js555888金沙科技工控防火墙(简称工控防火墙)是针对工业安全控制网络和工业安全应用而研发、推出的一款涵盖传统防火墙、工控协议数据包深度解析、工控协议指令控制等功能在内的工控网络安全防护产品。
工控防火墙采用多核并行系统为上层应用封装底层数据,提供底层数据的高速转发和安全感知能力;在流会话的基础上,实现了状态检测防火墙功能,智能检测 TCP流量状态信息并进行控制,智能进行应用层检测并打开动态端口;能够识别超过4000+互联网应用特征攻击行为,支持基于规则库的特征行为控制,做到细粒度的内容识别控制、审计和安全防护,对常见的SYN Flood、ICMP Flood、UDP Flood 、TearDrop、Land、超大ICMP等异常包攻击行为进行阻断和防护。
针对工控网络和系统,工业防火墙支持对包括Ethernet/IP、CIP、DNP3、Modbus、OPC DA、OPC UA、S7、S7 COMM PLUS、IEC104、BACNET、Profinet、IEC61850MMS、TRDP、自定义等在内的各类主流工控网络协议的深度解析,并在此基础上基于工控网络白名单对工控流量进行智能保护和指令级控制。此外,防火墙通过集成工控入侵检测特征库,以工控网络黑名单技术对工控网络中的攻击和入侵行为进行检测和阻断。
高效安全的防护功能
产品支持应用防护功能和工控防护功能。
应用防护功能支持自定义防护规则,支持自定义规则生成的应用防护模板,支持网络扫描防护和DOS防护。
工控防护功能支持多个工控防护协议集合,支持各类主流工控协议,可识别多种工控协议和协议里传输的指令,并能对各类数据包进行快速有针对性的捕获和深度解析。
全面的统计功能
产品支持应用流量统计、应用防护统计、网口信息统计、病毒防护统计和在线用户统计,全面统计用户关注的信息,并以图表形式展示,支持统计结果导出,方便用户查看。
NAT地址转换
支持SNAT地址转换、DNAT地址转换,允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议,极大的提升了地址转换服务的灵活性和适应性。
强大的过滤功能
基于状态检测包过滤技术,防火墙策略决定了特定的网络包能否通过安全网关,同时它也提供相关的选项(如入侵模板,DDOS模板等)以保护网络免受攻击。
安全策略控制
支持防火墙策略、NAT策略、IP黑白名单、IP / MAC绑定。
支持自学习功能
提供设置学习模板,供运行模式为学习模式的时候使用;学习结束后可以在策略中引用,进行工控防护;支持将学习结果进行展示。
强大的日志报表功能
工控防火墙支持记录/导出多种日志信息,如:系统日志、操作日志、安全日志、NAT日志、扫描日志、工控日志、应用防护日志、DOS防护日志、黑白名单日志、IP/ MAC日志等;同时支持以图表格式展示日志信息,方便用户更直观获取日志信息。
工控协议检测与解析
工控防火墙支持各类主流工控协议,可识别多种工控协议和协议里传输的指令,如Ethernet/IP、CIP、DNP3、Modbus、OPC、S7、IEC104、IEC61850-MMS、BACnet、Profinet、TRDP、自定义等; 并能对各类数据包进行快速有针对性的捕获和深度解析,同时为企业内部的私有协议提供定制化功能,全面满足工控系统兼容性要求。
入侵检测与防御
工业防火墙可检测和防御针对工控系统的网络攻击,保证工控系统的安全。产品内置1000多个工控特征规则库,涵盖了DNP3,Modbus等多种协议。
工业防火墙的IPS同时使用特征匹配和异常分析的方法识别并阻断网络攻击行为,能够检测4000+种以上攻击和入侵行为,如各种DoS攻击、DDoS攻击。
工控网络白名单
自动学习生成工控网络流量白名单,形成白名单规则并进行部署;通过白名单规则匹配、判断工控协议数据包是否异常,得出允许、告警等结果,对工控协议流量实现指令级控制。
软件功能 | |
网络特性 | 支持静态路由、动态路由、策略路由、多播路由 支持DNS代理、DHCP.Server代理 支持接口断电Bypass、双机热备 支持IPSec.vpn功能 |
工控特性 | 支持Modbus、DNP3、OPCDA、IEC104、BACnet、S7commplus、Ethernet/IP、OPCUA、CIP、S7comm、Profinet、IEC61850MMS、TRDP等工控协议报文深度解析,可基于功能码进行通信过滤 支持针对Modbus、DNP3、OPCDA、IEC104、BACnet、S7commplus、Ethernet/IP、OPCUA、CIP、S7comm、Profinet、IEC61850MMS、TRDP等工控协议格式规约检查,禁止不符合协议规约的通信 支持基于工控流量的白名单自学习,可以通过设定指定时间自动学习生成白名单列表 白名单支持针对协议的数据过滤,包括但不限Modbus、DNP3、OPCDA、IEC104、BACnet、S7commplus、Ethernet/IP、OPCUA、CIP、S7comm、Profinet、IEC61850MMS、TRDP等相关协议 |
