网御星云工业防火墙IFW-3000系列_工控网络安全防火墙

申请试用

网御星云工业防火墙IFW-3000系列

网御工业防火墙IFW-3000系列是为工控网络安全专门设计的防火墙产品。具备军工级硬件品质，采用宽温、防尘、抗电磁、抗震设计；提供导轨式、机架式两种形态；支持BYPASS、热备机制、接口联动、端口冗余多种技术，全方位保证设备可靠运行。

立即咨询

首页 > 产品中心 > 工控安全 > 网御星云工业防火墙IFW-3000系列

工业控制系统自身的脆弱性 icon

软硬件漏洞

1、SIEMENS、施耐德都等各大厂商都存在很多的漏洞；2、工业领域软、硬件更新、升级、换代困难。

人为因素

1、缺乏完善信息安全管理规定；2、U盘、误操作、恶意操作等安全威胁。

工业协议漏洞

1、工业协议设计之初缺乏安全性考虑；2、明文设计、缺乏认证、功能码滥用等安全威胁。3、工控控制协议核心技术大多掌握在国外厂商手中，存在安全漏洞和后门，可控性低。

传统防火墙难以适应工业环境 icon

传统防火墙不适合工业环境，难以胜任

工业网络采用的专用工业协议，策略无法适应。工业协议指令内容无法深度解析控制，对违法指令无能为力。工业生产环境严苛复杂，无法在低高温、风尘等条件部署。工业生产环境要求高可靠性，对实时性传输反馈要求高，设备宕机就断网会造成立即中断生产。工业环网流量、协议更加复杂专业，无法提供有效的策略参考依据。

产品简介

网御工业防火墙IFW-3000系列是为工控网络安全专门设计的防火墙产品。具备军工级硬件品质，采用宽温、防尘、抗电磁、抗震设计；提供导轨式、机架式两种形态；支持BYPASS、热备机制、接口联动、端口冗余多种技术，全方位保证设备可靠运行。根据工业网络特点，网御工业防火前该系统提供多种为工业网络安全设计的专用功能，如预置百种常见工业协议，支持OPC、Modbus_TCP/RTU、S7、EIP、DNP3、IEC104等常用工业协议的深度过滤解析，工业网络流量学习，工业威胁检测，工业协议自定义等。网御工业防火墙产品适合部署在工业网络每层的边界位置，部署在监控层的边界可对数据采集进行安全过滤；部署在设备层的边界可对不同的工厂进行逻辑隔离。也适合部署在关键工业设备前，如PLC、DCS等，起到对关键设备进行隔离保护的作用。

工业控制系统面临的安全威胁 icon

工业防火墙与传统防火墙的差别对比 icon

国家标准不同
工业防火墙适用标准文件为《信息安全技术工业控制系统专用防火墙技术要求》通用防火墙适用标准文件为《信息安全技术防火墙安全技术要求和测试评价方法》

环境适应性
适应严酷现场环境，工作稳定范围宽，温宽达-40~70，无风扇设计，工业粉尘环境正常工作

高可靠性
软硬件设计上对可靠性要求更高，故障开放原则，Bypass保证业务正常运转，生产不中断。

工业协议识别
可以对工业协议OPC、Modbus、IEC104等做到指令级识别控制，内置多种种工业协议及模板。

核心功能

内置百种工业协议
内置百种常见工业协议，供制定专业工业安全策略引用；支持协议规则自定义，可针对二层、三层协议自由定义过滤策略

工业协议深度检测
主流工业协议内容、指令级深度解析检测，包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104、DNP3等协议

