电力专用工控防火墙

技术架构

      电力专用防火墙以专业的硬件平台为基础，在此基础上高度融合 Conplat 平台和驱动适配模 块，形成稳定的框架层，然后在框架基础上进行系统管理、配置管理、日志管理、路由管理等基础模块的 开发，通过硬件层、框架层、基础层最终保障包括网络层控制、电力协议安全等模块在内业务层的良好运转。

 产品概述

业务接口:千兆光口2个，千兆电口8个:扩展插槽2个;双电源，高度1U:AC；双交流电源、机架式1U设备，满足电力网络安全监测装置接入。

网络层吞吐量2G：并发连接数200W;新建连接速率30000。

应用场景：应用在工业控制层级间隔离以及各层区域间隔离，能够对 SCADA、DCS、PLC等工业、控制系统进行有效的安全保护。

协议支持：支持 OPC、Modbus、IEC104、IEC61850/MMS 等工业协议的精确识别以及协议内容深度解析过滤，能对工控网络环境进行多层级保护，保障了工控网络的安全性。

OPC深度过滤:支持OPC动态端口跟踪及控制:支持OPC DA、HDA、Batch、OPCA&E、DX协议访问控制;支持OPC只读控制;支持OPC接口方法控制;支持规则引用计数。

主要功能

 网络层控制：支持包括包过滤、NAT、状态检测、用户/MAC/IP 绑定在内的多种网络层控制功能。

 应用层控制：支持对电力协议的应用层防护，包含电力协议访问控制和电力协议内容安全两大核心功能。

 攻击防护：指通过分析报文的内容特征和行为特征判断报文 是否具有攻击特性，并且对攻击行为采取措施以保护网络主机或者网络设备。

 VPN：集成了专业的 VPN 特性，采用加密、认证和隧道技术，可以对工控网络中传输的数据 做专业级的隧道加密防护，有效的避免重要数据的泄露，保障数据的传输完整，同时在简化网络结构的基 础上，还大大提升了用户网络安全建设的性价比。

丰富的工业协议种类：包括 Modbus、OPC、IEC104、DNP3、EN/IP、IEC61850、BACnet、FINS 等在 内的上百种工业协议，还支持工业协议的自定义，包括二层协议类型和三层网络端口号的自定义，对设备 可识别的工业协议进行了扩展，满足多种工业场景对于协议支持的需求。

精准的工业协议深度过滤：支持多种工业协议内容深度解析过滤，可以对工业协议进行指令级别的控制，如以下：Modbus/UDP、OPC Classic、IEC104、S7、EtherNet/IP、DNP3、IEC61850/MMS、IEC61850/GOOSE、IEC61850/SV、FINS、MQTT

业务多工作模式：支持防护模式、测试模式、全通模式，用于设备策略部署过程中的安全性检验，将工 控防火墙的上线过程对业务的影响降至最低。

白名单策略自学习:支持工业协议流量的自学习，形成白名单策略，实现用户一键勾选部署策略，解决用户因不了解工业协议而带来的配置难问题,通过自学习，可以对网络中的资产情况进行学习，包含资产名称、IP、MAC、厂商情况等信息，并生成资产对象，通过工控安全策略直接引用，简化部署。

支持丰富的网络特性:包括STP、VLAN、ARP 等二层特性、也包括 BGP、OSPFv2/v3、MPLS 等 IPv4/IPv6 的三层特性。

高性能、低时延处理能力:采用了决策树算法把安全策略编译成快速匹配表项，报文经过设备时提取五元组一次性送入快速匹配表项进行策略匹配，可以一次性查找到相应的匹配，形成单数据流并行处理的体系结构。

高可靠性:从硬件物料选型、电路设计、结构设计、系统冗余、时延、可靠性、环境要求等方面保证硬件的可靠性，采用工业无风扇设计，满足苛刻复杂工业环境的使用需求。

典型部