東土科技的工控防火墻是面向工業(yè)控制網絡研發(fā)和推出的涵蓋傳統(tǒng)防火墻、工控協(xié)議數據包深度解析、工控協(xié)議指令控制等功能在內的工控網絡安全防護產品。

工控防火墻支持靈活的安全區(qū)域隔離和豐富的安全策略控制功能，實現(xiàn)防火墻核心的網絡隔離和訪問控制；同時采用了安全策略規(guī)則高速匹配算法，在確保安全策略規(guī)則的查找和匹配速度的同時，性能不受影響，提高了系統(tǒng)的整體性能。

工控防火墻在流會話的基礎上，實現(xiàn)了狀態(tài)檢測防火墻功能，智能檢測 TCP流量狀態(tài)信息并進行控制，智能進行應用層檢測并打開動態(tài)端口，創(chuàng)建和刪除對動態(tài)協(xié)商端口數據包的安全策略規(guī)則，以允許或阻止相關報文通過，滿足安全最小化原則。

針對工控網絡和系統(tǒng)，工控防火墻支持對包括 CIP、DNP3、Ethernet/IP、IEC104、Modbus、IEC61850-GOOSE、 IEC61850-MMS、OPC、S7等在內的各類主流工控協(xié)議的深度解析，并在此基礎上基于工控網絡白名單對工控流量進行智能保護和指令級控制。此外，防火墻通過集成工控漏洞庫和工控入侵檢測特征庫，以工控網絡黑名單技術對工控網絡中的攻擊和入侵行為進行檢測和阻斷。

工控防火墻綜合運用了多核并行控制技術、非共享式 TCP 協(xié)議棧、數據路徑智能優(yōu)化技術等多項技術，在實現(xiàn)精確訪問控制和細致指令內容過濾的同時達到較高的性能水平，很好的適應了未來工控網絡高帶寬、大流量的發(fā)展方向。

工控防火墻廣泛應用于工業(yè)、能源、交通、水利及市政等領域，用于控制生產設備運行，隨著計算機和互聯(lián)網的發(fā)展，特別是信息化與工業(yè)化的深度融合以及物聯(lián)網的快速發(fā)展，工控防火墻面臨的安全問題越來越突出，針對工控系統(tǒng)的安全防護迫在眉睫。

工控防火墻可以監(jiān)控多種工控協(xié)議，對工控系統(tǒng)中的攻擊及時作出反應，實現(xiàn)工業(yè)控制系統(tǒng)縱向層級之間的安全控制。

• 產品架構

工控防火墻采用高容錯的模塊化軟件設計，內置防病毒模塊、IPS模塊、防火墻模塊、工控協(xié)議模塊。這些模塊采用*內容檢測技術（CCI），能夠檢測整個OSI堆棧模型中的安全威脅，重組文件和會話信息，以提供強大的檢測能力。

產品架構

工控防火墻支持內置自毒庫、入侵防御庫和工控協(xié)議識別庫，并將它們與防火墻、IPS/IDS結合起來，從而構成動態(tài)威脅防御系統(tǒng)。

針對未知威脅和有害流量的檢測、防護，工控防火墻將多個前沿檢測技術組合在一起，提供了啟發(fā)式流掃描和異常檢測。啟發(fā)式流掃描技術用來增強防病毒、攻擊和其它相關的流掃描活動；當異常檢測被IDS和IPS檢測引擎使用時，通過高級技術和基于特征的技術相結合，大大增強了使用IP碎片和協(xié)議受控方法攻擊的檢測能力。

• 產品部署

工控防火墻系統(tǒng)支持三種部署模式：路由模式、透明模式和旁路模式。

• 路由模式

路由模式為常用部署模式，用于連接不同IP地址段的網絡環(huán)境，部署圖及說明如下：

路由模式部署示意圖

內網使用192.168.1.0/24網段，外網使用172.16.1.0網段連接辦公網。由于內外網不在同一IP地址段，需將工控防火墻設置為路由模式。此時工控防火墻工作在第三層，相當于一臺路由器，連接不同的IP地址段，使192.168.1.X和172.16.1.X可以互訪。工控防火墻也支持NAT功能。

• 透明模式

如果工控防火墻內外網使用相同網段的IP地址，便無需工控防火墻擔負路由的工作；此時可將工控防火墻設為透明模式，工作在第二層，在網絡拓撲結構上相當于一個交換機或網橋。部署示意如下：

