東土科技工控防火墻(簡稱工控防火墻)是針對工業安全控制網絡和工業安全應用而研發、推出的一款涵蓋傳統防火墻、工控協議數據包深度解析、工控協議指令控制等功能在內的工控網絡安全防護產品。
工控防火墻采用多核并行系統為上層應用封裝底層數據,提供底層數據的高速轉發和安全感知能力;在流會話的基礎上,實現了狀態檢測防火墻功能,智能檢測 TCP流量狀態信息并進行控制,智能進行應用層檢測并打開動態端口;能夠識別超過4000+互聯網應用特征攻擊行為,支持基于規則庫的特征行為控制,做到細粒度的內容識別控制、審計和安全防護,對常見的SYN Flood、ICMP Flood、UDP Flood 、TearDrop、Land、超大ICMP等異常包攻擊行為進行阻斷和防護。
針對工控網絡和系統,工業防火墻支持對包括Ethernet/IP、CIP、DNP3、Modbus、OPC DA、OPC UA、S7、S7 COMM PLUS、IEC104、BACNET、Profinet、IEC61850MMS、TRDP、自定義等在內的各類主流工控網絡協議的深度解析,并在此基礎上基于工控網絡白名單對工控流量進行智能保護和指令級控制。此外,防火墻通過集成工控入侵檢測特征庫,以工控網絡黑名單技術對工控網絡中的攻擊和入侵行為進行檢測和阻斷。
高效安全的防護功能
產品支持應用防護功能和工控防護功能。
應用防護功能支持自定義防護規則,支持自定義規則生成的應用防護模板,支持網絡掃描防護和DOS防護。
工控防護功能支持多個工控防護協議集合,支持各類主流工控協議,可識別多種工控協議和協議里傳輸的指令,并能對各類數據包進行快速有針對性的捕獲和深度解析。
全面的統計功能
產品支持應用流量統計、應用防護統計、網口信息統計、病毒防護統計和在線用戶統計,全面統計用戶關注的信息,并以圖表形式展示,支持統計結果導出,方便用戶查看。
NAT地址轉換
支持SNAT地址轉換、DNAT地址轉換,允許用戶按照自己的需要配置內部服務器的端口、協議、提供給外部的端口、協議,極大的提升了地址轉換服務的靈活性和適應性。
強大的過濾功能
基于狀態檢測包過濾技術,防火墻策略決定了特定的網絡包能否通過安全網關,同時它也提供相關的選項(如入侵模板,DDOS模板等)以保護網絡免受攻擊。
安全策略控制
支持防火墻策略、NAT策略、IP黑白名單、IP / MAC綁定。
支持自學習功能
提供設置學習模板,供運行模式為學習模式的時候使用;學習結束后可以在策略中引用,進行工控防護;支持將學習結果進行展示。
強大的日志報表功能
工控防火墻支持記錄/導出多種日志信息,如:系統日志、操作日志、安全日志、NAT日志、掃描日志、工控日志、應用防護日志、DOS防護日志、黑白名單日志、IP/ MAC日志等;同時支持以圖表格式展示日志信息,方便用戶更直觀獲取日志信息。
工控協議檢測與解析
工控防火墻支持各類主流工控協議,可識別多種工控協議和協議里傳輸的指令,如Ethernet/IP、CIP、DNP3、Modbus、OPC、S7、IEC104、IEC61850-MMS、BACnet、Profinet、TRDP、自定義等; 并能對各類數據包進行快速有針對性的捕獲和深度解析,同時為企業內部的私有協議提供定制化功能,全面滿足工控系統兼容性要求。
入侵檢測與防御
工業防火墻可檢測和防御針對工控系統的網絡攻擊,保證工控系統的安全。產品內置1000多個工控特征規則庫,涵蓋了DNP3,Modbus等多種協議。
工業防火墻的IPS同時使用特征匹配和異常分析的方法識別并阻斷網絡攻擊行為,能夠檢測4000+種以上攻擊和入侵行為,如各種DoS攻擊、DDoS攻擊。
工控網絡白名單
自動學習生成工控網絡流量白名單,形成白名單規則并進行部署;通過白名單規則匹配、判斷工控協議數據包是否異常,得出允許、告警等結果,對工控協議流量實現指令級控制。
| 軟件功能 | |
| 網絡特性 | 支持靜態路由、動態路由、策略路由、多播路由 支持DNS代理、DHCP.Server代理 支持接口斷電Bypass、雙機熱備 支持IPSec.vpn功能 |
| 工控特性 | 支持Modbus、DNP3、OPCDA、IEC104、BACnet、S7commplus、Ethernet/IP、OPCUA、CIP、S7comm、Profinet、IEC61850MMS、TRDP等工控協議報文深度解析,可基于功能碼進行通信過濾 支持針對Modbus、DNP3、OPCDA、IEC104、BACnet、S7commplus、Ethernet/IP、OPCUA、CIP、S7comm、Profinet、IEC61850MMS、TRDP等工控協議格式規約檢查,禁止不符合協議規約的通信 支持基于工控流量的白名單自學習,可以通過設定指定時間自動學習生成白名單列表 白名單支持針對協議的數據過濾,包括但不限Modbus、DNP3、OPCDA、IEC104、BACnet、S7commplus、Ethernet/IP、OPCUA、CIP、S7comm、Profinet、IEC61850MMS、TRDP等相關協議 |
| 安全防護策略 | 防火墻策略:提供基于狀態檢查的包過濾策略,同時可提供安全防護策略選項配置入侵檢測、ddos防護策略 IP黑名單:提供黑名單阻斷功能,提供白名單優先通過功能 IP/MAC地址綁定:支持MAC地址和IP地址綁定功能 可通過ARP表進行一鍵式IP、MAC地址綁定 支持安全域管理,支持安全域的數據流向控制 支持用戶自定義白名單應用,根據用戶自定義的IP、端口進行指定的工業協議解析 支持一對一、多對一的SNAT、DNAT地址轉換功能 支持基于IP地址、服務類型和時間對象進行上行、下行流量帶寬管理 在NAT模式下可支持對OPC、FTP、RTSP、SIP協議的ALG功能 系統定義超過1萬條主流攻擊規則,包含bufferoverflow、dosddos、vulnerability、scan、worm、game,支持常見modbus、IEC104、S7、S7-plus等工控協議的攻擊監測 支持OPC、modbus、CIP、S7、S7-plus、dnp3、opc da、opc ua、Bacnet、Ethernet ip等常見關鍵事件操作行為的監測告警 支持HTTP,FTP,POP3,SMTP,IMAP協議的病毒查殺,支持查殺郵件正文/附件、網頁及下載文件中包含的病毒,支持300萬余種病毒的查殺,病毒庫定期與及時更新 支持SYN Flood、ICMP Flood、UDP Flood三種DDOS攻擊防護;TearDrop、Land、超大ICMP三種異常包攻擊防護 |
