长扬科技工业防火墙IFW_工控协议深度检测解析_动态过滤策略防护

长扬科技工业防火墙IFW

长扬科技根据多年在工控安全领域的攻防经验和技术积累，打造出安全防护类产品：长扬工业防火墙（IFW）。它以工业白名单策略为主要安全防护手段，采用自适应安全策略，对工业协议进行深度解析和策略控制，能够将工业控制系统与企业其他系统之间进行安全区域划分，并保障安全区域间实现安全技术隔离，有效地解决区域安全、流量控制等工业网络控制安全问题，是企业打造安全合规的工业控制系统中不可或缺的设备。它保护工控网络免遭当前和未来的安全威胁。

立即咨询

首页 > 产品中心 > 工控安全 > 长扬科技工业防火墙IFW

公安部—等级保护2.0 icon

政策指导：工业防火墙在政策文件中的体现 icon

2016年10月17日

《工业控制系统信息安全防护指南》

通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。

2017年12月29日《工业控制系统信息安全行动计划（2018-2020年）》

研发工控安全防护技术工具集，加强分区隔离、安全交换、协议管控等关键技术攻关。

2019年12月1日

《信息安全技术网络安全等级保护安全设计技术要求》

每章节的第5部分是对于工控网络的技术要求，提到“在工业控制系统与企业其他系统之间应划分安全区域，且安全区域间应采用技术隔离手段。

2019年12月1日《信息安全技术网络安全等级保护基本要求》（等保2.0）

应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除能允许通信外受控接口拒绝所有通信。

工业防火墙整体功能介绍 icon

网络层安全防护

白名单过滤，指定可以访问工控系统的网段或指定IP及端口。IP\MAC绑定，IFW绑定合法接入IP\MAC信息，防止非法接入工控网络。抗DOS攻击，防范SYN-FLOOD、LAND、TCP-SCAN等数十种常见DOS攻击。

应用层安全防护

工业威胁检测：可针对用户工业网络特点检测关注的各种异常网络业务行为并抵御应用层攻击。漏洞攻击防御：支持实时检测并抵御操作系统类、应用服务器、工业控制器类的漏洞攻击，通过内置的2200+工控漏洞库及漏洞特征检测规则，实时对网络中的入侵进行处置和告警。

工业协议安全防护

通用协议访问控制

针对常见工业协议提供黑白名单访问控制，如Modbus\OPC等，可禁止非必须协议访问，将威胁入口最小化。

动态协议访问控制

针对多种动态端口协议进行有效访问控制，如通用的FTP协议、工控的OPC协议均可完美适配，并通过策略进行管控。

专用工控协议深度解析

深度解析工控协议，对工业协议进行内容级深度检测过滤，如OPC、IEC104\MODBUS\S7等，可有效抵御非法指令注入工控系统。

自定义报文深度过滤

提供私有工业协议的防护扩展能力，用于私有协议控制，无需定制开发。

工业协议深度检测

工业协议值域控制

工业协议自学习

工业VPN

工业VPN可以对工业协议做专业级的隧道加密防护。该VPN模块经过了长时间的市场检验，具有稳定强、易用强、网络环境适应性强，性能高的特点，确保用户的生产、经营数据的机密、完整、可用。

高可靠性

完备的保护机制，保障用户工业网络安全

节点保护
Bypass，支持掉电Bypass和手动Bypass。双机热备，智能感应设备宕机，实时切换，切换时间ms级别。

链路保护
双机热备，智能感应上下游链路状态，实时切换，切换时间ms级。工业VPN，加密传输，数据传输更安全。

配置保护
导出的配置加密处理，保护客户配置安全。

管理与审计

管理

防火墙管理界面拥有良好的用户体验，简单易用，结合工业人员的使用习惯，帮助用户快速、系统性地完成安全策略的部署和迁移。

审计

支持系统日志、操作日志、安全日志、策略日志、白名单学习日志、NAT日志、会话日志等，对安全事件进行审计，及时追溯安全事件的轨迹。

产品选型

产品介绍

产品选型

产品资质

IP40防护等级测试报告，计算机信息系统安全专用产品销售许可证（增强级），计算机软件著作权登记证书，产品兼容性互认证证书（海光），产品适配证明（飞腾），CE认证证书。社会公共安全产品自愿性认证，需提供测试报告。具备公安部颁发的《计算机信息系统安全专用产品检测和销售许可证管理办法》，安全操作系统V2.0安全操作系统（四级）证书。通过中国电力科学研究院有限公司检测，检测结果为符合，需提供测试报告。

