網(wǎng)御工業(yè)防火墻是專門(mén)為工業(yè)控制系統(tǒng)開(kāi)發(fā)的信息安全產(chǎn)品。適用于SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)，可以被廣泛的應(yīng)用到核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、******制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、、城市供水供氣供熱以及其他與國(guó)計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)的安全防護(hù)中。
常用的的工業(yè)網(wǎng)絡(luò)分為三層信息層、監(jiān)控層和設(shè)備層。
信息層：傳統(tǒng)的辦公網(wǎng)。包括管理信息系統(tǒng)，辦公電腦和服務(wù)器等。
監(jiān)控層：數(shù)據(jù)采集服務(wù)器和工程師站等。
設(shè)備層：是生產(chǎn)的核心，它通過(guò)相應(yīng)的指令對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行控制，完成生產(chǎn)任務(wù)。其中硬件主要包括PLC、RTU和Controller等。
工業(yè)防火墻可以部署在工業(yè)網(wǎng)絡(luò)每層的邊界位置；如部署在監(jiān)控層的邊界，對(duì)數(shù)據(jù)采集進(jìn)行安全過(guò)濾，或部署設(shè)備層的邊界對(duì)不同的工廠進(jìn)行邏輯隔離。
產(chǎn)品也實(shí)現(xiàn)對(duì)關(guān)鍵位置的防護(hù)，如部署到關(guān)鍵的工程師站前面或者PLC前面進(jìn)行邏輯隔離防護(hù)。
工業(yè)防火墻除了具備基礎(chǔ)防火墻功能外，還支持工業(yè)協(xié)議深度檢測(cè)，支持多種工業(yè)協(xié)議深度解析，包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104和EIP等協(xié)議，支持指令級(jí)訪問(wèn)控制；同時(shí)工業(yè)防火墻預(yù)置工控系統(tǒng)攻擊事件庫(kù)，全面提升工業(yè)網(wǎng)絡(luò)安全防護(hù)能力；同時(shí)提供了流量自學(xué)習(xí)功能，使流量可視化，并自動(dòng)推薦安全策略，幫助管理員制定更加符合實(shí)際需求的安全策略。

產(chǎn)品優(yōu)勢(shì)

