產品介紹

奇安信網神工業防火牆(以下簡稱工業防火牆)專用於工控場景進行邊界安全邏輯隔離。產品採用四重白名單的深度防禦和一體化引擎機制,既實現了工業安全的深度安全要求,又滿足工業安全的低時延要求。硬件層面上,具有全封閉、無風扇、冗餘電源等特性,滿足工業級可靠性和穩定性要求,有效確保了工業網絡內外部的邊界安全。該產品廣泛應用於電力、石油石化、軌交、煤炭、鋼鐵、水務、煙草、智能製造等工業場景。

核心功能
  • 四重白名單一體化防護,構建工業生產安全環境
    針對網絡層、應用層、規約指令層、規約數據層進行四重白名單過濾的一體化縱深防護,將各種黑流量、灰流量進行過濾,滿足不同場景下不同協議的精細化安全訪問控制需求。同時,系統採用一體化的數據處理架構,保證在四重防護情況下不影響數據流的時延,滿足工業實時性的要求。
    白名單規則自學習,建立完整準確防護基線
    採用白名單機制設置安全策略,以適應工控網絡通訊特點。設備實時監聽網絡之間的流量,通過自學習機制生成流量基線,由此建立白名單。
    三段式運行模式,穩妥漸進實現防護目標
    提供學習、告警和防護三段式運行模式,幫助用户穩妥漸進部署安全策略,以確保不誤阻斷正常流量,避免生產事故。學習模式即對工業協議流量進行分析學習建立白名單,不做任何阻斷處理;告警模式,就是對學習建立的白名單進行測試驗證,對於違反策略的流量發出告警,但不阻斷;防護模式,經過告警模式的觀察磨合,確認安全策略已完全符合管理要求後,最終切換到該模式。
產品特點
  • 多種硬件形態適用工業環境
    充分考慮工業環境的特點,支持導軌式和機架式安裝,寬温、無風扇設計。支持硬件Bypass和冗餘電源設計,保障生產連續性。
    工控協議深度解析
    精準的工控協議指令級控制,深度數據包解析引擎,對工控協議做到實時精準識別和合規性、畸形包檢查,支持Modbus、S7、OPC、FINS、BACNet等十幾種主流工控協議。
    IT/OT一體化防護
    針對工控網絡中IT/OT流量進行全方位安全防護,通過應用識別、深度數據包解析以及一體化安全策略進行安全過濾,結合白名單、入侵防禦、病毒檢測等技術進行安全威脅檢測和防護,保障工控網絡安全。
適用場景

工業安全網關可以部署在生產管理層(L3)與過程監控層(L2)之間,作為控制網邊界的第一道防線,用來阻止來自企業管理信息網、生產管理網的病毒、木馬、網絡入侵等安全威脅。也可以部置在過程監控層(L2)和現場控制層(L1)內各個功能區域間,幫助用户根據業務和功能特性對控制網絡劃分安全域。繼而根據各區域的安全特點有針對性的為該區域提供安全防護策略,控制病毒或攻擊事件擴散。 

 

部署方式

工業防火牆可以部署在企業網絡層(L 4)與生產管理層(L 3)之間,作為控制網邊界的第一道防線。也可以部署在生產管理層(L 3)和過程監控層(L 2)之間,用於保護過程監控層網絡及現場控制層網絡。還可部署於過程監控層(L 2)和現場控制層(L 1)之間,用於進行生產區域間隔離防護。工業防火牆可由管理平台進行統一安全管理。


客戶價值

邊界隔離防禦,提升工業網絡穩定性
通過對不同邊界採取縱深防禦的邏輯隔離防護,並藉助四重白名單一體化的精細化管控方式,提升邊界防禦的整體能力,從而保障工業生產網的網絡穩定性。
滿足政策合規要求,降低安全責任風險
通過對邊界的安全隔離措施,滿足等保和行業安全的基本合規要求,並可對日誌進行回溯查詢,從而降低安全責任風險。
集中式的統一運維,降低運維成本,提升運維效率
通過對設備的集中運維管理,實現設備的策略統一下發和異常監控,有效降低運維人員要求,並大大提升日常的運維效率。