产品价值

合规性价值

符合国家安全性政策法规，满足等级保护2.0、网络安全法以及行业相关的逻辑隔离、报文过滤、访问控制等刚性需求；

工控协议深度检测解析

支持Modbus、OPC UA/DA、DNP3、IEC104、MMS、S7、EtherNet/IP、ProfiNET、BACNET/IP、Fins等在内的各类主流工控协议，以及自定义工控协议，并且能够进行深度检测与解析，实现报文格式检查、报文完整性检查、功能码控制、寄存器控制、连接状态控制、动态端口控制等。

动态过滤策略防护

根据实际应用需求，对访问数据包进行动态过滤，为合规访问动态打开/关闭安全端口；通过不同过滤策略的部署，实现对不同网络区域进行安全隔离，对重点区域进行安全保护，对非法访问连接进行阻断。

工控网络威胁防护

实时检测工控网络中的攻击行为，通过内置的工控安全威胁库及安全威胁检测规则，建立网络数据黑名单类型的安全模型，对网络入侵进行实时处置和告警。对于网络中常见的扫描探测、DDOS攻击、带宽滥用等行为均有对应的安全防护策略。

产品的部署位置和场景 icon

长扬工业防火墙（IFW）在保障工控业务的基础上实现区域安全防护和操作控制，适用于如下场景：1.核心控制器重点隔离防护；2.生产控制系统各区之间网络边界安全隔离防护；3.生产控制系统与上层网络（生产管理层）之间网络边界安全隔离防护。

部分行业成功案例

某厨卫集团工业安全网络分类分级改造方案 icon

需求背景

随着工业信息化的快速发展以及工业4.0时代的到来，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。为了提高生产效率和效益，工控网络越来越开放，不可能完全的隔离，这就给工控系统网络安全防护带来了挑战。

解决方案

访问控制需求

恶意攻击防护

DoS攻击防护

重点设备的安全防护

云天化集团工控网络安全防护解决方案 icon

需求背景

近年来，随着集团业务发展和企业生产规模的不断扩大，对信息化和工业控制系统安全运行的依赖度也越来越高。为了贯彻落实《中华人民共和国网络安全法》、《网络安全等级保护制度2.0》、《关键信息基础设施安全保护条例》等国家法律规范，积极响应工业和信息化部《工业控制系统信息安全行动计划（2018-2020）》，推进集团关于《工业控制系统安全标准建设及保障体系建设2019-2021年工作计划》的落地实施，全面提升云天化集团的工控网络和信息网络的安全威胁监测感知与应急处置能力，保障安全生产。

解决方案

在企业侧信息管理区（办公网）部署“厂级工业网络安全日志分析系统”，可实现对信息网、工控网的安全数据集中管理。厂区平台可以和集团平台进行双向数据交互，通过中间部署防火墙进行逻辑隔离，采用SSL VPN链路加密传输，确保传输链路通信安全；在企业侧生产控制区（工控网）、企业侧信息管理区（办公网）部署“工业监测审计”、“主机探针”，实现对工控网和办公网的网络流量、日志、数据库、中间件等运行状态数据进行采集，所有数据统一传输到“厂区工业网络安全日志分析系统 ”。

产品推荐查看更多>>

威努特蜜罐诱捕系统HTS

蜜罐（honeypot）用于欺骗攻击者并跟踪攻击者，通过布置一些作为诱饵的主机或网络服务，诱使攻击方对他们实施攻击，从而可以对攻击行为进行捕获和分析。在攻击者侦查阶段就能第一时间有效感知入侵行为，引诱、迷惑攻击者，提供几乎无缺陷的检测，有效快速识别威胁。

精准捕获

深挖风险

情报分析

主动防御

立即咨询查看详情

威努特工控安全隔离与信息交换系统WISGAP

威努特工控安全隔离与信息交换系统WISGAP，采用“内外网双主机+专有安全数据交换模块”架构以及专用安全操作系统，确保内外网在任何时候无联通的电气连接，剥离TCPIP协议栈，摒弃OSI七层模型的所有不安全因素，实现网络的高安全隔离。

信息交换

高可靠性