東土科技的工控防火墻是面向工業(yè)控制網(wǎng)絡(luò)研發(fā)和推出的涵蓋傳統(tǒng)防火墻、工控協(xié)議數(shù)據(jù)包深度解析��、工控協(xié)議指令控制等功能在內(nèi)的工控網(wǎng)絡(luò)安全防護(hù)產(chǎn)品����。
工控防火墻支持靈活的安全區(qū)域隔離和豐富的安全策略控制功能,實(shí)現(xiàn)防火墻最為核心的網(wǎng)絡(luò)隔離和訪問控制�����;同時(shí)采用了安全策略規(guī)則高速匹配算法��,在確保安全策略規(guī)則的查找和匹配速度的同時(shí)�����,性能不受影響�,提高了系統(tǒng)的整體性能。
工控防火墻在流會(huì)話的基礎(chǔ)上����,實(shí)現(xiàn)了狀態(tài)檢測(cè)防火墻功能����,智能檢測(cè) TCP流量狀態(tài)信息并進(jìn)行控制�,智能進(jìn)行應(yīng)用層檢測(cè)并打開動(dòng)態(tài)端口,創(chuàng)建和刪除對(duì)動(dòng)態(tài)協(xié)商端口數(shù)據(jù)包的安全策略規(guī)則����,以允許或阻止相關(guān)報(bào)文通過,滿足安全最小化原則���。
針對(duì)工控網(wǎng)絡(luò)和系統(tǒng)��,工控防火墻支持對(duì)包括 CIP�、DNP3��、Ethernet/IP��、IEC104���、Modbus��、IEC61850-GOOSE、 IEC61850-MMS�、OPC����、S7等在內(nèi)的各類主流工控協(xié)議的深度解析�����,并在此基礎(chǔ)上基于工控網(wǎng)絡(luò)白名單對(duì)工控流量進(jìn)行智能保護(hù)和指令級(jí)控制�����。此外���,防火墻通過集成工控漏洞庫(kù)和工控入侵檢測(cè)特征庫(kù)���,以工控網(wǎng)絡(luò)黑名單技術(shù)對(duì)工控網(wǎng)絡(luò)中的攻擊和入侵行為進(jìn)行檢測(cè)和阻斷。
工控防火墻綜合運(yùn)用了多核并行控制技術(shù)����、非共享式 TCP 協(xié)議棧、數(shù)據(jù)路徑智能優(yōu)化技術(shù)等多項(xiàng)技術(shù)�����,在實(shí)現(xiàn)精確訪問控制和細(xì)致指令內(nèi)容過濾的同時(shí)達(dá)到較高的性能水平�����,很好的適應(yīng)了未來工控網(wǎng)絡(luò)高帶寬、大流量的發(fā)展方向���。
工控防火墻廣泛應(yīng)用于工業(yè)�、能源�����、交通�����、水利及市政等領(lǐng)域�,用于控制生產(chǎn)設(shè)備運(yùn)行,隨著計(jì)算機(jī)和互聯(lián)網(wǎng)的發(fā)展����,特別是信息化與工業(yè)化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工控防火墻面臨的安全問題越來越突出�,針對(duì)工控系統(tǒng)的安全防護(hù)迫在眉睫。
工控防火墻可以監(jiān)控多種工控協(xié)議��,對(duì)工控系統(tǒng)中的攻擊及時(shí)作出反應(yīng),實(shí)現(xiàn)工業(yè)控制系統(tǒng)縱向?qū)蛹?jí)之間的安全控制����。
工控防火墻采用高容錯(cuò)的模塊化軟件設(shè)計(jì)���,內(nèi)置防病毒模塊�����、IPS模塊����、防火墻模塊��、工控協(xié)議模塊�����。這些模塊采用完全內(nèi)容檢測(cè)技術(shù)(CCI)�����,能夠檢測(cè)整個(gè)OSI堆棧模型中最新的安全威脅��,重組文件和會(huì)話信息��,以提供強(qiáng)大的檢測(cè)能力。
產(chǎn)品架構(gòu)
工控防火墻支持內(nèi)置自有病毒庫(kù)�����、入侵防御庫(kù)和工控協(xié)議識(shí)別庫(kù)���,并將它們與防火墻���、IPS/IDS結(jié)合起來,從而構(gòu)成動(dòng)態(tài)威脅防御系統(tǒng)����。
