产品详情
GUARD-3000是一款性价比*、尺寸极其紧凑的嵌入式工控边界安全产品。
ü 工业控制系统纵向层级之间的安全访问控制
ü 实现针对ICS系统和PLC、RTU等设备的安全防护
ü 用于能源行业广泛存在的1区和2区之间的逻辑隔离
ü 用于能源行业1区和2区内部不同系统之间的逻辑隔离
通过部署YWOs可以实现工业控制系统内部分层分域的安全防护,提高安全等级,更好的满足合规性的要求。
产品特点:
ü 可实现与多种设备之间的数据集中、数据转发、协议转换功能
ü 多种安全措施,增加系统的安全性,隔离和限制不安全区域
1.1 主要功能介绍
1.1.1 以策略实现对网络流量中的访问控制
管理员通过创建策略,可以明确哪些网络访问是需要进行工业协议深度扫描和病毒扫描,哪些只需要进行简单的三层扫描,那些是可以直接放行的。
1.1.2 工业协议深度过滤
用户可选多种工业协议的深度过滤,直接识别到每一个数据,在此基础上可以对每一个数据进行完备和详尽的访问控制。研发团队经过多年的技术积累,为用户提供以安全为前提,以网络为主要通讯手段,以自动化应用为主要市场的典型产品和应用。结合层的传感器、数据采集和控制以及现场总线通讯,实现真正的自动化安全,包括系统安全、数据安全、控制安全和设备维护安全等。
目前产品核心软件模块对各类工业协议解析类别解析涉及多种行业领域,石化、电力、交通、市政等行业主要设备、装置、系统大量装备国外产品目前使用的主流工业协议均能够识别、解析以及深度过滤。
支持各种主流ICS标准通讯协议和厂商自定义协议,涵盖主要行业如电力、烟草、石油化工、轨道交通等。主流协议如: OPC、Modbus、DNP3.0、Profinet、IEC 101 /102 /103 /104、CDT、IEC 61850、EIP、RSSP等
1.1.3 支持协议数量
经过团队多年的技术积累,目前对工控行业领域常用的3000多种协议。具体支持协议种类及数量参照文档《协议支持一览表》。
1.2 简单易用
系统网络吞吐统计:
图 1.1 网络流量监视图
1.3 设备本身安全性
1.3.1 多级多用户多鉴别
为了确保纵向型工业安全网关的系统安全性,GUARD-3000纵向型工业安全网关系统需要通过认证来完成对不同用户的,只有在管理账户列表里的用户才能通过Terminal Console、SSH、Web登录和管理GUARD-3000纵向型工业安全网关设备。在管理用户列表视图中,主要包含如下信息:
管理用户列表视图 | 描述 |
用户名 | 管理账户的标识符 |
角色 | 管理角色,明确当前用户所具有的权限,分为“Admin”、“Guest”、“Audit” Admin:表示可以对GUARD-3000纵向型工业安全网关进行配置管理的用户,比如“增加”“修改”“删除”等作用。 Guest:只能查看当前配置的用户,不能进行增删减的作用 Audit:用来查看当前网络设备的日志,报表等作用的用户 |
1.3.2 可信主机
为了确保GUARD-3000纵向型工业安全网关的系统安全性,用户需要定义能够管理GUARD-3000纵向型工业安全网关的主机IP地址列表,只有IP地址在可信主机IP地址列表内的主机才可以登录和管理GUARD-3000纵向型工业安全网关系统。在可信主机列表中,主要包含如下信息:
可信管理主机列表视图 | 描述 |
可信主机 | 可信主机的IP地址 |
类型 | 可信主机类型(动态 | 静态) |
生存时间 | 动态可信主机超时时间 |
1.4 防病毒引擎
GUARD-3000纵向型工业安全网关通过防病毒选项拓展了传统设备的安全性,将安全的概念从原来的网络层和传输层扩展至应用层。通过防病毒引擎选项,GUARD-3000纵向型工业安全网关能够实现立体方式的病毒防护理念。
1.5 支持IPsec VPN功能
详见《Yorkwell GUARD-3000 V5.20 IPSec功能 产品 v1.1》。
1.6 支持安全数据采集、存储和转发功能
详见《Yorkwell GUARD-3000 V5.20.1XX HT功能产品 v1.0》、《Yorkwell GUARD-3000 V5.20.1XX SF功能产品 v1.0》
1.7 优势特性
• 串行数据层解析(RS-232/422/485)。
• 各种现场总线灵活的协议扩展和转换模块,例如实现串口到网口、光口的转换。
• 解析多种通用工业控制协议OPC、ModBus、Ethernet/IP 、Profinet、IEC 104 、IEC 61850、DNP3.0等
• 解析多厂家PLC工控协议如西门子Fanuc、 SINUMERIK或PHILIPS协议。
产品参数:
类别 | 描述 | |
硬件平台 | CPU | 板载 Intel J1900 CPU |
显示 | 支持VGA显示,分辨率高达1024x768 | |
设备存储 | 高速16G SSD 电子盘 | |
内存 | 板载4GB DDR3L 内存 | |
网络 | 5个M12接口 | |
拓展插槽 | 两个PCI-E(1个MINI PCIE总线,1个为MSATA) | |
