結(jié)合白名單、黑名單、安全域劃分、IP/MAC地址綁定等技術(shù)，抵御工業(yè)網(wǎng)絡(luò)中各類已知和未知的惡意攻擊行為，為工業(yè)網(wǎng)絡(luò)中各類生產(chǎn)系統(tǒng)和業(yè)務系統(tǒng)的穩(wěn)定運行提供安全保障。

產(chǎn)品特色

工業(yè)級硬件

• 無風扇設(shè)計，支持寬溫，適應工業(yè)現(xiàn)場的惡劣環(huán)境;
• 雙電源設(shè)計，符合工業(yè)現(xiàn)場電源冗余要求(部分型號);
• 多核低功耗CPU，降低整機能耗;
• 硬件ByPass功能，異常狀態(tài)不會影響生產(chǎn)與業(yè)務 網(wǎng)絡(luò)數(shù)據(jù)。

協(xié)議識別廣而深

• 深度解析MODBUS TCP、DNP3、S7、IEC104、 MMS、PROFINETIO、OPCDA、GOOSE、SV 等多種工業(yè)協(xié)議，支持協(xié)議自定義;
• 支持大多數(shù)傳統(tǒng)IT協(xié)議的深度解析與控制。

工業(yè)漏洞庫

• 包含1000余種工業(yè)漏洞;
• 涵蓋主流廠商的工業(yè)漏洞;
• 精細分類工業(yè)漏洞，精確防護工業(yè)設(shè)備。

白名單與機器學習

• 對工業(yè)控制網(wǎng)絡(luò)中所有不符合白名單的數(shù)據(jù)和行為 特征進行阻斷和告警，消除未知漏洞危害;
• 通過機器學習自動收集系統(tǒng)正常運行狀態(tài)下的數(shù)據(jù) 行為，識別工業(yè)網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)的安全數(shù)據(jù)特征，建立 網(wǎng)絡(luò)流量安全基線。

高可靠性

• 硬件ByPass，當機器出現(xiàn)能源異常時，Bypass 網(wǎng)口自動導通，保證業(yè)務正常運行;
• 軟件ByPass，當網(wǎng)絡(luò)數(shù)據(jù)超出防火墻最大負荷 時，在條件地將部分安全數(shù)據(jù)軟bypass，保證網(wǎng) 絡(luò)時效性。

符合工業(yè)操作習慣

• 符合工業(yè)習慣的操作界面，運行情況一目了然;
• 符合工業(yè)習慣的設(shè)置方式，運行方式 簡單易懂;
• 符合工業(yè)習慣的展現(xiàn)形式，安全事件查看駕輕就熟。

產(chǎn)品功能

白名單防護

在默認情況下，任何未經(jīng)批準的主機、協(xié)議或功能指令都不能通過防火墻，從而抵御零日惡意軟件和有針對性的攻擊。一旦檢測到白名單以外的網(wǎng)絡(luò)數(shù)據(jù)，及時上報異常，對未知的攻擊也能夠記錄。

工業(yè)漏洞檢測

通過內(nèi)置的工業(yè)漏洞檢測引擎，內(nèi)置1000余種工業(yè)漏洞，涵蓋多數(shù)主流工業(yè)控制系統(tǒng)漏洞，精確匹配工業(yè)控制網(wǎng)絡(luò)中的數(shù)據(jù)特征，檢測工業(yè)控制網(wǎng)絡(luò)已知的惡意攻擊與威脅，保護工業(yè)控制系統(tǒng)業(yè)務與數(shù)據(jù)安全。

接入控制

主要針對工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)中第二層網(wǎng)絡(luò)（layer2）的控制，通過控制設(shè)備的源/目的IP、源/目的MAC，源/目的端口，快速識別工業(yè)控制網(wǎng)絡(luò)中存在風險的設(shè)備和主機，防護工業(yè)控制網(wǎng)絡(luò)安全于未然。

日志記錄與報表

日志記錄包括安全事件，操作記錄，協(xié)議事件等內(nèi)容。日志記錄默認所有事件都上報并存儲，特定場景下可以選擇需要上報的告警日志，優(yōu)化日志可視界面。報表展示靈活，定制內(nèi)容，定制類型，定制輸出的格式，滿足多種報表功能需求。

多種工作模式

由于工業(yè)控制網(wǎng)絡(luò)的特殊性，設(shè)計三種工作模式來滿足其要求：全通模式、測試模式、工作模式。全通模式下所有網(wǎng)絡(luò)數(shù)據(jù)都通過；測試模式下所有數(shù)據(jù)都通過，匹配安全策略的數(shù)據(jù)告警而不進行控制；工作模式下工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)根據(jù)安全策略決定通過還是阻斷。

NAT

NAT（Network Address Translation, 網(wǎng)絡(luò)地址轉(zhuǎn)換），包括SNAT與DNAT功能，它是一個IETF標準，將工業(yè)控制網(wǎng)絡(luò)的某個工段或者工作域以一個特定IP地址對外發(fā)布，防止工業(yè)控制網(wǎng)內(nèi)主機直接暴露在對外網(wǎng)絡(luò)中，保證工業(yè)控制網(wǎng)絡(luò)的主機和設(shè)備安全。 

VPN

VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))，包括IPSec與GRE功能，IPSec VPN是基于IPSec協(xié)議的VPN技術(shù)。GRE VPN（Generic Routing Encapsulation）是基于通用路由封裝協(xié)議的VNP技術(shù)。