產(chǎn)品簡介
東土科技工控防火墻(簡稱工控防火墻)是針對工業(yè)安全控制網(wǎng)絡(luò)和工業(yè)安全應(yīng)用而研發(fā)���、推出的一款涵蓋傳統(tǒng)防火墻�����、工控協(xié)議數(shù)據(jù)包深度解析、工控協(xié)議指令控制等功能在內(nèi)的工控網(wǎng)絡(luò)安全防護產(chǎn)品�。
工控防火墻采用多核并行系統(tǒng)為上層應(yīng)用封裝底層數(shù)據(jù),提供底層數(shù)據(jù)的高速轉(zhuǎn)發(fā)和安全感知能力�����;在流會話的基礎(chǔ)上,實現(xiàn)了狀態(tài)檢測防火墻功能��,智能檢測 TCP流量狀態(tài)信息并進行控制�����,智能進行應(yīng)用層檢測并打開動態(tài)端口��;能夠識別超過4000+互聯(lián)網(wǎng)應(yīng)用特征攻擊行為��,支持基于規(guī)則庫的特征行為控制�,做到細(xì)粒度的內(nèi)容識別控制、審計和安全防護��,對常見的SYN Flood���、ICMP Flood��、UDP Flood �、TearDrop�����、Land�、超大ICMP等異常包攻擊行為進行阻斷和防護。
針對工控網(wǎng)絡(luò)和系統(tǒng)��,工業(yè)防火墻支持對包括Ethernet/IP����、CIP、DNP3��、Modbus��、OPC DA�、OPC UA、S7��、S7 COMM PLUS����、IEC104、BACNET����、Profinet、IEC61850MMS�����、TRDP、自定義等在內(nèi)的各類主流工控網(wǎng)絡(luò)協(xié)議的深度解析�,并在此基礎(chǔ)上基于工控網(wǎng)絡(luò)白名單對工控流量進行智能保護和指令級控制。此外��,防火墻通過集成工控入侵檢測特征庫��,以工控網(wǎng)絡(luò)黑名單技術(shù)對工控網(wǎng)絡(luò)中的攻擊和入侵行為進行檢測和阻斷�����。
關(guān)鍵特性
高效安全的防護功能
產(chǎn)品支持應(yīng)用防護功能和工控防護功能�����。
應(yīng)用防護功能支持自定義防護規(guī)則�,支持自定義規(guī)則生成的應(yīng)用防護模板,支持網(wǎng)絡(luò)掃描防護和DOS防護��。
工控防護功能支持多個工控防護協(xié)議集合����,支持各類主流工控協(xié)議,可識別多種工控協(xié)議和協(xié)議里傳輸?shù)闹噶?����,并能對各類?shù)據(jù)包進行快速有針對性的捕獲和深度解析�。
全面的統(tǒng)計功能
產(chǎn)品支持應(yīng)用流量統(tǒng)計、應(yīng)用防護統(tǒng)計�、網(wǎng)口信息統(tǒng)計、病毒防護統(tǒng)計和在線用戶統(tǒng)計�,全面統(tǒng)計用戶關(guān)注的信息,并以圖表形式展示���,支持統(tǒng)計結(jié)果導(dǎo)出�,方便用戶查看����。
NAT地址轉(zhuǎn)換
支持SNAT地址轉(zhuǎn)換、DNAT地址轉(zhuǎn)換�,允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議����、提供給外部的端口、協(xié)議��,極大的提升了地址轉(zhuǎn)換服務(wù)的靈活性和適應(yīng)性���。
強大的過濾功能
基于狀態(tài)檢測包過濾技術(shù)����,防火墻策略決定了特定的網(wǎng)絡(luò)包能否通過安全網(wǎng)關(guān),同時它也提供相關(guān)的選項(如入侵模板�,DDOS模板等)以保護網(wǎng)絡(luò)免受攻擊。
安全策略控制
支持防火墻策略�、NAT策略、IP黑白名單����、IP / MAC綁定。
支持自學(xué)習(xí)功能
提供設(shè)置學(xué)習(xí)模板���,供運行模式為學(xué)習(xí)模式的時候使用����;學(xué)習(xí)結(jié)束后可以在策略中引用�����,進行工控防護���;支持將學(xué)習(xí)結(jié)果進行展示�����。
強大的日志報表功能
工控防火墻支持記錄/導(dǎo)出多種日志信息����,如:系統(tǒng)日志���、操作日志��、安全日志�����、NAT日志����、掃描日志�����、工控日志�、應(yīng)用防護日志、DOS防護日志�����、黑白名單日志、IP/ MAC日志等��;同時支持以圖表格式展示日志信息�����,方便用戶更直觀獲取日志信息��。
工控協(xié)議檢測與解析
工控防火墻支持各類主流工控協(xié)議����,可識別多種工控協(xié)議和協(xié)議里傳輸?shù)闹噶睿鏓thernet/IP��、CIP���、DNP3�����、Modbus����、OPC、S7��、IEC104�、IEC61850-MMS、BACnet����、Profinet、TRDP�����、自定義等���; 并能對各類數(shù)據(jù)包進行快速有針對性的捕獲和深度解析,同時為企業(yè)內(nèi)部的私有協(xié)議提供定制化功能��,全面滿足工控系統(tǒng)兼容性要求�����。
