品牌
其他厂商性质
所在地
东土科技的工控防火墙是面向工业控制网络研发和推出的涵盖传统防火墙、工控协议数据包深度解析、工控协议指令控制等功能在内的工控网络安全防护产品。
工控防火墙支持灵活的安全区域隔离和丰富的安全策略控制功能,实现防火墙核心的网络隔离和访问控制;同时采用了安全策略规则高速匹配算法,在确保安全策略规则的查找和匹配速度的同时,性能不受影响,提高了系统的整体性能。
工控防火墙在流会话的基础上,实现了状态检测防火墙功能,智能检测 TCP流量状态信息并进行控制,智能进行应用层检测并打开动态端口,创建和删除对动态协商端口数据包的安全策略规则,以允许或阻止相关报文通过,满足安全最小化原则。
针对工控网络和系统,工控防火墙支持对包括 CIP、DNP3、Ethernet/IP、IEC104、Modbus、IEC61850-GOOSE、 IEC61850-MMS、OPC、S7等在内的各类主流工控协议的深度解析,并在此基础上基于工控网络白名单对工控流量进行智能保护和指令级控制。此外,防火墙通过集成工控漏洞库和工控入侵检测特征库,以工控网络黑名单技术对工控网络中的攻击和入侵行为进行检测和阻断。
工控防火墙综合运用了多核并行控制技术、非共享式 TCP 协议栈、数据路径智能优化技术等多项技术,在实现精确访问控制和细致指令内容过滤的同时达到较高的性能水平,很好的适应了未来工控网络高带宽、大流量的发展方向。
工控防火墙广泛应用于工业、能源、交通、水利及市政等领域,用于控制生产设备运行,随着计算机和互联网的发展,特别是信息化与工业化的深度融合以及物联网的快速发展,工控防火墙面临的安全问题越来越突出,针对工控系统的安全防护迫在眉睫。
工控防火墙可以监控多种工控协议,对工控系统中的攻击及时作出反应,实现工业控制系统纵向层级之间的安全控制。
工控防火墙采用高容错的模块化软件设计,内置防病毒模块、IPS模块、防火墙模块、工控协议模块。这些模块采用*内容检测技术(CCI),能够检测整个OSI堆栈模型中的安全威胁,重组文件和会话信息,以提供强大的检测能力。
产品架构
工控防火墙支持内置自毒库、入侵防御库和工控协议识别库,并将它们与防火墙、IPS/IDS结合起来,从而构成动态威胁防御系统。
针对未知威胁和有害流量的检测、防护,工控防火墙将多个前沿检测技术组合在一起,提供了启发式流扫描和异常检测。启发式流扫描技术用来增强防病毒、攻击和其它相关的流扫描活动;当异常检测被IDS和IPS检测引擎使用时,通过高级技术和基于特征的技术相结合,大大增强了使用IP碎片和协议受控方法攻击的检测能力。
工控防火墙系统支持三种部署模式:路由模式、透明模式和旁路模式。
路由模式为常用部署模式,用于连接不同IP地址段的网络环境,部署图及说明如下:
路由模式部署示意图
内网使用192.168.1.0/24网段,外网使用172.16.1.0网段连接办公网。由于内外网不在同一IP地址段,需将工控防火墙设置为路由模式。此时工控防火墙工作在第三层,相当于一台路由器,连接不同的IP地址段,使192.168.1.X和172.16.1.X可以互访。工控防火墙也支持NAT功能。
如果工控防火墙内外网使用相同网段的IP地址,便无需工控防火墙担负路由的工作;此时可将工控防火墙设为透明模式,工作在第二层,在网络拓扑结构上相当于一个交换机或网桥。部署示意如下:
透明模式部署示意图
采用传统的旁路模式部署,可网络旁路或核心交换机镜像的接口。
工作在模式下的工控防火墙可对数据流进行分析和生成日志,当其引擎发现攻击后,记录日志,发送报警邮件给管理员;也可对工控协议使用状况记录日志,出现危险操作时予以报警。
此种带外部署的好处是不会产生任何影响,当工控防火墙出现故障时也不会造成网络故障。部署示意如下,工控防火墙可以监控任意节点,只需设置镜像接口即可。
旁路模式部署示意图
工控防火墙是一款工业级高性能低功耗的嵌入式无风扇防火墙,整体采用模块化设计,适用于工业现场1U机架式安装及标准导轨式安装,符合IEC61850-3和IEEE1613的设计标准,特别适用于电力、智能制造、轨道交通、石化和天然气等需要多种工业协议防护的工控领域。
工控防火墙可部署于工控网络内部、工控网络与管理网之间或者旁路式监控工控网络,具有双重身份,既支持传统防火墙所具备的功能(如防火墙、病毒库、入侵检测与防护(IPS)、流量控制QoS、路由/NAT/透明模式等)同时也支持对工控协议的分析与攻击防护。
