網御工業防火墻是專門為工業控制系統開發的信息安全產品。適用于SCADA、DCS、PCS、PLC等工業控制系統,可以被廣泛的應用到核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、******制造、水利樞紐、環境保護、鐵路、城市軌道交通、、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業控制系統的安全防護中。
常用的的工業網絡分為三層信息層、監控層和設備層。
信息層:傳統的辦公網。包括管理信息系統,辦公電腦和服務器等。
監控層:數據采集服務器和工程師站等。
設備層:是生產的核心,它通過相應的指令對現場設備進行控制,完成生產任務。其中硬件主要包括PLC、RTU和Controller等。
工業防火墻可以部署在工業網絡每層的邊界位置;如部署在監控層的邊界,對數據采集進行安全過濾,或部署設備層的邊界對不同的工廠進行邏輯隔離。
產品也實現對關鍵位置的防護,如部署到關鍵的工程師站前面或者PLC前面進行邏輯隔離防護。
工業防火墻除了具備基礎防火墻功能外,還支持工業協議深度檢測,支持多種工業協議深度解析,包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104和EIP等協議,支持指令級訪問控制;同時工業防火墻預置工控系統攻擊事件庫,全面提升工業網絡安全防護能力;同時提供了流量自學習功能,使流量可視化,并自動推薦安全策略,幫助管理員制定更加符合實際需求的安全策略。
產品優勢
品質的環境適應性工業生產對網絡安全設備的環境適應性要求很高,很多工業現場甚至是在無人值守的惡劣環境。因此工業防火墻必須具備對環境可預見的性能,以及在某些******條件下,很好的干擾性水平。
憑借在行業多年的積累,IFW-3000能很好滿足工業環境中的機械要求(如沖擊、振動、拉伸等)、氣候保護要求(如工作溫度、存儲溫度、濕度、紫外線)、侵入保護要求(如保護等級、污染等級)以及電磁輻射和免疫要求(發射、免疫);同時具備網絡級和設備級的高******性。
氣候保護要求:具備*的耐寒暑環境適應能力。工作溫度支持-40~70℃;存儲溫度支持-40-85℃;濕度支持5%-95%,無凝結等;
? 侵入保護要求:全金屬外殼,無風扇設計,符合IP40的防護等級,可有效的防護直徑>1mm異物進入,******適應塵土飛揚的工業環境。
? 高******性:具備冗余電源和ByPass功能,不存在單點故障。
工控網絡協議支持工業協議訪問控制工業防火墻可以對專用的工業協議進行白名單或黑名單的訪問控制:
1、 預置了百種以上工業協議,可實現工業協議的白名單安全防護。
2、 預置了常用的PLC防護模型,可快速實現控制器的白名單防護。
3、 支持基于二層協議號和三層網絡端口號的自定義工業協議白名單安全防護。
工業協議深度過濾IFW-3000針對工業協議的安全防護,除了具備白名單訪問控制等基本功能外,還需要對工業協議有應用層的理解與控制,可以實現對工業指令的過濾。IFW-3000支持基于Modbus/TCP、Modbus/RTU、IEC104等協議的深度過濾功能。
OPC深度解析防護OPC classical是工業領域數據傳輸交換的標準,它基于微軟的DCOM技術。由于OPC是工業領域的專有協議,傳統的防火墻無法進行安全防護。IFW-3000可以檢查、追蹤并安全保護由OPC程序創建的每一個連接,只打開OPC數據通訊所使用的動態端口。無需更改OPC客戶端和服務器的任何配置。支持的功能如下:
? 支持動態連接跟蹤技術防護OPC
? 支持OPC DA、Hda和A&E協議的安全
? 跟蹤OPC數據鏈接的動態端口
? 檢查和阻止不符合DCE/RPC標準的OPC請求
