工业防火墙是面向工业控制系统网络，进行区域边界安全防护的硬件产品，满足国家等级保护的安全技术要求。产品采用工业级的硬件设计，基于对主流工业协议的深度解析，综合运用工控威胁特征识别技术、机器自学习与可信白名单技术，在提供传统防火墙的网络层控制和状态监控能力的同时，也可有效抵御各类针对工控系统的网络攻击和恶意破坏，为生产控制系统的稳定运行提供安全保障。 产品可广泛应用于电力、石油、石化、烟草、水利、轨道交通、智能制造等重点行业，为 SCADA、DCS、PLC、以及智能终端等系统提供高效可靠的安全防护，助力满足行业政策法规及安全技术要求。

基础防火墙功能

支持基于五元组及时间段的访问控制功能，支持状态检测，支持基于 IP 组的连接数限制,支持基于 IP、MAC 绑定功能，策略支持地址对象，支持主要的 DDOS 攻击和扫描攻击检测和防护，支持 NAT，支持 VPN。

工控协议白名单

内置工业通讯协议的过滤模块实现对工业协议识别及过滤，内置自学习引擎对工控协议进行深度解析、分析协议指令控制行为过程，自动建立基于工控协议的操作行为和规则的工控安全检测模型，实现对非法指令的阻断、非工控协议的拦截，起到保护关键控制器的作用。

工控协议深度解析

支持 Ethernet/IP、Modbus/TCP，IEC104，DNP3，Profinet，MMS，S7，GOOSE，SV 等众多工控协议报文深达值域级的深度解析，支持报文格式检查、功能码控制、动态端口识别、寄存器控制，连接状态控制等的检测。

工控行为自学习

基于对工控协议的深度解析，分析工控协议通信行为过程，自动学习基于工控协议的操作行为和规则，对正常工控协议的通信行为建立模型，以此作为可信白名单防护的基线，保障业务正常运行的同时阻止、异常攻击行为。

自定义白名单

支持 Modbus TCP，IEC104，DNP3，Profinet，MMS，S7，GOOSE，SV 等工控协议白名单规则自定义功能，包括工控协议报文的功能码、地址范围和工艺参数范围进行配置及定义，从而达到阻断异常指令、可疑操作的功能。可根据需要快速开发协议，满足特殊工业控制系统安全防护需求。

系统自身安全性

基于 SSL 的远程管理：通过网络可以直接对工业防火墙进行管理和配置。通讯采用了SSL 加密技术，所有配置管理信息在网络上全部以密文传输，可以防止恶意攻击者使用网络监听工具窃取信息。系统具备网络层恶意攻击检测及过滤控制能力（支持 SYN Flood、UDP Flood、ICMPFlood、抗 Ping of Death、Smurf、Land attack 攻击等）。

工控威胁检测库

实时检测工控网络中的攻击行为，通过内置的工控威胁库及威胁特征检测规则，实时对网络中的入侵进行识别、处置和告警。

流量分析可视化

对所有通过防火墙上的实时数据流量进行实时显示，并按照设备、MAC、IP 地址、协议类型等维度进行分析统计，包括流量占比图表、实时流量趋势图、平均流量等。

实时网络拓扑图

展现已接入网络产品设备，并对设备进行统一布局，动态增加新接入设备，查看布局时一目了然，也可根据现场需求设计定制化布局，实时监测网络。

安全集中管控

支持安全设备的集中管理，包括配置统一下发，规则库统一更新，安全日志，流量日志实时上报等功能；安全集中管理平台能够实时监控到设备的当前的安全状况，设备安全状况可定时自动刷新；安全监控平台可以查看到每台安全设备最近的有效安全事件及最近一周／月的安全有效事件趋势图。

贴合工业环境的硬件设计

工业防火墙硬件采用全工业设计，工业级硬件、故障容错、低功耗、无风扇设计（导轨防火墙），冗余电源、导轨安装、宽泛的温湿度应用、 Bypass 功能等先进硬件设计，完全满足工业网络现场应用环境的要求。在不影响生产运行的前提下，实现对 SCADA、DCS、PCS、PLC 等工业控制系统的安全防护，保证业务正常稳定运行。

多层次的安全防护

产品采用以下技术防护机制抵御来自网络层面的已知或未知威胁的攻击，提供了多元的防护： 1、内置庞大可升级的工控威胁库，实现对已知攻击行为的检测和防护； 2、自学习工控协议规则和行为，建立安全检测防御模型； 3、白名单防护机制阻止未知威胁和 APT 攻击。

丰富的工控协议支持

1、支持多达 40+工控协议识别 2、支持 20+工控协议的深度解析 3、细到指令级的精准控制

灵活的部署管理

考虑到工业网络对于可用性、持续性和实时性的要求，工业防火墙提供学习、测试、管控三种工作模式，产品在部署、配置和使用过程中可以根据需要实时切换到适当的工作模式下，保证在整个部署过程中都不会阻断正常的业务数据传输，无需中断生产系统的运行，而且在启动深度过滤时可选择仅警告，等确认后在进行处理，保障生产系统不间断运行。工业防火墙支持透明及路由部署模式，可以满足各种复杂工业网络结构和系统应用。

便捷的访问控制规则构建

1、采用流量智能学习引擎构建白名单访问控制规则； 2、支持白名单规则自定义，便于快速补充规则； 3、基于告警的一键加白，快速放行。

对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护，并满足特定工业环境和功能要求的防火墙。产品适用于 PLC、DCS、SCADA、PCS、SIS、MES、APC等工业控制系统，可以被广泛的应用在烟草、化工、石油石化、冶金、天然气、电力、水利、供水、供热、煤炭等与国际民生密切相关的领域, 保障国计民生的基础设施和工矿企业的控制系统安全生产、可靠运行，提升其工控网络的安全防范能力。

控制风险保障生产

有效规避工控网络脆弱性风险，保证生产的安全有序进行，降低工控网络攻击所带来的各种损失，确保企业工业控制系统的正常运行。

简化运维降低成本

直观的拓扑展示，可视化的流量呈现，简化工业环境的网络运维管理，降低维护成本。

政策合规满足监管

满足行业对工业控制网络安全的政策法规要求以及相关的安全技术要求。