針對(duì)未知威脅和有害流量的檢測(cè)、防護(hù)�,工控防火墻將多個(gè)前沿檢測(cè)技術(shù)組合在一起,提供了啟發(fā)式流掃描和異常檢測(cè)����。啟發(fā)式流掃描技術(shù)用來增強(qiáng)防病毒、攻擊和其它相關(guān)的流掃描活動(dòng)���;當(dāng)異常檢測(cè)被IDS和IPS檢測(cè)引擎使用時(shí)���,通過高級(jí)技術(shù)和基于特征的技術(shù)相結(jié)合�,大大增強(qiáng)了使用IP碎片和協(xié)議受控方法攻擊的檢測(cè)能力���。
工控防火墻系統(tǒng)支持三種部署模式:路由模式����、透明模式和旁路模式��。
路由模式為常用部署模式�����,用于連接不同IP地址段的網(wǎng)絡(luò)環(huán)境�����,部署圖及說明如下:
路由模式部署示意圖
內(nèi)網(wǎng)使用192.168.1.0/24網(wǎng)段���,外網(wǎng)使用172.16.1.0網(wǎng)段連接辦公網(wǎng)。由于內(nèi)外網(wǎng)不在同一IP地址段��,需將工控防火墻設(shè)置為路由模式�。此時(shí)工控防火墻工作在第三層,相當(dāng)于一臺(tái)路由器,連接不同的IP地址段���,使192.168.1.X和172.16.1.X可以互訪���。工控防火墻也支持NAT功能。
如果工控防火墻內(nèi)外網(wǎng)使用相同網(wǎng)段的IP地址���,便無需工控防火墻擔(dān)負(fù)路由的工作����;此時(shí)可將工控防火墻設(shè)為透明模式���,工作在第二層�,在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上相當(dāng)于一個(gè)交換機(jī)或網(wǎng)橋��。部署示意如下:
透明模式部署示意圖
采用傳統(tǒng)的旁路模式部署�����,可監(jiān)聽網(wǎng)絡(luò)旁路或核心交換機(jī)鏡像的接口�����。
工作在監(jiān)聽模式下的工控防火墻可對(duì)數(shù)據(jù)流進(jìn)行分析和生成日志,當(dāng)其引擎發(fā)現(xiàn)攻擊后�,記錄日志,發(fā)送報(bào)警郵件給管理員����;也可對(duì)工控協(xié)議使用狀況進(jìn)行監(jiān)聽,記錄日志�,出現(xiàn)危險(xiǎn)操作時(shí)予以報(bào)警。
此種帶外部署的好處是不會(huì)產(chǎn)生任何影響���,當(dāng)工控防火墻出現(xiàn)故障時(shí)也不會(huì)造成網(wǎng)絡(luò)故障。部署示意如下���,工控防火墻可以監(jiān)控任意節(jié)點(diǎn)��,只需設(shè)置鏡像接口即可����。
旁路模式部署示意圖
工控防火墻是一款工業(yè)級(jí)高性能低功耗的嵌入式無風(fēng)扇防火墻���,整體采用模塊化設(shè)計(jì)����,適用于工業(yè)現(xiàn)場(chǎng)1U機(jī)架式安裝及標(biāo)準(zhǔn)導(dǎo)軌式安裝,符合IEC61850-3和IEEE1613的設(shè)計(jì)標(biāo)準(zhǔn)��,特別適用于電力�、智能制造、軌道交通����、石化和天然氣等需要多種工業(yè)協(xié)議防護(hù)的工控領(lǐng)域。
工控防火墻可部署于工控網(wǎng)絡(luò)內(nèi)部����、工控網(wǎng)絡(luò)與管理網(wǎng)之間或者旁路式監(jiān)控工控網(wǎng)絡(luò),具有雙重身份����,既支持傳統(tǒng)防火墻所具備的功能(如防火墻、病毒庫(kù)�、入侵檢測(cè)與防護(hù)(IPS)、流量控制QoS���、路由/NAT/透明模式等)同時(shí)也支持對(duì)工控協(xié)議的分析與攻擊防護(hù)���。
提高數(shù)據(jù)包流轉(zhuǎn)速度���,降低數(shù)據(jù)包的延遲��。
提高設(shè)備性能�,降低CPU和內(nèi)存的使用率
融合多種安全策略為統(tǒng)一策略,部署簡(jiǎn)單靈活�。