品質(zhì)的環(huán)境適應(yīng)性
工業(yè)生產(chǎn)對(duì)網(wǎng)絡(luò)安全設(shè)備的環(huán)境適應(yīng)性要求很高，很多工業(yè)現(xiàn)場(chǎng)甚至是在無(wú)人值守的惡劣環(huán)境。因此工業(yè)防火墻必須具備對(duì)環(huán)境可預(yù)見(jiàn)的性能，以及在某些******條件下，很好的干擾性水平。
憑借在行業(yè)多年的積累，IFW-3000能很好滿足工業(yè)環(huán)境中的機(jī)械要求（如沖擊、振動(dòng)、拉伸等）、氣候保護(hù)要求（如工作溫度、存儲(chǔ)溫度、濕度、紫外線）、侵入保護(hù)要求（如保護(hù)等級(jí)、污染等級(jí)）以及電磁輻射和免疫要求（發(fā)射、免疫）；同時(shí)具備網(wǎng)絡(luò)級(jí)和設(shè)備級(jí)的高******性。
氣候保護(hù)要求：具備*的耐寒暑環(huán)境適應(yīng)能力。工作溫度支持-40~70℃；存儲(chǔ)溫度支持-40-85℃；濕度支持5％-95％，無(wú)凝結(jié)等；
? 侵入保護(hù)要求：全金屬外殼，無(wú)風(fēng)扇設(shè)計(jì)，符合IP40的防護(hù)等級(jí)，可有效的防護(hù)直徑>1mm異物進(jìn)入，******適應(yīng)塵土飛揚(yáng)的工業(yè)環(huán)境。
? 高******性：具備冗余電源和ByPass功能，不存在單點(diǎn)故障。
工控網(wǎng)絡(luò)協(xié)議支持
工業(yè)協(xié)議訪問(wèn)控制
工業(yè)防火墻可以對(duì)專用的工業(yè)協(xié)議進(jìn)行白名單或黑名單的訪問(wèn)控制：
1、 預(yù)置了百種以上工業(yè)協(xié)議，可實(shí)現(xiàn)工業(yè)協(xié)議的白名單安全防護(hù)。
2、 預(yù)置了常用的PLC防護(hù)模型，可快速實(shí)現(xiàn)控制器的白名單防護(hù)。
3、 支持基于二層協(xié)議號(hào)和三層網(wǎng)絡(luò)端口號(hào)的自定義工業(yè)協(xié)議白名單安全防護(hù)。
工業(yè)協(xié)議深度過(guò)濾
IFW-3000針對(duì)工業(yè)協(xié)議的安全防護(hù)，除了具備白名單訪問(wèn)控制等基本功能外，還需要對(duì)工業(yè)協(xié)議有應(yīng)用層的理解與控制，可以實(shí)現(xiàn)對(duì)工業(yè)指令的過(guò)濾。IFW-3000支持基于Modbus/TCP、Modbus/RTU、IEC104等協(xié)議的深度過(guò)濾功能。
OPC深度解析防護(hù)
OPC classical是工業(yè)領(lǐng)域數(shù)據(jù)傳輸交換的標(biāo)準(zhǔn)，它基于微軟的DCOM技術(shù)。由于OPC是工業(yè)領(lǐng)域的專有協(xié)議，傳統(tǒng)的防火墻無(wú)法進(jìn)行安全防護(hù)。IFW-3000可以檢查、追蹤并安全保護(hù)由OPC程序創(chuàng)建的每一個(gè)連接，只打開(kāi)OPC數(shù)據(jù)通訊所使用的動(dòng)態(tài)端口。無(wú)需更改OPC客戶端和服務(wù)器的任何配置。支持的功能如下：
? 支持動(dòng)態(tài)連接跟蹤技術(shù)防護(hù)OPC
? 支持OPC DA、Hda和A&E協(xié)議的安全
? 跟蹤OPC數(shù)據(jù)鏈接的動(dòng)態(tài)端口
? 檢查和阻止不符合DCE/RPC標(biāo)準(zhǔn)的OPC請(qǐng)求
Modbus/TCP深度解析防護(hù)
工業(yè)協(xié)議在設(shè)計(jì)之初并沒(méi)有太多的考慮安全機(jī)制，作為一種應(yīng)用廣泛的工業(yè)協(xié)議Modbus也存在很多安全問(wèn)題：缺乏認(rèn)證、和加密等安全防護(hù)機(jī)制。如功能碼濫用是modbus網(wǎng)絡(luò)經(jīng)常存在的一個(gè)問(wèn)題。
IFW-3000的Modbus/TCP深度解析模塊可以支持應(yīng)用層細(xì)粒度控制：
? 功能碼的訪問(wèn)控制
? 設(shè)備地址的訪問(wèn)控制
? 線圈范圍的讀寫(xiě)訪問(wèn)控制
? 寄存器范圍的讀寫(xiě)訪問(wèn)控制
