隨著網(wǎng)絡(luò)信息時(shí)代的到來(lái)，我國(guó)工業(yè)模式發(fā)生了翻天覆地的變化，*打破了“信息孤島”模式，企業(yè)全面聯(lián)網(wǎng)，生產(chǎn)數(shù)據(jù)輕松實(shí)現(xiàn)匯總分析，不但提高了生產(chǎn)效率，還達(dá)到了節(jié)能減排的目的。信息化給工業(yè)帶來(lái)的有利變化顯而易見(jiàn)，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題又使人為之驚慌。

傳統(tǒng)的商用防火墻是目前網(wǎng)絡(luò)邊界上的一種防護(hù)設(shè)備，它所提供的主要功能包括訪(fǎng)問(wèn)控制、地址轉(zhuǎn)換、應(yīng)用代理、帶寬和流量控制、事件審核和報(bào)警等。商用防火墻誕生于傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境下，雖然經(jīng)過(guò)了多年的發(fā)展和完善，但其應(yīng)用環(huán)境還是局限于企業(yè)信息網(wǎng)絡(luò)，它對(duì)于工業(yè)網(wǎng)絡(luò)環(huán)境還有諸多的不適應(yīng)。也正是基于這一現(xiàn)實(shí)，工業(yè)防火墻被開(kāi)發(fā)應(yīng)用。

全新一代增強(qiáng)級(jí)工業(yè)防火墻HC-ISG (V2.0)，是專(zhuān)用于工業(yè)控制安全領(lǐng)域的增強(qiáng)級(jí)邊界安全防護(hù)產(chǎn)品，能夠有效對(duì)SCADA、DCS、PCS、PLC、RTU等工業(yè)控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù)。該產(chǎn)品主要用于實(shí)現(xiàn)工業(yè)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)環(huán)境中的邊界防護(hù)，從而阻斷攻擊者的非法訪(fǎng)問(wèn)、病毒傳播和惡意攻擊等，同時(shí)也能有效避免工作人員誤操作導(dǎo)致的威脅擴(kuò)散等安全問(wèn)題。該產(chǎn)品能夠廣泛應(yīng)用于各工業(yè)現(xiàn)場(chǎng)，包括核設(shè)施、鋼鐵、有色、石油天然氣、化工、電力、城市燃?xì)狻C(jī)械、環(huán)保監(jiān)測(cè)、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、以及其他與國(guó)家基礎(chǔ)設(shè)施和國(guó)計(jì)民生緊密相關(guān)的工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)。

相較于商業(yè)防火墻以及普通工業(yè)防火墻，該產(chǎn)品主要有以下升級(jí)：

功能架構(gòu)

工業(yè)增強(qiáng)型防火墻HC-ISG (V2.0)產(chǎn)品的功能架構(gòu)主要分為三個(gè)部分，分別是：基礎(chǔ)系統(tǒng)、功能插件和配置工具。

• 基礎(chǔ)系統(tǒng)：根據(jù)工業(yè)網(wǎng)絡(luò)通信特點(diǎn)和安全防護(hù)要求定制開(kāi)發(fā)的底層運(yùn)行平臺(tái)，為防火墻上層業(yè)務(wù)模塊提供必要的運(yùn)行環(huán)境和安全保障；
• 功能插件：HC-ISG(V2.0)系列工業(yè)防火墻的核心業(yè)務(wù)處理模塊，它由一系列獨(dú)立的功能模塊組成，主要用于完成對(duì)于工業(yè)網(wǎng)絡(luò)協(xié)議的識(shí)別、解析和深度過(guò)濾；
• 配置工具：對(duì)HC-ISG(V2.0)系列工業(yè)防火墻的進(jìn)行網(wǎng)絡(luò)組態(tài)、策略配置和運(yùn)行監(jiān)控，是與防火墻進(jìn)行人機(jī)交互的接口。

• 位置1：生產(chǎn)管理層和信息管理層的縱向防護(hù)，阻斷來(lái)自上層信息網(wǎng)的威脅。

• 位置2、3、4：對(duì)重要系統(tǒng)及實(shí)時(shí)數(shù)據(jù)庫(kù)的服務(wù)器進(jìn)行專(zhuān)門(mén)防護(hù)，切斷惡意訪(fǎng)問(wèn)、惡意代碼滲透及病毒感染。

