東土科技工控防火墻(簡稱工控防火墻)是針對(duì)工業(yè)安全控制網(wǎng)絡(luò)和工業(yè)安全應(yīng)用而研發(fā)、推出的一款涵蓋傳統(tǒng)防火墻、工控協(xié)議數(shù)據(jù)包深度解析、工控協(xié)議指令控制等功能在內(nèi)的工控網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。
工控防火墻采用多核并行系統(tǒng)為上層應(yīng)用封裝底層數(shù)據(jù),提供底層數(shù)據(jù)的高速轉(zhuǎn)發(fā)和安全感知能力;在流會(huì)話的基礎(chǔ)上,實(shí)現(xiàn)了狀態(tài)檢測(cè)防火墻功能,智能檢測(cè) TCP流量狀態(tài)信息并進(jìn)行控制,智能進(jìn)行應(yīng)用層檢測(cè)并打開動(dòng)態(tài)端口;能夠識(shí)別超過4000+互聯(lián)網(wǎng)應(yīng)用特征攻擊行為,支持基于規(guī)則庫的特征行為控制,做到細(xì)粒度的內(nèi)容識(shí)別控制、審計(jì)和安全防護(hù),對(duì)常見的SYN Flood、ICMP Flood、UDP Flood 、TearDrop、Land、超大ICMP等異常包攻擊行為進(jìn)行阻斷和防護(hù)。
針對(duì)工控網(wǎng)絡(luò)和系統(tǒng),工業(yè)防火墻支持對(duì)包括Ethernet/IP、CIP、DNP3、Modbus、OPC DA、OPC UA、S7、S7 COMM PLUS、IEC104、BACNET、Profinet、IEC61850MMS、TRDP、自定義等在內(nèi)的各類主流工控網(wǎng)絡(luò)協(xié)議的深度解析,并在此基礎(chǔ)上基于工控網(wǎng)絡(luò)白名單對(duì)工控流量進(jìn)行智能保護(hù)和指令級(jí)控制。此外,防火墻通過集成工控入侵檢測(cè)特征庫,以工控網(wǎng)絡(luò)黑名單技術(shù)對(duì)工控網(wǎng)絡(luò)中的攻擊和入侵行為進(jìn)行檢測(cè)和阻斷。
高效安全的防護(hù)功能
產(chǎn)品支持應(yīng)用防護(hù)功能和工控防護(hù)功能。
應(yīng)用防護(hù)功能支持自定義防護(hù)規(guī)則,支持自定義規(guī)則生成的應(yīng)用防護(hù)模板,支持網(wǎng)絡(luò)掃描防護(hù)和DOS防護(hù)。
工控防護(hù)功能支持多個(gè)工控防護(hù)協(xié)議集合,支持各類主流工控協(xié)議,可識(shí)別多種工控協(xié)議和協(xié)議里傳輸?shù)闹噶?,并能?duì)各類數(shù)據(jù)包進(jìn)行快速有針對(duì)性的捕獲和深度解析。
全面的統(tǒng)計(jì)功能
產(chǎn)品支持應(yīng)用流量統(tǒng)計(jì)、應(yīng)用防護(hù)統(tǒng)計(jì)、網(wǎng)口信息統(tǒng)計(jì)、病毒防護(hù)統(tǒng)計(jì)和在線用戶統(tǒng)計(jì),全面統(tǒng)計(jì)用戶關(guān)注的信息,并以圖表形式展示,支持統(tǒng)計(jì)結(jié)果導(dǎo)出,方便用戶查看。
NAT地址轉(zhuǎn)換
支持SNAT地址轉(zhuǎn)換、DNAT地址轉(zhuǎn)換,允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議、提供給外部的端口、協(xié)議,極大的提升了地址轉(zhuǎn)換服務(wù)的靈活性和適應(yīng)性。
強(qiáng)大的過濾功能
基于狀態(tài)檢測(cè)包過濾技術(shù),防火墻策略決定了特定的網(wǎng)絡(luò)包能否通過安全網(wǎng)關(guān),同時(shí)它也提供相關(guān)的選項(xiàng)(如入侵模板,DDOS模板等)以保護(hù)網(wǎng)絡(luò)免受攻擊。
安全策略控制
支持防火墻策略、NAT策略、IP黑白名單、IP / MAC綁定。
支持自學(xué)習(xí)功能
提供設(shè)置學(xué)習(xí)模板,供運(yùn)行模式為學(xué)習(xí)模式的時(shí)候使用;學(xué)習(xí)結(jié)束后可以在策略中引用,進(jìn)行工控防護(hù);支持將學(xué)習(xí)結(jié)果進(jìn)行展示。
強(qiáng)大的日志報(bào)表功能
工控防火墻支持記錄/導(dǎo)出多種日志信息,如:系統(tǒng)日志、操作日志、安全日志、NAT日志、掃描日志、工控日志、應(yīng)用防護(hù)日志、DOS防護(hù)日志、黑白名單日志、IP/ MAC日志等;同時(shí)支持以圖表格式展示日志信息,方便用戶更直觀獲取日志信息。
工控協(xié)議檢測(cè)與解析
