產品概述
背景
隨著網絡信息時代的到來，我國工業模式發生了翻天覆地的變化，徹底打破了“信息孤島”模式，企業全面聯網，生產數據輕松實現匯總分析，不但提高了生產效率，還達到了節能減排的目的。信息化給工業帶來的有利變化顯而易見，但隨之而來的網絡安全問題又使人為之驚慌。在工業網絡中，運行著DCS、PLC、SCADA等各種過程控制系統，它們往往是生產系統的核心，負責完成基本的生產控制。但是，如果這些過程控制系統一旦遭受入侵或破壞，就會對工業生產造成影響，可能使企業蒙受重大的經濟損失，甚至危及生產人員的生命安全。因此，保證過程控制系統的運行安全是非常重要的事情，廣大工業企業迫切需要一款針對工業網絡通信協議進行有效檢查和過濾，適用于工業網絡環境的專業防火墻。
商用防火墻的不足
商用防火墻是目前網絡邊界上最常用的一種防護設備。提供的主要功能包括訪問控制、地址轉換、應用代理、帶寬和流量控制、事件審核和報警等。商用防火墻誕生于傳統信息網絡環境下，雖然經過了多年的發展和完善，但其應用環境還是局限于企業信息網絡，它對于工業網絡環境還有諸多的不適應。
● 防火墻主要是針對通用網絡協議進行檢查和過濾，完全沒有覆蓋工業網絡協議和應用，更談不上對于工業網絡協議和應用數據的內容進行解析和檢查。所以從這個角度來看商用防火墻對于工業網絡安全防護沒有絲毫的幫助。
● 為了提高安全防護能力，商用防火墻在發展過程中不斷的添加新的功能，但是防火墻的安全性與其速度、功能成反比。防火墻的安全性要求越高，需要對數據包檢查的項目（即防火墻的功能）就越多越細，對CPU和內存的消耗也就越大，從而導致防火墻的性能下降。這一點與工業網絡對于實時性的要求是相背離的。
國外工業防火墻的擔憂
西方發達國家工業信息化起步比我國早，工業網絡的發展和應用也比我國廣泛，相應的網絡安全產品也應運而生。目前，國際市場上已經出現了一些專門保護工業網絡的安全產品，這些國外廠家宣稱他們的產品可以對工業網絡中的控制設備或控制系統起到安全保護的作用。但是，近幾年連續爆出的伊朗核設施被攻擊、美國“棱鏡門”計劃等安全事件一次次的給我們敲響警鐘，國外的網絡安全產品是否真正的可靠呢？我國工業網絡正在迅速的普及過程中，工業網絡越來越多的接入到互聯網中，依靠國外技術和產品保護我們自己的工業網絡安全是不夠的，我們必須掌握核心技術，有自主可控的安全產品才可以真正的作到安全的工業網絡，因此，當務之急是需要開發具有自主知識產權的國產工業防火墻。
HC-ISG系列工業防火墻產品簡介
作為國內工控行業的佼佼者，力控華康深知自己的社會責任所在。力控華康依托多年工控行業的技術積累，通過自主創新開發出HC-ISG系列工業防火墻，為國內工業網絡安全保駕護航。
HC-ISG系列工業防火墻不但支持商用防火墻的基礎訪問控制功能，更重要的是它提供針對工業協議的數據級深度過濾，實現了對Modbus、OPC等主流工業協議和規約的細粒度檢查和過濾，幫助用戶阻斷來自網絡的病毒傳播、黑客攻擊等行為，避免其對控制網絡的影響和對生產流程的破壞。
產品架構
HC-ISG系列工業防火墻是力控華康將自己多年工控行業應用經驗與傳統網絡安全技術完美融合的產物。產品在架構設計上充分的考慮了工業網絡設備種類多、協議復雜、行業差別大的特點，將產品進行了深度的模塊化封裝，引入了功能插件的概念，使整個防火墻系統更加部件化。通過這種架構的實現一方面可以更好的適應現有工業網絡安全防護的需要，另一方面為未來產品功能的擴展和用戶定制開發打下良好的基礎。
