奇固科威—防火墻HKW-NF500產(chǎn)品介紹

概述

本防火墻產(chǎn)品是一款集多種網(wǎng)絡(luò)安全功能于一體的高效防護(hù)解決方案，專為工業(yè)控制系統(tǒng)（ICS）和電力行業(yè)設(shè)計(jì)，旨在確保電力工控系統(tǒng)、設(shè)備和通信網(wǎng)絡(luò)的安全性。隨著電力系統(tǒng)智能化、自動(dòng)化程度的提高，電力行業(yè)面臨著越來越復(fù)雜的安全威脅。該防火墻產(chǎn)品提供強(qiáng)大的防護(hù)能力，能夠有效防止外部攻擊、內(nèi)部安全威脅以及物理設(shè)備的非法接入，確保電力基礎(chǔ)設(shè)施的穩(wěn)定性和安全性。產(chǎn)品的功能包括路由、網(wǎng)絡(luò)地址轉(zhuǎn)換、DHCP、DNS、安全策略管理、網(wǎng)絡(luò)用戶管理、L2TP、IPSEC VPN 、日志記錄、事件告警等。

部署模式：

本防火墻產(chǎn)品支持兩種靈活的部署方式：透明部署和路由部署，用戶可以根據(jù)網(wǎng)絡(luò)架構(gòu)和實(shí)際需求選擇適合的方式。

1.透明部署

概述：透明部署是指防火墻設(shè)備在網(wǎng)絡(luò)中作為透明橋接設(shè)備，位于兩個(gè)網(wǎng)絡(luò)之間，但不改變現(xiàn)有網(wǎng)絡(luò)的IP地址配置。

優(yōu)點(diǎn)：

無需更改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)備可直接接入網(wǎng)絡(luò)，避免了修改IP配置的復(fù)雜操作。

能夠隱式地進(jìn)行數(shù)據(jù)過濾與流量監(jiān)控，適用于已經(jīng)有現(xiàn)成路由的環(huán)境。

支持自動(dòng)學(xué)習(xí)網(wǎng)段，減少手動(dòng)配置的負(fù)擔(dān)。

適用場(chǎng)景：用于數(shù)據(jù)的二層轉(zhuǎn)發(fā)。當(dāng)不希望改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況時(shí)，使用此模式。

2.路由部署

概述：路由部署模式下，防火墻作為網(wǎng)絡(luò)路由器，所有進(jìn)出網(wǎng)絡(luò)的流量都通過防火墻進(jìn)行處理和控制。它負(fù)責(zé)管理和轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量，并可以執(zhí)行深度的安全策略。

優(yōu)點(diǎn)：

提供更強(qiáng)的安全控制，所有流量都必須通過防火墻進(jìn)行路由和檢查，能夠有效防止內(nèi)外網(wǎng)的安全漏洞。

支持復(fù)雜的路由策略，包括靜態(tài)路由和動(dòng)態(tài)路由協(xié)議，適應(yīng)大規(guī)模企業(yè)網(wǎng)絡(luò)的需求。

適用于需要在不同子網(wǎng)之間提供安全隔離的場(chǎng)景。

適用場(chǎng)景：適合網(wǎng)絡(luò)結(jié)構(gòu)需要重構(gòu)，或者對(duì)網(wǎng)絡(luò)流量進(jìn)行管理與控制的企業(yè)。

主要功能：

1.網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)

NAT（Network Address Translation） 允許內(nèi)網(wǎng)計(jì)算機(jī)共享公網(wǎng)IP進(jìn)行通信。支持靜態(tài)NAT和動(dòng)態(tài)NAT，通過端口映射和地址轉(zhuǎn)換，確保內(nèi)外網(wǎng)數(shù)據(jù)的正確轉(zhuǎn)發(fā)。

端口轉(zhuǎn)發(fā)：實(shí)現(xiàn)外部請(qǐng)求通過指定端口訪問內(nèi)網(wǎng)服務(wù)。

2.DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）

支持 DHCP Server 功能，為網(wǎng)絡(luò)中的設(shè)備自動(dòng)分配IP地址，減少了手動(dòng)配置的麻煩，確保網(wǎng)絡(luò)環(huán)境中的設(shè)備能夠及時(shí)獲取有效的IP地址。

