力控華康工業(yè)防火墻HC-ISG(2.0)是專用于工業(yè)控制安全領(lǐng)域的增強(qiáng)級邊界安全防護(hù)產(chǎn)品,能夠有效對SCADA,、DCS,、 PCS,、PLC,、RTU等工業(yè)控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù),。HC-ISG(2.0)主要用于實現(xiàn)工業(yè)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)環(huán)境中的邊界防護(hù),,從而阻斷攻擊者的非法訪問,、病毒傳播和惡意攻擊等,,同時也能有效避免工作人員因誤操作導(dǎo)致的威脅擴(kuò)散等安全問題,。 HC-ISG(2.0)廣泛應(yīng)用于各種工業(yè)現(xiàn)場,包括核設(shè)施,、鋼鐵,、有色、石油天然氣,、化工,、電力、城市燃?xì)?、機(jī)械,、環(huán)保監(jiān)測、城市供水,、供熱,、水利樞紐、隧道,、港口,、鐵路、城市軌道交通,、民航以及其他與國家基礎(chǔ)設(shè)施和國計民生緊密相關(guān)的工業(yè)控制系統(tǒng)和網(wǎng)絡(luò),。
全新一代增強(qiáng)級工業(yè)防火墻HC-ISG(V2.0),全面提升和擴(kuò)展了入侵防御,、URL過濾,、病毒過濾、網(wǎng)絡(luò)掃描防護(hù),、IP/MAC綁定等功能,,可識別和預(yù)防網(wǎng)絡(luò)中病毒傳播、惡意攻擊等行為,,避免其影響控制網(wǎng)絡(luò)和破壞生產(chǎn)流程,;新增加并提供流量帶 寬管理,、NAT及IPv6隧道等功能,可滿足更多維度的網(wǎng)絡(luò)環(huán)境需求,,更加適應(yīng)當(dāng)前工業(yè)網(wǎng)絡(luò)環(huán)境與信息化網(wǎng)絡(luò)環(huán)境相融合的發(fā)展趨勢,;工業(yè)協(xié)議方面,提供針對工業(yè)協(xié)議的指令級深度檢測,,實現(xiàn)對Modbus,、OPC等主流工業(yè)協(xié)議和規(guī)約的細(xì)粒度檢查和過濾,并支持智能協(xié)議識別和輔助規(guī)則生成,;同時HC-ISG(2.0)具備高可用性及全透明無間斷部署功能,,有效保證業(yè)務(wù)連續(xù)性。
工業(yè)協(xié)議過濾支持包括OPC、Modbus,、Ethernet/IP,、IEC104、DNP3,、西門子,、GE等多種協(xié)議的解析和訪問控制功能。
深度檢測防御從應(yīng)用層對多種工業(yè)協(xié)議進(jìn)行深層檢測,可以對工業(yè)協(xié)議內(nèi)部的指令,、內(nèi)部寄存器等信息進(jìn)行深度檢查,,防止應(yīng)用層協(xié)議被纂改或破壞,保證工業(yè)協(xié)議通訊的完整性和可控性,,為工業(yè)網(wǎng)絡(luò)通訊提供安全的解決方案,。
智能協(xié)議識別采用被動檢測的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包,并進(jìn)行數(shù)據(jù)包的解析,。
輔助規(guī)則生成可自動獲取經(jīng)過防火墻的實時完整協(xié)議信息,與系統(tǒng)內(nèi)置的協(xié)議特征,、設(shè)備對象等進(jìn)行匹配,,生成可供參考的網(wǎng)絡(luò)交互信息列表,幫助用戶以快捷的方式了解和掌握網(wǎng)絡(luò)中的通訊業(yè)務(wù),,便于在安裝初期簡化工程師配置,,在純凈網(wǎng)絡(luò)中自動生成規(guī)則,啟動防護(hù)功能,。
病毒過濾內(nèi)置工業(yè)病毒庫,,具備病毒過濾功能,當(dāng)攜帶病毒的文件通過常用類型協(xié)議進(jìn)行傳輸時,,防火墻能夠?qū)ξ募M(jìn)行病毒檢測并攔截,,避免惡意文件進(jìn)入被保護(hù)網(wǎng)絡(luò)。
URL過濾可將所有Web流量與URL過濾數(shù)據(jù)庫進(jìn)行比較,,阻止對于惡意網(wǎng)站的訪問,。
入侵防御內(nèi)置工業(yè)ISP庫,可持續(xù)升級,,通過流量檢測和報文深層次分析,,全方位防御注入攻擊、XSS攻擊,、目錄遍 歷攻擊,、操作系統(tǒng)漏洞利用攻擊等。