Modbus/TCP深度解析防護工業協議在設計之初并沒有太多的考慮安全機制,作為一種應用廣泛的工業協議Modbus也存在很多安全問題:缺乏認證、和加密等安全防護機制。如功能碼濫用是modbus網絡經常存在的一個問題。
IFW-3000的Modbus/TCP深度解析模塊可以支持應用層細粒度控制:
? 功能碼的訪問控制
? 設備地址的訪問控制
? 線圈范圍的讀寫訪問控制
? 寄存器范圍的讀寫訪問控制
? 輸入地址訪問控制
同時還支持:
? 支持阻斷時Reset回復
? 支持阻斷時異常回復
? 黑白名單機制
通過這種方式可以******工業網絡在防護設備阻斷時不會出現異常。
同時還支持:
? 狀態檢查
? 合規性檢查
通過這種方式,可以有效檢查基于Modbus的異常報文,并進行有效的阻斷。
管理員通過對業務和實際生產網絡的梳理,可以建立起合法業務的Modbus指令列表,通過Modbus深度解析防護模塊可以建立合法白名單,阻止非法和入侵的報文通過,極大提高Modbus網絡的安全防護能力。
Modbus/RTU深度解析防護雖然工業以太網是發展趨勢,但很多生產線仍是基于串行鏈路進行通信。IFW-3000支持基于RS232/440/485鏈路的數據通信,同時可以支持引用Modbus/RTU的深度解析防護策略。
IFW-3000支持串行通信參數配置,可以針對波特率、數據位、奇偶校驗、停止位、流控參數進行配置。
配置完通信參數之后,***可以對Modbus/RTU的指令進行過濾控制。
IEC104深度解析防護60870-5-104遠動規約(以下簡稱IEC104規約)適用于調度主站和變電站或者調度主站和RTU之間用于以太網傳輸數據,是IEC60870-5系列標準的配套標準,被廣泛的應用在發電、軌道交通行業等。
IFW-3000支持對IEC104進行細粒度的深度過濾控制,******合法的指令通過。
? 支持APCI的訪問控制(S幀、I幀、U幀);
? 支持數據上送訪問控制;
? 支持遙調的信息體地址和控制值訪問控制;
? 支持遙控的信息體地址和控制值訪問控制;
? 支持遙脈指令的訪問控制。
EIP深度解析防護Ethernet Industry Protoco1((EIP)協議專門針對工業自動化應用的網絡,廣泛應用于煙草、電力、汽車等工業控制領域,它能夠在廣闊的區域中支持大量現場設備的連接。
網御工業防火墻可以對EIP協議做深度協議解析,可以做到只讀和讀寫控制,并對指令類碼和服務等的訪問控制。
工業入侵防御網御工業防火墻集成*工業入侵防御引擎,可以對工業系統的私有協議或者特定攻擊進行防護。事件庫依托ADLab的研究成果,升級快,更******,更加適合兩化融合的大趨勢。
同時該引擎******的新一代規則定義語言,提供了靈活、強大的擴展檢測的能力。本套規則定義語言支持TCP、UDP、HTTP、DNS等60多種協議解析;支持300多種協議變量的解析,且協議變量名稱遵循國際標準;提供百余種功能函數專用于規則描述,簡化復雜規則功能的定義;支持24種算術運算符、邏輯運算符和多種數據類型。可以******表達類似自然語言的豐富的檢測需求,減少誤報的同時可增強發現各種多樣化、復雜化、隱蔽化的攻擊。
借助這個功能強大的檢測引擎,使得用戶可針對自身專用網絡特點,檢測自身關注的各種正常網絡業務行為和異常網絡業務行為,大大延展檢測范圍。用戶更可結合現場專家定制服務,迅速制定符合客戶實際的入侵防護策略。
工業VPN產品整合了網御星云專業的VPN模塊,可以對工業協議做專業級的隧道加密防護。該專業VPN模塊經過了長時間的市場檢驗,具有穩定強、易用強、網絡環境適應性強,性能高的特點,確保用戶的生產、經營數據的機密、完整、可用。
流量自學習為了解決現場工程師熟悉業務但對工控網絡協議不太了解的情況,設備支持在添加防護策略前,在工控環境中進行流量自學習。
