Tofino工业防火墙完整介绍课件.pptVIP

4、Tofino产品特性及与常规防火墙比较 Tofino防火墙的专有特点 1、工业型： (1)内置50多种专有工业通信协议，与常规防火墙不同的是，Tofino防火墙是基于内置工业通讯协议的防护模式，由于工业通讯协议通常是基于常规TCP/IP在应用层的高级开发，所以该防火墙不仅是在端口上的防护，更重要的是基于应用层上数据包深度检查，属于新一代工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。 (2)具备在线修改防火墙组态功能，可以实时对组态的防火墙策略进行修改，而且不影响工业实时通讯。其它防火墙需要断电、重启等。 (3)工业型设计，导轨式安装，低功耗无风扇，具备二区防爆认证。 2、独有专利安全连接技术： 首先防火墙自身是基于非IP的独有专利安全连接技术进行管理，能够阻挡任何欺骗式攻击。 能够隐藏防火墙后端所有设备的IP地址，让入侵者无法发现目标，更无从谈发动任何攻击。 集防火墙与虚拟路由于一身，能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向，可以设定数据流入、流出的单向或双向。 3、实时网络通讯透视镜： 能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。 Tofino与常规IT防火墙的比较 应用比较 Tofino Firewall 常规IT防火墙 网关类产品 产品安装 可在线安装，不需要专业人员的预先组态，没有配置组态之前对网络通信无任何影响，在线组态后才开启安全防护功能。 安装前需要具有IT经验的专业工程师预配置先组态，否则缺省设置是阻止所有通讯。 安装前需预组态，对于所有需要通讯的数据项需在信任网络端和非信任网络端分别进行设置。 预装工业功能 预置超过50种常规工业通讯协议和25种工业控制器模型 无 仅支持个别工业通讯协议 IP攻击保护 没有IP地址，独有的安全连接专利技术 需要手动配置IP地址，容易受到攻击 信任网络端和非信任网络端各需一个IP地址,内有较完整操作系统，极易受到攻击 工业通讯协议深度检查 以工业插件模式对Modbus TCP、OPC等通讯协议提供深度内容检查功能，例如自动跟踪OPC Server/Client 发出的数据，深层审查Modbus功能码，使用的寄存器地址等 无 无 网络通讯中断 可以在线安装、组态、固件（Firmware）升级，不会对原有网络通讯造成中断。或者可以通过USB的加密文件组态，做到防火墙规则的无扰动切换。 默认阻挡一切没有组态的通讯，需要在项目实施前预先组态，组态修改时设备需要从网络断开或断电重启 需预组态，且增加过程中通讯需中断 通讯延时 专用通讯处理芯片，直接针对数据包处理，在100个通讯规则延时0.8mS 延时小，具体未知 由于存在双系统，且需经过协议转换和硬件通讯连接，针对大数据量通讯延时明显 组态更新 组态可以通过网络或USB设备进行无扰动更新，无需重启。固件更新方面，针对不同类型的升级已经考虑到对网络通讯的特定影响，会指导用户选择合适的时间来进行。 组态可以通过网络或串口进行，所有固件升级必须设备重启后有效。所有网络通讯会在重启过程中断。 网关双处理单元都有操作系统，如需更新需重启生效 组态规则测试 “Test”模式允许用户在实际网络中进行防火墙组态规则测试，完全不会出现关键通讯被意外阻断的情况，但会根据防火墙规则提供实时测试报告。 在实际系统中使用前必须在实验室环境下进行测试。如果要在实际使用系统中测试，用户必须承担意外发生的阻断关键通讯的风险。 在实际系统中使用前必须在实验室环境下进行测试。如果要在实际使用系统中测试，用户必须承担意外发生的阻断关键通讯的风险。 远程配置组态及报警 通过装有组态管理平台CMP软件的PC机进行集中管理，该PC机可位于网络中的任何位置。 不允许远程初始化组态 不允许远程控制，有专用组态平台，需现场连接设置 控制器漏洞保护 内置包含对已知漏洞的控制器模型防护规则，并在会在以后保持更新。 无 无 自动发现控制网络设备 具有被动探测功能，能够锁定且识别网络设备，建立完整网络图。 无 无 防火墙规则创建与编辑 智能探测并以向导模式指导组态人员通过拖拽方式编制防护规则，易于检查、编辑安全配置。 需要具备专业IT知识来对设备配置 仅针对个别工业协议进行 VPN的互联兼容性 VPN可以任意第三方交互，例如思科等 VPN第三方交互有限定 无 SPI功能(Stateful Packet Inspection) 支持 仅个别高端产品支持 无 高级过滤规则 通讯速率限定，SYN Flood拒绝式攻击，多点传输，广播和非IP通信 Web过滤，防