工业协议内容自定义
支持自定义报文解析，提供基于自然语言描述、可扩展的数据内容检测引擎，提供全面自定义安全防护扩展能力

流量自学习
智能学习工业网络流量情况，推荐安全策略协助管理员洞悉工业网络情况，轻松运维

网络适应性
基于传统五元组、协议、资产、时间等多元组一体化访问控制；支持透明、路由、混合模式部署

工业IPS
预置工控系统攻击事件库，全面提升工业网络安全防护能力

集中管理
支持工业防火墙的大规模部署，全网策略统一下发，设备情况统一展现，日志告警集中显示

高可用性
接口支持BYPASS、冗余、联动等功能；支持双机热备及系统备份功能

安全能力-工业级硬件 icon

满足工业环境中

机械要求（如冲击、振动、拉伸等）。

气候保护要求（如工作温度、存储温度、湿度、紫外线）。

侵入保护要求（如保护等级、污染等级）。

电磁辐射和免疫要求（发射、免疫），具备生产环境下的高可靠性和高可用性。

安全能力-多场景适应性 icon

零打扰部署，保障生产业务的连续性！

高可用性保障
HA机制

双机热备部署

软硬件BYPASS 端口冗余

多工作模式
全通模式

测试模式

防护模式

旁路模式

网络适应性
支持透明、路由、混合部署方式

支持trunk功能具备路由功能

提供NAT转换能力

安全能力-智能学习模式 icon

安全能力-整体协议安全能力 icon

安全能力-深层次业务防护 icon

OPC协议
工业网络最常见的专用动态端口协议，包括OPC-DA和OPC-UA ，IFW提供针对其指令集访问控制能力。

MODBUS协议
分为MODBUS-TCP（通用工业协议）MODBUS-RTU（串行链路协议）两种，IFW均提供协议内容GUID级的管控策略

SECS-GEM协议
此连接性标准用于在设备和工厂的资讯和控制系统间建立通讯。IFW提供针对其指令集访问控制能力。

IEC104
是电力行业常用的工业协议之一，IFW提供协议GUID操作管控策略

S7协议
西门子设备专用工业控制协议，IFW提供检测内容模板化配置

EIP协议
EtherNet／IP使用TCP/IP传输工业应用层协议，IFW可针对内容级的检查和过滤

DNP3协议
是一种应用于自动化组件之间的通讯协议，常见于电力、水处理等行业，IFW提供针对其指令集访问控制能力

非工控协议
支持传统网络传输协议，包括HTTP，FTP，UDP等

安全能力-工业入侵检测 icon

数据收集，负责从网络接口中抓取原始报文；

协议分析，负责对报文进行解码，并实现了数据流跟踪技术，根据五元组信息，实时跟踪网络数据流和会话。

特征检测，基于数据流的检测技术，采用高效的多模匹配算法，可以高效匹配内置的入侵检测特征库。

事件告警，匹配到检测特征库后，模块会实时产生不同类别，不同优先级的事件告警，并提供对事件告警信息的分类查看、搜索、查询、统计功能。

异常阻断，用户可以根据事件报警，进行异常IP阻断处理操作。

安全能力-自定义异常检测 icon

私有协议内容结构深度自定义，PAYLOAD级别过滤自定义匹配

数据包格式深度自定义：支持自定义异常检测功能，关键词支持14种通用协议关键词（包括IP关键词、TCP关键词、HTTP关键词等）和6种通用操作关键词（包括payload关键词、Flow关键词等）例如: match = http.url[8]==”/sys/post.asp?id=” 判断http.url的第8个字符是否等于模式串。

提供详细的自定义格式说明手册

IFW-3000技术路线 icon

智能学习

工控网络资产、流量、协议自学习，提供列表协助您了解自己的工业网络

工业协议

提供专业协议集，便于工厂工艺流程和网络流量控制规则引用

协议构造

利用自然语言、多运算符深度定义数据包格式，按照被检协议内容自由定义检查策略

入侵规则

利用已知威胁特征进行安全防护，有效抵御针对工业环境的网络攻击传统FW

支持访问控制列表，NAT，冗余接口，接口联动、终端绑定等传统防火墙功能

版本新增功能及资质

功能动态

新版本功能界面全新改观，增加易用性，提升用户体验；全面支持IPv6，满足IPv6网络改造需求；工业入侵防护功能重构，新增特征库检测模板且支持升级，大大提升产品入侵防护能力；新增工业协议DNP3-TCP、OPC-UA、SECS-GEM的深度过滤控制，基本覆盖市场主流工业协议，内容检测和过滤程度更深；支持对入网流量监控与网络行为统计和分析；支持对上报的安全事件作集中分析和可视化展现，方便用户实现对设备所有安全事件的统一管理和维护；支持网络访问行为关系进行拓扑呈现，并以图形化和表格的形式呈现；

