Tofino工業防火牆產品構成
1
多芬諾(TM)安全設備模組 (TSA)
2、Tofino(TM) Loadable Security Modules (LSM)多芬諾(TM)可裝載安全軟外掛程式 (LSM)
3、Tofino(TM) Central Management Platform (CMP)
組態軟體-中央管理平台(CMP)
Tofino工業防火牆產品構成詳解
1、Tofino安全模組(TSA)——硬體設計遵循增強型工業環境要求,套用於受保護的區域或控制器等關鍵設備之前,設計使用壽命27年。
◆TSA-220
硬體規格:
●外形類似普通的I / O模組和隔離器
●
●
●繼電器開關輸出
● 銅和/或光纖網路接口
● MUSIC 安全認證
◆TSA-100
硬體規格:
● 外形類似普通的I / O模組和隔離器
●
●雙電源輸入
● 故障繼電器輸出報價
● 二區保護, 具備FM和ATEX認證
● MUSIC 安全認證
2、中央管理平台(CMP):
◆集中組態,管理和監測所有Tofino安全設備模組(TSA)及所在網路,操作簡單。
網路地圖可拖放模組、通訊協定等來制定你的網路規則。
◆組態軟體界面
◆中央管理平台(CMP): 操作簡單
3、 Tofino(TM)可裝載安全軟外掛程式(LSM):
◆LSM 是軟體外掛程式,提供諸如安全服務:
● Firewall防火牆
●Secure Asset Management資產管理
●OPC Enforcer OPC通訊安全外掛程式
●Modbus TCP Enforcer Modbus通訊安全外掛程式
●Event& Log 事件報警記錄
●VPN
◆每個LSM外掛程式是可下載到多芬諾(TM) 安全設備模組(TSA)里,使它能夠提供可定製的安全功能,這取決
於控制系統的要求。
Tofino實現的目標
●區域隔離:Tofino工業防火牆外掛程式能夠過濾兩個區域網路間的通信。 這樣意味著網路故障會被控制在最初
發生的區域內,而不會影響到其它部分;
●深度檢查:面向套用層對特有的工業通訊協定進行內容深度檢查,告別病毒庫升級缺陷;
●通信管控:通信規則是可以通過中央管理平台進行線上組態和測試的;
●實時報警:所有部署的防火牆都能由中央管理平台統一進行實時監控,任何非法的(沒有被組態允許的)訪
問,都會在中央管理平台產生實時報警信息,從而故障問題會在原始發生區域被迅速的發現和解
決。
Tofino防火牆的套用範圍
1、對脆弱的控制器進行保護(Controller)
控制網路上的PLC, DCS, ESD和 RTU對現場實時控制來說非常有效,但就網路連線來說它們都不是很強
壯,甚至一般的網路攻擊,比如廣播和多點傳送信息就會使一些設備過載而導致受到破壞。
2、提升網路區域劃分(OPC Communication)
許多控制系統是從簡單獨立的系統發展成複雜複合網路的,在這些網路中,各個子系統之間未經隔離並
且一般都沒有保護措施,所以會導致如果一個區域出現問題,很快就會傳染到整個網路.