設備首先通過自學習獲取工控設備的IP、MAC地址、工業協議等信息;然后對工控設備進行自動命名,以資產和協議的角度更加形象化地梳理并呈現工控網絡情況,并進行向導式的安全策略推薦。
通過這種,大大降低客戶的部署難度,降低了設備上線對生產的影響,讓不熟悉工控協議的工程師也能輕松定制更加符合實際業務需求的安全策略。
多工作模式工業網絡對可用性要求******,管理員需要******掌握工業網絡的運行情況后,才能根據實際情況制定合適和有效的安全策略。IFW-3000支持三種工作模式,分別是:
1、 全通模式:所有報文都通過,保障網絡暢通。
2、 測試模式:針對要阻斷的報文并不實際丟棄,而是以日志報警的方式告知管理員,主要用于管理員理解策略的效果是否符合預期。
3、 防護模式:安全策略經過測試模式的考驗,管理員對效果進行了充分的評估,并將策略調整到***優,此時可以切換到防護模式,對工業網絡進行安全防護。
通過以上模式,可以逐步引導管理實現******的安全防護策略。IFW-3000所有的安全模塊都支持在以上三種模式下運行。
集中管理工控網絡中部署設備種類和運行協議很多,設備的統一配置、性能監控、策略配置分發等任務大多由人工來完成,大量的設備監控和管理成為將耗費大量的人力物力。不同類型設備的策略配置命令不統一還可能會造成網絡中的策略不一致,從而造成潛在的安全漏洞。
針對工業防火墻大規模部署的場景,用戶可以選用集中管理系統進行統一的安全策略定制。該系統支持多達50臺工業防火墻的集中管理,支持的功能包括:
? 設備狀態監控:對工業防火墻的可用性進行監控,監控的指標有接口流速和狀態、CPU、內存、硬盤等,實際掌握設備健康狀態。集中管理平臺會保存監控數據,以便于用戶查詢歷史數據。
? 設備日志收集:支持工業防火墻的日志收集與分析。
? 告警:集中管理平臺可以提取出用戶關心的設備狀態監控信息。針對網御安全設備的入侵行為進行告警和動作提示。
? 策略管理:集中管理平臺可以免客戶端證書、免用戶名密碼登錄設備。可實現批量升級、批量備份與恢復、批量策略下發等功能。
? 數據維護;可以定時導出集中管理平臺中存儲的數據。支持數據恢復,可通過FTP上傳或下載數據。
? 設備管理:可通過SNMP自動填充設備信息。支持批量設備添加。
產品特性與功能
| 功能項 | 功能參數 |
|---|
| 硬件形態 | DIN導軌式,機架式,無風扇設計,級品質 |
| 網絡設置 | 支持透明模式、路由模式、VLAN設備 |
| 工業以太網協議 | 支持Ethernet/IP、OPC、Modbus、Profinet、IEC-61850-Goose等100多種工業協議。 |
| 支持SIEMENS、Schneider、Honeywell、GE等廠商的PLC防護模型 |
| 支持自定義基于二層、三層工業協議 |
| 安全防護 | 防火墻支持全通、測試和防護模式 |
| 訪問控制支持基于接口、源IP、目的IP、MAC、協議、時間調度的流量過濾。 |
| 支持抗攻擊:抗SYN Flood、UDP Flood、ICMP Flood、抗Ping of Death等 |
| 工業協議深度檢測 | OPC classic協議解析和控制,OPC只讀控制等 |
| Modbus協議解析和控制 |
| IEC104協議解析和控制 |
| Ethernet Industry Protoco1協議解析和控制等 |
| 工業VPN | 支持基于工業協議的數據加密傳輸 |
| 高可用性 | 支持雙機熱備 |
| 日志審計 | 支持日志服務器、日志分類存儲 |
典型應用
產品部署如下圖所示,實現工業網絡的縱深安全防御需求。
工業防火墻場景包括如下幾種場景:(1)工業防火墻用于數采網和控制網隔離
(2)工業防火墻用于先控站和工程師站隔離
(3)關鍵PLC防護
