力控華康工業(yè)防火墻HC-ISG(2.0)是專用于工業(yè)控制安全領(lǐng)域的增強(qiáng)級邊界安全防護(hù)產(chǎn)品,,能夠有效對SCADA、DCS,、 PCS,、PLC,、RTU等工業(yè)控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù),。HC-ISG(2.0)主要用于實(shí)現(xiàn)工業(yè)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)環(huán)境中的邊界防護(hù),,從而阻斷攻擊者的非法訪問,、病毒傳播和惡意攻擊等,,同時(shí)也能有效避免工作人員因誤操作導(dǎo)致的威脅擴(kuò)散等安全問題,。 HC-ISG(2.0)廣泛應(yīng)用于各種工業(yè)現(xiàn)場,包括核設(shè)施,、鋼鐵,、有色、石油天然氣,、化工,、電力、城市燃?xì)狻C(jī)械,、環(huán)保監(jiān)測,、城市供水、供熱,、水利樞紐,、隧道、港口,、鐵路,、城市軌道交通、民航以及其他與國家基礎(chǔ)設(shè)施和國計(jì)民生緊密相關(guān)的工業(yè)控制系統(tǒng)和網(wǎng)絡(luò),。
全新一代增強(qiáng)級工業(yè)防火墻HC-ISG(V2.0),,全面提升和擴(kuò)展了入侵防御、URL過濾,、病毒過濾,、網(wǎng)絡(luò)掃描防護(hù)、IP/MAC綁定等功能,,可識別和預(yù)防網(wǎng)絡(luò)中病毒傳播,、惡意攻擊等行為,避免其影響控制網(wǎng)絡(luò)和破壞生產(chǎn)流程,;新增加并提供流量帶 寬管理,、NAT及IPv6隧道等功能,可滿足更多維度的網(wǎng)絡(luò)環(huán)境需求,,更加適應(yīng)當(dāng)前工業(yè)網(wǎng)絡(luò)環(huán)境與信息化網(wǎng)絡(luò)環(huán)境相融合的發(fā)展趨勢,;工業(yè)協(xié)議方面,提供針對工業(yè)協(xié)議的指令級深度檢測,,實(shí)現(xiàn)對Modbus,、OPC等主流工業(yè)協(xié)議和規(guī)約的細(xì)粒度檢查和過濾,并支持智能協(xié)議識別和輔助規(guī)則生成,;同時(shí)HC-ISG(2.0)具備高可用性及全透明無間斷部署功能,,有效保證業(yè)務(wù)連續(xù)性,。
工業(yè)協(xié)議過濾支持包括OPC、Modbus,、Ethernet/IP,、IEC104、DNP3,、西門子,、GE等多種協(xié)議的解析和訪問控制功能。
深度檢測防御從應(yīng)用層對多種工業(yè)協(xié)議進(jìn)行深層檢測,,可以對工業(yè)協(xié)議內(nèi)部的指令,、內(nèi)部寄存器等信息進(jìn)行深度檢查,防止應(yīng)用層協(xié)議被纂改或破壞,,保證工業(yè)協(xié)議通訊的完整性和可控性,,為工業(yè)網(wǎng)絡(luò)通訊提供安全的解決方案。
智能協(xié)議識別采用被動檢測的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包,,并進(jìn)行數(shù)據(jù)包的解析,。
輔助規(guī)則生成可自動獲取經(jīng)過防火墻的實(shí)時(shí)完整協(xié)議信息,與系統(tǒng)內(nèi)置的協(xié)議特征,、設(shè)備對象等進(jìn)行匹配,,生成可供參考的網(wǎng)絡(luò)交互信息列表,幫助用戶以快捷的方式了解和掌握網(wǎng)絡(luò)中的通訊業(yè)務(wù),,便于在安裝初期簡化工程師配置,,在純凈網(wǎng)絡(luò)中自動生成規(guī)則,啟動防護(hù)功能,。
病毒過濾內(nèi)置工業(yè)病毒庫,,具備病毒過濾功能,當(dāng)攜帶病毒的文件通過常用類型協(xié)議進(jìn)行傳輸時(shí),,防火墻能夠?qū)ξ募M(jìn)行病毒檢測并攔截,,避免惡意文件進(jìn)入被保護(hù)網(wǎng)絡(luò)。
URL過濾可將所有Web流量與URL過濾數(shù)據(jù)庫進(jìn)行比較,阻止對于惡意網(wǎng)站的訪問,。
入侵防御內(nèi)置工業(yè)ISP庫,,可持續(xù)升級,通過流量檢測和報(bào)文深層次分析,,全方位防御注入攻擊,、XSS攻擊、目錄遍 歷攻擊,、操作系統(tǒng)漏洞利用攻擊等,。