• 位置5、10、12：隔離工程師站等主機(jī)設(shè)備，如若工程師站等主機(jī)設(shè)備感染病毒，可避免其病毒擴(kuò)散至其它設(shè)備乃至整個(gè)工業(yè)網(wǎng)絡(luò)，降低工程師站等主機(jī)設(shè)備存在的安全風(fēng)險(xiǎn)。降低工程師站作為常用對(duì)外接口，因感染病毒而帶來(lái)的風(fēng)險(xiǎn)。

• 位置6、7、8、9、13：過(guò)程控制層不同區(qū)域間的縱向防護(hù)，防止不同區(qū)域間的交叉感染。

• 位置7、11、14：保護(hù)重要控制系統(tǒng)或設(shè)備，只允許必要的數(shù)據(jù)包通過(guò)，阻斷對(duì)重要控制系統(tǒng)或設(shè)備的所有非法訪(fǎng)問(wèn)及控制。

工業(yè)協(xié)議過(guò)濾

支持包括OPC、Modbus、Ethernet/IP、IEC104、DNP3、西門(mén)子、GE等多種協(xié)議的解析和訪(fǎng)問(wèn)控制功能。

深度檢測(cè)防御

從應(yīng)用層對(duì)多種工業(yè)協(xié)議進(jìn)行深層檢測(cè)，可以對(duì)工業(yè)協(xié)議內(nèi)部的指令、內(nèi)部寄存器等信息進(jìn)行深度檢查，防止應(yīng)用層協(xié)議被纂改或破壞，保證工業(yè)協(xié)議通訊的完整性和可控性，為工業(yè)網(wǎng)絡(luò)通訊提供的解決方案。

智能協(xié)議識(shí)別

采用被動(dòng)檢測(cè)的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包，并進(jìn)行數(shù)據(jù)包的解析。

輔助規(guī)則生成

可自動(dòng)獲取經(jīng)過(guò)防火墻的實(shí)時(shí)完整協(xié)議信息，與系統(tǒng)內(nèi)置的協(xié)議特征、設(shè)備對(duì)象等進(jìn)行匹配，生成可供參考的網(wǎng)絡(luò)交互信息列表，幫助用戶(hù)以的方式了解和掌握網(wǎng)絡(luò)中的通訊業(yè)務(wù)，便于在安裝初期簡(jiǎn)化工程師配置，在純凈網(wǎng)絡(luò)中自動(dòng)生成規(guī)則，啟動(dòng)防護(hù)功能。

病毒過(guò)濾

內(nèi)置工業(yè)病毒庫(kù)，具備病毒過(guò)濾功能，當(dāng)攜帶病毒的文件通過(guò)常用類(lèi)型協(xié)議進(jìn)行傳輸時(shí)，防火墻能夠?qū)ξ募M(jìn)行病毒檢測(cè)并攔截，避免惡意文件進(jìn)入被保護(hù)網(wǎng)絡(luò)。

URL過(guò)濾

可將所有Web流量與URL過(guò)濾數(shù)據(jù)庫(kù)進(jìn)行比較，阻止對(duì)于惡意網(wǎng)站的訪(fǎng)問(wèn)。

入侵防御

內(nèi)置工業(yè)ISP庫(kù)，可持續(xù)升級(jí)，通過(guò)流量檢測(cè)和報(bào)文深層次分析，防御注入攻擊、XSS攻擊、目錄遍歷攻擊、操作系統(tǒng)漏洞利用攻擊等。

攻擊防護(hù)

掃描攻擊防護(hù)：提供完善的網(wǎng)絡(luò)掃描防護(hù)功能，能夠檢測(cè)和記錄對(duì)所有接口及受保護(hù)網(wǎng)絡(luò)的掃描行為。

Dos/DDos攻擊防護(hù)：包括TCP Flood、UDP Flood、SYN Flood、ICMP Flood、IP Flood、TearDrop 、Land等攻擊。

IP/MAC綁定

檢測(cè)非安全端的IP與MAC地址是否相同,防止遭受ARP攻擊和IP沖突等安全問(wèn)題。

流量監(jiān)控和會(huì)話(huà)管理

通過(guò)IP地址、網(wǎng)絡(luò)服務(wù)、時(shí)間和協(xié)議類(lèi)型等參數(shù)對(duì)流量進(jìn)行統(tǒng)計(jì)，可根據(jù)策略和網(wǎng)絡(luò)流量動(dòng)態(tài)調(diào)整客戶(hù)端所占用帶寬，支持設(shè)置單IP的并發(fā)會(huì)話(huà)數(shù)，能夠在會(huì)話(huà)處于非活躍狀態(tài)一定時(shí)間或會(huì)話(huà)結(jié)束后，主動(dòng)釋放其占用的狀態(tài)表資源。

