Agate7000 工控防火墙
产品简介
“震网病毒”是人类历史上第一个实现物理精准打击的计算机病毒。震网事件发生之前,大多数人会认为工控网络与传统信息网络处在一个物理隔离的状态,网络病毒不会对工控系统产生影响,而震网事件让人们意识到即使是物理隔离的专用局域网,也并非牢不可破;专用的工业控制系统,也可能会受到攻击。
东土科技工控防火墙(简称工控防火墙)是针对工业安全控制网络和工业安全应用而研发、推出的一款涵盖传统防火墙、工控协议数据包深度解析、工控协议指令控制等功能在内的工控网络安全防护产品。
工控防火墙采用多核并行系统为上层应用封装底层数据,提供底层数据的高速转发和安全感知能力;在流会话的基础上,实现了状态检测防火墙功能,智能检测 TCP 流量状态信息并进行控制,智能进行应用层检测并打开动态端口;能够识别超过 4000+互联网应用特征攻击行为,支持基于规则库的特征行为控制,做到细粒度的内容识别控制、审计和安全防护,对常见的 SYN Flood、ICMP Flood、UDP Flood 、TearDrop、Land、超大 ICMP 等异常包攻击行为进行阻断和防护。
针对工控网络和系统,工业防火墙支持对包括Ethernet/IP、CIP、DNP3、Modbus、 OPC DA、OPC UA、S7、S7 COMM PLUS、IEC104、BACNET、Profinet、
IEC61850MMS、TRDP、自定义等在内的各类主流工控网络协议的深度解析,并在此基础上基于工控网络白名单对工控流量进行智能保护和指令级控制。此外,防火墙通过集成工控入侵检测特征库,以工控网络黑名单技术对工控网络中的攻击和入侵行为进行检测和阻断。
关键特性
高效安全的防护功能
产品支持应用防护功能和工控防护功能。
应用防护功能支持自定义防护规则,支持自定义规则生成的应用防护模板,支持网络扫描防护和DOS防护。
工控防护功能支持多个工控防护协议集合,支持各类主流工控协议,可识别多种工控协议和协议里传输的指令,并能对各类数据包进行快速有针对性的捕获和深度解析。
全面的统计功能
产品支持应用流量统计、应用防护统计、网口信息统计、病毒防护统计和在线用户统计,全面统计用户关注的信息,并以图表形式展示,支持统计结果导出,方便用户查看。
NAT地址转换
支持SNAT地址转换、DNAT地址转换,允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议,极大的提升了地址转换服务的灵活性和适应性。
强大的过滤功能
基于状态检测包过滤技术,防火墙策略决定了特定的网络包能否通过安全网关,同时它也提供相关的选项(如入侵模板,DDOS模板等)以保护网络免受攻击。
安全策略控制
支持防火墙策略、NAT策略、IP黑白名单、IP/MAC绑定。
支持自学习功能
提供设置学习模板,供运行模式为学习模式的时候使用;学习结束后可以在策略中引用,进行工控防护;支持将学习结果进行展示。
强大的日志报表功能
工控防火墙支持记录/导出多种日志信息,如:系统日志、操作日志、安全日志、NAT日志、扫描日志、工控日志、应用防护日志、DOS防护日志、黑白名单日志、IP/MAC日志等;同时支持以图表格式展示日志信息,方便用户更直观获取日志信息。
工控协议检测与解析
工控防火墙支持各类主流工控协议,可识别多种工控协议和协议里传输的指令,如Ethernet/IP、CIP、DNP3、Modbus、OPC、S7、IEC104、IEC61850-MMS、BACnet、Profinet、TRDP、自定义等;并能对各类数据包进行快速有针对性的捕获和深度解析,同时为企业内部的私有协议提供定制化功能,全面满足工控系统兼容性要求。
入侵检测与防御
工业防火墙可检测和防御针对工控系统的网络攻击,保证工控系统的安全。产品内置1000多个工控特征规则库,涵盖了DNP3,Modbus等多种协议。
工业防火墙的IPS同时使用特征匹配和异常分析的方法识别并阻断网络攻击行为,能够检测4000+种以上攻击和入侵行为,如各种DoS攻击、DDoS攻击。
工控网络白名单
自动学习生成工控网络流量白名单,形成白名单规则并进行部署;通过白名单规则匹配、判断工控协议数据包是否异常,得出允许、告警等结果,对工控协议流量实现指令级控制。
产品优势
采用多核架构和高效的并行调度算法
工控防火墙采用多核架构,在硬件架构上运行操作系统,高效的并行调度算法和内存管理机制提高了流量转发报文的性能。工控防火墙实现了数据层面和控制层面的分离,采用模块化设计思想,各个模块可以独立升级,达到系统性能最优和系统扩展性最优。
