隨著網(wǎng)絡(luò)信息時代的到來,我國工業(yè)模式發(fā)生了翻天覆地的變化,打破了“信息孤島”模式,企業(yè)全面聯(lián)網(wǎng),生產(chǎn)數(shù)據(jù)輕松實現(xiàn)匯總分析,不但提高了生產(chǎn)效率,還達到了節(jié)能減排的目的。信息化給工業(yè)帶來的有利變化顯而易見,但隨之而來的網(wǎng)絡(luò)安全問題又使人為之驚慌。傳統(tǒng)的商用防火墻是目前網(wǎng)絡(luò)邊界上的一種防護設(shè)備,它所提供的主要功能包括訪問控制、地址轉(zhuǎn)換、應(yīng)用代理、帶寬和流量控制、事件審核和報警等。商用防火墻誕生于傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境下,雖然經(jīng)過了多年的發(fā)展和完善,但其應(yīng)用環(huán)境還是局限于企業(yè)信息網(wǎng)絡(luò),它對于工業(yè)網(wǎng)絡(luò)環(huán)境還有諸多的不適應(yīng)。也正是基于這一現(xiàn)實,工業(yè)防火墻被開發(fā)應(yīng)用。
全新一代增強級工業(yè)防火墻HC-ISG (V2.0),是專用于工業(yè)控制安全領(lǐng)域的增強級邊界安全防護產(chǎn)品,能夠有效對SCADA、DCS、PCS、PLC、RTU等工業(yè)控制系統(tǒng)進行網(wǎng)絡(luò)安全防護。該產(chǎn)品主要用于實現(xiàn)工業(yè)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)環(huán)境中的邊界防護,從而阻斷攻擊者的非法訪問、病毒傳播和惡意攻擊等,同時也能有效避免工作人員誤操作導(dǎo)致的威脅擴散等安全問題。該產(chǎn)品能夠廣泛應(yīng)用于各工業(yè)現(xiàn)場,包括核設(shè)施、鋼鐵、有色、石油天然氣、化工、電力、城市燃氣、機械、環(huán)保監(jiān)測、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、以及其他與國家基礎(chǔ)設(shè)施和國計民生緊密相關(guān)的工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)。
相較于商業(yè)防火墻以及普通工業(yè)防火墻,該產(chǎn)品主要有以下升級:
工業(yè)增強型防火墻-HC-ISG(V2.0)
產(chǎn)品族譜
工業(yè)增強型防火墻HC-ISG (V2.0)隸屬于力控產(chǎn)品家族中的工業(yè)信息安全類產(chǎn)品,該產(chǎn)品定位于實現(xiàn)對工業(yè)網(wǎng)絡(luò)環(huán)境的安全防護,解決工業(yè)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)環(huán)境中可能受到惡意攻擊以及工作人員誤操作時的安全隱患。相較于力控工業(yè)標準防火墻HS-ISG產(chǎn)品,該產(chǎn)品能提供更深層次的防護能力,滿足更高要求場景的使用需求。
產(chǎn)品簡介
產(chǎn)品架構(gòu)
功能架構(gòu)
工業(yè)增強型防火墻HC-ISG (V2.0)產(chǎn)品的功能架構(gòu)主要分為三個部分,分別是:基礎(chǔ)系統(tǒng)、功能插件和配置工具。
- 基礎(chǔ)系統(tǒng):根據(jù)工業(yè)網(wǎng)絡(luò)通信特點和安全防護要求定制開發(fā)的底層運行平臺,為防火墻上層業(yè)務(wù)模塊提供必要的運行環(huán)境和安全保障;
- 功能插件:HC-ISG(V2.0)系列工業(yè)防火墻的核心業(yè)務(wù)處理模塊,它由一系列獨立的功能模塊組成,主要用于完成對于工業(yè)網(wǎng)絡(luò)協(xié)議的識別、解析和深度過濾;
- 配置工具:對HC-ISG(V2.0)系列工業(yè)防火墻的進行網(wǎng)絡(luò)組態(tài)、策略配置和運行監(jiān)控,是與防火墻進行人機交互的接口。
常見應(yīng)用架構(gòu)
- 位置1:生產(chǎn)管理層和信息管理層的縱向防護,阻斷來自上層信息網(wǎng)的威脅。
- 位置2、3、4:對重要系統(tǒng)及實時數(shù)據(jù)庫的服務(wù)器進行專門防護,切斷惡意訪問、惡意代碼滲透及病毒感染。
- 位置5、10、12:隔離工程師站等主機設(shè)備,如若工程師站等主機設(shè)備感染病毒,可避免其病毒擴散至其它設(shè)備乃至整個工業(yè)網(wǎng)絡(luò),降低工程師站等主機設(shè)備存在的安全風(fēng)險。降低工程師站作為常用對外接口,因感染病毒而帶來的風(fēng)險。
- 位置6、7、8、9、13:過程控制層不同區(qū)域間的縱向防護,防止不同區(qū)域間的交叉感染。
- 位置7、11、14:保護重要控制系統(tǒng)或設(shè)備,只允許必要的數(shù)據(jù)包通過,阻斷對重要控制系統(tǒng)或設(shè)備的所有非法訪問及控制。
產(chǎn)品特點
工業(yè)協(xié)議過濾
支持包括OPC、Modbus、Ethernet/IP、IEC104、DNP3、西門子、GE等多種協(xié)議的解析和訪問控制功能。
深度檢測防御
