奇固科威—防火墻HKW-NF500產(chǎn)品介紹

奇固科威—防火墻HKW-NF500產(chǎn)品介紹

概述

本防火墻產(chǎn)品是一款集多種網(wǎng)絡安全功能于一體的高效防護解決方案，專為工業(yè)控制系統(tǒng)（ICS）和電力行業(yè)設計，旨在確保電力工控系統(tǒng)、設備和通信網(wǎng)絡的安全性。隨著電力系統(tǒng)智能化、自動化程度的提高，電力行業(yè)面臨著越來越復雜的安全威脅。該防火墻產(chǎn)品提供強大的防護能力，能夠有效防止外部攻擊、內(nèi)部安全威脅以及物理設備的非法接入，確保電力基礎設施的穩(wěn)定性和安全性。產(chǎn)品的功能包括路由、網(wǎng)絡地址轉(zhuǎn)換、DHCP、DNS、安全策略管理、網(wǎng)絡用戶管理、L2TP、IPSEC VPN 、日志記錄、事件告警等。

部署模式：

本防火墻產(chǎn)品支持兩種靈活的部署方式：透明部署和路由部署，用戶可以根據(jù)網(wǎng)絡架構(gòu)和實際需求選擇適合的方式。

1.透明部署

概述：透明部署是指防火墻設備在網(wǎng)絡中作為透明橋接設備，位于兩個網(wǎng)絡之間，但不改變現(xiàn)有網(wǎng)絡的IP地址配置。

優(yōu)點：

無需更改現(xiàn)有網(wǎng)絡結(jié)構(gòu)，設備可直接接入網(wǎng)絡，避免了修改IP配置的復雜操作。

能夠隱式地進行數(shù)據(jù)過濾與流量監(jiān)控，適用于已經(jīng)有現(xiàn)成路由的環(huán)境。

支持自動學習網(wǎng)段，減少手動配置的負擔。

適用場景：用于數(shù)據(jù)的二層轉(zhuǎn)發(fā)。當不希望改變網(wǎng)絡拓撲結(jié)構(gòu)的情況時，使用此模式。

2.路由部署

概述：路由部署模式下，防火墻作為網(wǎng)絡路由器，所有進出網(wǎng)絡的流量都通過防火墻進行處理和控制。它負責管理和轉(zhuǎn)發(fā)網(wǎng)絡流量，并可以執(zhí)行深度的安全策略。

優(yōu)點：

提供更強的安全控制，所有流量都必須通過防火墻進行路由和檢查，能夠有效防止內(nèi)外網(wǎng)的安全漏洞。

支持復雜的路由策略，包括靜態(tài)路由和動態(tài)路由協(xié)議，適應大規(guī)模企業(yè)網(wǎng)絡的需求。

適用于需要在不同子網(wǎng)之間提供安全隔離的場景。

適用場景：適合網(wǎng)絡結(jié)構(gòu)需要重構(gòu)，或者對網(wǎng)絡流量進行管理與控制的企業(yè)。

主要功能：

1.網(wǎng)絡地址轉(zhuǎn)換 (NAT)

NAT（Network Address Translation） 允許內(nèi)網(wǎng)計算機共享公網(wǎng)IP進行通信。支持靜態(tài)NAT和動態(tài)NAT，通過端口映射和地址轉(zhuǎn)換，確保內(nèi)外網(wǎng)數(shù)據(jù)的正確轉(zhuǎn)發(fā)。

端口轉(zhuǎn)發(fā)：實現(xiàn)外部請求通過指定端口訪問內(nèi)網(wǎng)服務。

2.DHCP（動態(tài)主機配置協(xié)議）

支持 DHCP Server 功能，為網(wǎng)絡中的設備自動分配IP地址，減少了手動配置的麻煩，確保網(wǎng)絡環(huán)境中的設備能夠及時獲取有效的IP地址。

支持 DHCP Client 功能，能夠從上游網(wǎng)絡獲取IP地址配置。 在電力工控環(huán)境中，DHCP服務可以自動化地為各類控制系統(tǒng)、傳感器、PLC等設備分配IP地址，簡化了網(wǎng)絡配置并提高了效率

3.DNS（域名系統(tǒng)）

內(nèi)置 DNS Server 功能，能夠為局域網(wǎng)中的設備提供域名解析服務，提高網(wǎng)絡訪問速度。在電力工控環(huán)境中，DNS功能能夠提高工業(yè)設備與控制中心的通信效率，確保設備命名與訪問的快速解析。

支持 DNS代理，將請求轉(zhuǎn)發(fā)至外部DNS服務器，增強解析效率和可靠性。

4.安全策略管理

提供靈活的防火墻規(guī)則，支持基于源地址、目標地址、協(xié)議、端口等多維度定義訪問控制策略，確保內(nèi)網(wǎng)與外網(wǎng)之間的安全。在電力工控環(huán)境中，通過安全策略管理可以根據(jù)設備角色、區(qū)域或功能（如變電站、發(fā)電廠）設定不同的訪問權(quán)限，確保重要的工業(yè)控制設備與外部網(wǎng)絡隔離，防止?jié)撛诠簟?/span>

支持狀態(tài)檢測防火墻，能夠?qū)崟r跟蹤連接狀態(tài)，防止非法訪問和拒絕服務攻擊（DoS/DDoS）。這種功能特別適用于電力系統(tǒng)，能夠防止針對電力設施的網(wǎng)絡攻擊和拒絕服務攻擊，確保電力系統(tǒng)的穩(wěn)定運行。

