力控華康工業(yè)防火墻HC-ISG(2.0)是專(zhuān)用于工業(yè)控制安全領(lǐng)域的增強級邊界安全防護產(chǎn)品,能夠有效對SCADA、DCS、 PCS、PLC、RTU等工業(yè)控制系統進(jìn)行網(wǎng)絡(luò )安全防護。HC-ISG(2.0)主要用于實(shí)現工業(yè)基礎設施在網(wǎng)絡(luò )環(huán)境中的邊界防護,從而阻斷攻擊者的非法訪(fǎng)問(wèn)、病毒傳播和惡意攻擊等,同時(shí)也能有效避免工作人員因誤操作導致的威脅擴散等安全問(wèn)題譬涡。 HC-ISG(2.0)廣泛應用于各種工業(yè)現場(chǎng)沫跨,包括核設施、鋼鐵苛永、有色、石油天然氣、化工、電力、城市燃氣、機械、環(huán)保監測著纵、城市供水、供熱、水利樞紐、隧道、港口、鐵路蹋蠢、城市軌道交通、民航以及其他與國家基礎設施和國計民生緊密相關(guān)的工業(yè)控制系統和網(wǎng)絡(luò )。
全新一代增強級工業(yè)防火墻HC-ISG(V2.0),全面提升和擴展了入侵防御释善、URL過(guò)濾、病毒過(guò)濾、網(wǎng)絡(luò )掃描防護、IP/MAC綁定等功能,可識別和預防網(wǎng)絡(luò )中病毒傳播、惡意攻擊等行為,避免其影響控制網(wǎng)絡(luò )和破壞生產(chǎn)流程;新增加并提供流量帶 寬管理、NAT及IPv6隧道等功能,可滿(mǎn)足更多維度的網(wǎng)絡(luò )環(huán)境需求,更加適應當前工業(yè)網(wǎng)絡(luò )環(huán)境與信息化網(wǎng)絡(luò )環(huán)境相融合的發(fā)展趨勢;工業(yè)協(xié)議方面,提供針對工業(yè)協(xié)議的指令級深度檢測,實(shí)現對Modbus、OPC等主流工業(yè)協(xié)議和規約的細粒度檢查和過(guò)濾,并支持智能協(xié)議識別和輔助規則生成;同時(shí)HC-ISG(2.0)具備高可用性及全透明無(wú)間斷部署功能,有效保證業(yè)務(wù)連續性。
支持包括OPC、Modbus、Ethernet/IP密哈、IEC104包警、DNP3芯急、西門(mén)子饿躬、GE等多種協(xié)議的解析和訪(fǎng)問(wèn)控制功能。
從應用層對多種工業(yè)協(xié)議進(jìn)行深層檢測,可以對工業(yè)協(xié)議內部的指令、內部寄存器等信息進(jìn)行深度檢查开谜,防止應用層協(xié)議被纂改或破壞,保證工業(yè)協(xié)議通訊的完整性和可控性贺氓,為工業(yè)網(wǎng)絡(luò )通訊提供最安全的解決方案飞穷。
采用被動(dòng)檢測的方式從網(wǎng)絡(luò )中采集數據包狼绷,并進(jìn)行數據包的解析伸商。
可自動(dòng)獲取經(jīng)過(guò)防火墻的實(shí)時(shí)完整協(xié)議信息炫能,與系統內置的協(xié)議特征睁朱、設備對象等進(jìn)行匹配冈德,生成可供參考的網(wǎng)絡(luò )交互信息列表裤县,幫助用戶(hù)以最快捷的方式了解和掌握網(wǎng)絡(luò )中的通訊業(yè)務(wù),便于在安裝初期簡(jiǎn)化工程師配置训唱,在純凈網(wǎng)絡(luò )中自動(dòng)生成規則突那,啟動(dòng)防護功能涯贞。
內置工業(yè)病毒庫,具備病毒過(guò)濾功能粮哭,當攜帶病毒的文件通過(guò)常用類(lèi)型協(xié)議進(jìn)行傳輸時(shí),防火墻能夠對文件進(jìn)行病毒檢測并攔截,避免惡意文件進(jìn)入被保護網(wǎng)絡(luò )。
可將所有Web流量與URL過(guò)濾數據庫進(jìn)行比較,阻止對于惡意網(wǎng)站的訪(fǎng)問(wèn)。
內置工業(yè)ISP庫,可持續升級沪峰,通過(guò)流量檢測和報文深層次分析,全方位防御注入攻擊、XSS攻擊、目錄遍 歷攻擊测秸、操作系統漏洞利用攻擊等。