HC-ISG系列工業防火墻包括基礎系統、功能插件和配置管理工具三個部分。
基礎系統是由力控華康根據工業網絡通信特點和安全防護要求定制開發的底層運行平臺，為防火墻上層業務模塊提供必要的運行環境和安全保障。
功能插件是HC-ISG系列工業防火墻的核心業務處理模塊，它由一系列獨立的功能模塊組成，主要用于完成對于工業網絡協議的識別、解析和深度過濾。
配置管理工具用于對HC-ISG系列工業防火墻的進行網絡組態、策略配置和運行監控，是與防火墻進行人機交互的接口。
產品功能特點
工業網絡通信協議的深度過濾
商用防火墻主要是針對通用網絡協議進行訪問控制和安全過濾，完全不支持Modbus、Profinet等工業網絡協議。HC-ISG系列工業防火墻與商用防火墻最大的區別，也就是其最重要的特點之一是針對工業通訊協議進行深度過濾。之所以稱之為深度過濾，是因為HC-ISG系列工業防火墻不但可以針對工業網絡協議進行基本的訪問控制，而且可以針對工業網絡協議的內容和數據進行細致的合規性檢查。例如：HC-ISG系列工業防火墻的Modbus協議管控模塊可以針對Modbus協議的設備地址、寄存器類型、寄存器范圍和讀寫屬性等進行檢查。通過類似的管控模塊能有效的防范各種非法的操作和數據進入現場控制網絡，最大限度地保護控制系統的安全。
工業現場設備繁多、規格不一、通信協議和規約各異，這就要求安全設備可以支持多種工業網絡通信協議、適用于各種網絡環境、可與各種現場設備進行交互對接。針對這種現狀HC-ISG系列工業防火墻將每一個工業協議作為一個獨立的深度過濾模塊，以插件的方式按需加載到系統中。而且可以根據用戶現場的需要進行工業網絡協議深度過濾模塊的快速定制開發和響應，最大限度的滿足工業現場的各種安全防護要求。
全透明、無間斷部署
考慮到工業網絡對于可用性、持續性和實時性的要求，HC-ISG系列工業防火墻采用全透明接入的方式，無論是針對存量網絡，還是新建網絡都無需改變原有網絡拓撲結構。同時HC-ISG系列工業防火提供直通、測試、管控三種工作模式，產品在部署、配置和使用過程中可以根據需要實時切換到適當的工作模式下，保證在整個過程中都不會阻塞正常的業務數據傳輸，都無需中斷生產系統的運行。
智能協議識別和輔助規則生成
工業網絡中設備眾多、網絡通信復雜，用戶很難全面的掌握網絡中所必須的業務通信需求，這會給防火墻的規則配置帶來很大的困難。為了方便用戶進行防火墻規則的配置，提高規則配置的準確性，減少規則配置的工作量，HC-ISG系列工業防火墻開發了智能協議識別和輔助規則生成功能。智能協議識別功能采用被動檢測的方式從網絡中采集數據包，并進行數據包的解析，智能的與系統內置的協議特征、設備對象等進行匹配，生成可供參考的網絡交互信息列表，幫助用戶以最快捷的方式了解和掌握網絡中的業務通信。
在智能協議識別的基礎上用戶可以使用配置工具中所提供的輔助規則生成功能，將網絡交互信息與實際業務進行比對，給每一個網絡交互過程配置適當的防火墻規則，從而準確、快捷的完成防火墻規則的部署。
規則正確性測試
工業網絡與商用網絡最大的不同就是可靠性要求極高，不允許出現由于配置不當產生的影響網絡通信，近而影響生產、造成經濟損失的情況，所以工業防火墻規則正式上線運行之前需要進行精細化的跟蹤和測試，排除其中可能的不當配置，將防火墻對于生產的影響控制到最小。
