寬域安全可控工業防火墻應《信息安全等級保護管理辦法》(公通字【2007】43號)和《信息安全技術網絡安全等級保護技術標準》2.0版本而出,旨在為工業互聯網提供良好的防攻擊能力,一定程度上防止或者減輕DDoS攻擊,并提供安全審計和日志記錄,采用安全可控硬件平臺,為工控網絡的邊界安全保駕護航。
接口配置
接口配置 | RJ45*6,10/100/1000Base-T(X)self-adaption SFP*4,1000Mbits |
USB | USB 2.0 secret key (two-factor authentication)*2 |
Bypass | 3組 |
Console | 1*1000M/100M RJ45 in-band management |
MNG管理口 | 1*1000M/100M RJ45 in-band management |
性能特性
吞吐量 | 在只有一條允許規則和不丟包的情況下: 平均512字節包長 500Mbps; 網絡吞吐量(整機):平均512字節包長 不小于1Gbps; |
延遲 | 在吞吐量90%條件下: 對64字節短包、256字節中長包、512字節長包,百兆工業防火墻平均延遲不應超過1ms。 對64字節短包、256字節中長包、512字節長包,千兆工業防火墻平均延遲不應超過200us。 |
最大并發連接數 | 不少于500000。 |
每秒新建連接數 | 不少于10000個/秒。 |
應用吞吐量 | 不小于500Mbps。 |
主要功能
防火墻基礎特性 | 基于五元組、協議等多元組一體化訪問控制,支持基于源IP、目的IP、源端口、目的端口、協議類型、源MAC及時間段的訪問控制功能,支持狀態檢測,支持基于IP組的連接數限制,策略支持地址對象。 支持雙向NAT,可實現SNAT的“多對一”地址轉換,實現內網地址的隱藏;DNAT應至少可實現“一對多”地址轉換,能夠應用于工控系統內部DMZ區服務器對外提供服務的業務場景。 支持安全域功能,預置trust、dmz、untrust,并可自定義安全域。 支持靜態路由與策略路由,支持橋接口、子接口、VLAN等網絡功能。 |
支持工控協議白名單 | 設備內置多種工業防護模型,并可以自定義防護規則支持智能學習和自定義結合的方式;構建工控協議白名單規則,進行指令級乃至值域級的控制,從而達到阻斷異常指令和可疑操作的目的。 |
工控協議深度解析 | 支持常見工業協議如OPC UA、Modbus(TCP/UDP)、IEC104、MMS、GOOSE、SV等工控協議識別,報文最深達值域級的深度解析,支持報文格式檢查,支持OPC DA動態端口識別。 支持多種工業協議深度解析:包括 Modbus、S7、IEC-104、DNP3、OPC-DA、 OPC-UA、EtherNet/IP、SECS-GEM、FINS、EGD、Profinet-IO、Profinet-DCP、 ModbusRTU、IEC-102、IEC-102RTU、SCNET 等協議,可以做到指令級訪問控制。 私有協議自定義管控:支持自定義應用類型的二次開發,可以對私有協議或者常用工控協議私有字段的自定義進行識別。提供對第三方工控協議的深度解析和二次開發樣例,方便實現協議深度解析與擴展。支持用戶自行對工業數據包編寫過濾策略,可根據企業私有協議自由定義 bit 位級別的過濾安全策略,充分保證私有協議定義安全。 |
流量分析可視化 | 對所有通過防火墻上的實時數據流量進行實時顯示,并按照設備、MAC、IP地址、網絡服務、時間和協議類型等維度進行分析統計,包括流量占比圖表、實時流量趨勢圖、平均流量等,能夠對流量超過預警值的行為進行告警和生成相應日志。 |
攻擊防護功能 | 產品具備特征庫,應支持拒絕服務攻擊防護功能 ICMP Flood攻擊防護; UDP Flood攻擊防護; SYN Flood攻擊防護; TearDrop攻擊防護; Land攻擊防護; Ping of Death攻擊防護。 |
安全審計 | 支持日志級別的設定,至少須包括調試、信息、警告、錯誤四個級別。 針對目前各行業廣泛的態勢感知平臺、日志分析平臺支持提供日志信息給第三方日志平臺。 支持生成國網規范格式的日志。 |
系統自身安全性 | 支持通過安全管理平臺的集中管控和管理用戶權限的三權分立。 基于SSL的遠程管理:通過網絡可以直接對工業防火墻進行管理和配置。通訊采用了SSL加密技術,所有配置管理信息在網絡上全部以密文傳輸,可以防止惡意攻擊者使用網絡監聽工具竊取信息。 |
系統高可用性 | 設備采用工業級硬件設計,具有較強的環境適應性。 支持硬件Bypass功能,觸發該功能時可及時告警。 啟動時進行自檢,發現異常及時告警,并對程序文件或配置文件的異常提供一定的恢復功能。 |
支持學習模式、測試模式和正常工作模式 | 支持學習模式,工控防火墻記錄運行過程中經過防火墻的所有策略、資產等信息,形成白名單策略集; 支持驗證模式或測試模式,該模式下工控防火墻對禁止策略進行告警,但不攔截; 支持正常工作模式,工控防火墻的正常工作模式,嚴格按照防護策略進行過濾等動作保護。 支持透明、路由、混合模式部署。 |
機械特性
機箱外殼 | 高強度機箱表面散熱,無風扇設計 |
防護等級 | IP40 |
尺寸(W×D×H) | 440mm x 431mm x 44mm |
安裝方式 | 1U 機架 |
電源參數
輸入電壓 | AC:220V,50Hz |
電源冗余 | 雙電源 |
功率 | <18w |
保護 | 反接保護、過載保護 |
工作環境
工作溫度 | 0℃- +55℃ |
保存溫度 | -40℃- +70℃ |
相對濕度 | 5%-95%無凝結 |
指示燈
電源指示燈 | PWR |
HA指示燈 | HA |
告警指示燈 | HDD |
行業標準
EMC | 電IEC61000-4-4(EFT) IEC61000-4-5(Surge) IEC61000-4-2(ESD) ±8kV(contact),±15kV(air) |
質量保障
保修期限 | 2年 |
MTBF | >350000h |
型號 | 千兆網口 | 千兆光口 | MNG | Console | USB | 尺寸 | 系統內存 | 存儲大小 | 電源 | Bypass |
CDKY-FW3000-SC | 6 | 4 | 1 | 1 | 2 | 1U | 8G | 64G | 冗余輸入 | 3路 |