| 系統配置 | 支持NTP Server,通過NTP協議進行時間校驗 可根據源IP、目的IP地址進行連接數限制,同時基于源、目IP地址進行連接數限制 支持https、ssh等管理方式 支持自定義登錄嘗試閥值和登錄失敗阻斷間隔 支持對登錄防火墻的IP地址進行限制管理 支持SNMP服務配置 |
| 產品規格 | |
| 性能 | 吞吐量:1Gbps(導軌式);4Gbps(機架式4GX6GE);4Gbps(機架式2GX6GE); 6Gbps(機架式4GX14GE);8Gbps(機架式4GX7GE) 延遲:<200μs(導軌式);<200μs(機架式) 最大并發連接數:300K(導軌式);1000K(機架式4GX6GE);300K(機架式2GX6GE);1000K(機架式4GX14GE);3000K(機架式4GX7GE) 每秒新建連接數:5K(導軌式);10K(機架式4GX6GE);5K(機架式2GX6GE);60K(機架式4GX14GE);60K(機架式4GX7GE) |
| 接口 | 導軌式: USB: 2*USB Type-A接口 Console: 1*RJ45接口 網口: 2GX4GE:2x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口 機架式: USB: 2*USB Type-A接口 Console: 1*RJ45接口 網口: 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口 2GX6GE:2x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口;1個擴展槽位 4GX14GE:4x1000Base-X SFP接口,14x10/100/1000Base-T(X)電口 4GX7GE:4x1000Base-X SFP接口,7x10/100/1000Base-T(X)電口;2個擴展槽位 |
| 端口Bypass | 2-6組Bypass |
| 機械結構 | 外殼:金屬 重量:1.17kg(導軌式); 5.5kg-7kg(機架式) 尺寸(WxHxD): 47mm×164mm×115mm(導軌式) 440mm×44mm×440mm(機架式4GX6GE) 435mm×44mm×360mm(機架式2GX6GE) 440mm×44mm×440mm(機架式4GX14GE) 435mm×44mm×400mm(機架式4GX7GE) IP等級:IP40(導軌式);IP40(機架式) 散熱方式:無風扇自然散熱 安裝方式:導軌安裝(導軌式);1U機架安裝(機架式) |
| 電源 | 電壓:24VDC/ 220VAC 功率:60W(導軌式),60W(機架式4GX6GE、2GX6GE、4GX14GE),120W(機架式4GX7GE) |
| 環境 | 工作溫度:-40~70℃ 相對濕度:10%~85%無凝露 存儲溫度:-40~70℃ |
| 質保 | 質保期:1年(升級版3年) MTBF:100000h |
Agate7000導軌式:
Agate7000機架式:
工控防火墻推薦型號:
|
產品型號 |
型號說明 |
|
Agate7000-2GX4GE-L3-L3 |
2x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口,24VDC(18-36VDC),雙電源輸入 |
|
Agate7000-2GX6GE-H3-H3 |
2x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
|
Agate7000-4GX6GE-H3-H3 |
4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
|
Agate7000-4GX14GE-H3-H3 |
4x1000Base-X SFP接口,14x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
|
Agate7000-4GX7GE-H3-H3 |
4x1000Base-X SFP接口,7x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
工控防火墻選購軟件推薦服務:
|
服務型號 |
型號說明 |
|
Agate7000-uIPS |
入侵防御系統特征庫升級 |
|
Agate7000-uANTI |
防病毒特征庫升級 |
工控防火墻推薦選購擴展端口:
|
擴展端口型號 |
型號說明 |
|
AM7000-4GE |
4x10/100/1000Base-T(X)電口 |
|
AM7000-4GX |
4x1000Base-X SFP接口 |
|
AM7000-B-4GE |
4x10/100/1000Base-T(X)電口,2組Bypass |
|
AM7000-8GE |
8x10/100/1000Base-T(X)電口 |
|
AM7000-4X |
4x10G SFP+接口 |
Kyland-Agate7000-Datasheet-CN-V2 工控防火墻_用戶手冊