針對工業網絡這種特殊的需要HC-ISG系列工業防火墻提供了測試模式來進行規則正確性的驗證。在測試模式下防火墻會對流經的數據進行模擬的規則匹配，并生成詳細的日志，但不會真正阻斷任何數據通信。通過對日志的分析用戶可以精確的找到配置不當或錯誤的規則，并進行及時的改進和優化。
符合工業用戶使用習慣的配置方式
工業中廣泛應用的組態軟件將專業的工藝流程、復雜的數據反饋封裝成簡單的圖形化界面，直觀的反映工業現場的生產情況。組態軟件以其圖形化、直觀性和易用性深受廣大工業用戶的喜愛，也成為工業用戶習慣的使用方式。力控華康有著多年的工控行業軟件開發經驗，對于工業用戶的使用習慣有著深刻的理解，在進行HC-ISG系列工業防火墻設計和開發時也力求作到簡單、直觀、易用。
● “白名單”配置方式
HC-ISG系列工業防火墻默認拒絕所有連接，用戶只需要根據工業現場實際的業務通信需要配置與業務相關的放行規則即可，無需關心自己不熟悉的網絡通信協議。
● 網絡地圖
用戶可以使用HC-ISG系列工業防火墻的配置工具通過簡單的拖放操作就可以快速組織與實際網絡環境一致的網絡拓撲圖。而且可以根據現場設備的物理位置、設備類型、設備名稱等為拓撲圖中每一個元素定義直觀的名稱，也可以通過直接點擊拓撲圖中的防火墻圖標登錄進行配置。
● 內置各種常用設備和協議
HC-ISG系列工業防火墻內置了常用的工作站、控制器、網絡設備等設備對象和常用的工業網絡協議、通用網絡協議等協議對象，在進行防火墻配置時可以直接引用即可。
● 設備自發現
HC-ISG系列工業防火墻的配置工具提供了設備自發現功能，幫助用戶方便的找到網絡中已經部署的防火墻，進行快捷的配置和管理。
工業級產品可靠性保障
為了適應工業網絡環境對于產品可靠性的要求，HC-ISG系列工業防火墻采用工業級產品設計，在環境適應性、散熱、故障處理等方面進行了全面的優化。
HC-ISG系列工業防火墻硬件平臺專門面向工業應用場合設計，對PCB、電源、機箱結構、散熱進行全面優化，采用低功耗、寬溫、寬壓電子元器件，無風扇傳導散熱，充分的減少產品的發熱量，提高產品的穩定性和環境適應性，保證設備在各種惡劣環境下可以持續、穩定的運行。
HC-ISG系列工業防火墻的網口支持Bypass功能，可以根據系統運行狀態、上下游設備和網絡鏈路情況進行自動的切換，保證數據通信的持續暢通。
HC-ISG系列工業防火墻系統內嵌自診斷程序，實時監測整個系統的運行情況，支持系統故障自恢復功能。
VPN幫助用戶實現安全的網絡互聯
HC-ISG系列工業防火墻集成了VPN功能，該功能一方面可以對數據接收和發送方的身份進行鑒別，保證數據發送和接收方的合法性，另一方面可以對經公用網絡進行傳遞的數據進行加密處理，保證數據運輸過程的安全性。通過使用VPN可以幫助用戶利用公用網絡、以低廉的成本在分散的作業區與調度中心之間建立起加密的虛擬私有信息通道，實現整個工業網絡的安全互聯，保證調度指令和現場數據的安全傳輸。
典型應用
安全區域之間的訪問控制和安全防護
隨著“兩化融合”的不斷推進，廣大工業用戶的網絡結構正在一步步發生著變化，現場過程控制網絡、生產管理網絡、企業信息網絡正在一點點的被打通，網絡縱向分層、橫向分區的模式正在形成。由于各個層次、各個區域網絡的業務不同、作用不同，對于安全防護的要求也就不同，所以需要在不同安全區域之間進行必要的防護和控制。HC-ISG系列工業防火墻可以幫助用戶很好的實現這一目標。