入侵檢測與防御
工業(yè)防火墻可檢測和防御針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊�,保證工控系統(tǒng)的安全。產(chǎn)品內(nèi)置1000多個工控特征規(guī)則庫���,涵蓋了DNP3�����,Modbus等多種協(xié)議�����。
工業(yè)防火墻的IPS同時使用特征匹配和異常分析的方法識別并阻斷網(wǎng)絡(luò)攻擊行為����,能夠檢測4000+種以上攻擊和入侵行為,如各種DoS攻擊��、DDoS攻擊�����。
工控網(wǎng)絡(luò)白名單
自動學(xué)習(xí)生成工控網(wǎng)絡(luò)流量白名單�����,形成白名單規(guī)則并進行部署����;通過白名單規(guī)則匹配����、判斷工控協(xié)議數(shù)據(jù)包是否異常�,得出允許、告警等結(jié)果�����,對工控協(xié)議流量實現(xiàn)指令級控制����。
性能參數(shù)
| 軟件功能 |
| 網(wǎng)絡(luò)特性 |
支持靜態(tài)路由、動態(tài)路由���、策略路由、多播路由
支持DNS代理��、DHCP.Server代理
支持接口斷電Bypass�����、雙機熱備
支持IPSec.vpn功能 |
| 工控特性 |
支持Modbus����、DNP3��、OPCDA����、IEC104�����、BACnet�����、S7commplus����、Ethernet/IP、OPCUA���、CIP���、S7comm、Profinet�����、IEC61850MMS、TRDP等工控協(xié)議報文深度解析�����,可基于功能碼進行通信過濾
支持針對Modbus�����、DNP3����、OPCDA、IEC104����、BACnet、S7commplus��、Ethernet/IP�����、OPCUA���、CIP�、S7comm�����、Profinet���、IEC61850MMS�����、TRDP等工控協(xié)議格式規(guī)約檢查�,禁止不符合協(xié)議規(guī)約的通信
支持基于工控流量的白名單自學(xué)習(xí)����,可以通過設(shè)定指定時間自動學(xué)習(xí)生成白名單列表
白名單支持針對協(xié)議的數(shù)據(jù)過濾,包括但不限Modbus���、DNP3����、OPCDA�、IEC104���、BACnet、S7commplus��、Ethernet/IP�、OPCUA、CIP��、S7comm����、Profinet、IEC61850MMS����、TRDP等相關(guān)協(xié)議 |
| 安全防護策略 |
防火墻策略:提供基于狀態(tài)檢查的包過濾策略,同時可提供安全防護策略選項配置入侵檢測��、ddos防護策略
IP黑名單:提供黑名單阻斷功能�,提供白名單優(yōu)先通過功能
IP/MAC地址綁定:支持MAC地址和IP地址綁定功能
可通過ARP表進行一鍵式IP、MAC地址綁定
支持安全域管理��,支持安全域的數(shù)據(jù)流向控制
支持用戶自定義白名單應(yīng)用�����,根據(jù)用戶自定義的IP���、端口進行指定的工業(yè)協(xié)議解析
支持一對一���、多對一的SNAT、DNAT地址轉(zhuǎn)換功能
支持基于IP地址���、服務(wù)類型和時間對象進行上行�����、下行流量帶寬管理
在NAT模式下可支持對OPC���、FTP、RTSP����、SIP協(xié)議的ALG功能
系統(tǒng)定義超過1萬條主流攻擊規(guī)則,包含bufferoverflow�����、dosddos�、vulnerability����、scan��、worm����、game,支持常見modbus�、IEC104、S7�����、S7-plus等工控協(xié)議的攻擊監(jiān)測
支持OPC�����、modbus�、CIP、S7�、S7-plus、dnp3�、opc da、opc ua����、Bacnet、Ethernet ip等常見關(guān)鍵事件操作行為的監(jiān)測告警
支持HTTP��,F(xiàn)TP��,POP3�����,SMTP��,IMAP協(xié)議的病毒查殺����,支持查殺郵件正文/附件、網(wǎng)頁及下載文件中包含的病毒�,支持300萬余種病毒的查殺,病毒庫定期與及時更新
支持SYN Flood���、ICMP Flood�����、UDP Flood三種DDOS攻擊防護�����;TearDrop�、Land、超大ICMP三種異常包攻擊防護 |
| 系統(tǒng)配置 |
支持NTP Server��,通過NTP協(xié)議進行時間校驗
可根據(jù)源IP�����、目的IP地址進行連接數(shù)限制�����,同時基于源�����、目IP地址進行連接數(shù)限制
支持https�����、ssh等管理方式
支持自定義登錄嘗試閥值和登錄失敗阻斷間隔
支持對登錄防火墻的IP地址進行限制管理
