华康工业防火墙HC-ISG

产品特点

工业协议过滤

支持包括OPC、Modbus、Ethernet/IP、IEC104、DNP3、西门子、GE等多种协议的解析和访问控制功能。

深度检测防御

从应用层对多种工业协议进行深层检测，可以对工业协议内部的指令、内部寄存器等信息进行深度检查，防止应用层协议被纂改或破坏，保证工业协议通讯的完整性和可控性，为工业网络通讯提供最安全的解决方案。

智能协议识别

采用被动检测的方式从网络中采集数据包，并进行数据包的解析。

辅助规则生成

可自动获取经过防火墙的实时完整协议信息，与系统内置的协议特征、设备对象等进行匹配，生成可供参考的网络交互信息列表，帮助用户以最快捷的方式了解和掌握网络中的通讯业务，便于在安装初期简化工程师配置，在纯净网络中自动生成规则，启动防护功能。

病毒过滤

内置工业病毒库，具备病毒过滤功能，当携带病毒的文件通过常用类型协议进行传输时，防火墙能够对文件进行病毒检测并拦截，避免恶意文件进入被保护网络。

URL过滤

可将所有Web流量与URL过滤数据库进行比较，阻止对于恶意网站的访问。

入侵防御

内置工业ISP库，可持续升级，通过流量检测和报文深层次分析，全方位防御注入攻击、XSS攻击、目录遍历攻击、操作系统漏洞利用攻击等。

攻击防护

扫描攻击防护：提供完善的网络扫描防护功能，能够检测和记录对所有接口及受保护网络的扫描行为。
Dos/DDos攻击防护：包括TCP Flood、UDP Flood、SYN Flood、ICMP Flood、IP Flood、TearDrop 、Land等攻击。

IP/MAC绑定

检测非安全端的IP与MAC地址是否相同,防止遭受ARP攻击和IP冲突等安全问题。

流量监控和会话管理

通过IP地址、网络服务、时间和协议类型等参数对流量进行统计，可根据策略和网络流量动态调整客户端所占用带宽，支持设置单IP的最大并发会话数，能够在会话处于非活跃状态一定时间或会话结束后，主动释放其占用的状态表资源。

带宽管理

可对带宽进行管理和配置，优先保证工控业务带宽，保证业务连续性。

安全审计

提供完整的日志管理平台，审计访问操作记录，为界定不同区域的交叉访问和问题追踪提供可靠的依据；
为用户提供防火墙状态监控、日志存储、检索、查询及智能报警功能。

用户认证

用户认证可采用本地认证、Radius认证和Ldap认证3种方式。

管理员鉴别

管理员可进行鉴别配置，并能绑定启用UKEY， 实现双因子认证。

负载均衡功能

支持负载均衡功能，能够根据安全策略将网络流量均衡于多台服务器上。

NAT功能

支持多对一、多对多源NAT；支持目的NAT。

VPN功能

为设备间数据通信提供安全保障,通信过程采用加密传输,认证成功后可实现远程访问。

IPv6支持

支持IPv4和IPv6双协议栈的网络环境，支持IPv4和IPv6两种协议之间相互转换。
支持利用隧道技术，实现IPv4和IPv6网络互通，作为IPv4网络到IPv6网络的过渡。
提供6over4隧道、6to4隧道以及ISATAP隧道的功能。

设备部署模式

考虑到工业网络对于可用性、持续性的要求，支持透明或路由部署方式，可根据实际工业网络环境灵活部署。

设备高可用性

设备支持BYPASS、双机热备，当主防火墙出现断电或其它故障时，可及时切换到备防火墙进行工作，避免单点故障。双重保障，更安全、更可靠。

ALG应用级网关

具备ALG功能，对父连接的应用层信息进行解析，获取子连接信息，实现对多连接协议的父连接及子连接的控制，支持FTP、SQLNET、H323、OPC协议。如：OPC运行正常，OPC数据连接所使用的动态端口被开放/放行。

位置1：生产管理层和信息管理层的纵向防护，阻断来自上层信息网的威胁。

位置2、3、5：对重要系统及实时数据库的服务器进行专门防护，切断恶意访问、恶意代码渗透及病毒感染。

位置4、10、11：隔离工程师站等主机设备，如若工程师站等主机设备感染病毒，可避免其病毒扩散至其它设备乃至整个工业网络，降低工程师站等主机设备存在的安全风险。降低工程师站作为常用对外接口，因感染病毒而带来的风险。

位置6、7、8、9、13：过程控制层不同区域间的纵向防护，防止不同区域间的交叉感染。

位置7、12、14：保护重要控制系统或设备，只允许必要的数据包通过，阻断对重要控制系统或设备的所有非法访问及控制。