安恒工業(yè)防火墻是安恒信息在深入研究工業(yè)控制網(wǎng)絡(luò)特性以及存在的安全隱患的基礎(chǔ)上，結(jié)合多年網(wǎng)絡(luò)安全實戰(zhàn)經(jīng)驗的積累，采用最新的技術(shù)架構(gòu)研制并推出的一款為解決工業(yè)控制網(wǎng)絡(luò)安全問題的邊界防護(hù)類網(wǎng)絡(luò)安全產(chǎn)品。是一套集軟件、硬件為一體的內(nèi)置多種針對工業(yè)控制網(wǎng)絡(luò)設(shè)計的安全功能，能夠?qū)た鼐W(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行深度管控并具備高可靠性要求的安全防護(hù)設(shè)備，能最終實現(xiàn)工控網(wǎng)絡(luò)流量的可知、可控，更有效地防護(hù)工業(yè)網(wǎng)絡(luò)環(huán)境安全，保障其業(yè)務(wù)連續(xù)性。

產(chǎn)品功能

工控協(xié)議深度解析

產(chǎn)品支持對工控協(xié)議的應(yīng)用層過濾防護(hù)，預(yù)置數(shù)十種常用工業(yè)控制通信協(xié)議的精準(zhǔn)識別能力，支持對OPC、MODBUS/TCP、IEC104、DNP3、S7、Ethernet/IP等多種工控協(xié)議的深度解析，可達(dá)到對工控協(xié)議指令、地址以及值域范圍級別的細(xì)粒度的精準(zhǔn)控制。

多元組深度訪問控制

安恒工業(yè)防火墻采用狀態(tài)檢測技術(shù)與深度報文檢測技術(shù)（DPI）相結(jié)合的機(jī)制實現(xiàn)相應(yīng)的訪問控制功能。支持黑、白名單兩種模式訪問控制；支持基于五元組、用戶、協(xié)議、應(yīng)用、時間等組合配置的安全策略。

工控流量自學(xué)習(xí)

對流經(jīng)防火墻的流量進(jìn)行學(xué)習(xí)，并進(jìn)行數(shù)據(jù)包的解析，智能的與系統(tǒng)內(nèi)置的協(xié)議特征、設(shè)備對象等進(jìn)行匹配，生成可供參考的網(wǎng)絡(luò)交互會話列表，幫助用戶以最快捷的方式了解和掌握網(wǎng)絡(luò)中的業(yè)務(wù)通信，并可一鍵勾選生成訪問策略。

產(chǎn)品優(yōu)勢

網(wǎng)絡(luò)環(huán)境適應(yīng)性強(qiáng)

防火墻能夠有效識別數(shù)十種常用工業(yè)協(xié)議及通用IT協(xié)議，適用于各種工業(yè)控制網(wǎng)絡(luò)環(huán)境;支持路由、透明以及混合模式部署，支持VLAN，支持IPv4與IPv6雙棧網(wǎng)絡(luò)，有極強(qiáng)的網(wǎng)絡(luò)適應(yīng)性，能夠滿足不斷變化的工業(yè)網(wǎng)絡(luò)環(huán)境。

工業(yè)控制協(xié)議細(xì)粒度精準(zhǔn)控制

防火墻內(nèi)置多種工業(yè)控制協(xié)議深度解析檢測模塊，實現(xiàn)工控協(xié)議應(yīng)用層過濾。支持對OPC、MODBUS、S7、IEC104、 DNP3、ETHERNET/IP等常用工控協(xié)議的實時精準(zhǔn)識別與深度解析，并支持協(xié)議指令、地址范圍以及值域范圍級別的精 準(zhǔn)控制。

工業(yè)特色安全防護(hù)能力

防火墻內(nèi)置工業(yè)ISP規(guī)則庫，具備工業(yè)協(xié)議病毒過濾、IP/MAC地址綁定、攻擊防護(hù)、協(xié)議深度解析等能力有效保障工控 網(wǎng)絡(luò)安全，工控流量帶寬保障及優(yōu)先級管控技術(shù)、會話管理與連接管理技術(shù)保障工控業(yè)務(wù)網(wǎng)絡(luò)連續(xù)性。

高可用性

防火墻支持冗余供電、軟件/硬件故障BYPASS、雙機(jī)熱備、負(fù)載均衡、流量管控等功能，當(dāng)防火墻出現(xiàn)系統(tǒng)及硬件故障時能及時切換運行狀態(tài)，提高防火墻可用性，保障工控業(yè)務(wù)連續(xù)性。

產(chǎn)品部署影響最小化

安恒工業(yè)防火墻提供學(xué)習(xí)、測試、管控三種工作模式，適用于防火墻在上電、接入、配置、測試、應(yīng)用各個階段，以實現(xiàn) 對被保護(hù)網(wǎng)絡(luò)及設(shè)備的最小影響。

應(yīng)用場景

1、邊界隔離部署

部署于不同網(wǎng)絡(luò)之間，實現(xiàn)不同網(wǎng)絡(luò)間的邏 輯隔離，控制跨層訪問并深度過濾層級間的 數(shù)據(jù)交換，隔斷阻斷來自管理網(wǎng)絡(luò)的威脅。

2、區(qū)域間隔離部署

部署將控制網(wǎng)分成不同的安全區(qū)域，控制安全區(qū)域之間的訪問，并深度過濾各區(qū)域間的流量數(shù)據(jù)，以阻止區(qū)域間安全風(fēng)險的擴(kuò)散。

3、關(guān)鍵設(shè)備隔離

部署部署于重要工控設(shè)備與工控網(wǎng) 絡(luò)之間，實現(xiàn)對重要控制設(shè)備的訪問控制，阻止非授權(quán)的訪問與非法操作指令。