3、避免突發事故和惡意入侵(Eng&APC Stations)
即使沒有連線到Internet,您的控制系統仍然是有風險的。研究表明,大量的網路安全事故發生在各種各
樣的進入網路的次要入口處,例如公司網路、維護時的臨時連線、第三方網路(比如合作商和服務
商),甚至一些可移動介質如筆記本電腦和隨身碟等。
4、Tofino防火牆的套用範圍涵蓋:
●工程師站隔離
● APC防護
● ESD防護
● Modbus防護
●控制器防護
● 控制網與信息網隔離(OPC DA/HAD/A&E)
● SCADA 防護
●MES網路防護
Tofino防火牆具有的獨特優勢
與傳統防火牆相比,Tofino防火牆具有的獨特優勢:
傳統防火牆特點
傳統防火牆分3類:包過濾防火牆,狀態檢測防火牆,套用代理防火牆。
1、包過濾防火牆:
工作原理:
根據已經定義好的過濾規則來審查每個數據報,並確定該數據報是否與過濾規則匹配,從而絕地的那個數據報是否能通過。
工作在網際層 、傳輸層
缺點:
●包過濾技術主要依據是在IP報頭中的各種信息,但IP包中信息的可靠性沒有保證,IP源地址可以偽造,
通過內部合謀,入侵者輕易就可以繞過防火牆。
●並非所有的服務都與靜態連線埠綁定,包過濾只能夠過濾IP位址,所以不能識別相同IP位址下不同的用
戶,從而不具備身份認證的功能。
●工作在網際層和傳輸層,不能檢測那些對高層進行的攻擊
●如果為了提高安全性而是用很複雜的過濾規則,那么效率就會大大降低
●對每一個數據報單獨處理不具備防禦Dos攻擊和DDos攻擊的能力
2、狀態檢測防火牆(SPI 動態包過濾 自適應防火牆)
工作原理:
在基本包過濾的基礎上增加了狀態檢測的功能,它記錄和跟蹤所有進出數據報的信息,對連線的狀態進行動態維護和分析,一旦發現異常的流量或異常連線,就動態生成過濾規則。
工作在 網際層 傳輸層
缺點:
不能對套用層數據進行控制,不能記錄高層次的日誌。
3、套用代理防火牆
工作原理:
基於軟體實現,包含3個模組,客戶代理模組,伺服器代理模組,過濾模組。客戶代理模組負責處理客戶訪問請求,由過濾模組分析和決定是否接受請求
工作在 套用層
缺點:
工作效率低,對不同的套用層服務都可能需要定製不同的套用代理防火牆軟體,缺乏靈活性,不易擴展,目前常規套用代理防火牆僅限於HTTP、FTP、 SMTP通訊協定,沒有針對工業通訊協定的套用。
Tofino防火牆的專有特點
1、 工業型防火牆:
(1)內置50多種專有工業通信協定,與常規防火牆不同的是,Tofino防火牆是基於內置工業通訊協定的防護模式,由於工業通訊協定通常是基於常規TCP/IP在套用層的高級開發所以該防火牆不僅是在連線埠上的防護,更重要的是基於套用層上數據包深度檢查,屬於新一代工業通訊協定防火牆,為工業通訊提供獨特的、工業級的專業隔離防護解決方案。
(2)具備線上修改防火牆組態功能,可以實時對組態的防火牆策略進行修改,而且不影響工業實時通訊。其它防火牆需要斷電、重啟等。
(3)工業型設計,導軌式安裝,低功耗無風扇,具備二區防爆認證。
2、 獨有專利安全連線技術:
(1) 首先防火牆自身是基於非IP的獨有專利安全連線技術進行管理,能夠阻擋任何欺騙式攻擊。
(2) 能夠隱藏防火牆後端所有設備的IP位址,讓入侵者無法發現目標,更無從談發動任何攻擊。
(3) 集防火牆與虛擬路由於一身,能夠像網路交通警察一樣管控通訊網路數據通訊的路徑、對象以及數據流的方向,可以設定數據流入、流出的單向或雙向。
3、實時網路通訊透視鏡:
能夠為目前控制網路故障分析、監控、記錄提供一個簡單、有效的可靠工具,能夠確切的觀察、分析、控制網路通信電纜中所使用的通訊協定、數據速度、訪問對象等。實現對非法通信的實時報警、來源確認、歷史記錄,保證控制網路通訊的實時診斷。
Tofino在中國
目前在中國,Tofino工業防火牆做的比較好的公司是青島海天煒業自動化控制系統有限公司,該公司擁有多年的工業網路安全安裝及維護經驗,並與來自加拿大的全球首個工業控制網安全專家Byres Security Inc.結成合作夥伴,以獨特的設計理念、先進的製造技術以及卓越的產品性能為工業控制網通訊安全提供了可靠保障。目前在國內已有多個成功的項目,先後為中國石化、中國石油、中國海油、甘肅酒泉鋼鐵、南通電廠等國內多家大型石油石化、鋼鐵、發電、冶金,化工,水廠,醫藥,公用事業等企業提供Tofino工業防火牆工業網路安全服務,並受到用戶的一致好評。