支持 DHCP Client 功能，能夠從上游網(wǎng)絡(luò)獲取IP地址配置。 在電力工控環(huán)境中，DHCP服務(wù)可以自動(dòng)化地為各類控制系統(tǒng)、傳感器、PLC等設(shè)備分配IP地址，簡(jiǎn)化了網(wǎng)絡(luò)配置并提高了效率

3.DNS（域名系統(tǒng)）

內(nèi)置 DNS Server 功能，能夠?yàn)榫钟蚓W(wǎng)中的設(shè)備提供域名解析服務(wù)，提高網(wǎng)絡(luò)訪問速度。在電力工控環(huán)境中，DNS功能能夠提高工業(yè)設(shè)備與控制中心的通信效率，確保設(shè)備命名與訪問的快速解析。

支持 DNS代理，將請(qǐng)求轉(zhuǎn)發(fā)至外部DNS服務(wù)器，增強(qiáng)解析效率和可靠性。

4.安全策略管理

提供靈活的防火墻規(guī)則，支持基于源地址、目標(biāo)地址、協(xié)議、端口等多維度定義訪問控制策略，確保內(nèi)網(wǎng)與外網(wǎng)之間的安全。在電力工控環(huán)境中，通過安全策略管理可以根據(jù)設(shè)備角色、區(qū)域或功能（如變電站、發(fā)電廠）設(shè)定不同的訪問權(quán)限，確保重要的工業(yè)控制設(shè)備與外部網(wǎng)絡(luò)隔離，防止?jié)撛诠簟?/span>

支持狀態(tài)檢測(cè)防火墻，能夠?qū)崟r(shí)跟蹤連接狀態(tài)，防止非法訪問和拒絕服務(wù)攻擊（DoS/DDoS）。這種功能特別適用于電力系統(tǒng)，能夠防止針對(duì)電力設(shè)施的網(wǎng)絡(luò)攻擊和拒絕服務(wù)攻擊，確保電力系統(tǒng)的穩(wěn)定運(yùn)行。

5.L2TP （Layer 2 Tunneling Protocol）

支持 L2TP VPN，通過建立安全隧道為遠(yuǎn)程用戶提供安全的訪問，支持客戶端到防火墻的連接，保證遠(yuǎn)程辦公時(shí)的數(shù)據(jù)安全。

提供多種認(rèn)證機(jī)制，包括基于用戶名/密碼的認(rèn)證，確保遠(yuǎn)程用戶身份的安全驗(yàn)證。

6.IPsec VPN

提供 IPsec VPN 支持，確保通過互聯(lián)網(wǎng)連接的兩端設(shè)備之間的加密通信，保護(hù)數(shù)據(jù)免受篡改。電力工控系統(tǒng)通常需要與多個(gè)地理位置的設(shè)備進(jìn)行安全通信，IPsec VPN能夠保證數(shù)據(jù)的機(jī)密性與完整性，防止工業(yè)控制數(shù)據(jù)被竊取或篡改。

支持站點(diǎn)到站點(diǎn)和客戶端到站點(diǎn)的 VPN 連接模式，提供靈活的遠(yuǎn)程訪問方案，適應(yīng)不同企業(yè)的需求。

7.日志記錄功能

本防火墻產(chǎn)品提供詳細(xì)的日志記錄功能，實(shí)時(shí)記錄所有網(wǎng)絡(luò)活動(dòng)和防火墻事件，包括訪問控制、VPN連接、NAT操作、系統(tǒng)錯(cuò)誤等。

日志分類：支持按類型分類記錄日志，如安全日志、操作日志等。

日志存儲(chǔ)：支持本地存儲(chǔ)，便于后續(xù)審計(jì)和分析。

日志分析：可以對(duì)歷史日志進(jìn)行分析，幫助管理員發(fā)現(xiàn)潛在的安全威脅、網(wǎng)絡(luò)瓶頸及系統(tǒng)問題，增強(qiáng)網(wǎng)絡(luò)管理和問題排查能力。

8.報(bào)警功能

本防火墻產(chǎn)品提供實(shí)時(shí)報(bào)警功能，當(dāng)檢測(cè)到異常事件時(shí)，能夠即時(shí)向管理員發(fā)出警報(bào)。

多種報(bào)警方式：支持通過SNMP Trap、SYSLOG、Web界面等多種方式發(fā)送報(bào)警，確保管理員能夠**時(shí)間收到重要信息。

報(bào)警規(guī)則：支持自定義報(bào)警規(guī)則，管理員可以根據(jù)需求設(shè)定觸發(fā)條件，如特定IP訪問、頻繁的VPN連接失敗、DDoS攻擊等。