工控防火墻支持各類主流工控協(xié)議,可識(shí)別多種工控協(xié)議和協(xié)議里傳輸?shù)闹噶?,如Ethernet/IP、CIP、DNP3、Modbus、OPC、S7、IEC104、IEC61850-MMS、BACnet、Profinet、TRDP、自定義等; 并能對(duì)各類數(shù)據(jù)包進(jìn)行快速有針對(duì)性的捕獲和深度解析,同時(shí)為企業(yè)內(nèi)部的私有協(xié)議提供定制化功能,全面滿足工控系統(tǒng)兼容性要求。
入侵檢測(cè)與防御
工業(yè)防火墻可檢測(cè)和防御針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)攻擊,保證工控系統(tǒng)的安全。產(chǎn)品內(nèi)置1000多個(gè)工控特征規(guī)則庫,涵蓋了DNP3,Modbus等多種協(xié)議。
工業(yè)防火墻的IPS同時(shí)使用特征匹配和異常分析的方法識(shí)別并阻斷網(wǎng)絡(luò)攻擊行為,能夠檢測(cè)4000+種以上攻擊和入侵行為,如各種DoS攻擊、DDoS攻擊。
工控網(wǎng)絡(luò)白名單
自動(dòng)學(xué)習(xí)生成工控網(wǎng)絡(luò)流量白名單,形成白名單規(guī)則并進(jìn)行部署;通過白名單規(guī)則匹配、判斷工控協(xié)議數(shù)據(jù)包是否異常,得出允許、告警等結(jié)果,對(duì)工控協(xié)議流量實(shí)現(xiàn)指令級(jí)控制。
軟件功能 | |
網(wǎng)絡(luò)特性 | 支持靜態(tài)路由、動(dòng)態(tài)路由、策略路由、多播路由 支持DNS代理、DHCP.Server代理 支持接口斷電Bypass、雙機(jī)熱備 支持IPSec.vpn功能 |
工控特性 | 支持Modbus、DNP3、OPCDA、IEC104、BACnet、S7commplus、Ethernet/IP、OPCUA、CIP、S7comm、Profinet、IEC61850MMS、TRDP等工控協(xié)議報(bào)文深度解析,可基于功能碼進(jìn)行通信過濾 支持針對(duì)Modbus、DNP3、OPCDA、IEC104、BACnet、S7commplus、Ethernet/IP、OPCUA、CIP、S7comm、Profinet、IEC61850MMS、TRDP等工控協(xié)議格式規(guī)約檢查,禁止不符合協(xié)議規(guī)約的通信 支持基于工控流量的白名單自學(xué)習(xí),可以通過設(shè)定指定時(shí)間自動(dòng)學(xué)習(xí)生成白名單列表 白名單支持針對(duì)協(xié)議的數(shù)據(jù)過濾,包括但不限Modbus、DNP3、OPCDA、IEC104、BACnet、S7commplus、Ethernet/IP、OPCUA、CIP、S7comm、Profinet、IEC61850MMS、TRDP等相關(guān)協(xié)議 |
安全防護(hù)策略 | 防火墻策略:提供基于狀態(tài)檢查的包過濾策略,同時(shí)可提供安全防護(hù)策略選項(xiàng)配置入侵檢測(cè)、ddos防護(hù)策略 IP黑名單:提供黑名單阻斷功能,提供白名單優(yōu)先通過功能 IP/MAC地址綁定:支持MAC地址和IP地址綁定功能 可通過ARP表進(jìn)行一鍵式IP、MAC地址綁定 支持安全域管理,支持安全域的數(shù)據(jù)流向控制 支持用戶自定義白名單應(yīng)用,根據(jù)用戶自定義的IP、端口進(jìn)行指定的工業(yè)協(xié)議解析 支持一對(duì)一、多對(duì)一的SNAT、DNAT地址轉(zhuǎn)換功能 支持基于IP地址、服務(wù)類型和時(shí)間對(duì)象進(jìn)行上行、下行流量帶寬管理 在NAT模式下可支持對(duì)OPC、FTP、RTSP、SIP協(xié)議的ALG功能 系統(tǒng)定義超過1萬條主流攻擊規(guī)則,包含bufferoverflow、dosddos、vulnerability、scan、worm、game,支持常見modbus、IEC104、S7、S7-plus等工控協(xié)議的攻擊監(jiān)測(cè) 支持OPC、modbus、CIP、S7、S7-plus、dnp3、opc da、opc ua、Bacnet、Ethernet ip等常見關(guān)鍵事件操作行為的監(jiān)測(cè)告警 支持HTTP,F(xiàn)TP,POP3,SMTP,IMAP協(xié)議的病毒查殺,支持查殺郵件正文/附件、網(wǎng)頁及下載文件中包含的病毒,支持300萬余種病毒的查殺,病毒庫定期與及時(shí)更新 支持SYN Flood、ICMP Flood、UDP Flood三種DDOS攻擊防護(hù);TearDrop、Land、超大ICMP三種異常包攻擊防護(hù) |
系統(tǒng)配置 | 支持NTP Server,通過NTP協(xié)議進(jìn)行時(shí)間校驗(yàn) 可根據(jù)源IP、目的IP地址進(jìn)行連接數(shù)限制,同時(shí)基于源、目IP地址進(jìn)行連接數(shù)限制 支持https、ssh等管理方式 支持自定義登錄嘗試閥值和登錄失敗阻斷間隔 支持對(duì)登錄防火墻的IP地址進(jìn)行限制管理 支持SNMP服務(wù)配置 |
產(chǎn)品規(guī)格 | |
