華康工業防火墻HC-ISG

產品特點

工業協議過濾

支持包括OPC、Modbus、Ethernet/IP、IEC104、DNP3、西門子、GE等多種協議的解析和訪問控制功能。

深度檢測防御

從應用層對多種工業協議進行深層檢測，可以對工業協議內部的指令、內部寄存器等信息進行深度檢查，防止應用層協議被纂改或破壞，保證工業協議通訊的完整性和可控性，為工業網絡通訊提供最安全的解決方案。

智能協議識別

采用被動檢測的方式從網絡中采集數據包，并進行數據包的解析。

輔助規則生成

可自動獲取經過防火墻的實時完整協議信息，與系統內置的協議特征、設備對象等進行匹配，生成可供參考的網絡交互信息列表，幫助用戶以最快捷的方式了解和掌握網絡中的通訊業務，便于在安裝初期簡化工程師配置，在純凈網絡中自動生成規則，啟動防護功能。

病毒過濾

內置工業病毒庫，具備病毒過濾功能，當攜帶病毒的文件通過常用類型協議進行傳輸時，防火墻能夠對文件進行病毒檢測并攔截，避免惡意文件進入被保護網絡。

URL過濾

可將所有Web流量與URL過濾數據庫進行比較，阻止對于惡意網站的訪問。

入侵防御

內置工業ISP庫，可持續升級，通過流量檢測和報文深層次分析，全方位防御注入攻擊、XSS攻擊、目錄遍歷攻擊、操作系統漏洞利用攻擊等。

攻擊防護

掃描攻擊防護：提供完善的網絡掃描防護功能，能夠檢測和記錄對所有接口及受保護網絡的掃描行為。
Dos/DDos攻擊防護：包括TCP Flood、UDP Flood、SYN Flood、ICMP Flood、IP Flood、TearDrop 、Land等攻擊。

IP/MAC綁定

檢測非安全端的IP與MAC地址是否相同,防止遭受ARP攻擊和IP沖突等安全問題。

流量監控和會話管理

通過IP地址、網絡服務、時間和協議類型等參數對流量進行統計，可根據策略和網絡流量動態調整客戶端所占用帶寬，支持設置單IP的最大并發會話數，能夠在會話處于非活躍狀態一定時間或會話結束后，主動釋放其占用的狀態表資源。

帶寬管理

可對帶寬進行管理和配置，優先保證工控業務帶寬，保證業務連續性。

安全審計

提供完整的日志管理平臺，審計訪問操作記錄，為界定不同區域的交叉訪問和問題追蹤提供可靠的依據；
為用戶提供防火墻狀態監控、日志存儲、檢索、查詢及智能報警功能。

用戶認證

用戶認證可采用本地認證、Radius認證和Ldap認證3種方式。

管理員鑒別

管理員可進行鑒別配置，并能綁定啟用UKEY， 實現雙因子認證。

負載均衡功能

支持負載均衡功能，能夠根據安全策略將網絡流量均衡于多臺服務器上。

NAT功能

支持多對一、多對多源NAT；支持目的NAT。

VPN功能

為設備間數據通信提供安全保障,通信過程采用加密傳輸,認證成功后可實現遠程訪問。

IPv6支持

支持IPv4和IPv6雙協議棧的網絡環境，支持IPv4和IPv6兩種協議之間相互轉換。
支持利用隧道技術，實現IPv4和IPv6網絡互通，作為IPv4網絡到IPv6網絡的過渡。
提供6over4隧道、6to4隧道以及ISATAP隧道的功能。

設備部署模式

考慮到工業網絡對于可用性、持續性的要求，支持透明或路由部署方式，可根據實際工業網絡環境靈活部署。

設備高可用性

設備支持BYPASS、雙機熱備，當主防火墻出現斷電或其它故障時，可及時切換到備防火墻進行工作，避免單點故障。雙重保障，更安全、更可靠。

ALG應用級網關

具備ALG功能，對父連接的應用層信息進行解析，獲取子連接信息，實現對多連接協議的父連接及子連接的控制，支持FTP、SQLNET、H323、OPC協議。如：OPC運行正常，OPC數據連接所使用的動態端口被開放/放行。

位置1：生產管理層和信息管理層的縱向防護，阻斷來自上層信息網的威脅。

位置2、3、5：對重要系統及實時數據庫的服務器進行專門防護，切斷惡意訪問、惡意代碼滲透及病毒感染。

位置4、10、11：隔離工程師站等主機設備，如若工程師站等主機設備感染病毒，可避免其病毒擴散至其它設備乃至整個工業網絡，降低工程師站等主機設備存在的安全風險。降低工程師站作為常用對外接口，因感染病毒而帶來的風險。

位置6、7、8、9、13：過程控制層不同區域間的縱向防護，防止不同區域間的交叉感染。

位置7、12、14：保護重要控制系統或設備，只允許必要的數據包通過，阻斷對重要控制系統或設備的所有非法訪問及控制。