首先通過在縱向不同層次網絡之間部署HC-ISG系列工業防火墻，并配置合理的訪問規則，可以控制不必要的跨層訪問，防止攻擊者通過上層網絡向下層網絡的滲透和攻擊，減少由于網絡互聯互通所帶來的安全風險。同時可以對不同層次之間的工業協議數據交換進行深度過濾，屏蔽非法操作，保障生產安全。
其次還可以在同一網絡層次中平行的廠區、工藝流程和業務子系統之間部署HC-ISG系列工業防火墻，將它們分割成不同的安全區域，配置不同的訪問規則，屏蔽不同安全區域之間不必要的訪問，對不同安全區域之間的工業協議數據交換進行深度過濾，減少安全區域之間安全問題的擴散和影響。

重點設備的安全防護
在工業網絡中存在很多核心的控制器、重要的數據存儲和交換服務器，它們是整個工藝流程和生產過程的中樞，關系到生產能否正常、安全的進行，直接或間接影響到產品的質量。這些重點設備本身是用來完成特定生產任務的應用系統，其自身沒有任何的安全防護措施，可以通過網絡對其進行任意的訪問。一旦這些重點設備受到惡意攻擊或者有人為誤操作的影響，將會直接危及整個生產過程，影響生產安全，甚至發生事故。
針對這些重點設備的特點可以在其前端部署HC-ISG系列工業防火墻，限制可以訪問它的IP地址、屏蔽非業務端口訪問、過濾非法的操作指令、記錄所有的訪問和操作，對其進行全面的訪問控制和安全防護。通過部署防火墻可以很好的實現對重點設備的事前安全防護、事中過濾檢查和事后安全審計。

分散工業網絡的安全互聯
分散性是工業網絡的重要特點之一。工業網絡的設備可能分布于廠區各處，甚至野外、山區，由于網絡基礎設施的限制，經常需要通過租用公共的無線網絡、衛星、GPRS/CDMA等公用網絡傳輸線路實現與調度中心的連接和數據交換。公用網絡沒有足夠的安全保護和加密措施，很容易出現網絡竊聽、數據劫持、第三人攻擊等安全問題，而且攻擊者還可以利用公用網絡作為攻擊工業控制網絡的入口，實現對于整個工業控制網絡的滲透和控制。為了解決公用網絡帶來的安全隱患，用戶通常都會租用或架設專用的通信線路，這樣不但建設和運營成本高、而且需要專業的技術人員進行線路的保障和維護。
在這種應用環境下，可以在分散的作業區與公用網絡接口的位置部署HC-ISG系列工業防火墻。通過防火墻的部署不僅可以對作業區內部的工業網絡進行安全方面的保護，阻斷來自公用網絡的網絡攻擊，實現作業區網絡的邊界安全防護。更重要的是可以使用HC-ISG系列工業防火墻的VPN功能，對作業區與調度中心之間的數據傳輸進行加密和保護，搭建安全的數據交換通道，解決兩者之間的數據傳輸安全問題。

安全遠程維護
隨著工業信息化的發展，大量的智能儀表、控制器、工業控制軟件等產品被應用到工業控制領域，對提高生產效率起到了很大的推動作用。但是這些產品來自于不同的供應商，使用多種不同的應用技術，所以其運營和維護相對也會比較復雜，經常需要相應的廠商技術人員進行技術援助和支持，在這一過程中廠商技術人員可能需要通過公用網絡遠程訪問設備或系統。另外，工業網絡的設備分散，有的甚至可能部署在野外，由于通信基礎設施所限，可能也需要通過公用網絡對其進行必要的維護。
無論是廠商技術人員的遠程協助，還是工業用戶自身的遠程維護都可能需要通過公用網絡，這樣攻擊者就有可能借機進入工業網絡，獲取工業網絡的控制權，直接影響整個工業網絡的安全。在這種環境下，我們可以將HC-ISG系列防火墻部署在工業網絡與公用網絡接口的位置，啟用防火墻的VPN功能，將其作為遠程維護的堡壘設備。遠程維護人員使用VPN連接到防火墻上，一方面進行身份的認證，另一方面對通過公用網絡完成的遠程維護操作進行加密保護，從而實現安全的遠程維護。

技術規格