透明模式部署示意圖

• 旁路模式

采用傳統(tǒng)的旁路模式部署，可網絡旁路或核心交換機鏡像的接口。

工作在模式下的工控防火墻可對數據流進行分析和生成日志，當其引擎發(fā)現(xiàn)攻擊后，記錄日志，發(fā)送報警郵件給管理員；也可對工控協(xié)議使用狀況記錄日志，出現(xiàn)危險操作時予以報警。

此種帶外部署的好處是不會產生任何影響，當工控防火墻出現(xiàn)故障時也不會造成網絡故障。部署示意如下，工控防火墻可以監(jiān)控任意節(jié)點，只需設置鏡像接口即可。

旁路模式部署示意圖

• 產品亮點

工控防火墻是一款工業(yè)級高性能低功耗的嵌入式無風扇防火墻，整體采用模塊化設計，適用于工業(yè)現(xiàn)場1U機架式安裝及標準導軌式安裝，符合IEC61850-3和IEEE1613的設計標準，特別適用于電力、智能制造、軌道交通、石化和天然氣等需要多種工業(yè)協(xié)議防護的工控領域。

工控防火墻可部署于工控網絡內部、工控網絡與管理網之間或者旁路式監(jiān)控工控網絡，具有雙重身份，既支持傳統(tǒng)防火墻所具備的功能（如防火墻、病毒庫、入侵檢測與防護（IPS）、流量控制QoS、路由/NAT/透明模式等）同時也支持對工控協(xié)議的分析與攻擊防護。

• 一次解包，多次分析

提高數據包流轉速度，降低數據包的延遲。

提高設備性能，降低CPU和內存的使用率

融合多種安全策略為統(tǒng)一策略，部署簡單靈活。

會話表涵蓋狀態(tài)檢測、VPN、應用識別、防病毒、IPS等信息，有助于滿足可視化和透明化。

• 基于會話分配CPU

工控防火墻硬件采用多核處理器和專用處理芯片，以滿足高速處理和轉發(fā)數據流需求，大大提高了網絡安全部署的便利性及數據流轉要求的快捷處理能力，多核處理器處理防病毒、IPS、應用控制等需要復雜運算，專用處理器可以提高防火墻吞吐量和實現(xiàn)低延遲轉發(fā)。

• 全面威脅監(jiān)測與防護

支持超過6000+ IPS特征值，并不斷的更新。

可實現(xiàn)0-day防御，用戶可以自定義特征值。

可有效防御基于數據包發(fā)包速度的DDoS攻擊。

• 安全審計

產品支持系統(tǒng)日志、流量日志、配置日志、會話日志、攻擊日志等不同類型的海量日志，可以通過在線日志分析，為用戶提供上網訪問行為的監(jiān)管和審計。

• 配置簡單

配置簡單，維護無需命令行操作。

產品功能

功能列表

功能強大的過濾功能

基于狀態(tài)檢測包過濾技術，對IP地址、服務、端口等參數進行判斷，是否允許數據包通過；在第三層(網絡層)和第四層(傳輸層)進行數據過濾。

對訪問的源IP和目標IP地址進行過濾。IP 地址對象可以是單個IP(如202.1.1.1)、IP地址段(如192.168.1.0/255.255.255.0)、IP地址范圍(如172.16.1.100-172.16.2.200)；對擁有同一訪問權限的不同IP地址/IP地址段，還可以將它們加入到一個地址組中，在防火墻策略中統(tǒng)一調用。

豐富的端口信息

工控防火墻預置了常用網絡服務的端口信息，如HTTP使用的TCP80端口、 FTP使用的TCP21/20端口等；也可自定義任意的TCP/UDP/ICMP/IP服務和端口。還可將不同的服務和端口加入組，在策略中統(tǒng)一調用。

網關式防病毒

工控防火墻可將一段內容中的病毒代碼過濾掉，將正常部分繼續(xù)傳輸，有效防止信息的丟失。

將工控防火墻部署在工控網絡內部、工控網絡與管理網之間或者旁路式監(jiān)控工控網絡上，可以阻擋網絡中的病毒、蠕蟲、木馬、間諜軟件、惡意軟件等。

工控防火墻支持HTTP協(xié)議和FTP協(xié)議，對于Web瀏覽、下載、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進行攔截。工控防火墻同樣可對非標準端口的協(xié)議應用(如在使用代理服務器的環(huán)境中，HTTP不使用TCP80端口而是TCP8080端口)的病毒進行過濾。

入侵檢測與防御（IPS）

工控防火墻可檢測和防御針對工控系統(tǒng)的網絡攻擊，保證工控系統(tǒng)的安全。 產品內置100多個SCADA特征庫，涵蓋了DNP3, ICCP, Modus等多種協(xié)議。實時跟蹤新的攻擊，并及時升級各個工控防火墻設備和特征庫。

