工控防火墙除了具备通用防火墙的部分通用协议的应用层过滤能力以外,还具有对工业控制协议应用层的过滤能力,能阻止来自安全区域外的非授权访问,有效抑制病毒、木马在工业网络中的传播和扩散,为控制网与企业网的连接、控制网内部各区域的连接提供安全保障,保证只有可信任的设备接入工业网络,保证可信任的流量在网络上传输。
申请试用采用我国自己制定的SM1和SM4算法用于对数据进行加解密, 采用SM2算法用于数据的认证,SM3杂凑算法用于信息摘要,从而实现数据安全可靠地进行传输
支持 IPv6 功能包括: IPv6 环境下的状态包过滤、静态路由、 FTP、 NAT等基本安全控制,以及 IPv6/v4 双协议栈功能
支持多种DOS攻击防护,如:Ping of Death、TearDrop、UDP Flood、SYN Flood等, 能在不增加用户防御成本的前提下,通过压制无效的SYN、UDP、畸形报文及异常流程
克服了传统安全引擎独自为战的缺点,将各个安全功能整合为一体,状态检测、深度过滤、 内容检测等引擎协同工作,有效地提高了引擎的处理效率
集成可信主动免疫的模块,最大程度的提高了设备自身的安全性,拥有了较高的自我防护能力
支持Web CLI控制台功能,可以在不借助其他客户端软件的情况下,通过web浏览器,使用设备的CLI命令行功能,更加个性化的配置防火墙
支持自定义协议,根据用户提供的协议规约,生成协议树并导入协议树,实现对用户私有协议的识别,解析,控制
支持syslog、SNMP管理,支持集中管理,可使用工控信息安全监管与分析平台,统一管理防火墙,包括重启,关机,获取关键信息,配置关键参数等操作
针对Modbus、OPC、S7、IEC104、IEC61850、ENIP、DNP3和MMS等服务细粒度指令级访问控制
支持升级某些知识库而不是升级版本,来增强防火墙的功能,例如:如果要新增新的预定义服务,可以使用知识库升级,来增加新的预定义服务。
支持ping和traceroute, 支持IPV4/IPV6地址,以指定接口,报文的方向,种类,协议,IP地址来抓取经过防火墙的报文,日志记录所有通过防火墙的报文通行状态(通过或者丢弃)
实时监控并显示经过防火墙的设备流量,包含的信息有:设备名称、IP地址、MAC地址、平均流量百分比等。详情页面可查看各协议流量百分比
支持OPC、Siemens S7、Modbus、GOOSE、MMS、DNP3、IEC104、Profinet等工业协议精准的识别分析能力,让用户了解当前网络中工控协议的具体信息
支持多种DOS攻击防护,可以抵御针对防火墙防护下的设备和针对防火墙本身的攻击行为,包括抗ICMP泛洪攻击,抗UDP泛洪攻击,抗SYN泛洪攻击,抗端口扫描等