寬帶管理

可對(duì)帶寬進(jìn)行管理和配置，優(yōu)先保證工控業(yè)務(wù)帶寬，保證業(yè)務(wù)連續(xù)性。

安全審計(jì)

提供完整的日志管理平臺(tái)，審計(jì)訪(fǎng)問(wèn)操作記錄，為界定不同區(qū)域的交叉訪(fǎng)問(wèn)和問(wèn)題追蹤提供可靠的依據(jù)；為用戶(hù)提供防火墻狀態(tài)監(jiān)控、日志存儲(chǔ)、檢索、查詢(xún)及智能報(bào)警功能。

用戶(hù)認(rèn)證

用戶(hù)認(rèn)證可采用本地認(rèn)證、Radius認(rèn)證和Ldap認(rèn)證3種方式。

管理員鑒別

管理員可進(jìn)行鑒別配置，并能綁定啟用UKEY， 實(shí)現(xiàn)雙因子認(rèn)證。

負(fù)載均衡功能

支持負(fù)載均衡功能，能夠根據(jù)安全策略將網(wǎng)絡(luò)流量均衡于多臺(tái)服務(wù)器上。

NAT功能

支持多對(duì)一、多對(duì)多源NAT；支持目的NAT。

VPN功能

為設(shè)備間數(shù)據(jù)通信提供安全保障,通信過(guò)程采用加密傳輸,認(rèn)證成功后可實(shí)現(xiàn)遠(yuǎn)程訪(fǎng)問(wèn)。

*6支持

支持*4和*6雙協(xié)議棧的網(wǎng)絡(luò)環(huán)境，支持*4和*6兩種協(xié)議之間相互轉(zhuǎn)換。支持利用隧道技術(shù)，實(shí)現(xiàn)*4和*6網(wǎng)絡(luò)互通，作為*4網(wǎng)絡(luò)到*6網(wǎng)絡(luò)的過(guò)渡。提供6over4隧道、6to4隧道以及ISATAP隧道的功能。

設(shè)備部署模式

考慮到工業(yè)網(wǎng)絡(luò)對(duì)于可用性、持續(xù)性的要求，支持透明或路由部署方式，可根據(jù)實(shí)際工業(yè)網(wǎng)絡(luò)環(huán)境靈活部署。

設(shè)備高可用性

設(shè)備支持BYPASS、雙機(jī)熱備，當(dāng)主防火墻出現(xiàn)斷電或其它故障時(shí)，可及時(shí)切換到備防火墻進(jìn)行工作，避免單點(diǎn)故障。雙重保障，更安全、更可靠。

ALG應(yīng)用級(jí)網(wǎng)關(guān)

具備ALG功能，對(duì)父連接的應(yīng)用層信息進(jìn)行解析，獲取子連接信息，實(shí)現(xiàn)對(duì)多連接協(xié)議的父連接及子連接的控制，支持FTP、SQLNET、H323、OPC協(xié)議。如：OPC運(yùn)行正常，OPC數(shù)據(jù)連接所使用的動(dòng)態(tài)端口被開(kāi)放/放行。

• 充分保證現(xiàn)場(chǎng)設(shè)備正常、穩(wěn)定的運(yùn)行，免遭網(wǎng)絡(luò)信息安全威脅訪(fǎng)問(wèn)控制，防止控制設(shè)備/系統(tǒng)被非法訪(fǎng)問(wèn)，阻斷非法下發(fā)控制指令，保護(hù)DCS、SCADA、PLC及重要服務(wù)器等重要資產(chǎn)被破壞。包括攻擊防護(hù)以及安全審計(jì)功能。
• 通過(guò)硬件可靠性的保障，以及支持設(shè)備的快速接入，確保用戶(hù)業(yè)務(wù)的連續(xù)性,消除單點(diǎn)故障的影響。
• 防護(hù)規(guī)則自動(dòng)學(xué)習(xí)、用戶(hù)可勾選進(jìn)行配置，實(shí)現(xiàn)統(tǒng)一拓?fù)浼泄芾恚宫F(xiàn)場(chǎng)部署快捷、維護(hù)方便。