掃描攻擊防護:提供完善的網(wǎng)絡(luò )掃描防護功能综向,能夠檢測和記錄對所有接口及受保護網(wǎng)絡(luò )的掃描行為耍属。Dos/DDos攻擊防護:包括TCP Flood按辱、UDP Flood、SYN Flood搓胯、ICMP Flood、IP Flood零院、TearDrop 、Land等攻擊窗宇。
檢測非安全端的IP與MAC地址是否相同,防止遭受ARP攻擊和IP沖突等安全問(wèn)題。
通過(guò)IP地址、網(wǎng)絡(luò )服務(wù)、時(shí)間和協(xié)議類(lèi)型等參數對流量進(jìn)行統計,可根據策略和網(wǎng)絡(luò )流量動(dòng)態(tài)調整客戶(hù)端所占用帶寬,支持設置單IP的最大并發(fā)會(huì )話(huà)數,能夠在會(huì )話(huà)處于非活躍狀態(tài)一定時(shí)間或會(huì )話(huà)結束后,主動(dòng)釋放其占用的狀態(tài)表資源群娃。
可對帶寬進(jìn)行管理和配置,優(yōu)先保證工控業(yè)務(wù)帶寬,保證業(yè)務(wù)連續性某残。
提供完整的日志管理平臺,審計訪(fǎng)問(wèn)操作記錄,為界定不同區域的交叉訪(fǎng)問(wèn)和問(wèn)題追蹤提供可靠的依據袖筒; 為用戶(hù)提供防火墻狀態(tài)監控、日志存儲省有、檢索、查詢(xún)及智能報警功能。
用戶(hù)認證可采用本地認證、Radius認證和Ldap認證3種方式群馁。
管理員可進(jìn)行鑒別配置,并能綁定啟用UKEY,實(shí)現雙因子認證。
支持負載均衡功能,能夠根據安全策略將網(wǎng)絡(luò )流量均衡于多臺服務(wù)器上甸候。
支持多對一、多對多源NAT;支持目的NAT。
為設備間數據通信提供安全保障,通信過(guò)程采用加密傳輸,認證成功后可實(shí)現遠程訪(fǎng)問(wèn)。
支持IPv4和IPv6雙協(xié)議棧的網(wǎng)絡(luò )環(huán)境,支持IPv4和IPv6兩種協(xié)議之間相互轉換冲停。支持利用隧道技術(shù),實(shí)現IPv4和IPv6網(wǎng)絡(luò )互通,作為IPv4網(wǎng)絡(luò )到IPv6網(wǎng)絡(luò )的過(guò)渡乙濒。提供6over4隧道、6to4隧道以及ISATAP隧道的功能。
考慮到工業(yè)網(wǎng)絡(luò )對于可用性、持續性的要求,支持透明或路由部署方式,可根據實(shí)際工業(yè)網(wǎng)絡(luò )環(huán)境靈活部署纳胧。
設備支持BYPASS杉轿、雙機熱備圈匆,當主防火墻出現斷電或其它故障時(shí),可及時(shí)切換到備防火墻進(jìn)行工作,避免 單點(diǎn)故障。雙重保障,更安全、更可靠。
具備ALG功能,對父連接的應用層信息進(jìn)行解析,獲取子連接信息,實(shí)現對多連接協(xié)議的父連接及子連接的控制别帅,支持FTP诀萨、SQLNET、H323、OPC協(xié)議。如:OPC運行正常,OPC數據連接所使用的動(dòng)態(tài)端口被開(kāi)放/放行。
位置1:生產(chǎn)管理層和信息管理層的縱向防護,阻斷來(lái)自上層信息網(wǎng)的威脅。
位置2、3、5:對重要系統及實(shí)時(shí)數據庫的服務(wù)器進(jìn)行專(zhuān)門(mén)防護辟汰,切斷惡意訪(fǎng)問(wèn)侠驯、惡意代碼滲透及病毒感染玷氏。
位置4、10、11:隔離工程師站等主機設備,如若工程師站等主機設備感染病毒,可避免其病毒擴散至其它設備乃至整個(gè)工業(yè)網(wǎng)絡(luò ),降低工程師站等主機設備存在的安全風(fēng)險。降低工程師站作為常用對外接口,因感染病毒而帶來(lái)的風(fēng)險。
位置6虚徐、7惫撰、8、9、13:過(guò)程控制層不同區域間的縱向防護,防止不同區域間的交叉感染。
位置7疗钞、12青团、14:保護重要控制系統或設備涝婉,只允許必要的數據包通過(guò)鳖进,阻斷對重要控制系統或設備的所有非法訪(fǎng)問(wèn)及控制捡偏。