工業(yè)防火墻

產(chǎn)品簡介

力控華康工業(yè)防火墻HC-ISG（2.0）是專用于工業(yè)控制安全領域的增強級邊界安全防護產(chǎn)品，能夠有效對SCADA、DCS、PCS、PLC、RTU等工業(yè)控制系統(tǒng)進行網(wǎng)絡安全防護。HC-ISG（2.0）主要用于實現(xiàn)工業(yè)基礎設施在網(wǎng)絡環(huán)境中的邊界防護，從而阻斷攻擊者的非法訪問、病毒傳播和惡意攻擊等，同時也能有效避免工作人員誤操作導致的威脅擴散等安全問題。HC-ISG（2.0）廣泛應用于各工業(yè)現(xiàn)場，包括核設施、鋼鐵、有色、石油天然氣、化工、電力、城市燃氣、機械、環(huán)保監(jiān)測、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、以及其他與國家基礎設施和國計民生緊密相關的工業(yè)控制系統(tǒng)和網(wǎng)絡。

全新一代增強級工業(yè)防火墻HC-ISG（V2.0），全面提升和擴展了入侵防御、URL過濾、病毒過濾、網(wǎng)絡掃描防護、IP/MAC綁定等功能，可識別和預防網(wǎng)絡中病毒傳播、惡意攻擊等行為，避免其影響控制網(wǎng)絡和破壞生產(chǎn)流程；新增加并提供流量帶寬管理、NAT及IPv6隧道等功能，可滿足更多維度的網(wǎng)絡環(huán)境需求，更加適應當前工業(yè)網(wǎng)絡環(huán)境與信息化網(wǎng)絡環(huán)境相融合的發(fā)展趨勢；工業(yè)協(xié)議方面，提供針對工業(yè)協(xié)議的指令級深度檢測，實現(xiàn)對Modbus、OPC主流工業(yè)協(xié)議和規(guī)約的細粒度檢查和過濾，并支持智能協(xié)議識別和輔助規(guī)則生成；同時HC-ISG（2.0）具備高可用性及全透明無間斷部署功能，有效保證業(yè)務連續(xù)性。

產(chǎn)品特點

工業(yè)協(xié)議過濾

支持包括OPC、Modbus、Ethernet/IP、IEC104、DNP3、西門子、GE等多種協(xié)議的解析和訪問控制功能。

深度檢測防御

從應用層對多種工業(yè)協(xié)議進行深層檢測，可以對工業(yè)協(xié)議內部的指令、內部寄存器等信息進行深度檢查，防止應用層協(xié)議被纂改或破壞，保證工業(yè)協(xié)議通訊的完整性和可控性，為工業(yè)網(wǎng)絡通訊提供非常安全的解決方案。

智能協(xié)議識別

采用被動檢測的方式從網(wǎng)絡中采集數(shù)據(jù)包，并進行數(shù)據(jù)包的解析。

輔助規(guī)則生成

可自動獲取經(jīng)過防火墻的實時完整協(xié)議信息，與系統(tǒng)內置的協(xié)議特征、設備對象等進行匹配，生成可供參考的網(wǎng)絡交互信息列表，幫助用戶以很快捷的方式了解和掌握網(wǎng)絡中的通訊業(yè)務，便于在安裝初期簡化工程師配置，在純凈網(wǎng)絡中自動生成規(guī)則，啟動防護功能。

病毒過濾

內置工業(yè)病毒庫，具備病毒過濾功能，當攜帶病毒的文件通過常用類型協(xié)議進行傳輸時，防火墻能夠對文件進行病毒檢測并攔截，避免惡意文件進入被保護網(wǎng)絡。

URL過濾

可將所有Web流量與URL過濾數(shù)據(jù)庫進行比較，阻止對于惡意網(wǎng)站的訪問。

入侵防御

內置工業(yè)ISP庫，可持續(xù)升級，通過流量檢測和報文深層次分析，各個方位防御注入攻擊、XSS攻擊、目錄遍     歷攻擊、操作系統(tǒng)漏洞利用攻擊等。

