力控華康工業(yè)防火墻HC-ISG(2.0)是專用于工業(yè)控制安全領域的增強級邊界安全防護產品,,能夠有效對SCADA、DCS,、 PCS,、PLC,、RTU等工業(yè)控制系統(tǒng)進行網(wǎng)絡安全防護,。HC-ISG(2.0)主要用于實現(xiàn)工業(yè)基礎設施在網(wǎng)絡環(huán)境中的邊界防護,從而阻斷攻擊者的非法訪問,、病毒傳播和惡意攻擊等,,同時也能有效避免工作人員因誤操作導致的威脅擴散等安全問題。 HC-ISG(2.0)廣泛應用于各種工業(yè)現(xiàn)場,,包括核設施,、鋼鐵、有色,、石油天然氣,、化工、電力,、城市燃氣,、機械、環(huán)保監(jiān)測,、城市供水,、供熱、水利樞紐,、隧道,、港口、鐵路,、城市軌道交通、民航以及其他與國家基礎設施和國計民生緊密相關的工業(yè)控制系統(tǒng)和網(wǎng)絡,。
全新一代增強級工業(yè)防火墻HC-ISG(V2.0),,全面提升和擴展了入侵防御、URL過濾,、病毒過濾,、網(wǎng)絡掃描防護、IP/MAC綁定等功能,,可識別和預防網(wǎng)絡中病毒傳播,、惡意攻擊等行為,避免其影響控制網(wǎng)絡和破壞生產流程,;新增加并提供流量帶 寬管理,、NAT及IPv6隧道等功能,可滿足更多維度的網(wǎng)絡環(huán)境需求,,更加適應當前工業(yè)網(wǎng)絡環(huán)境與信息化網(wǎng)絡環(huán)境相融合的發(fā)展趨勢,;工業(yè)協(xié)議方面,提供針對工業(yè)協(xié)議的指令級深度檢測,,實現(xiàn)對Modbus,、OPC等主流工業(yè)協(xié)議和規(guī)約的細粒度檢查和過濾,,并支持智能協(xié)議識別和輔助規(guī)則生成;同時HC-ISG(2.0)具備高可用性及全透明無間斷部署功能,,有效保證業(yè)務連續(xù)性,。
工業(yè)協(xié)議過濾支持包括OPC,、Modbus、Ethernet/IP,、IEC104,、DNP3、西門子,、GE等多種協(xié)議的解析和訪問控制功能,。
深度檢測防御從應用層對多種工業(yè)協(xié)議進行深層檢測,可以對工業(yè)協(xié)議內部的指令,、內部寄存器等信息進行深度檢查,,防止應用層協(xié)議被纂改或破壞,保證工業(yè)協(xié)議通訊的完整性和可控性,,為工業(yè)網(wǎng)絡通訊提供安全的解決方案,。
智能協(xié)議識別采用被動檢測的方式從網(wǎng)絡中采集數(shù)據(jù)包,并進行數(shù)據(jù)包的解析,。
輔助規(guī)則生成可自動獲取經過防火墻的實時完整協(xié)議信息,,與系統(tǒng)內置的協(xié)議特征,、設備對象等進行匹配,生成可供參考的網(wǎng)絡交互信息列表,,幫助用戶以快捷的方式了解和掌握網(wǎng)絡中的通訊業(yè)務,,便于在安裝初期簡化工程師配置,在純凈網(wǎng)絡中自動生成規(guī)則,,啟動防護功能,。
病毒過濾內置工業(yè)病毒庫,具備病毒過濾功能,,當攜帶病毒的文件通過常用類型協(xié)議進行傳輸時,,防火墻能夠對文件進行病毒檢測并攔截,避免惡意文件進入被保護網(wǎng)絡,。
URL過濾可將所有Web流量與URL過濾數(shù)據(jù)庫進行比較,,阻止對于惡意網(wǎng)站的訪問。
入侵防御內置工業(yè)ISP庫,,可持續(xù)升級,,通過流量檢測和報文深層次分析,全方位防御注入攻擊,、XSS攻擊,、目錄遍 歷攻擊、操作系統(tǒng)漏洞利用攻擊等,。