攻擊防護(hù)掃描攻擊防護(hù):提供完善的網(wǎng)絡(luò)掃描防護(hù)功能,能夠檢測和記錄對所有接口及受保護(hù)網(wǎng)絡(luò)的掃描行為,。Dos/DDos攻擊防護(hù):包括TCP Flood,、UDP Flood、SYN Flood,、ICMP Flood,、IP Flood、TearDrop ,、Land等攻擊,。
IP/MAC綁定檢測非安全端的IP與MAC地址是否相同,防止遭受ARP攻擊和IP沖突等安全問題。
流量監(jiān)控和會話管理通過IP地址,、網(wǎng)絡(luò)服務(wù),、時(shí)間和協(xié)議類型等參數(shù)對流量進(jìn)行統(tǒng)計(jì),可根據(jù)策略和網(wǎng)絡(luò)流量動態(tài)調(diào)整客戶端所占用帶寬,,支持設(shè)置單IP的最大并發(fā)會話數(shù),,能夠在會話處于非活躍狀態(tài)一定時(shí)間或會話結(jié)束后,主動釋放其占用的狀態(tài)表資源,。
帶寬管理可對帶寬進(jìn)行管理和配置,,優(yōu)先保證工控業(yè)務(wù)帶寬,保證業(yè)務(wù)連續(xù)性,。
安全審計(jì)提供完整的日志管理平臺,,審計(jì)訪問操作記錄,為界定不同區(qū)域的交叉訪問和問題追蹤提供可靠的依據(jù),; 為用戶提供防火墻狀態(tài)監(jiān)控,、日志存儲、檢索,、查詢及智能報(bào)警功能,。
用戶認(rèn)證用戶認(rèn)證可采用本地認(rèn)證,、Radius認(rèn)證和Ldap認(rèn)證3種方式,。
管理員鑒別管理員可進(jìn)行鑒別配置,并能綁定啟用UKEY,實(shí)現(xiàn)雙因子認(rèn)證,。
負(fù)載均衡功能支持負(fù)載均衡功能,,能夠根據(jù)安全策略將網(wǎng)絡(luò)流量均衡于多臺服務(wù)器上。
NAT功能支持多對一,、多對多源NAT,;支持目的NAT。
VPN功能為設(shè)備間數(shù)據(jù)通信提供安全保障,通信過程采用加密傳輸,認(rèn)證成功后可實(shí)現(xiàn)遠(yuǎn)程訪問,。
IPv6支持支持IPv4和IPv6雙協(xié)議棧的網(wǎng)絡(luò)環(huán)境,,支持IPv4和IPv6兩種協(xié)議之間相互轉(zhuǎn)換。支持利用隧道技術(shù),,實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)互通,,作為IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)的過渡。提供6over4隧道,、6to4隧道以及ISATAP隧道的功能,。
設(shè)備部署模式考慮到工業(yè)網(wǎng)絡(luò)對于可用性、持續(xù)性的要求,,支持透明或路由部署方式,,可根據(jù)實(shí)際工業(yè)網(wǎng)絡(luò)環(huán)境靈活部署。
設(shè)備高可用性設(shè)備支持BYPASS,、雙機(jī)熱備,,當(dāng)主防火墻出現(xiàn)斷電或其它故障時(shí),可及時(shí)切換到備防火墻進(jìn)行工作,,避免 單點(diǎn)故障,。雙重保障,更安全,、更可靠,。
ALG應(yīng)用級網(wǎng)關(guān)具備ALG功能,對父連接的應(yīng)用層信息進(jìn)行解析,,獲取子連接信息,,實(shí)現(xiàn)對多連接協(xié)議的父連接及子連接的控制,支持FTP,、SQLNET,、H323、OPC協(xié)議,。如:OPC運(yùn)行正常,,OPC數(shù)據(jù)連接所使用的動態(tài)端口被開放/放行。
位置1:生產(chǎn)管理層和信息管理層的縱向防護(hù),,阻斷來自上層信息網(wǎng)的威脅,。
位置2,、3、5:對重要系統(tǒng)及實(shí)時(shí)數(shù)據(jù)庫的服務(wù)器進(jìn)行專門防護(hù),,切斷惡意訪問,、惡意代碼滲透及病毒感染。
位置4,、10,、11:隔離工程師站等主機(jī)設(shè)備,如若工程師站等主機(jī)設(shè)備感染病毒,,可避免其病毒擴(kuò)散至其它設(shè)備乃至整個(gè)工業(yè)網(wǎng)絡(luò),,降低工程師站等主機(jī)設(shè)備存在的安全風(fēng)險(xiǎn)。降低工程師站作為常用對外接口,,因感染病毒而帶來的風(fēng)險(xiǎn),。
位置6、7,、8,、9、13:過程控制層不同區(qū)域間的縱向防護(hù),,防止不同區(qū)域間的交叉感染,。
位置7、12,、14:保護(hù)重要控制系統(tǒng)或設(shè)備,,只允許必要的數(shù)據(jù)包通過,阻斷對重要控制系統(tǒng)或設(shè)備的所有非法訪問及控制,。
訂閱號
力控小程序
京公網(wǎng)安備11010802042889號