工业防火墙

产品概述

威努特工业防火墙(TEG)是针对工业控制系统环境设计开发的边界隔离和安全防护产品，产品基于工业级ARM多核处理器芯片的硬件架构和自主知识产权的智能工控安全操作系统（IICS-OS），基于优化的软硬件架构提高报文的处理能力，对40多种工业协议进行深度报文解析（DPI，Deep Packet Inspection），运用“白名单+智能学习”技术建立数采通信及工控网络区域间通信模型，保证只有可信任的流量可以在网络上传输，为工控网络与外部网络互联、工控网络内部区域之间的网络连接提供安全保障。

产品亮点

精准的工业协议分析识别能力

通过自主研发的深度数据包解析引擎，威努特工业防火墙(TEG)能够检测出10000多种知名端口协议，能够对包括OPC UA/DA、Modbus TCP/RTU、IEC 60870-5-104、IEC 61850 MMS、Siemens S7、Ethernet/IP（CIP）、Profinet、EtherCAT、Fins的40多种工控协议做深度报文解析，识别报文中的有效内容特征、负载和可用匹配信息，如恶意软件、具体指令和应用程序类型，对工控协议特征做到实时解析和精准的识别。

值域级细粒度访问控制

基于工业协议的精准识别能力，TEG工业防火墙不仅可以实现传统基于安全域、IP、MAC、时间段、服务、执行动作等多个维度的访问控制策略，对OPC、Modbus TCP等十余种主流工控协议支持超过1000种的功能码识别，可以做到指令级甚至值域级的超精细控制粒度。

多种便捷的白名单生成方式

工业防火墙内置智能学习引擎，根据当前的学习情况，智能判断白名单的学习进度，在保证学习质量的情况下最少化学习时间开销。支持对学习数据进行去重，对学习后的白名单进行智能合并，防止白名单过多，造成资源浪费。支持基于组态工程文件直接生产白名单规则，用户仅需将已经编译好的组态工程文件导入到工业防火墙中，即可以直接生成白名单规则，极大减少工业白名单学习时间，尽快发挥工业防火墙安全防护能力。

黑白名单结合的综合防护能力

工业防火墙的DPI引擎能够深度解析30多种工业协议，IPS规则库具备工控类和非工控类规则共10000条。依托于强大的工业协议深度解析引擎和IPS规则库，首先建立适配工业现场业务的白名单，在业务流量通过白名单基线检测后，黑名单规则库可针对关键事件进一步对流量进行检查，黑白名单结合，进一步保障现场业务安全。

业务工艺异常检测

针对逻辑性、时序性强的业务流程，工业协议深度解析引擎能够配置通讯周期和工艺序列，如果报文提前或超时到来、到来时序不符合预期，工业防火墙能够立即发出告警。同时业务工艺异常检测模块也能够对源地址和目的地址、协议字段、报文长度、包长度进行检测，全方位监测业务是否正常运行。

全面的IPv6解决方案

全面支持IPv6协议族，支持IPv6邻居发现、ICMPv6、Path MTU 发现、DHCPv6等IPv6特性；支持基于IPv6的Ping、Traceroute、Telnet、SSH、ACL等，满足纯IPv6网络设备管理及业务控制的需要；支持MLD、MLD Snooping等IPv6组播特性，支持IPv6静态路由、VLAN间路由，为用户提供完善的IPv6二、三层解决方案，满足用户IPv4网络向IPv6网络的平滑过渡以及纯IPv6网络的建设需要。

硬件级安全策略写保护

TEG工业防火墙支持硬件级安全策略写保护，工业现场生产业务确定后，工业防火墙安全防护策略也一并确定，和生产业务共频，保证安全策略无法被非授权更改。

高可靠低时延的工业级硬件平台

TEG工业防火墙可提供高吞吐低时延的处理能力和业务防停车技术，开启深度报文检测（DPI）的情况下设备满配策略时延不高于200us。产品的硬件平台设计遵循工控行业标准，采用无风扇设计，关键部件冗余，软硬件支持Bypass、双机热备，硬件平台达到工业三级B以上品质，整机功耗最小仅7W，能够满足工业环境下低功耗、宽温、防尘、防潮及高可靠的使用要求，支持导轨式、壁挂式、机柜式等多种安装方式。

支持自主可控的国产化软硬件系统

产品支持国产化软件（麒麟）+硬件平台（飞腾），是目前较为稳定可靠的国产化平台选型，配合可信模块，打造完全自主可控的国产化安全计算设备。

应用场景

过程监控层设备访问控制

● 以串联方式部署在现场控制层与过程监控层、过程监控层与生产管理层之间
● 采用会话状态检测、包过滤检测机制，限制对过程监控层的非授权访问行为
● 自动学习网络间通信关系，对正常通信行为建模，异常通信行为将被拦截
● 建立设备白名单基线，对设备接入行为实时检测，发现未知设备接入即产生告警

现场控制层设备值域级防护

● 具备Modbus、S7、OPC等主流工业协议的值域级细粒度访问控制能力
● 基于工业控制协议的深度解析，实现对非法操作指令的拦截和告警
● 基于工业控制协议通信记录，自动学习业务通信逻辑关系、操作功能码和参数等，形成正常通信行为模型
● 对包过滤日志、工业协议过滤日志等安全事件日志进行记录，并上报至统一安全管理平台

 

• [上篇]工业互联防火墙
• [下篇]