新增功能-新增特征库检测模板 icon

通用安全检测模板适用于通用环境的入侵检测模板，包含木马、蠕虫、shellcode等恶意攻击，通用协议攻击和安全扫描行为检测。工业安全检测模板适用于工业环境的入侵检测模板，包含工业协议攻击、安全扫描行为检测。物联网安全检测模板适用于物联网环境的入侵检测模板、包含僵尸网络等恶意攻击，ftp协议、telnet协议攻击和安全扫描行为检测。安全扫描检测模板检测扫描行为，比如Namp、Nessus、Nikto等安全扫描检测模板适用通用环境的高风险级别、包括恶意攻击、通用协议攻击等

新增功能-监控统计

产生价值点：灵活多样的图表显示有助于方便用户实时掌握设备系统安全信息；支持对上报的安全事件作集中分析和可视化展现，方便用户实现对设备所有安全事件的统一管理和维护；各模块图表与统计数据提供可配置的规范报表导出，便于用户历史存档和报表查看。

新增功能-网络拓扑图表化展现 icon

支持网络访问行为关系进行拓扑呈现，并以图形化和表格的形式呈现；支持可视化管理全局内网互访关系和风险动态，透视内网主机及服务器的业务应用和互联流量；

产品优势

军工硬件品质
硬件采用军工级标准，采用宽温、防尘、抗电磁、抗震设计，完美适应严苛的工业环境

设备运行安全可靠
多机制保证运行稳定，BYPASS、接口冗余、接口联动、系统备份、双机热备等

工业环境从容部署
提供全通模式、测试模式、防护模式和旁路模式部署，对工业正常生产几乎无影响

工业协议全面支持
预置百种工业协议，支持OPC、Modbus_TCP/RTU、S7、EIP、DNP3、IEC104等的深度检测。

工业协议内容细粒度检测
对工业协议传递的参数可进行细粒度检测和过滤，如遥测遥感、上下装、APCI、功能码等

未预置工业协议自由定义
提供自然化编程语言，多种函数、运算符可自定义检查数据格式规范

工业威胁专业防护
内置工业IPS引擎，预置工业攻击事件库，可自定义入侵规则，从容应对工业入侵

协议内容自定义过滤
可运用运用函数、运算符等对任何非密协议进行自定义的、精准的、深度的、全面的内容级检测

产品形态介绍

导轨式

导轨轨式防火墙大部分部署在生产环境的生产现场

部署在PLC前端

业界首款兼容RS232和485的串行工业协议防护

工作温度： -40 ~ 75 ℃

存储温度： -40 ~ 75 ℃

无风扇 IP40。

机架式

机架式设备隔离工控网和管信网

一般部署于工厂的机房中

无风扇 IP20

冗余电源单电源

工控协议DIP 工业IPS

工作温度： -5 ~ 50 ℃

吞吐：2Gbps~25Gbps

产品形态介绍

定制的板卡式车载设备：可针对项目需求做特定定制，CPCI插拔式板卡安装，配合用户已用机箱结构设计。宽温设计 -40 ~ 75 ℃，85 ℃条件可正常工作达30分钟以上。提供三防能力，抗震能力，低功耗。前面板M12接口BYPASS设计，后面板xxx接口设计。

工业防火墙热点行业

烟草
龙岩烟草（规范试点)、兰州烟草、海南红塔、珠海醋纤，《烟草行业工控网络安全技术规范》起草单位

电力
浙江台州发电厂，安全区一水煤灰控制系统PLC和DCS隔离防护

交通
中车制造集团，工业防火墙作为车载配件部署在车控系统网络边界进行隔离防护

能源
新疆能源化工有限责任公司，在安全区与非安全区间部署1至2台工业防火墙进行区域隔离

制造
中国第一汽车集团，将工业防火墙部署在每个机床前进行隔离及保护

工业防火墙场景-烟草行业 icon

建设内容：

某烟厂项目，机架式防火墙部署在MES和监督控制层之间，导轨式的部署在现场控制层两个重要的PLC前端。导轨工业防火墙针对S7协议深度检测。

实现效果：

1.实现了生产执行层与监督控制层间的隔离 2.PLC提供了安全防护，并支持对S7协议的深度过滤 3.为烟草行业规范提供了有力和可行的成功安全建设范例 4.龙岩烟草后续即将采用同样模式，对其他车间进行建设，包括卷接包、动力等。