工控防火墻的IPS同時使用特征匹配和異常分析的方法識別并阻斷網絡攻擊行為，能夠檢測7000種以上攻擊和入侵行為，如各種DoS攻擊、DDoS攻擊。用戶可以方便自定義IPS特征過濾器，快速篩選對保護內部服務器有用的特征集合，并根據需要選擇處理方式，與本用戶網絡及應用無關的特征被關閉，以免影響處理性能。與傳統(tǒng)的入侵檢測/防御產品比較復雜的安裝配置方式相比，界面簡單直觀，易用性好。

因為工控網絡出于穩(wěn)定性需要，很少進行補丁升級工作。工控防火墻可以通過IPS的防御功能來抵擋各種攻擊行為從而保證工控系統(tǒng)的安全，工控防火墻產品內置了100多個SCADA特征庫，涵蓋了DNP3, ICCP, Modbus等多種協(xié)議。

工控協(xié)議檢測與解析

工控防火墻支持各類主流工控協(xié)議，可識別多種工控協(xié)議和協(xié)議里傳輸的指令，如CIP、DNP3、Ethernet/IP、IEC104、IEC61850-GOOSE、 IEC61850-MMS、Modbus、OPC、S7等；也可識別這些協(xié)議里傳輸的指令數據并進行檢測，以實現(xiàn)監(jiān)控和阻斷等操作，并能對各類數據包進行快速有針對性的捕獲和深度解析，同時為企業(yè)內部的私有協(xié)議提供定制化功能，全面滿足工控系統(tǒng)兼容性要求。

流量和QoS

工控防火墻可在多個層面使用多種方式保障關鍵業(yè)務的帶寬，限制低安全級別的帶寬使用：

基于防火墻策略限制某段IP共享帶寬（如：帶寬、最小帶寬和優(yōu)先級）。

基于防火墻策略限制IP流量，基于防火墻策略的四個要素：防火墻接口、IP地址、時間、服務。

基于防火墻策略限制每個IP帶寬。

基于網絡層的會話控制，可通過防火墻策略來控制每個IP的并發(fā)會話數。

通過設置Diffserv實現(xiàn)與其他QoS設備配合使用配置流量控制。

強大的報表功能

工控防火墻可展示傳統(tǒng)協(xié)議和工控協(xié)議的內容，并且將其組織在一起構成嚴謹、透明的報表體系。如下圖給出不同協(xié)議的攻擊分布情況，有工控協(xié)議的OPC和Modbus，也有傳統(tǒng)協(xié)議的Web和Mail。

攻擊協(xié)議分布

展示傳統(tǒng)防火墻的病毒排行榜，從排行榜中可看出當前流行的病毒。

病毒排行榜

展示攻擊排行榜，方便用戶了解攻擊的種類和分布情況。

攻擊排行榜

安全區(qū)域管理

支持基于安全區(qū)域的網絡隔離和安全策略配置，支持包含物理接口、子接口、VLAN接口在內的靈活安全區(qū)域管理功能，每條安全策略組支持若干個獨立規(guī)則。

安全策略控制

支持靈活的IP訪問控制列表，可根據數據包的特點方便設定各種規(guī)則，在支持基于五元組訪問控制列表的安全策略基礎上，還支持基于時間段、IP地址和MAC地址綁定等安全策略。

基于流的狀態(tài)檢測

智能檢測TCP狀態(tài)信息，直接拒絕非完整的TCP握手連接。同時，對FTP、RTSP、OPC等多通道通信協(xié)議，工控防火墻通過檢測應用層報文信息，創(chuàng)建和刪除對動態(tài)協(xié)商端口的數據包的安全策略規(guī)則，以允許相關報文通過。

NAT網絡地址轉換

支持對網絡內部設備的端口級轉換，允許用戶按照需要配置內部設備的端口、協(xié)議、提供給外部的端口、協(xié)議，提供“一對多”的DNAT地址轉換功能，極大的提升了地址轉換服務的靈活性和適應性。

工控網絡白名單

自動學習生成工控網絡流量白名單，形成白名單規(guī)則并進行部署，通過白名單規(guī)則匹配判斷工控協(xié)議數據包是否異常，生成正常、告警等結果，對工控協(xié)議流量實現(xiàn)指令級控制。

多種工作模式

支持路由模式、透明模式、旁路模式等多種工作模式，豐富組網應用。

高可靠性

提供完備的HA雙機熱備技術，一臺防火墻在發(fā)生故障時，保證業(yè)務平滑切換。

支持bypass功能，當設備出現(xiàn)故障時，網絡流量可直接bypass通過，避免用戶業(yè)務中斷。