集成報(bào)警系統(tǒng)：自動(dòng)將防火墻報(bào)警信息傳送至網(wǎng)安平臺(tái)，通過網(wǎng)安平臺(tái)接收到告警信息后，安全團(tuán)隊(duì)可以快速評(píng)估風(fēng)險(xiǎn)、進(jìn)行應(yīng)急響應(yīng)，并采取相應(yīng)的防護(hù)措施。

應(yīng)用場(chǎng)景

1.保護(hù)工業(yè)控制網(wǎng)絡(luò)

電力工控系統(tǒng)（如SCADA、PLC等）通常與企業(yè)的IT網(wǎng)絡(luò)分開，但隨著物聯(lián)網(wǎng)和智能設(shè)備的普及，這兩者的連接越來越緊密。本防火墻產(chǎn)品能夠通過 NAT 和 安全策略管理，在內(nèi)外網(wǎng)之間建立嚴(yán)密的安全隔離，防止惡意流量和攻擊進(jìn)入工業(yè)控制網(wǎng)絡(luò)。

防火墻還能夠?yàn)楣た叵到y(tǒng)提供 VPN支持（如IPsec VPN），確保遠(yuǎn)程操作和監(jiān)控時(shí)的數(shù)據(jù)傳輸安全，避免潛在的泄露和攻擊。

2.保障遠(yuǎn)程監(jiān)控和管理安全

隨著電力系統(tǒng)的復(fù)雜性增加，遠(yuǎn)程監(jiān)控和管理變得至關(guān)重要。通過 L2TP 和 IPsec VPN，防火墻產(chǎn)品能夠?yàn)殡娏ζ髽I(yè)提供安全的遠(yuǎn)程連接，確保監(jiān)控人員能夠?qū)崟r(shí)獲取和控制電力設(shè)施數(shù)據(jù)，而無需擔(dān)心數(shù)據(jù)泄露或惡意訪問。

3.實(shí)時(shí)檢測(cè)和響應(yīng)

在電力工控系統(tǒng)中，攻擊或異常行為的檢測(cè)和響應(yīng)非常重要。本防火墻產(chǎn)品能快速發(fā)現(xiàn)潛在的攻擊（如DDoS攻擊、釣魚攻擊等）。

報(bào)警功能與網(wǎng)安平臺(tái)集成，確保每當(dāng)發(fā)生安全事件時(shí)，電力企業(yè)的安全團(tuán)隊(duì)能時(shí)間獲知，并采取相應(yīng)的措施進(jìn)行防御和修復(fù)，保障電力系統(tǒng)的持續(xù)運(yùn)行。

4.保護(hù)工業(yè)控制設(shè)備的完整性

電力工控設(shè)備（如變電站自動(dòng)化設(shè)備、智能電表等）需要持續(xù)運(yùn)行并且不容許任何中斷。防火墻通過日志記錄和分析功能，能夠監(jiān)控所有進(jìn)入和離開這些設(shè)備的流量，發(fā)現(xiàn)任何非授權(quán)訪問、篡改或惡意行為，及時(shí)做出反應(yīng)。

5.合規(guī)性與審計(jì)

電力工控行業(yè)在許多國(guó)家都面臨嚴(yán)格的法規(guī)和合規(guī)要求，特別是在網(wǎng)絡(luò)安全領(lǐng)域。本防火墻產(chǎn)品提供的日志記錄和審計(jì)功能，能夠幫助企業(yè)確保其系統(tǒng)符合相關(guān)安全規(guī)范，確保企業(yè)能夠應(yīng)對(duì)外部審計(jì)和檢查。

6.告警信息與安全態(tài)勢(shì)感知

電力企業(yè)通過與網(wǎng)安平臺(tái)集成，能夠?qū)崿F(xiàn)實(shí)時(shí)安全態(tài)勢(shì)感知，對(duì)工控環(huán)境中潛在的安全事件進(jìn)行分析和評(píng)估。及時(shí)的告警信息推送能夠幫助安全團(tuán)隊(duì)快速響應(yīng)并采取有效的應(yīng)急措施，減少潛在的安全風(fēng)險(xiǎn)。

7.企業(yè)網(wǎng)絡(luò)保護(hù)

為企業(yè)網(wǎng)絡(luò)提供了安全防護(hù)，防止惡意攻擊和信息泄露。

撰稿 | XU HONGPING

編輯 | LEI SHIQI