? 輸入地址訪問(wèn)控制
同時(shí)還支持：
? 支持阻斷時(shí)Reset回復(fù)
? 支持阻斷時(shí)異?；貜?fù)
? 黑白名單機(jī)制
通過(guò)這種方式可以******工業(yè)網(wǎng)絡(luò)在防護(hù)設(shè)備阻斷時(shí)不會(huì)出現(xiàn)異常。
同時(shí)還支持：
? 狀態(tài)檢查
? 合規(guī)性檢查
通過(guò)這種方式，可以有效檢查基于Modbus的異常報(bào)文，并進(jìn)行有效的阻斷。
管理員通過(guò)對(duì)業(yè)務(wù)和實(shí)際生產(chǎn)網(wǎng)絡(luò)的梳理，可以建立起合法業(yè)務(wù)的Modbus指令列表，通過(guò)Modbus深度解析防護(hù)模塊可以建立合法白名單，阻止非法和入侵的報(bào)文通過(guò)，極大提高M(jìn)odbus網(wǎng)絡(luò)的安全防護(hù)能力。
Modbus/RTU深度解析防護(hù)
雖然工業(yè)以太網(wǎng)是發(fā)展趨勢(shì)，但很多生產(chǎn)線仍是基于串行鏈路進(jìn)行通信。IFW-3000支持基于RS232/440/485鏈路的數(shù)據(jù)通信，同時(shí)可以支持引用Modbus/RTU的深度解析防護(hù)策略。
IFW-3000支持串行通信參數(shù)配置，可以針對(duì)波特率、數(shù)據(jù)位、奇偶校驗(yàn)、停止位、流控參數(shù)進(jìn)行配置。
配置完通信參數(shù)之后，***可以對(duì)Modbus/RTU的指令進(jìn)行過(guò)濾控制。
IEC104深度解析防護(hù)
60870-5-104遠(yuǎn)動(dòng)規(guī)約（以下簡(jiǎn)稱IEC104規(guī)約）適用于調(diào)度主站和變電站或者調(diào)度主站和RTU之間用于以太網(wǎng)傳輸數(shù)據(jù)，是IEC60870－5系列標(biāo)準(zhǔn)的配套標(biāo)準(zhǔn)，被廣泛的應(yīng)用在發(fā)電、軌道交通行業(yè)等。
IFW-3000支持對(duì)IEC104進(jìn)行細(xì)粒度的深度過(guò)濾控制，******合法的指令通過(guò)。
? 支持APCI的訪問(wèn)控制（S幀、I幀、U幀）；
? 支持?jǐn)?shù)據(jù)上送訪問(wèn)控制；
? 支持遙調(diào)的信息體地址和控制值訪問(wèn)控制；
? 支持遙控的信息體地址和控制值訪問(wèn)控制；
? 支持遙脈指令的訪問(wèn)控制。
EIP深度解析防護(hù)
Ethernet Industry Protoco1（(EIP）協(xié)議專門(mén)針對(duì)工業(yè)自動(dòng)化應(yīng)用的網(wǎng)絡(luò)，廣泛應(yīng)用于煙草、電力、汽車(chē)等工業(yè)控制領(lǐng)域，它能夠在廣闊的區(qū)域中支持大量現(xiàn)場(chǎng)設(shè)備的連接。
網(wǎng)御工業(yè)防火墻可以對(duì)EIP協(xié)議做深度協(xié)議解析，可以做到只讀和讀寫(xiě)控制，并對(duì)指令類碼和服務(wù)等的訪問(wèn)控制。
工業(yè)入侵防御
網(wǎng)御工業(yè)防火墻集成*工業(yè)入侵防御引擎，可以對(duì)工業(yè)系統(tǒng)的私有協(xié)議或者特定攻擊進(jìn)行防護(hù)。事件庫(kù)依托ADLab的研究成果，升級(jí)快，更******，更加適合兩化融合的大趨勢(shì)。
同時(shí)該引擎******的新一代規(guī)則定義語(yǔ)言，提供了靈活、強(qiáng)大的擴(kuò)展檢測(cè)的能力。本套規(guī)則定義語(yǔ)言支持TCP、UDP、HTTP、DNS等60多種協(xié)議解析；支持300多種協(xié)議變量的解析，且協(xié)議變量名稱遵循國(guó)際標(biāo)準(zhǔn)；提供百余種功能函數(shù)專用于規(guī)則描述，簡(jiǎn)化復(fù)雜規(guī)則功能的定義；支持24種算術(shù)運(yùn)算符、邏輯運(yùn)算符和多種數(shù)據(jù)類型。可以******表達(dá)類似自然語(yǔ)言的豐富的檢測(cè)需求，減少誤報(bào)的同時(shí)可增強(qiáng)發(fā)現(xiàn)各種多樣化、復(fù)雜化、隱蔽化的攻擊。