提高数据包流转速度,降低数据包的延迟。
提高设备性能,降低CPU和内存的使用率
融合多种安全策略为统一策略,部署简单灵活。
会话表涵盖状态检测、VPN、应用识别、防病毒、IPS等信息,有助于满足可视化和透明化。
工控防火墙硬件采用多核处理器和专用处理芯片,以满足高速处理和转发数据流需求,大大提高了网络安全部署的便利性及数据流转要求的快捷处理能力,多核处理器处理防病毒、IPS、应用控制等需要复杂运算,专用处理器可以提高防火墙吞吐量和实现低延迟转发。
支持超过6000+ IPS特征值,并不断的更新。
可实现0-day防御,用户可以自定义特征值。
可有效防御基于数据包发包速度的DDoS攻击。
产品支持系统日志、流量日志、配置日志、会话日志、攻击日志等不同类型的海量日志,可以通过在线日志分析,为用户提供上网访问行为的监管和审计。
配置简单,维护无需命令行操作。
用户认证 | 本地数据库(在本地建账号local) |
PKI | |
IPsec VPN Xauth 扩展认证 | |
RSA SecurID认证 | |
路由和交换 | 支持多链路流量分配 |
支持ADSL | |
支持静态路由/策略路由 | |
动态路由RIP v1 & v2, OSPF, BGP | |
支持STP | |
支持802.1X | |
支持VLAN | |
支持链路聚合 | |
防火墙 | 路由、透明、混合模式 |
DHCP 服务器 | |
DNS转发 | |
DNS服务器 | |
NAT/PAT | |
VLAN | |
链路聚合 | |
VPN | PPTP, IPSec, L2TP, |
星型VPN/网状VPN | |
OSPF over IPSec | |
GER over IPSec | |
OSPF over GRE | |
L2TP over IPSec | |
反垃圾邮件 | 支持SMTP/POP3/IMAP协议 |
在线查询库 | |
IP 地址和黑名单 | |
关键词过滤 | |
IPS | 支持6000多种特征库 |
基于策略部署 | |
可以记录数据包内容 | |
DoS和 DDoS攻击控制 | |
自动升级特征库 | |
可自定义特征库 | |
支持隔离攻击者和可以设置隔离时间 | |
支持在线和旁路式部署 | |
支持自动生成策略和发送Reset阻断攻击 | |
防病毒 | 支持各种文件传输协议 |
支持文件压缩 | |
网页过滤 | 支持URL 地址/域名黑白名单 |
支持关键字过滤 | |
支持对HTTP协议的参数过滤,比如HOST,URI等 | |
安全审计 | 支持各种传输文件的协议 |
支持压缩文件 | |
支持TXT、PDF和Word类型文档 | |
内置敏感样本 | |
上网行为管理 | 支持2000多种应用 |
基于策略部署 | |
支持对应用监控、阻断和限制带宽 | |
支持在线式和旁路式部署 | |
基于IP带宽管理 |
基于状态检测包过滤技术,对IP地址、服务、端口等参数进行判断,是否允许数据包通过;在第三层(网络层)和第四层(传输层)进行数据过滤。
对访问的源IP和目标IP地址进行过滤。IP 地址对象可以是单个IP(如202.1.1.1)、IP地址段(如192.168.1.0/255.255.255.0)、IP地址范围(如172.16.1.100-172.16.2.200);对拥有同一访问权限的不同IP地址/IP地址段,还可以将它们加入到一个地址组中,在防火墙策略中统一调用。
工控防火墙预置了常用网络服务的端口信息,如HTTP使用的TCP80端口、 FTP使用的TCP21/20端口等;也可自定义任意的TCP/UDP/ICMP/IP服务和端口。还可将不同的服务和端口加入组,在策略中统一调用。
工控防火墙可将一段内容中的病毒代码过滤掉,将正常部分继续传输,有效防止信息的丢失。
将工控防火墙部署在工控网络内部、工控网络与管理网之间或者旁路式监控工控网络上,可以阻挡网络中的病毒、蠕虫、木马、间谍软件、恶意软件等。
工控防火墙支持HTTP协议和FTP协议,对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。工控防火墙同样可对非标准端口的协议应用(如在使用代理服务器的环境中,HTTP不使用TCP80端口而是TCP8080端口)的病毒进行过滤。