攻擊防護

掃描攻擊防護：提供完善的網(wǎng)絡掃描防護功能，能夠檢測和記錄對所有接口及受保護網(wǎng)絡的掃描行為。Dos/DDos攻擊防護：包括TCP Flood、UDP Flood、SYN Flood、ICMP  Flood、IP Flood、TearDrop 、Land等攻擊。

IP/MAC綁定

檢測非安全端的IP與MAC地址是否相同,防止遭受ARP攻擊和IP沖突等安全問題。

流量監(jiān)控和會話管理

通過IP地址、網(wǎng)絡服務、時間和協(xié)議類型等參數(shù)對流量進行統(tǒng)計，可根據(jù)策略和網(wǎng)絡流量動態(tài)調整客戶端所占用帶寬，支持設置單IP的最大并發(fā)會話數(shù)，能夠在會話處于非活躍狀態(tài)一定時間或會話結束后，主動釋放其占用的狀態(tài)表資源。

帶寬管理

可對帶寬進行管理和配置，優(yōu)先保證工控業(yè)務帶寬，保證業(yè)務連續(xù)性。

安全審計

提供完整的日志管理平臺，審計訪問操作記錄，為界定不同區(qū)域的交叉訪問和問題追蹤提供可靠的依據(jù)； 為用戶提供防火墻狀態(tài)監(jiān)控、日志存儲、檢索、查詢及智能報警功能。

用戶認證

用戶認證可采用本地認證、Radius認證和Ldap認證3種方式。

管理員鑒別

管理員可進行鑒別配置，并能綁定啟用UKEY，實現(xiàn)雙因子認證。

負載均衡功能

支持負載均衡功能，能夠根據(jù)安全策略將網(wǎng)絡流量均衡于多臺服務器上。

NAT功能

支持多對一、多對多源NAT；支持目的NAT。

VPN功能

為設備間數(shù)據(jù)通信提供安全保障,通信過程采用加密傳輸,認證成功后可實現(xiàn)遠程訪問。

IPv6支持

支持IPv4和IPv6雙協(xié)議棧的網(wǎng)絡環(huán)境，支持IPv4和IPv6兩種協(xié)議之間相互轉換。支持利用隧道技術，實現(xiàn)IPv4和IPv6網(wǎng)絡互通，作為IPv4網(wǎng)絡到IPv6網(wǎng)絡的過渡。提供6over4隧道、6to4隧道以及ISATAP隧道的功能。

設備部署模式

考慮到工業(yè)網(wǎng)絡對于可用性、持續(xù)性的要求，支持透明或路由部署方式，可根據(jù)實際工業(yè)網(wǎng)絡環(huán)境靈活部署。

設備高可用性

設備支持BYPASS、雙機熱備，當主防火墻出現(xiàn)斷電或其它故障時，可及時切換到備防火墻進行工作，避免     單點故障。雙重保障，更安全、更可靠。

ALG應用級網(wǎng)關

具備ALG功能，對父連接的應用層信息進行解析，獲取子連接信息，實現(xiàn)對多連接協(xié)議的父連接及子連接的控制，支持FTP、SQLNET、H323、OPC協(xié)議。如：OPC運行正常，OPC數(shù)據(jù)連接所使用的動態(tài)端口被開放/放行。

工業(yè)防火墻

典型部署

位置1：生產(chǎn)管理層和信息管理層的縱向防護，阻斷來自上層信息網(wǎng)的威脅。

位置2、3、5：對重要系統(tǒng)及實時數(shù)據(jù)庫的服務器進行專門防護，切斷惡意訪問、惡意代碼滲透及病毒感染。

位置4、10、11：隔離工程師站等主機設備，如若工程師站等主機設備感染病毒，可避免其病毒擴散至其它設備乃至整個工業(yè)網(wǎng)絡，降低工程師站等主機設備存在的安全風險。降低工程師站作為常用對外接口，因感染病毒而帶來的風險。

位置6、7、8、9、13：過程控制層不同區(qū)域間的縱向防護，防止不同區(qū)域間的交叉感染。

位置7、12、14：保護重要控制系統(tǒng)或設備，只允許必要的數(shù)據(jù)包通過，阻斷對重要控制系統(tǒng)或設備的所有非法訪問及控制。