工業防火牆

安恒工業防火牆是安恒信息在深入研究工業控制網絡特性以及存在的(de)安全隐患的(de)基礎上，結合多(duō)年網絡安全實戰經驗的(de)積累，采用(yòng)最新的(de)技術架構研制并推出的(de)一款爲解決工業控制網絡安全問題的(de)邊界防護類網絡安全産品。是一套集軟件、硬件爲一體的(de)内置多(duō)種針對工業控制網絡設計的(de)安全功能，能夠對工控網絡流量數據進行深度管控并具備高(gāo)可(kě)靠性要求的(de)安全防護設備，能最終實現工控網絡流量的(de)可(kě)知、可(kě)控，更有效地防護工業網絡環境安全，保障其業務連續性。

産品功能

工控協議深度解析

産品支持對工控協議的(de)應用(yòng)層過濾防護，預置數十種常用(yòng)工業控制通(tōng)信協議的(de)精準識别能力，支持對OPC、MODBUS/TCP、IEC104、DNP3、S7、Ethernet/IP等多(duō)種工控協議的(de)深度解析，可(kě)達到對工控協議指令、地址以及值域範圍級别的(de)細粒度的(de)精準控制。

多(duō)元組深度訪問控制

安恒工業防火牆采用(yòng)狀态檢測技術與深度報文檢測技術（DPI）相結合的(de)機制實現相應的(de)訪問控制功能。支持黑(hēi)、白名單兩種模式訪問控制；支持基于五元組、用(yòng)戶、協議、應用(yòng)、時間等組合配置的(de)安全策略。

工控流量自學習

對流經防火牆的(de)流量進行學習，并進行數據包的(de)解析，智能的(de)與系統内置的(de)協議特征、設備對象等進行匹配，生成可(kě)供參考的(de)網絡交互會話列表，幫助用(yòng)戶以最快(kuài)捷的(de)方式了(le)解和(hé)掌握網絡中的(de)業務通(tōng)信，并可(kě)一鍵勾選生成訪問策略。

産品優勢

網絡環境适應性強

防火牆能夠有效識别數十種常用(yòng)工業協議及通(tōng)用(yòng)IT協議，适用(yòng)于各種工業控制網絡環境;支持路由、透明(míng)以及混合模式部署，支持VLAN，支持IPv4與IPv6雙棧網絡，有極強的(de)網絡适應性，能夠滿足不斷變化(huà)的(de)工業網絡環境。

工業控制協議細粒度精準控制

防火牆内置多(duō)種工業控制協議深度解析檢測模塊，實現工控協議應用(yòng)層過濾。支持對OPC、MODBUS、S7、IEC104、 DNP3、ETHERNET/IP等常用(yòng)工控協議的(de)實時精準識别與深度解析，并支持協議指令、地址範圍以及值域範圍級别的(de)精 準控制。

工業特色安全防護能力

防火牆内置工業ISP規則庫，具備工業協議病毒過濾、IP/MAC地址綁定、攻擊防護、協議深度解析等能力有效保障工控 網絡安全，工控流量帶寬保障及優先級管控技術、會話管理(lǐ)與連接管理(lǐ)技術保障工控業務網絡連續性。

高(gāo)可(kě)用(yòng)性

防火牆支持冗餘供電、軟件/硬件故障BYPASS、雙機熱備、負載均衡、流量管控等功能，當防火牆出現系統及硬件故障時能及時切換運行狀态，提高(gāo)防火牆可(kě)用(yòng)性，保障工控業務連續性。

産品部署影(yǐng)響最小化(huà)

安恒工業防火牆提供學習、測試、管控三種工作模式，适用(yòng)于防火牆在上電、接入、配置、測試、應用(yòng)各個階段，以實現 對被保護網絡及設備的(de)最小影(yǐng)響。

應用(yòng)場景

1、邊界隔離部署

部署于不同網絡之間，實現不同網絡間的(de)邏 輯隔離，控制跨層訪問并深度過濾層級間的(de) 數據交換，隔斷阻斷來自管理(lǐ)網絡的(de)威脅。

2、區域間隔離部署

部署将控制網分(fēn)成不同的(de)安全區域，控制安全區域之間的(de)訪問，并深度過濾各區域間的(de)流量數據，以阻止區域間安全風險的(de)擴散。

3、關鍵設備隔離

部署部署于重要工控設備與工控網 絡之間，實現對重要控制設備的(de)訪問控制，阻止非授權的(de)訪問與非法操作指令。