欢迎user
H3C 工控防火墙是新华三技术有限公司面向工业控制网络研发和推出的涵盖传统防火墙、工控网络流量智能学习、工控协议数据包深度解析、工控协议指令控制等功能在内的工控网络安全防护产品。
H3C工控防火墙在流会话的基础之上,实现了状态检测防火墙功能,智能检测TCP流量状态信息并进行控制,智能进行应用层检测并打开动态端口,创建和删除针对动态协商端口的数据包安全策略规则,以允许或阻止相关的报文通过,满足安全最小化原则。
H3C 工控防火墙支持VPN、NAT、DoS攻击防护等多种网络安全防护技术,通过IPSec VPN为通讯双方提供访问控制、无连接完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务,通过SNAT和DNAT提供多种丰富地址转换服务,并支持SYN-FLOOD、UDP-FLOOD等多种DoS攻击防护功能。针对工控网络和系统,H3C 工控防火墙支持针对包括Modbus/TCP,OPC Classic,OPC UA,DNP3,S7,S7 plus,IEC60870-5-104,MMS,Ethernet/IP等在内的各类主流工控网络协议的深度解析功能,并在此基础之上基于工控网络白名单对工控流量进行智能保护和指令级控制。此外,防火墙通过集成工控漏洞库和工控入侵检测特征库,以工控网络黑名单技术对工控网络中的攻击和入侵行为进行检测和阻断。
采用工业级的硬件,无风扇全封闭设计、冗余电源,满足工业现场恶劣环境的应用。提供完备的HA双机热备份技术,一台防火墙在发生故障时,业务可以平滑切换到另一台备用设备上,保证主备倒换的时候业务不会发生中断。同时,H3C工控防火墙还支持BYPASS功能,当设备出现故障时,网络流量可以直接BYPASS通过,避免用户业务中断。
集成了强大的基于会话管理的核心技术
可以支持优异的每秒新建连接的性能
具有良好的转发加速体系
H3C工控防火墙支持涵盖Modbus/TCP,OPC Classic,OPC UA,DNP3,S7,S7 plus,IEC60870-5-104,MMS,Ethernet/IP等在内的各类主流工控网络协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。解析引擎执行时能够满足工业控制系统在生产和制造过程中的通信效率保障和冗余机制等要求。
H3C工控防火墙全面集成了多种类型的工业黑名单规则库。黑名单规则是进行工业协议黑名单检测的匹配条目,每一条规则都规针对一个工控安全漏洞攻击,当带有攻击行为的工业流量经过工业防火墙时,会被工业防火墙黑名单检测到,来确保工业网络环境安全运行。产品内置1000多种特征库,使用特征匹配和异常分析的方法识别并阻断网络攻击行为(如各种DoS、DdoS攻击行为)。
指标 | 详细描述 | |
网络特性 | 路由协议 | 支持静态路由、动态路由、策略路由 |
网络设置 | 支持基于全局的DNS代理。支持全局、接口的DHCP Server代理 | |
高可用性 | 接口支持断电bypass,支持双机热备、主主模式、主备模式; | |
NAT策略 | 支持一对一、多对一的SNAT、DNAT地址转换功能。 | |
流量控制 | 流量控制 | 支持流量控制,可设置基于IP地址、服务类型和时间对象的上行/下行流量带宽策略 |
网络层攻击防护 | DoS攻击防护 | 支持SYN Flood、ICMP Flood、UDP Flood三种DDOS攻击防护;TearDrop、Land、超大ICMP三种异常包攻击防护。 |
路由协议 | 工业协议深度解析 | 支持modbus、dnp3、IEC104等工控协议内容深度解析,OPC、CIP、S7、S7-plus、opc da、opc ua、Bacnet、Ethernet ip、可基于功能码或者服务码进行解析,进行通信过滤。 |
工业协议指令级控制 | 支持协议指令级控制功能,例如对Modbus协议实现某个功能码或寄存器地址上的数据进行解析和控制。 | |
安全策略 | 安全策略 | 提供基于状态检查的包过滤策略,同时可提供安全防护策略选项配置入侵检测、ddos防护策略 |
工控黑名单特征数量 | 工控特征库数量大于1000条, | |
工控白名单学习 | 支持基于工控流量的白名单自学习,可以通过自动学习生成白名单列表。 | |
病毒查杀 | 支持多种协议的病毒查杀 | |
高可用性 | 双机热备HA | 支持双机热备功能,当主防火墙自身出现断电或其他故障时,备防火墙可及时发现并接管主防火墙进行工作。 |
日志管理 | 日志管理 | 可设置日志存储阈值告警、日志外发等功能。 |
日志功能 | 支持系统日志、安全日志、防护日志、NAT日志、DDOS日志、工控日志等,同时支持通过syslog进行日志外发,统一发送至工控安全管理平台。 | |
报表 | 支持报表 | 可即时生成报表和定时生成报表 |
诊断 | 支持网络诊断 | 支持网络诊断功能 |
H3C工控防火墙可以部署在管理信息网和工控网络的边界,对工控网络和管理网络的通信流量基于安全策略、NAT、VPN、动态路由等网络安全技术提供网络隔离、访问控制、状态检测、地址转换和通信安全等功能。同时可基于工控黑名单,对于工控网络中的漏洞及漏洞利用攻击行为进行高效识别与防护,对于工控网络中的流量和数据包进行黑名单匹配,对网络中的攻击和入侵行为进行检测和阻断,防护来自管理信息网络的安全威胁。
此外,H3C工控防火墙也可以部署在工控网络中现场控制层,通过透明部署在重点PLC设备层与过程监控层之间,基于工控协议深度解析功能,对上位机与PLC控制器之间的工控流量进行智能白名单学习和工业协议流量指令级控制,保障工业生产安全稳定运行。
H3C工控防火墙应用组网示意图
产品型号 | 产品名称 | 数量 | 备注 |
H3C SecPath F3115-I | H3C SecPath F3115-I工控防火墙(机架式) | 1 | 必配 |
H3C SecPath F3135-I | H3C SecPath F3135-I工控防火墙(机架式) | 1 | 必配 |
H3C SecPath F3000-I | H3C SecPath F3000-I100工控防火墙(机架式) | 1 | 必配 |