工控防火墙可检测和防御针对工控系统的网络攻击,保证工控系统的安全。 产品内置100多个SCADA特征库,涵盖了DNP3, ICCP, Modus等多种协议。实时跟踪新的攻击,并及时升级各个工控防火墙设备和特征库。
工控防火墙的IPS同时使用特征匹配和异常分析的方法识别并阻断网络攻击行为,能够检测7000种以上攻击和入侵行为,如各种DoS攻击、DDoS攻击。用户可以方便自定义IPS特征过滤器,快速筛选对保护内部服务器有用的特征集合,并根据需要选择处理方式,与本用户网络及应用无关的特征被关闭,以免影响处理性能。与传统的入侵检测/防御产品比较复杂的安装配置方式相比,界面简单直观,易用性好。
因为工控网络出于稳定性需要,很少进行补丁升级工作。工控防火墙可以通过IPS的防御功能来抵挡各种攻击行为从而保证工控系统的安全,工控防火墙产品内置了100多个SCADA特征库,涵盖了DNP3, ICCP, Modbus等多种协议。
工控防火墙支持各类主流工控协议,可识别多种工控协议和协议里传输的指令,如CIP、DNP3、Ethernet/IP、IEC104、IEC61850-GOOSE、 IEC61850-MMS、Modbus、OPC、S7等;也可识别这些协议里传输的指令数据并进行检测,以实现监控和阻断等操作,并能对各类数据包进行快速有针对性的捕获和深度解析,同时为企业内部的私有协议提供定制化功能,全面满足工控系统兼容性要求。
工控防火墙可在多个层面使用多种方式保障关键业务的带宽,限制低安全级别的带宽使用:
基于防火墙策略限制某段IP共享带宽(如:带宽、最小带宽和优先级)。
基于防火墙策略限制IP流量,基于防火墙策略的四个要素:防火墙接口、IP地址、时间、服务。
基于防火墙策略限制每个IP带宽。
基于网络层的会话控制,可通过防火墙策略来控制每个IP的并发会话数。
通过设置Diffserv实现与其他QoS设备配合使用配置流量控制。
工控防火墙可展示传统协议和工控协议的内容,并且将其组织在一起构成严谨、透明的报表体系。如下图给出不同协议的攻击分布情况,有工控协议的OPC和Modbus,也有传统协议的Web和Mail。
攻击协议分布
展示传统防火墙的病毒排行榜,从排行榜中可看出当前流行的病毒。
病毒排行榜
展示攻击排行榜,方便用户了解攻击的种类和分布情况。
攻击排行榜
支持基于安全区域的网络隔离和安全策略配置,支持包含物理接口、子接口、VLAN接口在内的灵活安全区域管理功能,每条安全策略组支持若干个独立规则。
支持灵活的IP访问控制列表,可根据数据包的特点方便设定各种规则,在支持基于五元组访问控制列表的安全策略基础上,还支持基于时间段、IP地址和MAC地址绑定等安全策略。
智能检测TCP状态信息,直接拒绝非完整的TCP握手连接。同时,对FTP、RTSP、OPC等多通道通信协议,工控防火墙通过检测应用层报文信息,创建和删除对动态协商端口的数据包的安全策略规则,以允许相关报文通过。
支持对网络内部设备的端口级转换,允许用户按照需要配置内部设备的端口、协议、提供给外部的端口、协议,提供“一对多”的DNAT地址转换功能,极大的提升了地址转换服务的灵活性和适应性。
自动学习生成工控网络流量白名单,形成白名单规则并进行部署,通过白名单规则匹配判断工控协议数据包是否异常,生成正常、告警等结果,对工控协议流量实现指令级控制。
支持路由模式、透明模式、旁路模式等多种工作模式,丰富组网应用。
提供完备的HA双机热备技术,一台防火墙在发生故障时,保证业务平滑切换。
支持bypass功能,当设备出现故障时,网络流量可直接bypass通过,避免用户业务中断。
综合运用了多核并行控制技术、非共享式 TCP 协议栈、数据路径智能优化技术等多种安全技术,可检测并轻松阻断多种攻击,立体防御。
多种工作模式灵活部署安装,适用各种网络。
根据数据包的特点方便设定各种规则,在支持基于五元组访问控制列表的安全策略基础上,还支持基于时间段、IP地址和MAC地址绑定等安全策略。
采用安全策略规则高速匹配算法,性能*,延时小,速度快。
黑白名单配置,丰富的安全策略,启发式扫描,精准识别。
多层次数据分析,多维度态势展示,控制界面简洁友好。
通过集成工控漏洞库和工控入侵检测特征库,智能识别利用协议漏洞发起的攻击并阻断。
专业实时操作系统,多种部署模式;无风扇设计,bypass,工业标准硬件,支持冗余电源;全国服务网络。
支持CIP、DNP3、Ethernet/IP、IEC104、IEC61850-GOOSE、 IEC61850-MMS、Modbus、OPC、S7等多种工控协议。