USB | 3个USB接口 | |
KB/MS | 支持USB键盘和鼠标(产品标配不含) | |
串口 | 1个调试用Console口 | |
实时时钟 | 支持 | |
机箱 | 整体无风扇设计 | |
工作温度 | -40℃至70℃ | |
相对湿度 | 0-95%RH,无凝结 | |
海拔高度 | 0-5000米 | |
电源 | 供电使用66-160V/DC直流,功耗20瓦 | |
软件指标 | 基本包过滤 | 具备基本包过滤 |
IPsec | 具备 IPsec VPN 功能 | |
Bypass | 具备至少1对Bypass 功能 | |
三层 | 具备灵活的接入方式如:路由、透明及混合等方式 | |
地址转换 | 具备网络地址转换能力如:可以支正SNAT、反向 DNST地址/端口转换、双向 NAT 地址转换功能 | |
时钟同步 | 支持系统自动校时、时钟同步功能 | |
管理方式 | 支持多种管理方式如:WEB、超级终端、拨号等 | |
HTTPS | 支持 HTTPS 协议访问,即使用管理证书完成 SSL 的加密 | |
高可用性 | 高可用性如:双机热备功能 | |
网络诊断 | 具备网络诊断功能如:在线抓包等 | |
识别并阻断 | 具备需识别并阻断常见的网络攻击行为。支持 sys flood、icmp flood、udp flood、tear flood、arp flood | |
IP/MAC绑定 | 具备 IP/MAC 绑定功能 | |
防病毒 | 具备防病毒功能:支持对 HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤;支持防恶意网站功能,防止用户点击恶意链接并访问恶意网站;对携带病毒的邮件以及HTTP 协议进行信息替换 | |
日志 | 支持详细日志记录,包括配置管理日志、事件日志、网络连接日志,攻击防护日志、流量日志等;本地和远程集中管理平台两种存放方式,日志数据可以导出;支持分权限分用户管理接入设备;支持安全网关设备的管理、流量监控、性能监控;支持安全网关设备的生成日志的收集、查询及归档;支持生成安全网关设备的日志报表、流量报表等功能 | |
技术指标 | 吞吐量 | 吐量不小于 2G bps a) 对64字节短包,应不小于线速的15% b) 对 512 字节中长包,应不小于线速的 50%; c) 对 1518 字节长包,应不小于线速的 95%; |
VPN吞吐量 | VPN 吞吐量不小于 800Mbps | |
延迟 | 对 64 字节短包、512 字节中长包、1518 字节长包,千兆性能的平均延迟不应超过 150us | |
并发连接数 | 大并发连接数不小于 160 万个 | |
连接速率 | 连接速率不小于 1 万个每秒 | |
工业协议 | 工业协议分析 | 支持工业协议数据分析,协议类型包括:IEC-104、MODBUS、OPC、S7 |
工业协议深度过滤 | 支持基于工业现场特点控制协议数据,根据帧数量频度、变量读取频率安全范围和工业协议内部的指令、内部寄存器等报文信息进行深度检查;包括OPC、S7、MODBUS、IEC60870-5-104 工业协议指令 | |
安全防护 | FLOOD 攻击防御 | 支持TCP、UDP、ICMP FLOOD 攻击防御,可配置阈值、抖动窗口、动作和开关设置; 支持单独配置FLOOD 攻击的日志老化时间和上报周期 |
异常报文攻击防御 | 支持报文类型有Smurf、Fraggle、Tcp_flag、Win_nuke、Land、Icmp_redirect、Tracert、Large_icmp、Teardrop、Ping of death | |
入侵防御 | 支持APP 应用、浏览器、注入攻击、XSS 攻击、目录遍历攻击、操作系统漏洞利用攻击、工业协议攻击等类型防御; 内置工业IPS 库,可通过前台界面持续升级; | |
病毒过滤 | 支持对HTTP/FTP/POP3/SMTP/IMAP/S7_300 协议进行病毒查杀; 内置查毒规则库,可通过前台界面持续升级; | |
URL 过滤 | 支持URL 过滤,支持基于URL 分类进行策略配置; 内置恶意库,可通过前台界面持续升级; | |
连接控制 | 支持基于IP、端口、并发类型、并发方向进行连接数配置; 支持*6 连接控制; | |
关键字过滤 | 支持基于类型、协议、动作、匹配方向对关键字进行过滤 | |
文件过滤 | 支持基于协议、方向、动作和不低于100 种文件类型进行进行过滤 | |
扫描防护 | 支持自身扫描防护开关配置 | |
符合标准 | 产品符合如下标准并通过型式试验,具备型式试验检测报告及证书 | 1.GB/T 25119-2010 轨道交通 机车车辆电子装置 2. IEC 60571-2012 Railway applications – Electronic equipment used on rolling stock 3. GB/T 24338.4-2009 轨道交通 电磁兼容 第 3-2 部分:机车车辆 设备(mod IEC 62236-3-2-2003) 4. GB/T 21563-2008 轨道交通 机车车辆设备 冲击和振动试验 idt IEC 61373-1999 |