借助這個(gè)功能強(qiáng)大的檢測(cè)引擎，使得用戶可針對(duì)自身專用網(wǎng)絡(luò)特點(diǎn)，檢測(cè)自身關(guān)注的各種正常網(wǎng)絡(luò)業(yè)務(wù)行為和異常網(wǎng)絡(luò)業(yè)務(wù)行為，大大延展檢測(cè)范圍。用戶更可結(jié)合現(xiàn)場(chǎng)專家定制服務(wù)，迅速制定符合客戶實(shí)際的入侵防護(hù)策略。
工業(yè)VPN
產(chǎn)品整合了網(wǎng)御星云專業(yè)的VPN模塊，可以對(duì)工業(yè)協(xié)議做專業(yè)級(jí)的隧道加密防護(hù)。該專業(yè)VPN模塊經(jīng)過(guò)了長(zhǎng)時(shí)間的市場(chǎng)檢驗(yàn)，具有穩(wěn)定強(qiáng)、易用強(qiáng)、網(wǎng)絡(luò)環(huán)境適應(yīng)性強(qiáng)，性能高的特點(diǎn)，確保用戶的生產(chǎn)、經(jīng)營(yíng)數(shù)據(jù)的機(jī)密、完整、可用。
流量自學(xué)習(xí)
為了解決現(xiàn)場(chǎng)工程師熟悉業(yè)務(wù)但對(duì)工控網(wǎng)絡(luò)協(xié)議不太了解的情況，設(shè)備支持在添加防護(hù)策略前，在工控環(huán)境中進(jìn)行流量自學(xué)習(xí)。
設(shè)備首先通過(guò)自學(xué)習(xí)獲取工控設(shè)備的IP、MAC地址、工業(yè)協(xié)議等信息；然后對(duì)工控設(shè)備進(jìn)行自動(dòng)命名，以資產(chǎn)和協(xié)議的角度更加形象化地梳理并呈現(xiàn)工控網(wǎng)絡(luò)情況，并進(jìn)行向?qū)降陌踩呗酝扑]。
通過(guò)這種，大大降低客戶的部署難度，降低了設(shè)備上線對(duì)生產(chǎn)的影響，讓不熟悉工控協(xié)議的工程師也能輕松定制更加符合實(shí)際業(yè)務(wù)需求的安全策略。
多工作模式
工業(yè)網(wǎng)絡(luò)對(duì)可用性要求******，管理員需要******掌握工業(yè)網(wǎng)絡(luò)的運(yùn)行情況后，才能根據(jù)實(shí)際情況制定合適和有效的安全策略。IFW-3000支持三種工作模式，分別是：
1、 全通模式：所有報(bào)文都通過(guò)，保障網(wǎng)絡(luò)暢通。
2、 測(cè)試模式：針對(duì)要阻斷的報(bào)文并不實(shí)際丟棄，而是以日志報(bào)警的方式告知管理員，主要用于管理員理解策略的效果是否符合預(yù)期。
3、 防護(hù)模式：安全策略經(jīng)過(guò)測(cè)試模式的考驗(yàn)，管理員對(duì)效果進(jìn)行了充分的評(píng)估，并將策略調(diào)整到***優(yōu)，此時(shí)可以切換到防護(hù)模式，對(duì)工業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。
通過(guò)以上模式，可以逐步引導(dǎo)管理實(shí)現(xiàn)******的安全防護(hù)策略。IFW-3000所有的安全模塊都支持在以上三種模式下運(yùn)行。
集中管理
工控網(wǎng)絡(luò)中部署設(shè)備種類和運(yùn)行協(xié)議很多，設(shè)備的統(tǒng)一配置、性能監(jiān)控、策略配置分發(fā)等任務(wù)大多由人工來(lái)完成，大量的設(shè)備監(jiān)控和管理成為將耗費(fèi)大量的人力物力。不同類型設(shè)備的策略配置命令不統(tǒng)一還可能會(huì)造成網(wǎng)絡(luò)中的策略不一致，從而造成潛在的安全漏洞。
針對(duì)工業(yè)防火墻大規(guī)模部署的場(chǎng)景，用戶可以選用集中管理系統(tǒng)進(jìn)行統(tǒng)一的安全策略定制。該系統(tǒng)支持多達(dá)50臺(tái)工業(yè)防火墻的集中管理，支持的功能包括：
? 設(shè)備狀態(tài)監(jiān)控：對(duì)工業(yè)防火墻的可用性進(jìn)行監(jiān)控，監(jiān)控的指標(biāo)有接口流速和狀態(tài)、CPU、內(nèi)存、硬盤(pán)等，實(shí)際掌握設(shè)備健康狀態(tài)。集中管理平臺(tái)會(huì)保存監(jiān)控?cái)?shù)據(jù)，以便于用戶查詢歷史數(shù)據(jù)。
? 設(shè)備日志收集：支持工業(yè)防火墻的日志收集與分析。
? 告警：集中管理平臺(tái)可以提取出用戶關(guān)心的設(shè)備狀態(tài)監(jiān)控信息。針對(duì)網(wǎng)御安全設(shè)備的入侵行為進(jìn)行告警和動(dòng)作提示。
? 策略管理：集中管理平臺(tái)可以免客戶端證書(shū)、免用戶名密碼登錄設(shè)備?？蓪?shí)現(xiàn)批量升級(jí)、批量備份與恢復(fù)、批量策略下發(fā)等功能。
? 數(shù)據(jù)維護(hù)；可以定時(shí)導(dǎo)出集中管理平臺(tái)中存儲(chǔ)的數(shù)據(jù)。支持?jǐn)?shù)據(jù)恢復(fù)，可通過(guò)FTP上傳或下載數(shù)據(jù)。
? 設(shè)備管理:可通過(guò)SNMP自動(dòng)填充設(shè)備信息。支持批量設(shè)備添加。

