需求分析

工业互联网作为“新基建”重要支点,随着物联网、人工智能、大数据、5G等在工业领域应用程度的不断深入,使得原本相对封闭的工业网络本就相对脆弱的工业安全防护措施,无法满足新形势下的安全风险,工业互联网安全产业也将从以“应急响应”为代表的单点防御向以“持续响应”为代表的纵深防御转变。无论是从等保要求还是工业内生安全角度来看,工业防火墙首当其冲成为边界安全防护最重要的安全设备。

工业网络系统普遍无明确的安全域划分,不能阻断跨越边界的网络和数据访问行为,且访问路径访问接口无限制,无法将网络攻击等行为隔离在一定区域内,无法延缓或有效阻断网络攻击行为。通过部署工业防火墙可有效划分安全区域,可有效解决工业系统间因缺少边界隔离而引起的安全问题防止安全威胁扩散;降低网络被入侵。

产品概述

山石网科工业防火墙IFW系列是专门为工业网络安全专门设计、开发的防火墙产品。采用无风扇、宽温、耐高湿、防尘、抗电磁、抗震、冗余供电设计,保证高可靠性;安装方式分为导轨式、机架式两种形态;支持BYPASS、热备机制、多核并行控制、优化的软硬件架构多种技术,全方位保证设备的高可用性与高可靠性。

针对工业网络环境特点,山石网科工业防火墙提供多种适合工业网络安全特点而设计的专用功能,如对主流工业协议进行深度报文解析,支持OPC、IEC 60870-5-104、Modbus_TCP、Siemens S7等多种工业协议的深度解析,实现精确访问控制和细致指令内容过滤的同时达到较高的性能水平,白名单+工业网络流量智能自学习,工业威胁检测,协议定制开发或工业协议自定义等。

山石网科工业防火墙产品适合部署在工业网络与外部网络互联的边界位置、工业控制 系统如PLC、DCS前端位置,可对数据采集进行安全过滤、对工控资产的逻辑隔离?;?。能够在不改变现有工业网络结构和系统应用的情况下,快速部署,便捷管理,适用于SCADA、PLC、RTU、DCS等工业控制系统进行隔离?;?。

产品特点

  • 高可用性:支持双机热备,智能bypass,软硬件故障快速切换,无风扇设计、冗余电源、宽温应用设计。

  • 工业入侵检测:内置工控特征规则库,可检测和防御针对工控系统的网络攻击,全面提升工业网络安全防护能力。

  • 精准的工业协议识别解析防护能力:在传统防火墙五元组安全检测的基础上,对应用层工控协议及数据进行深度安全检测,识别报文中有效内容特征,及时发现可疑指令和恶意数据,在指令级保证工控网络和设备安全,包括OPC、IEC 60870-5-104、Modbus_TCP、Siemens S7等多种工业协议。

  • 工业网络白名单:采用基于白名单的网络层、应用层安全防护策略,只有明确允许且通过深度安全检测的网络协议和指令才可在网络传输。

  • 安全策略控制:支持防火墙策略、NAT策略、IP黑白名单、IP/MAC绑定。

  • 灵活部署:支持路由模式、透明模式、旁路模式和混合模式等多种工作模式,丰富组网应用。

  • OPC动态端口开放:对OPC协议的通讯和连接过程进行持续监视,通过对OPC客户端与服务器远程调用过程的持续解析,实现OPC端口的动态开放,解决传统防火墙无法对OPC协议进行有效防护的问题。

技术优势

  • 细粒度的工业协议内容检测与解析:基于白名单的工业指令级深度检测技术,可对工业协议的内容进行深度解析和过滤,如功能码、地址范围和遥信、遥调等。

  • 工业级硬件品控:采用工业级硬件平台、无风扇设计、冗余电源、抗电磁、适于高湿、宽温应用,完美匹配严苛的工业环境。
    专业智能引擎,立体防护更安全:具备一体化处理引擎,与防火墙安全策略进行结合,同时融合了应用防护、工控防护、DDOS防护、IP黑白名单、IP/MAC绑定等功能,使得防护更为高效和安全。

  • 灵活高效全面,场景支持更丰富:自主可控的防火墙系统,融合了丰富的网络特性,集防火墙、负载均衡、入侵防御、病毒过滤、应用识别、行为控制、VPN接入、报表等功能于一体,为用户提供了一个灵活、高效、全面的网络解决方案。

  • 丰富工业协议支持:预置多种工控协议,支持OPC、IEC 60870-5-104、Modbus_TCP、Siemens S7等深度解析。

应用场景

山石网科工业防火墙产品为用户提供涵盖工业网络与信息网络边界、工业网络内部以及工业控制系统设完整的工业网络纵深防御体系。

用户价值

山石网科工业防火墙可以为用户提供:增强网络抵御安全风险能力、满足网络政策合规性要求、提升企业安全生产水平。

适合部署在SCADA、PLC、RTU、DCS等工业系统中,可广泛应用在电力、能源、石油石化、交通(铁路、城市轨道交通、民航)、天然气、先进制造、水利枢纽、环境?;?、市政供水供气供热以及其它与国计民生紧密相关领域的工业网络。