工业防火墙场景-交通行业 icon

建设内容：

中车集团向某地铁项目供应列车，需要车载板卡式工业防火墙对车载控制网路进行隔离防护；后续将作为中车出厂地铁+高铁车头标配硬件。

实现效果：

部署在车头的车辆控制系统边界，有效在车控系统与PIS、互联网等非安全域间形成了隔离，保障车辆控制系统的安全运行。工业防火墙顺利通过某大型车辆制造集团严格的软件及硬件测试过程；

工业防火墙场景-制造行业 icon

建设内容：将工业防火墙部署在每个机床前进行隔离及保护，并提供策略检查，阻断工业环网中传播的非法指令或报文对生产机床造成影响，可针对每个机床进行个性化过滤策略配置，可对其所使用工业协议进行功能码级甚至数据包payload内容级的访问控制。实现效果：使用流量自学习功能对工业环网中的协议进行了深度自学习。根据学习结果对OPC\MODBUS等协议进行过滤；同时对用户无法说明的协议进行抓包分析，并通过工业协议自定义模块对此类协议制定深度检测策略进行脚本级深度防护。

工业防火墙场景-电力行业 icon

建设内容：

台州市第二发电厂在其“安全一区”的水煤灰辅控系统部署导轨式工业防火墙。两台工业防火墙分别部署在互为冗余的两条线路上，进行网络学习并进行智能策略推荐结合人工干预对策略进行筛选和下发最终形成最符合其生产需求的访问控制策略。

实现效果：

工业防火墙在生产控制大区与控制区进行网络隔离的作用的同时，提供对ModbusTCP协议深度检测功能码的访问控制功能。在策略下发过程中既可自动推荐亦可进行人为参与，最有效的形成符合特定需求的访问控制策略。

工业防火墙场景-能源行业 icon

建设内容：

国家电投集团新疆能源化工工控信息安全建设主要涉及一区生产控制区和二区非控制区终端设备。各场站生产控制大区在一区（安全区）与二区（非安全区）间部署1至2台工业防火墙进行区域隔离，并将策略配置细化至IP地址（段）、端口级进行。

实现效果：

各单位共部署工业防火墙68台，实现了各场站一二区之间的隔离防护，有效的在边界抵御了非法指令、恶意代码、DOS等对电力监控系统发起的多种形式的破坏和攻击；防止内部未授权用户访问系统或非法获取信息以及重大违规操作。

产品推荐查看更多>>

威努特数据库防火墙DBF

威努特数据库防火墙DBF，对数据库进行访问控制及异常行为监测的专用设备。实现业务系统、操作用户与数据库之间‘最后一公里’防护。根据预定义的防护策略，主动实时监控、识别、告警、阻断针对数据库的攻击及风险操作。帮助用户有效应对来自内外部的数据安全威胁，为业务稳定和数据安全保驾护航，确保全面满足合规要求。

实时监控

攻击检测

智能解析

防护策略

立即咨询查看详情

美创科技数据库防火墙系统

美创科技数据库防火墙系统是一款抵御并消除由于应用程序业务逻辑漏洞或缺陷所导致的数据(库)安全问题的专业级数据安全产品，实现事前安全策略配置、事中防护告警、事后审计，有效保护数据库免受来自外部的入侵攻击。

事前安全策略配置

事中防护告警

事后审计

立即咨询查看详情

迪普科技FW1000下一代防火墙

防火墙作为最核心的安全设备，访问控制是其基本功能，但基于五元组进行访问控制，很难做到精确地限制用户访问并识别相关应用。DPtech FW1000下一代应用防火墙，可实现基于用户的应用访问控制，且具备丰富的NAT功能，解决公网地址不足的问题。DPtech FW1000下一代应用防火墙可灵活部署于互联网出口、数据中心、分支机构安全互联等复杂场景，满足各类用户需求。

应用控制精确到人

安全策略智能优化

功能丰富全面防护

T级性能稳如磐石

立即咨询查看详情

数字化社区查看更多>>