以下是对 Tofino 工业协议安全防火墙的介绍:
Tofino 安全设备模块(TSA):硬件设计遵循增强型工业环境要求,外形类似普通的 I/O 模块和隔离器,有多种硬件规格。如 TSA-220 具备继电器开关输出、铜和 / 或光纤网络接口以及 MUSIC 安全认证;TSA-100 则有双电源输入、故障继电器输出、二区保护,具备 FM 和 ATEX 认证及 MUSIC 安全认证等,可应用于受保护的区域或控制器等关键设备之前,设计使用寿命 27 年
Tofino 可装载安全软插件(LSM):是软件插件,可提供诸如防火墙、安全资产管理、OPC 通讯安全插件、Modbus TCP 通讯安全插件、事件报警记录、VPN 等安全服务。每个 LSM 插件可下载到 Tofino 安全设备模块(TSA)里,使它能够根据控制系统的要求提供可定制的安全功能
Tofino 中央管理平台(CMP):可集中组态、管理和监测所有 Tofino 安全设备模块(TSA)及所在网络,操作简单,通过网络地图可拖放模块、通讯协议等来制定网络规则
深度检查:能够面向应用层对特有的工业通讯协议进行内容深度检查,告别传统防火墙依赖病毒库升级的缺陷,可有效检测和防范针对工业协议的各种攻击
通信管控:通信规则可通过中央管理平台进行在线组态和测试,控制工程师能够根据实际需求灵活定义允许通信的设备、协议及数据流向等,实现对工业网络通信的精细管理
实时报警:所有部署的防火墙都能由中央管理平台统一进行实时监控,一旦发生非法访问,即在中央管理平台产生实时报警信息,便于快速定位和解决故障问题,将问题控制在原始发生区域,避免影响扩大
区域隔离:其工业防火墙插件能够有效过滤两个区域网络间的通信,防止网络故障在不同区域间的蔓延,使网络故障被控制在最初发生的区域内,增强了工业网络的整体安全性和可靠性
工业协议防护:内置 50 多种专有工业通信协议,基于应用层数据包深度检查,为工业通讯提供专业隔离防护,而不仅仅是传统的端口防护,可有效防范针对工业协议的攻击
在线组态修改:具备在线修改防火墙组态功能,能够实时对组态的防火墙策略进行修改,且不影响工业实时通讯,无需像其他防火墙那样断电、重启等,大大提高了系统的可用性和灵活性
专利安全连接技术:基于非 IP 的独有专利安全连接技术进行管理,可阻挡欺骗式攻击,隐藏后端设备 IP 地址,还能像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向,设定数据流入、流出的单向或双向
实时网络通讯透视镜:为工业控制网络故障分析、监控、记录提供有效工具,可确切观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等,实现对非法通信的实时报警、来源确认和历史记录,保障控制网络通讯的实时诊断
即插即用与易安装性:硬件 TSA 无需预组态,可在线直接插入使用,对过程控制网络是 “透明的”,不存在安全顾虑。且安装过程简单,无需专业培训,技术人员将其安装到 DIN 导轨或者控制器机架上,并连接电源线和通信电缆即可,安装后可随时被 CMP 管理
冗余电源输入:部分系列硬件 TSA 支持冗余电源输入,如 Tofino™ Argon 系列,可连接两路独立电源,当主电源故障时能立即启用备用电源,确保设备供电的可靠性
遵循工业标准:遵循 ANSI/ISA-99 工业控制系统安全标准设计,具备二区防爆认证等,满足工业环境的高可靠性和安全性要求
保护脆弱的控制器:可对控制网络上的 PLC、DCS、ESD 和 RTU 等设备进行保护,这些设备对现场实时控制有效,但网络连接相对较弱,容易因网络攻击而受损,Tofino 防火墙可防止其因广播和多点发送信息等导致过载破坏
提升网络区域划分:适用于从简单独立系统发展成的复杂复合工业网络,可在各子系统之间形成安全隔离,避免一个区域出现问题后迅速传染至整个网络
避免突发事故和恶意入侵:即使工业控制系统未连接到 Internet,仍存在风险,如公司网络、维护临时连接、第三方网络及可移动介质等都可能成为安全事故的入口,Tofino 防火墙可有效防止此类突发事故和恶意入侵