會(huì)話表涵蓋狀態(tài)檢測(cè)、VPN����、應(yīng)用識(shí)別、防病毒�����、IPS等信息�����,有助于滿足可視化和透明化�����。
工控防火墻硬件采用多核處理器和專用處理芯片�����,以滿足高速處理和轉(zhuǎn)發(fā)數(shù)據(jù)流需求�,大大提高了網(wǎng)絡(luò)安全部署的便利性及數(shù)據(jù)流轉(zhuǎn)要求的快捷處理能力,多核處理器處理防病毒����、IPS、應(yīng)用控制等需要復(fù)雜運(yùn)算��,專用處理器可以提高防火墻吞吐量和實(shí)現(xiàn)低延遲轉(zhuǎn)發(fā)�。
支持超過6000+ IPS特征值,并不斷的更新�����。
可實(shí)現(xiàn)0-day防御����,用戶可以自定義特征值。
可有效防御基于數(shù)據(jù)包發(fā)包速度的DDoS攻擊����。
產(chǎn)品支持系統(tǒng)日志、流量日志���、配置日志����、會(huì)話日志、攻擊日志等不同類型的海量日志���,可以通過在線日志分析�����,為用戶提供上網(wǎng)訪問行為的監(jiān)管和審計(jì)�。
配置簡(jiǎn)單���,維護(hù)無需命令行操作��。
產(chǎn)品功能
功能列表
用戶認(rèn)證 | 本地?cái)?shù)據(jù)庫(kù)(在本地建賬號(hào)local) |
PKI |
IPsec VPN Xauth 擴(kuò)展認(rèn)證 |
RSA SecurID認(rèn)證 |
路由和交換 | 支持多鏈路流量分配 |
支持ADSL |
支持靜態(tài)路由/策略路由 |
動(dòng)態(tài)路由RIP v1 & v2, OSPF, BGP |
支持STP |
支持802.1X |
支持VLAN |
支持鏈路聚合 |
防火墻 | 路由���、透明、混合模式 |
DHCP 服務(wù)器 |
DNS轉(zhuǎn)發(fā) |
DNS服務(wù)器 |
NAT/PAT |
VLAN |
鏈路聚合 |
VPN | PPTP, IPSec, L2TP, |
星型VPN/網(wǎng)狀VPN |
OSPF over IPSec |
GER over IPSec |
OSPF over GRE |
L2TP over IPSec |
反垃圾郵件 | 支持SMTP/POP3/IMAP協(xié)議 |
在線查詢庫(kù) |
IP 地址和Email黑名單 |
關(guān)鍵詞過濾 |
IPS | 支持6000多種特征庫(kù) |
基于策略部署 |
可以記錄數(shù)據(jù)包內(nèi)容 |
DoS和 DDoS攻擊控制 |
自動(dòng)升級(jí)特征庫(kù) |
可自定義特征庫(kù) |
支持隔離攻擊者和可以設(shè)置隔離時(shí)間 |
支持在線和旁路式部署 |
支持自動(dòng)生成策略和發(fā)送Reset阻斷攻擊 |
防病毒 | 支持各種文件傳輸協(xié)議 |
支持文件壓縮 |
網(wǎng)頁過濾 | 支持URL 地址/域名黑白名單 |
支持關(guān)鍵字過濾 |
支持對(duì)HTTP協(xié)議的參數(shù)過濾�����,比如HOST��,URI等 |
安全審計(jì) | 支持各種傳輸文件的協(xié)議 |
支持壓縮文件 |
支持TXT���、PDF和Word類型文檔 |
內(nèi)置敏感樣本 |
上網(wǎng)行為管理 | 支持2000多種應(yīng)用 |
基于策略部署 |
支持對(duì)應(yīng)用監(jiān)控�����、阻斷和限制帶寬 |
支持在線式和旁路式部署 |
基于IP帶寬管理 |
功能強(qiáng)大的過濾功能
基于狀態(tài)檢測(cè)包過濾技術(shù)����,對(duì)IP地址��、服務(wù)���、端口等參數(shù)進(jìn)行判斷�,是否允許數(shù)據(jù)包通過���;在第三層(網(wǎng)絡(luò)層)和第四層(傳輸層)進(jìn)行數(shù)據(jù)過濾����。