從應(yīng)用層對多種工業(yè)協(xié)議進行深層檢測,可以對工業(yè)協(xié)議內(nèi)部的指令、內(nèi)部寄存器等信息進行深度檢查,防止應(yīng)用層協(xié)議被纂改或破壞,保證工業(yè)協(xié)議通訊的完整性和可控性,為工業(yè)網(wǎng)絡(luò)通訊提供的解決方案。
智能協(xié)議識別
采用被動檢測的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包,并進行數(shù)據(jù)包的解析。
輔助規(guī)則生成
可自動獲取經(jīng)過防火墻的實時完整協(xié)議信息,與系統(tǒng)內(nèi)置的協(xié)議特征、設(shè)備對象等進行匹配,生成可供參考的網(wǎng)絡(luò)交互信息列表,幫助用戶以的方式了解和掌握網(wǎng)絡(luò)中的通訊業(yè)務(wù),便于在安裝初期簡化工程師配置,在純凈網(wǎng)絡(luò)中自動生成規(guī)則,啟動防護功能。
病毒過濾
內(nèi)置工業(yè)病毒庫,具備病毒過濾功能,當攜帶病毒的文件通過常用類型協(xié)議進行傳輸時,防火墻能夠?qū)ξ募M行病毒檢測并攔截,避免惡意文件進入被保護網(wǎng)絡(luò)。
URL過濾
可將所有Web流量與URL過濾數(shù)據(jù)庫進行比較,阻止對于惡意網(wǎng)站的訪問。
入侵防御
內(nèi)置工業(yè)ISP庫,可持續(xù)升級,通過流量檢測和報文深層次分析,防御注入攻擊、XSS攻擊、目錄遍歷攻擊、操作系統(tǒng)漏洞利用攻擊等。
攻擊防護
掃描攻擊防護:提供完善的網(wǎng)絡(luò)掃描防護功能,能夠檢測和記錄對所有接口及受保護網(wǎng)絡(luò)的掃描行為。
Dos/DDos攻擊防護:包括TCP Flood、UDP Flood、SYN Flood、ICMP Flood、IP Flood、TearDrop 、Land等攻擊。
IP/MAC綁定
檢測非安全端的IP與MAC地址是否相同,防止遭受ARP攻擊和IP沖突等安全問題。
流量監(jiān)控和會話管理
通過IP地址、網(wǎng)絡(luò)服務(wù)、時間和協(xié)議類型等參數(shù)對流量進行統(tǒng)計,可根據(jù)策略和網(wǎng)絡(luò)流量動態(tài)調(diào)整客戶端所占用帶寬,支持設(shè)置單IP的并發(fā)會話數(shù),能夠在會話處于非活躍狀態(tài)一定時間或會話結(jié)束后,主動釋放其占用的狀態(tài)表資源。
寬帶管理
可對帶寬進行管理和配置,優(yōu)先保證工控業(yè)務(wù)帶寬,保證業(yè)務(wù)連續(xù)性。
安全審計
提供完整的日志管理平臺,審計訪問操作記錄,為界定不同區(qū)域的交叉訪問和問題追蹤提供可靠的依據(jù);為用戶提供防火墻狀態(tài)監(jiān)控、日志存儲、檢索、查詢及智能報警功能。
用戶認證
用戶認證可采用本地認證、Radius認證和Ldap認證3種方式。
管理員鑒別
管理員可進行鑒別配置,并能綁定啟用UKEY, 實現(xiàn)雙因子認證。
負載均衡功能
支持負載均衡功能,能夠根據(jù)安全策略將網(wǎng)絡(luò)流量均衡于多臺服務(wù)器上。
NAT功能
支持多對一、多對多源NAT;支持目的NAT。
VPN功能
為設(shè)備間數(shù)據(jù)通信提供安全保障,通信過程采用加密傳輸,認證成功后可實現(xiàn)遠程訪問。
IPv6支持
支持IPv4和IPv6雙協(xié)議棧的網(wǎng)絡(luò)環(huán)境,支持IPv4和IPv6兩種協(xié)議之間相互轉(zhuǎn)換。支持利用隧道技術(shù),實現(xiàn)IPv4和IPv6網(wǎng)絡(luò)互通,作為IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)的過渡。提供6over4隧道、6to4隧道以及ISATAP隧道的功能。
設(shè)備部署模式
考慮到工業(yè)網(wǎng)絡(luò)對于可用性、持續(xù)性的要求,支持透明或路由部署方式,可根據(jù)實際工業(yè)網(wǎng)絡(luò)環(huán)境靈活部署。
設(shè)備高可用性
設(shè)備支持BYPASS、雙機熱備,當主防火墻出現(xiàn)斷電或其它故障時,可及時切換到備防火墻進行工作,避免單點故障。雙重保障,更安全、更可靠。
ALG應(yīng)用級網(wǎng)關(guān)
具備ALG功能,對父連接的應(yīng)用層信息進行解析,獲取子連接信息,實現(xiàn)對多連接協(xié)議的父連接及子連接的控制,支持FTP、SQLNET、H323、OPC協(xié)議。如:OPC運行正常,OPC數(shù)據(jù)連接所使用的動態(tài)端口被開放/放行。
核心優(yōu)勢
- 充分保證現(xiàn)場設(shè)備正常、穩(wěn)定的運行,免遭網(wǎng)絡(luò)信息安全威脅訪問控制,防止控制設(shè)備/系統(tǒng)被非法訪問,阻斷非法下發(fā)控制指令,保護DCS、SCADA、PLC及重要服務(wù)器等重要資產(chǎn)被破壞。包括攻擊防護以及安全審計功能。
- 通過硬件可靠性的保障,以及支持設(shè)備的快速接入,確保用戶業(yè)務(wù)的連續(xù)性,消除單點故障的影響。
- 防護規(guī)則自動學(xué)習(xí)、用戶可勾選進行配置,實現(xiàn)統(tǒng)一拓撲集中管理,使現(xiàn)場部署快捷、維護方便。
