工業(yè)、能源、交通以及市政工程等領(lǐng)域的DCS、PLC等系統(tǒng)越來越多地采用工業(yè)以太網(wǎng)，工業(yè)控制器在I/O處理方面的健壯性毋庸置疑，但其針對網(wǎng)絡(luò)攻擊的防御和網(wǎng)絡(luò)安全可靠性方面卻相當(dāng)脆弱，簡單的常規(guī)攻擊，像拒絕服務(wù)攻擊DoS、端口掃描等就能造成控制系統(tǒng)網(wǎng)絡(luò)的堵塞，甚至造成控制器死機。另外，Windows平臺提供的打印機服務(wù)、文件共享、IE、Server服務(wù)等也存在一些漏洞，給控制系統(tǒng)的平穩(wěn)運行帶來風(fēng)險。

     目前對控制系統(tǒng)的防護，通常采用禁用光驅(qū)和USB、安裝殺毒軟件等措施。但這些技術(shù)主要面向商用網(wǎng)絡(luò)應(yīng)用，缺乏有效的主動防御手段。殺毒軟件的病毒庫需要不定期的經(jīng)常更新，這一點尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的，導(dǎo)致每年都會大規(guī)模地爆發(fā)病毒攻擊，特別是新病毒。

     IFW2400工業(yè)防火墻通過內(nèi)置工業(yè)通訊協(xié)議和工業(yè)模型，在實現(xiàn)全面控制功能的同時，打造制造商專有通訊網(wǎng)絡(luò)信道，建立通訊管控“白名單”，從而阻擋其他一切非法通訊，包括黑客病毒等惡意程序攻擊，以及基于Windows平臺的其他非工控需求的通訊。IFW2400工業(yè)防火墻不僅是在端口上的防護，更重要的是其能提供應(yīng)用層上的數(shù)據(jù)包深度檢查，屬于新一代的工業(yè)通訊協(xié)議防火墻，為工業(yè)通訊提供獨特的、工業(yè)級的專業(yè)隔離防護解決方案。

典型應(yīng)用

數(shù)采網(wǎng)與控制網(wǎng)的隔離： a）OPC協(xié)議深度包檢測； b）只允許授權(quán)的OPC通訊； c）防止數(shù)采網(wǎng)與控制網(wǎng)之間的病毒感染。

保護APC先控站： a）只允許APC先控站與OPC Server之間通信； b）只允許符合DCE/RPC標(biāo)準(zhǔn)的OPC請求，支持OPC DA、HDA、A＆E的通訊； c）GSA本身不設(shè)IP地址； d）隱藏被保護的OPC Server IP地址。

保護重要的控制器： a）僅允許DCS控制系統(tǒng)相關(guān)通訊協(xié)議通過，授權(quán)某操作站訪問； b）阻止拒絕服務(wù)攻擊； c）已知漏洞保護。

隔離工程師站： a）僅允許DCS控制系統(tǒng)相關(guān)通訊協(xié)議通過； b）防止服務(wù)器與其他站之間病毒互相感染； c）已知漏洞保護。

內(nèi)置工業(yè)模型

?ABB AC800M ?GE Fanuc 90-70 ?Honeywell C300 ?SIMATIC S7 ?Yokogawa Centum ?Wago 750-842 PLC ?Allen-Bradley CompactLogix等

內(nèi)置工業(yè)通訊協(xié)議

?Rockwell CSP(TCP and UDP) ?DeltaV ?IEC61870-5-104 ?DNP3 ?Honeywell FTE ?Modbus/TCP ?Modbus/UDP ?FINS(UDP) ?PROFINet等

更多信息與動態(tài)，請關(guān)注海天煒業(yè)官方網(wǎng)站和新浪微博：海天煒業(yè)。