HC-ISG工业防火墙

产品简述

随着网络信息时代的到来，我国工业模式发生了翻天覆地的变化，彻底打破了“信息孤岛”模式，企业全面联网，生产数据轻松实现汇总分析，不但提高了生产效率，还达到了节能减排的目的。信息化给工业带来的有利变化显而易见，但随之而来的网络安全问题又使人为之惊慌。

传统的商用防火墙是目前网络边界上最常用的一种防护设备，它所提供的主要功能包括访问控制、地址转换、应用代理、带宽和流量控制、事件审核和报警等。商用防火墙诞生于传统信息网络环境下，虽然经过了多年的发展和完善，但其应用环境还是局限于企业信息网络，它对于工业网络环境还有诸多的不适应。也正是基于这一现实，工业防火墙被开发应用。

全新一代增强级工业防火墙HC-ISG (V2.0)，是专用于工业控制安全领域的增强级边界安全防护产品，能够有效对SCADA、DCS、PCS、PLC、RTU等工业控制系统进行网络安全防护。该产品主要用于实现工业基础设施在网络环境中的边界防护，从而阻断攻击者的非法访问、病毒传播和恶意攻击等，同时也能有效避免工作人员误操作导致的威胁扩散等安全问题。该产品能够广泛应用于各工业现场，包括核设施、钢铁、有色、石油天然气、化工、电力、城市燃气、机械、环保监测、城市供水、供热、水利枢纽、隧道、港口、铁路、城市轨道交通、民航以及其他与国家基础设施和国计民生紧密相关的工业控制系统和网络。

产品特点

1. 工业协议过滤 

2. 深度检测防御 

3. 智能协议识别 

4. 辅助规则生成 

5. 病毒过滤 

6. URL过滤 

7. 入侵防御 

8. 攻击防护 

9. IP/MAC绑定 

10. 流量监控和会话管理 

11. 带宽管理 

12. 安全审计 

13. 用户认证 

14. 管理员鉴别 

15. 负载均衡功能 

16. NAT功能 

17. VPN功能 

18. IPv6支持 

19. 设备部署模式 

20. 设备高可用性 

21. ALG应用级网关 

核心优势

充分保证现场设备正常、稳定的运行，免遭网络信息安全威胁访问控制，防止控制设备/系统被非法访问，阻断非法下发控制指令，保护DCS、SCADA、PLC及重要服务器等重要资产被破坏。包括攻击防护以及安全审计功能。

通过硬件可靠性的保障，以及支持设备的快速接入，确保用户业务的连续性,消除单点故障的影响。

防护规则自动学习、用户可勾选进行配置，实现统一拓扑集中管理，使现场部署快捷、维护方便。

项目概述

在本解决方案中，主要建设内容是进行工业控制信息安全网络的搭建，确保底层生产的稳定高效进行以及企业基础数据的安全存储。所一般性的功能需求如下：

应用工业网络隔离设备阻止控制设备/系统被非法访问，阻断非法下发控制指令，以防止病毒、恶意代码等肆意传播；

选用安全型通信网关作为数据采集用途，网关配备工业通讯协议的过滤模块，支持各种工业协议识别及过滤， 弥补商业防火墙不支持工业协议过滤的不足；

安全型数据通信网关通过采集多个不同子系统、设备、智能仪表等的数据，进行数据集中汇总、分类和预处理，并向多个不同应用系统进行数据转发；

安全型数据通信网关支持组态软件或实时数据库软件的断线缓存，以解决由网络断开或信息阻塞造成的数据丢失和历史数据不完整问题，保证MES系统数据的完整性；

不同层级间的控制系统采使用纵向防护、横向隔离，阻止来自上层网络的潜在威胁和避免区域间病毒扩散。

方案亮点

方案中所使用的工业隔离网关pSafetyLink、工业防火墙HC-ISG、工业数据采集网关pFieldComm都是力控自主研发的产品，并延用力控可组态的产品思想设计出来的。产品间可无缝对接，能够保证系统的稳定性、安全性、兼容性；

工业数据采集网关pFieldComm支持1000多种工业协议，覆盖国内、国外众多厂家仪器、仪表、PLC等设备，通过简单配置，即可使用，可以大大缩短项目开发周期；

工业隔离网关pSafetyLink是国内首款国家公安部认证的工业网络安全防护产品；

工业隔离网关pSafetyLink、工业防火墙HC-ISG、工业数据采集网关pFieldComm之间的数据传输采用的是力控私有协议Commserver，可以充分保证数据传输的安全性；

工业防火墙HC-ISG内置工业病毒库，具备病毒过滤功能，当携带病毒的文件通过常用类型协议进行传输时，防火墙能够对文件进行病毒检测并拦截，避免恶意文件进入被保护网络；

工业隔离网关pSafetyLink、工业数据采集网关pFieldComm支持数据断线缓存功能，可以保证系统数据的完整性、连续性。

方案价值

采用本方案相关设计所进行的信息安全防护体系的建设，能够彻底的隔离IT网络中蠕虫、木马等恶意程序传播，保护SCADA、DCS、PLC等重要资产的安全；能够有效的过滤掉嵌入在应用层的恶意代码，保护工厂生产设备的安全；彻能够底的阻断ARP、flood、碎片、恶意扫描等恶意攻击，护工厂生产设备免受恶意攻击，从而保护工厂人员生命及财产安全；所有数据实现一次采集多次复用，帮助用户降低信息集成过程的复杂度和成本。

此外，软硬件一体机的产品特点，能够替代工控机，满足企业所需要的长时间运行要求，可以大大降低维护成本及开发成本。

设计概述

本解决方案采用的是力控自主研发的产品“工业隔离网关pSafetyLink+工业防火墙HC-ISG+工业数据采集网关pFieldComm”进行的联合部署，整个防护体系也划分为纵向层级隔离和横向区域边界隔离。

纵向层级隔离：在设备控制层与MES系统信息化层之间部署一台工业隔离网关pSafetyLink，以阻断上层信息网病毒对控制层的直接攻击。

横向区域边界隔离：在合成装置、尿素装置和磷酸装置所在区域各部署一台工业隔离网关pSafetyLink，防止区域间病毒的交叉感染；在煤代油装置区域部署一台HC-ISG工业防火墙，用来切断网络中的非法访问和恶意代码攻击，同时防止装置被其它区域的病毒感染；在其它控制装置区域部署一台工业数据采集网关pFieldComm，用来采集分散的设备，并通过力控的私有协议Commserver，将数据转发给工业隔离网关pSafetyLink或SCADA，以保证数据传输的安全性。