灵活高效全面,场景支持更丰富
工控防火墙是自主可控的防火墙系统,融合了丰富的网络特性,配合静态路由、动态路由、策略路由等,可在 802.1Q、RIP、OSPF、BGP 等各种复杂的网络环境中灵活组网;具备与第三方系统对接,数据共享,提升业务价值。工控防火墙产品具备优秀的适应性,适用各种复杂场景,更符合业务需要。
领先的多核架构及一体化检测引擎,配合高性能的处理器,多业务并行处理,确保工控防火墙在各种流量、复杂应用的环境下,仍能具备快速高效的业务处理和防护能力。
工控防火墙产品集防火墙、入侵防御、病毒过滤、应用识别、行为控制、VPN 接入、业务可视、报表调度等功能于一体,为用户提供了一个灵活、高效、全面的网络解决方案。
专业智能引擎,立体防护更安全
防火墙操作系统具备一体化处理引擎,在多任务并行时仍然可以保持高性能。一体化引擎结构与防火墙安全策略进行结合,同时融合了应用防护、工控防护、DDOS 防护、IP 黑白名单、IP / MAC 绑定等功能,使得防护更为高效和安全。
带宽优化管理,用户体验更迅速
企业单位的出口带宽有限,带宽使用情况的不清晰、不准确,造成了带宽未能有效的利用起来,带宽资源白白的被浪费掉。工控防火墙可以制定带宽管理策略,验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽,限制无关业务对资源的占用,亦可以在带宽空闲时实现动态分配,以实现资源的充分利用,提升用户使用网络的体验。流量限额和时长限额,实现差分服务,助力营销。
健全的日志和报表
工控防火墙拥有详细健全的日志展示;拥有用户报表系统,内置报表模板,适应各种场景,同时支持报表订阅和实时报表功能,实现多维度、全方位的实时统计分析。
高可靠性
工业防火墙产品具备高可靠性,具体体现在软件和硬件两个方面。
软件部分
高可用性:支持主备模式。
硬件部分
接口:接口数量丰富;
电源:提供冗余电源;
Bypass:支持硬件Bypass
机械尺寸
工控防火墙:导轨式
工控防火墙:机架式
订购信息
工控防火墙型号定义:
| 产品型号: | Agate7000-Ports-PS1-PS2 |
|---|---|
| 代码定义 | 代码选型 |
| Ports: 端口 | 2GX4GE:2x1000Base-X SFP 接口,4×10/100/1000Base- T(X)电口; 4GX6GE:4x1000Base-X SFP 接口,6×10/100/1000Base- T(X)电口; 2GX6GE:2x1000Base-X SFP 接口,6×10/100/1000Base- T(X)电口; 4GX14GE:4x1000Base-X SFP 接口,14×10/100/1000Base-T(X)电口; 4GX7GE:4x1000Base-X SFP 接口,7×10/100/1000Base- T(X)电口; |
| PS1-PS2:电源输入 | L3-L3=24VDC,双电源输入 H3-H3=220VAC,双电源输入 |
工控防火墙选购软件服务定义:
| 产品服务 | Agate7000-Service |
|---|---|
| 代码定义 | 代码选型 |
| Service: 软件服务 | uIPS: 入侵防御系统特征库升级 uANTI:防病毒特征库升级 |
工控防火墙选购扩展端口定义:
| 产品型号 | Agate7000-Ports |
|---|---|
| 代码定义 | 代码选型 |
| Ports: 端口 | 4GE:4×10/100/1000Base-T(X)电口; 4GX:4x1000Base-X SFP 接口; B-4GE:4×10/100/1000Base-T(X)电口,2 组 Bypass; 8GE:8×10/100/1000Base-T(X)电口; 4X:4x10G SFP+接口; |
客户价值
通过部署我司的工控防火墙系统,帮助用户获得以下收益:
工控防火墙采用工业设计理念,融合传统状态检测防火墙技术,协议过滤引擎和安全防护引擎,为用户提供涵盖工控网络-信息网络边界、工控网络内部安全域边界以及重点 PLC 防护等完整的工控网络纵深防御体系。
精细到协议指令级的安全策略设置,精准识别、防范外部攻击和入侵,避免重大安全事故。
工业协议深度解析,识别和阻断违规访问行为。
建立可信、可靠、可控的工业控制网络,符合国家、企业安全生产。