随着网络信息时代的到来，我国工业模式发生了翻天覆地的变化，打破了“信息孤岛”模式，企业全面联网，生产数据轻松实现汇总分析，不但提高了生产效率，还达到了节能减排的目的。信息化给工业带来的有利变化显而易见，但随之而来的网络安全问题又使人为之惊慌。

传统的商用防火墙是目前网络边界上的一种防护设备，它所提供的主要功能包括访问控制、地址转换、应用代理、带宽和流量控制、事件审核和报警等。商用防火墙诞生于传统信息网络环境下，虽然经过了多年的发展和完善，但其应用环境还是局限于企业信息网络，它对于工业网络环境还有诸多的不适应。也正是基于这一现实，工业防火墙被开发应用。

全新一代增强级工业防火墙HC-ISG (V2.0)，是专用于工业控制安全领域的增强级边界安全防护产品，能够有效对SCADA、DCS、PCS、PLC、RTU等工业控制系统进行网络安全防护。该产品主要用于实现工业基础设施在网络环境中的边界防护，从而阻断攻击者的非法访问、病毒传播和恶意攻击等，同时也能有效避免工作人员误操作导致的威胁扩散等安全问题。该产品能够广泛应用于各工业现场，包括核设施、钢铁、有色、石油天然气、化工、电力、城市燃气、机械、环保监测、城市供水、供热、水利枢纽、隧道、港口、铁路、城市轨道交通、以及其他与国家基础设施和国计民生紧密相关的工业控制系统和网络。

相较于商业防火墙以及普通工业防火墙，该产品主要有以下升级：

功能架构

工业增强型防火墙HC-ISG (V2.0)产品的功能架构主要分为三个部分，分别是：基础系统、功能插件和配置工具。

• 基础系统：根据工业网络通信特点和安全防护要求定制开发的底层运行平台，为防火墙上层业务模块提供必要的运行环境和安全保障；
• 功能插件：HC-ISG(V2.0)系列工业防火墙的核心业务处理模块，它由一系列独立的功能模块组成，主要用于完成对于工业网络协议的识别、解析和深度过滤；
• 配置工具：对HC-ISG(V2.0)系列工业防火墙的进行网络组态、策略配置和运行监控，是与防火墙进行人机交互的接口。

• 位置1：生产管理层和信息管理层的纵向防护，阻断来自上层信息网的威胁。

• 位置2、3、4：对重要系统及实时数据库的服务器进行专门防护，切断恶意访问、恶意代码渗透及病毒感染。

• 位置5、10、12：隔离工程师站等主机设备，如若工程师站等主机设备感染病毒，可避免其病毒扩散至其它设备乃至整个工业网络，降低工程师站等主机设备存在的安全风险。降低工程师站作为常用对外接口，因感染病毒而带来的风险。

• 位置6、7、8、9、13：过程控制层不同区域间的纵向防护，防止不同区域间的交叉感染。

• 位置7、11、14：保护重要控制系统或设备，只允许必要的数据包通过，阻断对重要控制系统或设备的所有非法访问及控制。

工业协议过滤

支持包括OPC、Modbus、Ethernet/IP、IEC104、DNP3、西门子、GE等多种协议的解析和访问控制功能。

深度检测防御

从应用层对多种工业协议进行深层检测，可以对工业协议内部的指令、内部寄存器等信息进行深度检查，防止应用层协议被纂改或破坏，保证工业协议通讯的完整性和可控性，为工业网络通讯提供的解决方案。

智能协议识别

采用被动检测的方式从网络中采集数据包，并进行数据包的解析。

辅助规则生成

可自动获取经过防火墙的实时完整协议信息，与系统内置的协议特征、设备对象等进行匹配，生成可供参考的网络交互信息列表，帮助用户以的方式了解和掌握网络中的通讯业务，便于在安装初期简化工程师配置，在纯净网络中自动生成规则，启动防护功能。

病毒过滤

内置工业病毒库，具备病毒过滤功能，当携带病毒的文件通过常用类型协议进行传输时，防火墙能够对文件进行病毒检测并拦截，避免恶意文件进入被保护网络。

URL过滤

可将所有Web流量与URL过滤数据库进行比较，阻止对于恶意网站的访问。

入侵防御

内置工业ISP库，可持续升级，通过流量检测和报文深层次分析，防御注入攻击、XSS攻击、目录遍历攻击、操作系统漏洞利用攻击等。

攻击防护

扫描攻击防护：提供完善的网络扫描防护功能，能够检测和记录对所有接口及受保护网络的扫描行为。

Dos/DDos攻击防护：包括TCP Flood、UDP Flood、SYN Flood、ICMP Flood、IP Flood、TearDrop 、Land等攻击。

IP/MAC绑定

检测非安全端的IP与MAC地址是否相同,防止遭受ARP攻击和IP冲突等安全问题。

流量监控和会话管理

通过IP地址、网络服务、时间和协议类型等参数对流量进行统计，可根据策略和网络流量动态调整客户端所占用带宽，支持设置单IP的并发会话数，能够在会话处于非活跃状态一定时间或会话结束后，主动释放其占用的状态表资源。

宽带管理

可对带宽进行管理和配置，优先保证工控业务带宽，保证业务连续性。

安全审计

提供完整的日志管理平台，审计访问操作记录，为界定不同区域的交叉访问和问题追踪提供可靠的依据；为用户提供防火墙状态监控、日志存储、检索、查询及智能报警功能。

用户认证

用户认证可采用本地认证、Radius认证和Ldap认证3种方式。

管理员鉴别

管理员可进行鉴别配置，并能绑定启用UKEY， 实现双因子认证。

负载均衡功能

支持负载均衡功能，能够根据安全策略将网络流量均衡于多台服务器上。

NAT功能

支持多对一、多对多源NAT；支持目的NAT。

VPN功能

为设备间数据通信提供安全保障,通信过程采用加密传输,认证成功后可实现远程访问。

IPv6支持

支持IPv4和IPv6双协议栈的网络环境，支持IPv4和IPv6两种协议之间相互转换。支持利用隧道技术，实现IPv4和IPv6网络互通，作为IPv4网络到IPv6网络的过渡。提供6over4隧道、6to4隧道以及ISATAP隧道的功能。

设备部署模式

考虑到工业网络对于可用性、持续性的要求，支持透明或路由部署方式，可根据实际工业网络环境灵活部署。

设备高可用性

设备支持BYPASS、双机热备，当主防火墙出现断电或其它故障时，可及时切换到备防火墙进行工作，避免单点故障。双重保障，更安全、更可靠。

ALG应用级网关

具备ALG功能，对父连接的应用层信息进行解析，获取子连接信息，实现对多连接协议的父连接及子连接的控制，支持FTP、SQLNET、H323、OPC协议。如：OPC运行正常，OPC数据连接所使用的动态端口被开放/放行。

• 充分保证现场设备正常、稳定的运行，免遭网络信息安全威胁访问控制，防止控制设备/系统被非法访问，阻断非法下发控制指令，保护DCS、SCADA、PLC及重要服务器等重要资产被破坏。包括攻击防护以及安全审计功能。
• 通过硬件可靠性的保障，以及支持设备的快速接入，确保用户业务的连续性,消除单点故障的影响。
• 防护规则自动学习、用户可勾选进行配置，实现统一拓扑集中管理，使现场部署快捷、维护方便。