產(chǎn)品特性與功能

功能項(xiàng)	功能參數(shù)
硬件形態(tài)	DIN導(dǎo)軌式，機(jī)架式，無(wú)風(fēng)扇設(shè)計(jì)，級(jí)品質(zhì)
網(wǎng)絡(luò)設(shè)置	支持透明模式、路由模式、VLAN設(shè)備
工業(yè)以太網(wǎng)協(xié)議	支持Ethernet/IP、OPC、Modbus、Profinet、IEC-61850-Goose等100多種工業(yè)協(xié)議。
	支持SIEMENS、Schneider、Honeywell、GE等廠商的PLC防護(hù)模型
	支持自定義基于二層、三層工業(yè)協(xié)議
安全防護(hù)	防火墻支持全通、測(cè)試和防護(hù)模式
	訪問(wèn)控制支持基于接口、源IP、目的IP、MAC、協(xié)議、時(shí)間調(diào)度的流量過(guò)濾。
	支持抗攻擊：抗SYN Flood、UDP Flood、ICMP Flood、抗Ping of Death等
工業(yè)協(xié)議深度檢測(cè)	OPC classic協(xié)議解析和控制，OPC只讀控制等
	Modbus協(xié)議解析和控制
	IEC104協(xié)議解析和控制
	Ethernet Industry Protoco1協(xié)議解析和控制等
工業(yè)VPN	支持基于工業(yè)協(xié)議的數(shù)據(jù)加密傳輸
高可用性	支持雙機(jī)熱備
日志審計(jì)	支持日志服務(wù)器、日志分類存儲(chǔ)

典型應(yīng)用

產(chǎn)品部署如下圖所示，實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)的縱深安全防御需求。

工業(yè)防火墻場(chǎng)景包括如下幾種場(chǎng)景：
（1）工業(yè)防火墻用于數(shù)采網(wǎng)和控制網(wǎng)隔離


（2）工業(yè)防火墻用于先控站和工程師站隔離

（3）關(guān)鍵PLC防護(hù)