支持SNMP服務(wù)配置 |
| 產(chǎn)品規(guī)格 |
| 性能 |
吞吐量:1Gbps(導(dǎo)軌式)���;4Gbps(機架式4GX6GE)����;4Gbps(機架式2GX6GE); 6Gbps(機架式4GX14GE)�����;8Gbps(機架式4GX7GE)
延遲:<200μs(導(dǎo)軌式)�����;<200μs(機架式)
最大并發(fā)連接數(shù):300K(導(dǎo)軌式)���;1000K(機架式4GX6GE);300K(機架式2GX6GE)��;1000K(機架式4GX14GE)�����;3000K(機架式4GX7GE)
每秒新建連接數(shù):5K(導(dǎo)軌式)��;10K(機架式4GX6GE)��;5K(機架式2GX6GE);60K(機架式4GX14GE)����;60K(機架式4GX7GE) |
| 接口 |
導(dǎo)軌式:
USB: 2*USB Type-A接口
Console: 1*RJ45接口
網(wǎng)口:
2GX4GE:2x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口
機架式:
USB: 2*USB Type-A接口
Console: 1*RJ45接口
網(wǎng)口:
4GX6GE:4x1000Base-X SFP接口��,6x10/100/1000Base-T(X)電口
2GX6GE:2x1000Base-X SFP接口��,6x10/100/1000Base-T(X)電口�;1個擴展槽位
4GX14GE:4x1000Base-X SFP接口,14x10/100/1000Base-T(X)電口
4GX7GE:4x1000Base-X SFP接口��,7x10/100/1000Base-T(X)電口�����;2個擴展槽位 |
| 端口Bypass |
2-6組Bypass |
| 機械結(jié)構(gòu) |
外殼:金屬
重量:1.17kg(導(dǎo)軌式); 5.5kg-7kg(機架式)
尺寸(WxHxD):
47mm×164mm×115mm(導(dǎo)軌式)
440mm×44mm×440mm(機架式4GX6GE)
435mm×44mm×360mm(機架式2GX6GE)
440mm×44mm×440mm(機架式4GX14GE)
435mm×44mm×400mm(機架式4GX7GE)
IP等級:IP40(導(dǎo)軌式)���;IP40(機架式)
散熱方式:無風(fēng)扇自然散熱
安裝方式:導(dǎo)軌安裝(導(dǎo)軌式)�;1U機架安裝(機架式) |
| 電源 |
電壓:24VDC/ 220VAC
功率:60W(導(dǎo)軌式)����,60W(機架式4GX6GE、2GX6GE�����、4GX14GE),120W(機架式4GX7GE)
|
| 環(huán)境 |
工作溫度:-40~70℃
相對濕度:10%~85%無凝露
存儲溫度:-40~70℃
|
| 質(zhì)保 |
質(zhì)保期:1年(升級版3年)
MTBF:100000h |
機械尺寸
Agate7000導(dǎo)軌式:
Agate7000機架式:
訂購信息
工控防火墻推薦型號:
|
產(chǎn)品型號
|
型號說明
|
|
Agate7000-2GX4GE-L3-L3
|
2x1000Base-X SFP接口����,4x10/100/1000Base-T(X)電口,24VDC(18-36VDC)�����,雙電源輸入
|
|
Agate7000-2GX6GE-H3-H3
|
2x1000Base-X SFP接口�����,6x10/100/1000Base-T(X)電口�����,220VAC 雙電源輸入
|
|
Agate7000-4GX6GE-H3-H3
|
4x1000Base-X SFP接口��,6x10/100/1000Base-T(X)電口���,220VAC 雙電源輸入
|
|
Agate7000-4GX14GE-H3-H3
|
4x1000Base-X SFP接口,14x10/100/1000Base-T(X)電口�,220VAC 雙電源輸入
|
|
Agate7000-4GX7GE-H3-H3
|
4x1000Base-X SFP接口,7x10/100/1000Base-T(X)電口,220VAC 雙電源輸入
|
工控防火墻選購軟件推薦服務(wù):
|
服務(wù)型號
|
型號說明
|
|
Agate7000-uIPS
|
入侵防御系統(tǒng)特征庫升級
|
|
Agate7000-uANTI
|
防病毒特征庫升級
|
工控防火墻推薦選購擴展端口:
|
擴展端口型號
|
型號說明
|
|
AM7000-4GE
|
4x10/100/1000Base-T(X)電口
|
|
AM7000-4GX
|
4x1000Base-X SFP接口
|
|
AM7000-B-4GE
|
4x10/100/1000Base-T(X)電口���,2組Bypass
|
|
AM7000-8GE
|
8x10/100/1000Base-T(X)電口
|
|
AM7000-4X
|
4x10G SFP+接口
|
資料下載
Kyland-Agate7000-Datasheet-CN-V2
