创建本质安全的生产控制网

• 关键词：生产控制网,工业防火墙,Guard,IFW2400
• 摘要：IFW2400工业防火墙通过内置工业通讯协议和工业模型，在实现全面控制功能的同时，打造制造商专有通讯网络信道，建立通讯管控“白名单”，从而阻挡其他一切非法通讯，包括黑客病毒等恶意程序攻击，以及基于Windows平台的其他非工控需求的通讯。

     工业、能源、交通以及市政工程等领域的DCS、PLC等系统越来越多地采用工业以太网，工业控制器在I/O处理方面的健壮性毋庸置疑，但其针对网络攻击的防御和网络安全可靠性方面却相当脆弱，简单的常规攻击，像拒绝服务攻击DoS、端口扫描等就能造成控制系统网络的堵塞，甚至造成控制器死机。另外，Windows平台提供的打印机服务、文件共享、IE、Server服务等也存在一些漏洞，给控制系统的平稳运行带来风险。

     目前对控制系统的防护，通常采用禁用光驱和USB、安装杀毒软件等措施。但这些技术主要面向商用网络应用，缺乏有效的主动防御手段。杀毒软件的病毒库需要不定期的经常更新，这一点尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的，导致每年都会大规模地爆发病毒攻击，特别是新病毒。

     IFW2400工业防火墙通过内置工业通讯协议和工业模型，在实现全面控制功能的同时，打造制造商专有通讯网络信道，建立通讯管控“白名单”，从而阻挡其他一切非法通讯，包括黑客病毒等恶意程序攻击，以及基于Windows平台的其他非工控需求的通讯。IFW2400工业防火墙不仅是在端口上的防护，更重要的是其能提供应用层上的数据包深度检查，属于新一代的工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。

典型应用

数采网与控制网的隔离：
a）OPC协议深度包检测；
b）只允许授权的OPC通讯；
c）防止数采网与控制网之间的病毒感染。

保护APC先控站：
a）只允许APC先控站与OPC Server之间通信；
b）只允许符合DCE/RPC标准的OPC请求，支持OPC DA、HDA、A＆E的通讯；
c）GSA本身不设IP地址；
d）隐藏被保护的OPC Server IP地址。

保护重要的控制器：
a）仅允许DCS控制系统相关通讯协议通过，授权某操作站访问；
b）阻止拒绝服务攻击；
c）已知漏洞保护。

隔离工程师站：
a）仅允许DCS控制系统相关通讯协议通过；
b）防止服务器与其他站之间病毒互相感染；
c）已知漏洞保护。

内置工业模型

�ABB AC800M
�GE Fanuc 90-70
�Honeywell C300
�SIMATIC S7
�Yokogawa Centum
�Wago 750-842 PLC
�Allen-Bradley CompactLogix等

内置工业通讯协议

�Rockwell CSP(TCP and UDP)
�DeltaV
�IEC61870-5-104
�DNP3
�Honeywell FTE
�Modbus/TCP
�Modbus/UDP
�FINS(UDP)
�PROFINet等

更多信息与动态，请关注海天炜业官方网站和新浪微博：海天炜业。