對(duì)訪問的源IP和目標(biāo)IP地址進(jìn)行過濾���。IP 地址對(duì)象可以是單個(gè)IP(如202.1.1.1)�����、IP地址段(如192.168.1.0/255.255.255.0)��、IP地址范圍(如172.16.1.100-172.16.2.200)����;對(duì)擁有同一訪問權(quán)限的不同IP地址/IP地址段,還可以將它們加入到一個(gè)地址組中�,在防火墻策略中統(tǒng)一調(diào)用。
豐富的端口信息
工控防火墻預(yù)置了常用網(wǎng)絡(luò)服務(wù)的端口信息����,如HTTP使用的TCP80端口、 FTP使用的TCP21/20端口等����;也可自定義任意的TCP/UDP/ICMP/IP服務(wù)和端口。還可將不同的服務(wù)和端口加入組���,在策略中統(tǒng)一調(diào)用���。
網(wǎng)關(guān)式防病毒
工控防火墻可將一段內(nèi)容中的病毒代碼過濾掉,將正常部分繼續(xù)傳輸�����,有效防止信息的丟失�����。
將工控防火墻部署在工控網(wǎng)絡(luò)內(nèi)部��、工控網(wǎng)絡(luò)與管理網(wǎng)之間或者旁路式監(jiān)控工控網(wǎng)絡(luò)上���,可以阻擋網(wǎng)絡(luò)中的病毒���、蠕蟲、木馬�����、間諜軟件�、惡意軟件等。
工控防火墻支持HTTP協(xié)議和FTP協(xié)議�,對(duì)于Web瀏覽、下載�����、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進(jìn)行攔截。工控防火墻同樣可對(duì)非標(biāo)準(zhǔn)端口的協(xié)議應(yīng)用(如在使用代理服務(wù)器的環(huán)境中����,HTTP不使用TCP80端口而是TCP8080端口)的病毒進(jìn)行過濾。
入侵檢測(cè)與防御(IPS)
工控防火墻可檢測(cè)和防御針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)攻擊���,保證工控系統(tǒng)的安全�����。 產(chǎn)品內(nèi)置100多個(gè)SCADA特征庫(kù)���,涵蓋了DNP3, ICCP, Modus等多種協(xié)議。實(shí)時(shí)跟蹤世界最新的攻擊����,并及時(shí)升級(jí)各個(gè)工控防火墻設(shè)備和特征庫(kù)。
工控防火墻的IPS同時(shí)使用特征匹配和異常分析的方法識(shí)別并阻斷網(wǎng)絡(luò)攻擊行為�,能夠檢測(cè)7000種以上攻擊和入侵行為,如各種DoS攻擊�、DDoS攻擊。用戶可以方便自定義IPS特征過濾器����,快速篩選對(duì)保護(hù)內(nèi)部服務(wù)器有用的特征集合��,并根據(jù)需要選擇處理方式���,與本用戶網(wǎng)絡(luò)及應(yīng)用無關(guān)的特征被關(guān)閉�,以免影響處理性能。與傳統(tǒng)的入侵檢測(cè)/防御產(chǎn)品比較復(fù)雜的安裝配置方式相比���,界面簡(jiǎn)單直觀�,易用性好�����。
因?yàn)楣た鼐W(wǎng)絡(luò)出于穩(wěn)定性需要����,很少進(jìn)行補(bǔ)丁升級(jí)工作。工控防火墻可以通過IPS的防御功能來抵擋各種攻擊行為從而保證工控系統(tǒng)的安全�����,工控防火墻產(chǎn)品內(nèi)置了100多個(gè)SCADA特征庫(kù)����,涵蓋了DNP3, ICCP, Modbus等多種協(xié)議���。
工控協(xié)議檢測(cè)與解析
工控防火墻支持各類主流工控協(xié)議,可識(shí)別多種工控協(xié)議和協(xié)議里傳輸?shù)闹噶?,如CIP、DNP3���、Ethernet/IP�����、IEC104���、IEC61850-GOOSE、 IEC61850-MMS��、Modbus����、OPC、S7等���;也可識(shí)別這些協(xié)議里傳輸?shù)闹噶顢?shù)據(jù)并進(jìn)行檢測(cè)��,以實(shí)現(xiàn)監(jiān)控和阻斷等操作����,并能對(duì)各類數(shù)據(jù)包進(jìn)行快速有針對(duì)性的捕獲和深度解析,同時(shí)為企業(yè)內(nèi)部的私有協(xié)議提供定制化功能����,全面滿足工控系統(tǒng)兼容性要求。