安全防护策略 | 防火墙策略:提供基于状态检查的包过滤策略,同时可提供安全防护策略选项配置入侵检测、ddos防护策略 IP黑名单:提供黑名单阻断功能,提供白名单优先通过功能 IP/MAC地址绑定:支持MAC地址和IP地址绑定功能 可通过ARP表进行一键式IP、MAC地址绑定 支持安全域管理,支持安全域的数据流向控制 支持用户自定义白名单应用,根据用户自定义的IP、端口进行指定的工业协议解析 支持一对一、多对一的SNAT、DNAT地址转换功能 支持基于IP地址、服务类型和时间对象进行上行、下行流量带宽管理 在NAT模式下可支持对OPC、FTP、RTSP、SIP协议的ALG功能 系统定义超过1万条主流攻击规则,包含bufferoverflow、dosddos、vulnerability、scan、worm、game,支持常见modbus、IEC104、S7、S7-plus等工控协议的攻击监测 支持OPC、modbus、CIP、S7、S7-plus、dnp3、opc da、opc ua、Bacnet、Ethernet ip等常见关键事件操作行为的监测告警 支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀,支持查杀邮件正文/附件、网页及下载文件中包含的病毒,支持300万余种病毒的查杀,病毒库定期与及时更新 支持SYN Flood、ICMP Flood、UDP Flood三种DDOS攻击防护;TearDrop、Land、超大ICMP三种异常包攻击防护 |
系统配置 | 支持NTP Server,通过NTP协议进行时间校验 可根据源IP、目的IP地址进行连接数限制,同时基于源、目IP地址进行连接数限制 支持https、ssh等管理方式 支持自定义登录尝试阀值和登录失败阻断间隔 支持对登录防火墙的IP地址进行限制管理 支持SNMP服务配置 |
产品规格 | |
性能 | 吞吐量:1Gbps(导轨式);4Gbps(机架式4GX6GE);4Gbps(机架式2GX6GE); 6Gbps(机架式4GX14GE);8Gbps(机架式4GX7GE) 延迟:<200µs(导轨式);<200µs(机架式) 最大并发连接数:300K(导轨式);1000K(机架式4GX6GE);300K(机架式2GX6GE);1000K(机架式4GX14GE);3000K(机架式4GX7GE) 每秒新建连接数:5K(导轨式);10K(机架式4GX6GE);5K(机架式2GX6GE);60K(机架式4GX14GE);60K(机架式4GX7GE) |
接口 | 导轨式: USB: 2*USB Type-A接口 Console: 1*RJ45接口 网口: 2GX4GE:2x1000Base-X SFP接口,4x10/100/1000Base-T(X)电口 机架式: USB: 2*USB Type-A接口 Console: 1*RJ45接口 网口: 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口 2GX6GE:2x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口;1个扩展槽位 4GX14GE:4x1000Base-X SFP接口,14x10/100/1000Base-T(X)电口 4GX7GE:4x1000Base-X SFP接口,7x10/100/1000Base-T(X)电口;2个扩展槽位 |
端口Bypass | 2-6组Bypass |
机械结构 | 外壳:金属 重量:1.17kg(导轨式); 5.5kg-7kg(机架式) 尺寸(WxHxD): 47mm×164mm×115mm(导轨式) 440mm×44mm×440mm(机架式4GX6GE) 435mm×44mm×360mm(机架式2GX6GE) 440mm×44mm×440mm(机架式4GX14GE) 435mm×44mm×400mm(机架式4GX7GE) IP等级:IP40(导轨式);IP40(机架式) 散热方式:无风扇自然散热 安装方式:导轨安装(导轨式);1U机架安装(机架式) |
电源 | 电压:24VDC/ 220VAC 功率:60W(导轨式),60W(机架式4GX6GE、2GX6GE、4GX14GE),120W(机架式4GX7GE) |
环境 | 工作温度:-40~70℃ 相对湿度:10%~85%无凝露 存储温度:-40~70℃ |
质保 | 质保期:1年(升级版3年) MTBF:100000h |
Agate7000导轨式:
Agate7000机架式:
工控防火墙推荐型号:
产品型号 |
型号说明 |
Agate7000-2GX4GE-L3-L3 |
2x1000Base-X SFP接口,4x10/100/1000Base-T(X)电口,24VDC(18-36VDC),双电源输入 |
Agate7000-2GX6GE-H3-H3 |
2x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
Agate7000-4GX6GE-H3-H3 |
4x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
Agate7000-4GX14GE-H3-H3 |
4x1000Base-X SFP接口,14x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
Agate7000-4GX7GE-H3-H3 |
4x1000Base-X SFP接口,7x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
工控防火墙选购软件推荐服务:
服务型号 |
型号说明 |
Agate7000-uIPS |
入侵防御系统特征库升级 |
Agate7000-uANTI |
防病毒特征库升级 |
工控防火墙推荐选购扩展端口:
扩展端口型号 |
型号说明 |
AM7000-4GE |
4x10/100/1000Base-T(X)电口 |
AM7000-4GX |
4x1000Base-X SFP接口 |
AM7000-B-4GE |
4x10/100/1000Base-T(X)电口,2组Bypass |
AM7000-8GE |
8x10/100/1000Base-T(X)电口 |
AM7000-4X |
4x10G SFP+接口 |