攻擊防護(hù)掃描攻擊防護(hù):提供完善的網(wǎng)絡(luò)掃描防護(hù)功能,,能夠檢測和記錄對所有接口及受保護(hù)網(wǎng)絡(luò)的掃描行為,。Dos/DDos攻擊防護(hù):包括TCP Flood、UDP Flood,、SYN Flood,、ICMP Flood、IP Flood,、TearDrop ,、Land等攻擊。
IP/MAC綁定檢測非安全端的IP與MAC地址是否相同,防止遭受ARP攻擊和IP沖突等安全問題。
流量監(jiān)控和會話管理通過IP地址,、網(wǎng)絡(luò)服務(wù),、時間和協(xié)議類型等參數(shù)對流量進(jìn)行統(tǒng)計,可根據(jù)策略和網(wǎng)絡(luò)流量動態(tài)調(diào)整客戶端所占用帶寬,,支持設(shè)置單IP的最大并發(fā)會話數(shù),,能夠在會話處于非活躍狀態(tài)一定時間或會話結(jié)束后,主動釋放其占用的狀態(tài)表資源,。
帶寬管理可對帶寬進(jìn)行管理和配置,,優(yōu)先保證工控業(yè)務(wù)帶寬,保證業(yè)務(wù)連續(xù)性,。
安全審計提供完整的日志管理平臺,,審計訪問操作記錄,為界定不同區(qū)域的交叉訪問和問題追蹤提供可靠的依據(jù),; 為用戶提供防火墻狀態(tài)監(jiān)控,、日志存儲、檢索,、查詢及智能報警功能,。
用戶認(rèn)證用戶認(rèn)證可采用本地認(rèn)證、Radius認(rèn)證和Ldap認(rèn)證3種方式,。
管理員鑒別管理員可進(jìn)行鑒別配置,,并能綁定啟用UKEY,實現(xiàn)雙因子認(rèn)證,。
負(fù)載均衡功能支持負(fù)載均衡功能,,能夠根據(jù)安全策略將網(wǎng)絡(luò)流量均衡于多臺服務(wù)器上。
NAT功能支持多對一,、多對多源NAT,;支持目的NAT。
VPN功能為設(shè)備間數(shù)據(jù)通信提供安全保障,通信過程采用加密傳輸,認(rèn)證成功后可實現(xiàn)遠(yuǎn)程訪問,。
IPv6支持支持IPv4和IPv6雙協(xié)議棧的網(wǎng)絡(luò)環(huán)境,,支持IPv4和IPv6兩種協(xié)議之間相互轉(zhuǎn)換。支持利用隧道技術(shù),,實現(xiàn)IPv4和IPv6網(wǎng)絡(luò)互通,,作為IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)的過渡。提供6over4隧道,、6to4隧道以及ISATAP隧道的功能,。
設(shè)備部署模式考慮到工業(yè)網(wǎng)絡(luò)對于可用性、持續(xù)性的要求,,支持透明或路由部署方式,,可根據(jù)實際工業(yè)網(wǎng)絡(luò)環(huán)境靈活部署。
設(shè)備高可用性設(shè)備支持BYPASS、雙機(jī)熱備,,當(dāng)主防火墻出現(xiàn)斷電或其它故障時,,可及時切換到備防火墻進(jìn)行工作,避免 單點故障,。雙重保障,,更安全、更可靠,。
ALG應(yīng)用級網(wǎng)關(guān)具備ALG功能,,對父連接的應(yīng)用層信息進(jìn)行解析,獲取子連接信息,,實現(xiàn)對多連接協(xié)議的父連接及子連接的控制,,支持FTP、SQLNET,、H323,、OPC協(xié)議,。如:OPC運行正常,,OPC數(shù)據(jù)連接所使用的動態(tài)端口被開放/放行。
位置1:生產(chǎn)管理層和信息管理層的縱向防護(hù),,阻斷來自上層信息網(wǎng)的威脅,。
位置2、3,、5:對重要系統(tǒng)及實時數(shù)據(jù)庫的服務(wù)器進(jìn)行專門防護(hù),,切斷惡意訪問、惡意代碼滲透及病毒感染,。
位置4,、10、11:隔離工程師站等主機(jī)設(shè)備,,如若工程師站等主機(jī)設(shè)備感染病毒,,可避免其病毒擴(kuò)散至其它設(shè)備乃至整個工業(yè)網(wǎng)絡(luò),降低工程師站等主機(jī)設(shè)備存在的安全風(fēng)險,。降低工程師站作為常用對外接口,,因感染病毒而帶來的風(fēng)險。
位置6,、7,、8、9,、13:過程控制層不同區(qū)域間的縱向防護(hù),,防止不同區(qū)域間的交叉感染。
位置7、12,、14:保護(hù)重要控制系統(tǒng)或設(shè)備,,只允許必要的數(shù)據(jù)包通過,阻斷對重要控制系統(tǒng)或設(shè)備的所有非法訪問及控制,。
訂閱號
力控小程序
京公網(wǎng)安備11010802042889號