5.L2TP （Layer 2 Tunneling Protocol）

支持 L2TP VPN，通過建立安全隧道為遠程用戶提供安全的訪問，支持客戶端到防火墻的連接，保證遠程辦公時的數(shù)據(jù)安全。

提供多種認證機制，包括基于用戶名/密碼的認證，確保遠程用戶身份的安全驗證。

6.IPsec VPN

提供 IPsec VPN 支持，確保通過互聯(lián)網(wǎng)連接的兩端設備之間的加密通信，保護數(shù)據(jù)免受篡改。電力工控系統(tǒng)通常需要與多個地理位置的設備進行安全通信，IPsec VPN能夠保證數(shù)據(jù)的機密性與完整性，防止工業(yè)控制數(shù)據(jù)被竊取或篡改。

支持站點到站點和客戶端到站點的 VPN 連接模式，提供靈活的遠程訪問方案，適應不同企業(yè)的需求。

7.日志記錄功能

本防火墻產(chǎn)品提供詳細的日志記錄功能，實時記錄所有網(wǎng)絡活動和防火墻事件，包括訪問控制、VPN連接、NAT操作、系統(tǒng)錯誤等。

日志分類：支持按類型分類記錄日志，如安全日志、操作日志等。

日志存儲：支持本地存儲，便于后續(xù)審計和分析。

日志分析：可以對歷史日志進行分析，幫助管理員發(fā)現(xiàn)潛在的安全威脅、網(wǎng)絡瓶頸及系統(tǒng)問題，增強網(wǎng)絡管理和問題排查能力。

8.報警功能

本防火墻產(chǎn)品提供實時報警功能，當檢測到異常事件時，能夠即時向管理員發(fā)出警報。

多種報警方式：支持通過SNMP Trap、SYSLOG、Web界面等多種方式發(fā)送報警，確保管理員能夠**時間收到重要信息。

報警規(guī)則：支持自定義報警規(guī)則，管理員可以根據(jù)需求設定觸發(fā)條件，如特定IP訪問、頻繁的VPN連接失敗、DDoS攻擊等。

集成報警系統(tǒng)：自動將防火墻報警信息傳送至網(wǎng)安平臺，通過網(wǎng)安平臺接收到告警信息后，安全團隊可以快速評估風險、進行應急響應，并采取相應的防護措施。

應用場景

1.保護工業(yè)控制網(wǎng)絡

電力工控系統(tǒng)（如SCADA、PLC等）通常與企業(yè)的IT網(wǎng)絡分開，但隨著物聯(lián)網(wǎng)和智能設備的普及，這兩者的連接越來越緊密。本防火墻產(chǎn)品能夠通過 NAT 和 安全策略管理，在內(nèi)外網(wǎng)之間建立嚴密的安全隔離，防止惡意流量和攻擊進入工業(yè)控制網(wǎng)絡。

防火墻還能夠為工控系統(tǒng)提供 VPN支持（如IPsec VPN），確保遠程操作和監(jiān)控時的數(shù)據(jù)傳輸安全，避免潛在的泄露和攻擊。

2.保障遠程監(jiān)控和管理安全

隨著電力系統(tǒng)的復雜性增加，遠程監(jiān)控和管理變得至關(guān)重要。通過 L2TP 和 IPsec VPN，防火墻產(chǎn)品能夠為電力企業(yè)提供安全的遠程連接，確保監(jiān)控人員能夠?qū)崟r獲取和控制電力設施數(shù)據(jù)，而無需擔心數(shù)據(jù)泄露或惡意訪問。

3.實時檢測和響應

在電力工控系統(tǒng)中，攻擊或異常行為的檢測和響應非常重要。本防火墻產(chǎn)品能快速發(fā)現(xiàn)潛在的攻擊（如DDoS攻擊、釣魚攻擊等）。

報警功能與網(wǎng)安平臺集成，確保每當發(fā)生安全事件時，電力企業(yè)的安全團隊能時間獲知，并采取相應的措施進行防御和修復，保障電力系統(tǒng)的持續(xù)運行。

4.保護工業(yè)控制設備的完整性

電力工控設備（如變電站自動化設備、智能電表等）需要持續(xù)運行并且不容許任何中斷。防火墻通過日志記錄和分析功能，能夠監(jiān)控所有進入和離開這些設備的流量，發(fā)現(xiàn)任何非授權(quán)訪問、篡改或惡意行為，及時做出反應。

5.合規(guī)性與審計

電力工控行業(yè)在許多國家都面臨嚴格的法規(guī)和合規(guī)要求，特別是在網(wǎng)絡安全領域。本防火墻產(chǎn)品提供的日志記錄和審計功能，能夠幫助企業(yè)確保其系統(tǒng)符合相關(guān)安全規(guī)范，確保企業(yè)能夠應對外部審計和檢查。

6.告警信息與安全態(tài)勢感知

電力企業(yè)通過與網(wǎng)安平臺集成，能夠?qū)崿F(xiàn)實時安全態(tài)勢感知，對工控環(huán)境中潛在的安全事件進行分析和評估。及時的告警信息推送能夠幫助安全團隊快速響應并采取有效的應急措施，減少潛在的安全風險。

7.企業(yè)網(wǎng)絡保護

為企業(yè)網(wǎng)絡提供了安全防護，防止惡意攻擊和信息泄露。

撰稿 | XU HONGPING

編輯 | LEI SHIQI