTP上传或下载数据。
设备管理:可通过SNMP自动填充设备信息。支持批量设备添加。
产品特性与功能
功能项 | 功能参数 |
---|
硬件形态 | DIN导轨式,机架式,无风扇设计,级品质 |
网络设置 | 支持透明模式、路由模式、VLAN设备 |
工业以太网协议 | 支持Ethernet/IP、OPC、Modbus、Profinet、IEC-61850-Goose等100多种工业协议。 |
支持SIEMENS、Schneider、Honeywell、GE等厂商的PLC防护模型 |
支持自定义基于二层、三层工业协议 |
安全防护 | 防火墙支持全通、测试和防护模式 |
访问控制支持基于接口、源IP、目的IP、MAC、协议、时间调度的流量过滤。 |
支持抗攻击:抗SYN Flood、UDP Flood、ICMP Flood、抗Ping of Death等 |
工业协议深度检测 | OPC classic协议解析和控制,OPC只读控制等 |
Modbus协议解析和控制 |
IEC104协议解析和控制 |
Ethernet Industry Protoco1协议解析和控制等 |
工业VPN | 支持基于工业协议的数据加密传输 |
高可用性 | 支持双机热备 |
日志审计 | 支持日志服务器、日志分类存储 |
典型应用
产品部署如下图所示,实现工业网络的纵深安全防御需求。
工业防火墙场景包括如下几种场景:(1)工业防火墙用于数采网和控制网隔离
(2)工业防火墙用于先控站和工程师站隔离
(3)关键PLC防护
免责声明:以上所展示的信息由企业自行提供,内容的真实性、准确性和合法性由发布企业负责,智慧城市网对此不承担任何保证责任。