产品功能:
通讯接口支持 | ü 支持RS-232/422/485、以太网RJ-45接口; ü 可选CAN,Profibus/DP接口 |
主要功能 | ü 实现工业控制系统纵向层级(集团/厂/车间/设备)之间的安全控制; |
产品特点 | ü 可实现与多种设备之间的数据集中、数据转发、协议转换功能; ü 多种安全措施,增加系统的安全性,隔离和限制不安全区域; |
防病毒 | ü 支持基于POP3、SMTP、HTTP、FTP等协议的病毒防护; |
可信主机 | ü 支持用户自定义可信主机IP地址列表,只有IP地址在可信主机IP地址列表内的主机才可以登录和管理系统; |
文件管理 | ü 支持文件的上传、下载、删除、安装功能。 |
接口类型显示 | ü 接口名称; ü 物理设备的Ethernet层网络地址; ü 网络接口的逻辑UP、Down状态; ü 网络接口的物理协商类型; ü 接口的MTU; ü 指示接口的连接状态信息; ü 是否打开透明传输模式(0:路由模式 1:透明模式 >1 Trunk 透明模式 该值为TrunkID编号); |
ARP | ü 支持ARP缓存列表、IP&MAC绑定、删除绑定; |
系统路由 | ü 支持静态路由 |
对象支持 | ü 支持主机地址对象、子网地址对象、网络地址段、地址组;支持用户自定义服务、服务组; |
安全策略 | ü 安全策略可以使用用户自定义的地址条目,或者系统保留关键字“any”来描述网络流量的任意IP地址信息。 ü 支持安全策略列表视图:ID匹配计数、入站接口、源地址、目标地址、服务、防病毒 |
OPC协议策略 | ü OPC协议策略支持如下配置: ü OPC服务器:OPC服务器名称、OPC服务器地址、设备地址、通讯周期、点名; ü 寄存器类型:寄存器类型、寄存器号、寄存器长度; ü 数据控制:数据表示方式、数据顺序、数据底限、数据高限、数据写频率、数据写斜率; |
Modbus、DNP3.0、Prifibus、EIP、IEC61850协议支持 | ü 支持串口、TCP/UDP、制造厂家、设备名称、设备地址、寄存器地址、寄存器类型、是否可写等参数配置;数据控制参数支持:数据表示方式、数据长度、数据顺序、数据底限、数据高限、数据写频率、数据写斜率、起始时间、结束时间; |
工业协议日志 | ü 支持系统日志、*6日志、日志导出;日志包含事件日志、安全日志、系统负载日志;日志内容包括日志类型、级别、关键字、起始时间、结束时间、管理主机等条件过滤;日志内容包括日期/时间、级别、管理员、管理主机、动作、结果、信息等字段内容; |
日志级别 | ü Emerge(紧急)、Alert(警示)、Crit(关键)、Error(错误)、Warn(警告)、Notice(通知)、Info(信息)、Debug(调试) |
HTTP防病毒 | ü 提供基于HTTP协议的病毒防护。基于HTTP服务器的URL地址过滤、MIME检查与过滤、扩展名的检测和过滤等,为网页的浏览提供安全保障。 |
命令行支持 | ü 支持CLI界面命令行操作。提供详细的命令使用手册。 |
配置和操作 | ü 使用安全管理平台SOC实现便捷的配置; ü 过滤通讯内容并为每个用户的安全规则生成报警; ü 报警:系统日志功能在SOC上生成安全报警报告; |
安全性 | ü 阻断OPC互联互通所导致的安全问题; ü 可变换OPC的读写类型和数据类型; ü 任何没有在OPC客户端和服务器定义的OPC通讯都将被阻止并且报告; ü 任何合法的OPC客户端和服务器间没有被认可的通讯请求将被阻止并且报告; ü 将分散的控制进行打包分组; ü 对输出控制就行输出范围、读写频率、输出变化率以及可输出时间段的细粒度控制; ü 信息传输可以透过防火墙和网闸等各种网络安全设备; |
可靠性与稳定性 | ü Modbus/TCP客户端自动重连 ü 网线中断自动重连 ü OPC服务器中断自动重连 ü 支持TCP的长连接,可达1年 |
方便性 | ü 简化了复杂的OPC连接 ü 实现了跨平台和跨操作系统的互联互通 ü 便捷的测试和连接工具 ü 上电自动运行的设备化操作 ü 远程重启和软件更新 ü 多种智能设备通讯协议 |
统计报表 | ü 统计报表包含SMTP邮件、POP3邮件、HTTP访问记录、FTP访问记录以及病毒的日志。负载报表:系统使用率、网络流量、会话连接数等报表; ü 支持对网络流量过滤情况的实时统计信息,包括威胁趋势报表、威胁统计报表、HTTP威胁统计报表、SMTP统计报表、POP3统计报表、FTP统计报表; |
系统管理 | ü 支持配置导入导出、系统重启、日志配置、console口配置、支持NTP服务; ü 支持多种不同角色用户,不同用户具有对系统不同的操作权限; |