性能 | 吞吐量:1Gbps(導(dǎo)軌式);4Gbps(機(jī)架式4GX6GE);4Gbps(機(jī)架式2GX6GE); 6Gbps(機(jī)架式4GX14GE);8Gbps(機(jī)架式4GX7GE) 延遲:<200μs(導(dǎo)軌式);<200μs(機(jī)架式) 最大并發(fā)連接數(shù):300K(導(dǎo)軌式);1000K(機(jī)架式4GX6GE);300K(機(jī)架式2GX6GE);1000K(機(jī)架式4GX14GE);3000K(機(jī)架式4GX7GE) 每秒新建連接數(shù):5K(導(dǎo)軌式);10K(機(jī)架式4GX6GE);5K(機(jī)架式2GX6GE);60K(機(jī)架式4GX14GE);60K(機(jī)架式4GX7GE) |
接口 | 導(dǎo)軌式: USB: 2*USB Type-A接口 Console: 1*RJ45接口 網(wǎng)口: 2GX4GE:2x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口 機(jī)架式: USB: 2*USB Type-A接口 Console: 1*RJ45接口 網(wǎng)口: 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口 2GX6GE:2x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口;1個(gè)擴(kuò)展槽位 4GX14GE:4x1000Base-X SFP接口,14x10/100/1000Base-T(X)電口 4GX7GE:4x1000Base-X SFP接口,7x10/100/1000Base-T(X)電口;2個(gè)擴(kuò)展槽位 |
端口Bypass | 2-6組Bypass |
機(jī)械結(jié)構(gòu) | 外殼:金屬 重量:1.17kg(導(dǎo)軌式); 5.5kg-7kg(機(jī)架式) 尺寸(WxHxD): 47mm×164mm×115mm(導(dǎo)軌式) 440mm×44mm×440mm(機(jī)架式4GX6GE) 435mm×44mm×360mm(機(jī)架式2GX6GE) 440mm×44mm×440mm(機(jī)架式4GX14GE) 435mm×44mm×400mm(機(jī)架式4GX7GE) IP等級(jí):IP40(導(dǎo)軌式);IP40(機(jī)架式) 散熱方式:無風(fēng)扇自然散熱 安裝方式:導(dǎo)軌安裝(導(dǎo)軌式);1U機(jī)架安裝(機(jī)架式) |
電源 | 電壓:24VDC/ 220VAC 功率:60W(導(dǎo)軌式),60W(機(jī)架式4GX6GE、2GX6GE、4GX14GE),120W(機(jī)架式4GX7GE) |
環(huán)境 | 工作溫度:-40~70℃ 相對(duì)濕度:10%~85%無凝露 存儲(chǔ)溫度:-40~70℃ |
質(zhì)保 | 質(zhì)保期:1年(升級(jí)版3年) MTBF:100000h |
Agate7000導(dǎo)軌式:
Agate7000機(jī)架式:
工控防火墻推薦型號(hào):
產(chǎn)品型號(hào) |
型號(hào)說明 |
Agate7000-2GX4GE-L3-L3 |
2x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口,24VDC(18-36VDC),雙電源輸入 |
Agate7000-2GX6GE-H3-H3 |
2x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
Agate7000-4GX6GE-H3-H3 |
4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
Agate7000-4GX14GE-H3-H3 |
4x1000Base-X SFP接口,14x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
Agate7000-4GX7GE-H3-H3 |
4x1000Base-X SFP接口,7x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
工控防火墻選購軟件推薦服務(wù):
服務(wù)型號(hào) |
型號(hào)說明 |
Agate7000-uIPS |
入侵防御系統(tǒng)特征庫升級(jí) |
Agate7000-uANTI |
防病毒特征庫升級(jí) |
工控防火墻推薦選購擴(kuò)展端口:
擴(kuò)展端口型號(hào) |
型號(hào)說明 |
AM7000-4GE |
4x10/100/1000Base-T(X)電口 |
AM7000-4GX |
4x1000Base-X SFP接口 |
AM7000-B-4GE |
4x10/100/1000Base-T(X)電口,2組Bypass |
AM7000-8GE |
8x10/100/1000Base-T(X)電口 |
AM7000-4X |
4x10G SFP+接口 |