攻擊防護掃描攻擊防護:提供完善的網(wǎng)絡掃描防護功能,,能夠檢測和記錄對所有接口及受保護網(wǎng)絡的掃描行為。Dos/DDos攻擊防護:包括TCP Flood,、UDP Flood,、SYN Flood、ICMP Flood,、IP Flood,、TearDrop ,、Land等攻擊,。
IP/MAC綁定檢測非安全端的IP與MAC地址是否相同,防止遭受ARP攻擊和IP沖突等安全問題。
流量監(jiān)控和會話管理通過IP地址,、網(wǎng)絡服務,、時間和協(xié)議類型等參數(shù)對流量進行統(tǒng)計,可根據(jù)策略和網(wǎng)絡流量動態(tài)調整客戶端所占用帶寬,,支持設置單IP的最大并發(fā)會話數(shù),,能夠在會話處于非活躍狀態(tài)一定時間或會話結束后,主動釋放其占用的狀態(tài)表資源,。
帶寬管理可對帶寬進行管理和配置,,優(yōu)先保證工控業(yè)務帶寬,,保證業(yè)務連續(xù)性。
安全審計提供完整的日志管理平臺,,審計訪問操作記錄,,為界定不同區(qū)域的交叉訪問和問題追蹤提供可靠的依據(jù); 為用戶提供防火墻狀態(tài)監(jiān)控,、日志存儲,、檢索、查詢及智能報警功能,。
用戶認證用戶認證可采用本地認證,、Radius認證和Ldap認證3種方式。
管理員鑒別管理員可進行鑒別配置,,并能綁定啟用UKEY,,實現(xiàn)雙因子認證。
負載均衡功能支持負載均衡功能,,能夠根據(jù)安全策略將網(wǎng)絡流量均衡于多臺服務器上,。
NAT功能支持多對一、多對多源NAT,;支持目的NAT,。
VPN功能為設備間數(shù)據(jù)通信提供安全保障,通信過程采用加密傳輸,認證成功后可實現(xiàn)遠程訪問。
IPv6支持支持IPv4和IPv6雙協(xié)議棧的網(wǎng)絡環(huán)境,,支持IPv4和IPv6兩種協(xié)議之間相互轉換,。支持利用隧道技術,實現(xiàn)IPv4和IPv6網(wǎng)絡互通,,作為IPv4網(wǎng)絡到IPv6網(wǎng)絡的過渡,。提供6over4隧道、6to4隧道以及ISATAP隧道的功能,。
設備部署模式考慮到工業(yè)網(wǎng)絡對于可用性,、持續(xù)性的要求,支持透明或路由部署方式,,可根據(jù)實際工業(yè)網(wǎng)絡環(huán)境靈活部署,。
設備高可用性設備支持BYPASS、雙機熱備,,當主防火墻出現(xiàn)斷電或其它故障時,,可及時切換到備防火墻進行工作,避免 單點故障,。雙重保障,,更安全、更可靠,。
ALG應用級網(wǎng)關具備ALG功能,,對父連接的應用層信息進行解析,,獲取子連接信息,實現(xiàn)對多連接協(xié)議的父連接及子連接的控制,,支持FTP,、SQLNET、H323,、OPC協(xié)議,。如:OPC運行正常,OPC數(shù)據(jù)連接所使用的動態(tài)端口被開放/放行,。
位置1:生產管理層和信息管理層的縱向防護,,阻斷來自上層信息網(wǎng)的威脅。
位置2,、3,、5:對重要系統(tǒng)及實時數(shù)據(jù)庫的服務器進行專門防護,切斷惡意訪問,、惡意代碼滲透及病毒感染,。
位置4、10,、11:隔離工程師站等主機設備,,如若工程師站等主機設備感染病毒,可避免其病毒擴散至其它設備乃至整個工業(yè)網(wǎng)絡,,降低工程師站等主機設備存在的安全風險,。降低工程師站作為常用對外接口,因感染病毒而帶來的風險,。
位置6,、7、8,、9,、13:過程控制層不同區(qū)域間的縱向防護,防止不同區(qū)域間的交叉感染,。
位置7,、12、14:保護重要控制系統(tǒng)或設備,,只允許必要的數(shù)據(jù)包通過,,阻斷對重要控制系統(tǒng)或設備的所有非法訪問及控制,。
京公網(wǎng)安備11010802042889號