流量和QoS
工控防火墻可在多個(gè)層面使用多種方式保障關(guān)鍵業(yè)務(wù)的帶寬�,限制低安全級(jí)別的帶寬使用:
基于防火墻策略限制某段IP共享帶寬(如:最大帶寬����、最小帶寬和優(yōu)先級(jí))。
基于防火墻策略限制IP流量���,基于防火墻策略的四個(gè)要素:防火墻接口�、IP地址�、時(shí)間、服務(wù)����。
基于防火墻策略限制每個(gè)IP最大帶寬。
基于網(wǎng)絡(luò)層的會(huì)話控制�����,可通過防火墻策略來控制每個(gè)IP的最大并發(fā)會(huì)話數(shù)。
通過設(shè)置Diffserv實(shí)現(xiàn)與其他QoS設(shè)備配合使用配置流量控制����。
強(qiáng)大的報(bào)表功能
工控防火墻可展示傳統(tǒng)協(xié)議和工控協(xié)議的內(nèi)容,并且將其組織在一起構(gòu)成嚴(yán)謹(jǐn)����、透明的報(bào)表體系。如下圖給出不同協(xié)議的攻擊分布情況�����,有工控協(xié)議的OPC和Modbus�,也有傳統(tǒng)協(xié)議的Web和Mail。
攻擊協(xié)議分布
展示傳統(tǒng)防火墻的病毒排行榜����,從排行榜中可看出當(dāng)前流行的病毒。
病毒排行榜
展示攻擊排行榜�����,方便用戶了解攻擊的種類和分布情況�。
攻擊排行榜
安全區(qū)域管理
支持基于安全區(qū)域的網(wǎng)絡(luò)隔離和安全策略配置,支持包含物理接口�����、子接口、VLAN接口在內(nèi)的靈活安全區(qū)域管理功能�,每條安全策略組支持若干個(gè)獨(dú)立規(guī)則。
安全策略控制
支持靈活的IP訪問控制列表���,可根據(jù)數(shù)據(jù)包的特點(diǎn)方便設(shè)定各種規(guī)則�����,在支持基于五元組訪問控制列表的安全策略基礎(chǔ)上�����,還支持基于時(shí)間段、IP地址和MAC地址綁定等安全策略���。
基于流的狀態(tài)檢測(cè)
智能檢測(cè)TCP狀態(tài)信息����,直接拒絕非完整的TCP握手連接�����。同時(shí),對(duì)FTP�、RTSP、OPC等多通道通信協(xié)議���,工控防火墻通過檢測(cè)應(yīng)用層報(bào)文信息����,創(chuàng)建和刪除對(duì)動(dòng)態(tài)協(xié)商端口的數(shù)據(jù)包的安全策略規(guī)則��,以允許相關(guān)報(bào)文通過�����。
NAT網(wǎng)絡(luò)地址轉(zhuǎn)換
支持對(duì)網(wǎng)絡(luò)內(nèi)部設(shè)備的端口級(jí)轉(zhuǎn)換����,允許用戶按照需要配置內(nèi)部設(shè)備的端口、協(xié)議�����、提供給外部的端口���、協(xié)議�����,提供“一對(duì)多”的DNAT地址轉(zhuǎn)換功能�,極大的提升了地址轉(zhuǎn)換服務(wù)的靈活性和適應(yīng)性。
工控網(wǎng)絡(luò)白名單
自動(dòng)學(xué)習(xí)生成工控網(wǎng)絡(luò)流量白名單����,形成白名單規(guī)則并進(jìn)行部署,通過白名單規(guī)則匹配判斷工控協(xié)議數(shù)據(jù)包是否異常���,生成正常�����、告警等結(jié)果����,對(duì)工控協(xié)議流量實(shí)現(xiàn)指令級(jí)控制���。
多種工作模式
支持路由模式、透明模式����、旁路模式等多種工作模式�,豐富組網(wǎng)應(yīng)用����。
高可靠性
提供完備的HA雙機(jī)熱備技術(shù),一臺(tái)防火墻在發(fā)生故障時(shí)�,保證業(yè)務(wù)平滑切換。
支持bypass功能���,當(dāng)設(shè)備出現(xiàn)故障時(shí)�����,網(wǎng)絡(luò)流量可直接bypass通過��,避免用戶業(yè)務(wù)中斷����。
