結合白名(míng)單、黑名(míng)單、安(ān)全域劃分(fēn)、IP/MAC地址綁定等技(jì )術，抵禦工(gōng)業網絡中(zhōng)各類已知和未知的惡意攻擊行為(wèi)，為(wèi)工(gōng)業網絡中(zhōng)各類生産(chǎn)系統和業務(wù)系統的穩定運行提供安(ān)全保障。

産(chǎn)品特色

工(gōng)業級硬件

• 無風扇設計，支持寬溫，适應工(gōng)業現場的惡劣環境;
• 雙電(diàn)源設計，符合工(gōng)業現場電(diàn)源冗餘要求(部分(fēn)型号);
• 多(duō)核低功耗CPU，降低整機能(néng)耗;
• 硬件ByPass功能(néng)，異常狀态不會影響生産(chǎn)與業務(wù) 網絡數據。

協議識别廣而深

• 深度解析MODBUS TCP、DNP3、S7、IEC104、 MMS、PROFINETIO、OPCDA、GOOSE、SV 等多(duō)種工(gōng)業協議，支持協議自定義;
• 支持大多(duō)數傳統IT協議的深度解析與控制。

工(gōng)業漏洞庫

• 包含1000餘種工(gōng)業漏洞;
• 涵蓋主流廠商(shāng)的工(gōng)業漏洞;
• 精(jīng)細分(fēn)類工(gōng)業漏洞，精(jīng)确防護工(gōng)業設備。

白名(míng)單與機器學(xué)習

• 對工(gōng)業控制網絡中(zhōng)所有(yǒu)不符合白名(míng)單的數據和行為(wèi) 特征進行阻斷和告警，消除未知漏洞危害;
• 通過機器學(xué)習自動收集系統正常運行狀态下的數據 行為(wèi)，識别工(gōng)業網絡環境網絡的安(ān)全數據特征，建立 網絡流量安(ān)全基線(xiàn)。

高可(kě)靠性

• 硬件ByPass，當機器出現能(néng)源異常時，Bypass 網口自動導通，保證業務(wù)正常運行;
• 軟件ByPass，當網絡數據超出防火牆最大負荷 時，在條件地将部分(fēn)安(ān)全數據軟bypass，保證網 絡時效性。

符合工(gōng)業操作(zuò)習慣

• 符合工(gōng)業習慣的操作(zuò)界面，運行情況一目了然;
• 符合工(gōng)業習慣的設置方式，運行方式 簡單易懂;
• 符合工(gōng)業習慣的展現形式，安(ān)全事件查看駕輕就熟。

産(chǎn)品功能(néng)

白名(míng)單防護

在默認情況下，任何未經批準的主機、協議或功能(néng)指令都不能(néng)通過防火牆，從而抵禦零日惡意軟件和有(yǒu)針對性的攻擊。一旦檢測到白名(míng)單以外的網絡數據，及時上報異常，對未知的攻擊也能(néng)夠記錄。

工(gōng)業漏洞檢測

通過内置的工(gōng)業漏洞檢測引擎，内置1000餘種工(gōng)業漏洞，涵蓋多(duō)數主流工(gōng)業控制系統漏洞，精(jīng)确匹配工(gōng)業控制網絡中(zhōng)的數據特征，檢測工(gōng)業控制網絡已知的惡意攻擊與威脅，保護工(gōng)業控制系統業務(wù)與數據安(ān)全。

接入控制

主要針對工(gōng)業控制網絡數據中(zhōng)第二層網絡（layer2）的控制，通過控制設備的源/目的IP、源/目的MAC，源/目的端口，快速識别工(gōng)業控制網絡中(zhōng)存在風險的設備和主機，防護工(gōng)業控制網絡安(ān)全于未然。

日志(zhì)記錄與報表

日志(zhì)記錄包括安(ān)全事件，操作(zuò)記錄，協議事件等内容。日志(zhì)記錄默認所有(yǒu)事件都上報并存儲，特定場景下可(kě)以選擇需要上報的告警日志(zhì)，優化日志(zhì)可(kě)視界面。報表展示靈活，定制内容，定制類型，定制輸出的格式，滿足多(duō)種報表功能(néng)需求。

多(duō)種工(gōng)作(zuò)模式

由于工(gōng)業控制網絡的特殊性，設計三種工(gōng)作(zuò)模式來滿足其要求：全通模式、測試模式、工(gōng)作(zuò)模式。全通模式下所有(yǒu)網絡數據都通過；測試模式下所有(yǒu)數據都通過，匹配安(ān)全策略的數據告警而不進行控制；工(gōng)作(zuò)模式下工(gōng)業控制網絡數據根據安(ān)全策略決定通過還是阻斷。

NAT

NAT（Network Address Translation, 網絡地址轉換），包括SNAT與DNAT功能(néng)，它是一個IETF标準，将工(gōng)業控制網絡的某個工(gōng)段或者工(gōng)作(zuò)域以一個特定IP地址對外發布，防止工(gōng)業控制網内主機直接暴露在對外網絡中(zhōng)，保證工(gōng)業控制網絡的主機和設備安(ān)全。 

VPN

VPN(Virtual Private Network，虛拟專用(yòng)網絡)，包括IPSec與GRE功能(néng)，IPSec VPN是基于IPSec協議的VPN技(jì )術。GRE VPN（Generic Routing Encapsulation）是基于通用(yòng)路由封裝(zhuāng)協議的VNP技(jì )術。