工業防火牆

針對工控網絡進行邊界防護的專用防火牆産品

工業防火牆

安恒工業防火牆是針對工控網絡進行邊界防護的專用防火牆産品,通過深度解析OPC、Modbus、S7、Ethernet/IP(CIP)等數十種工控協議,建立工業網絡通信“電子柵欄”,阻止任何來自安全區域外的非授權訪問,有效抑制病毒、木馬在工控網絡中的傳播和擴散。目前在電力、石油、化工、市政、軌交、煙草等多個行業的工業網絡現場進行了廣泛應用和部署。 

産品功能

  • 白名單管理

    運用“通信白名單”機制,支持直通、測試、管控三種模式分別對應産品的部署、試運行和正式運行,滿足工控網絡對設備的高可靠要求。

  • 安全策略規則

    安恒工業防火牆采用狀態檢測防火牆的機制,在傳統包過濾上的功能擴展,在網絡層有一個檢查引擎,實現相應的訪問控制功能。

  • 工控協議深度解析

    支持對OPC、Modbus、S7、Ethernet/IP(CIP)等數十種工控協議報文進行深度解析。

  • 攻擊防護

    支持對工控網絡DoS/DDoS安全防護、異常數據包攻擊防護、掃描防護等。

  • 安全域管理

    支持將相同安全屬性的物理網口劃分到安全域中,實現了策略的分層管理。

  • 日志管理

    日志管理將發生的安全事件、包過濾的動作、産生的日志等信息 實時發送到管理中心。

産品特點

  • 實時精准的工控協議指令級控制

    安恒工業防火牆搭載安恒自主研發的深度數據包解析引擎,對工控協議做到實時和精准的識別,支持OPC、Modbus、IEC 60870-5-104、Siemens S7、Ethernet/IP (CIP)等各大主流工控協議,並且能夠對工控協議數據包進行快速有針對性的捕獲與深度解析。在遵循工業控制系統可用性與完整性的基礎上,能夠檢測出數據包的有效內容特征、負載和可用匹配信息,如惡意軟件、具體數據和應用程序類型。

  • 低時延滿足實時性要求

    安恒工業防火牆采用高性能多核處理器,滿足工業現場低延時、高吞吐的數據處理要求。其中深度數據包解析引擎在實現穩定可靠的數據包深度解析的同時,既保證了工控系統的實時性要求也滿足了工控系統對工控協議的安全要求。

  • 高可靠的軟硬件一體化架構

    安恒工業防火牆集成硬件加密引擎,爲監控層系統和控制層系統數據加密傳輸提供了高安全性的保證。通過對電路設計、結構設計、系統冗余、時延、可靠性、環境要求等方面嚴格要求,保證工業防火牆的可靠性。其中: ■支持硬/軟件故障自動無縫旁路(Bypass)功能; ■業務端口與管理端口分離設計; ■多種靈活的安裝方式,包括導軌安裝、機櫃安裝等。

  • 化繁爲簡的用戶體驗

    安恒工業防火牆以提高工業控制網絡的日常安全管理、信息統計數據的易讀性和可操作性爲設計核心,降低操作複雜度,避免誤操作。管理系統支持實時可視化,呈現工控網絡鏈路的連通性和服務狀態。提供多類曆史數據對比分析,系統日志、配置日志、流量日志、攻擊日志、訪問日志等類型日志的查詢與備份。

用戶價值

  • 合規性

    安恒工業防火牆具有完全自主的知識産權,能夠對工業網絡實施安全域劃分、邏輯隔離和訪問控制,滿足行業政策法規及技術要求。
  • 規避風險

    安恒工業防火牆能夠有效檢測工控網絡中的通信異常和協議異常,並加以阻止。可對産線進行數采協議OPC的只讀防護,實現各生産線之間的網絡隔離、訪問控制以及專用工控協議的控制,避免 PLC、DCS等被攻擊造成重大生産事故、人員傷亡和社會影響。
  • 提供可視化平台

    安恒工業防火牆將工控網絡的通信行爲進行詳細的可視化分析展現,提供友好的用戶操作界面、人性化的統計報表,極大提高了企業工控網絡的安全管理效率,減少系統停車時間。