一、需求分析

随着5G、云计算、大数据、物联网、人工智能等新兴技术的不断发展，信息技术的深度融合与网络的互联互通，打破了工业控制系统相对封闭、物理信息孤岛环境，日益暴露的脆弱性和安全威胁也不再是简单的线性相加，在有组织、高强度的攻击面前，工业网络将面临严重的网络安全威胁。

防火墙作为区域边界安全的重要关键环节，是网络安全的第一道防线。根据“一个中心、三重防护”纵深防御体系，进行工业控制系统网络安全的建设，务必加强区域边界安全的建设，而防火墙作为工业安全区域边界首选，成为了关键。

构建安全区域划分，提供从边界、区域到终端的完整防护，有效降低网络被攻击的风险和防止安全威胁迁移扩散，大大地解决因工业系统间缺乏安全隔离引起的问题和隐患，如网络蠕虫、非法访问、硬件故障等引发的安全威胁。

二、产品概述

融安网络RSF工业防火墙作为“下一代工业防火墙”，是融安网络凭借多年在工控安全领域的技术积累，推出的一款集合智能学习引擎、深度协议数据包解析引擎、开放式特征匹配、应用感知、实时会话控制可视化，安全审计追溯、多种智能引擎的工控网络安全防御产品。

（融安网络RSF工业防火墙）

RSF工业防火墙采用深度学习算法产生安全策略，在工业控制网络中的行为进行细粒度的控制，有效阻止非法访问或网络蠕虫病毒向关键区域、关键设备蔓延，并可与应用于现场层的工业设备防御产品形成整体解决方案，全方位立体保护工业网络的安全运行。 

产品质量领先业界水平。融安网络RSF工业防火墙是安全厂商中首批通过工业控制系统专用防火墙增强级的认证产品，也是少数厂商中通过国家电科院检测工业防火墙认证的产品。

三、功能特点

安全分区、重点防护：网络安全分区实现结构安全、关键业务重点防护；

黑白名单防御机制：支持黑名单和白名单结合的防御机制。人工智能学习引擎生成白名单规则，实现只允许合法工业协议和操作通过；内置工业病毒和漏洞库，DPI深度解析实现已知漏洞攻击的告警或者阻断；

支持多种工业协议：支持IEC61850(GOOSE/SV/MMS）,IEC104，DNP3， OPC，S5，S7，Modbus/TCP，Profinet，Ethernet/IP，TDCS/CTC 等30多种工业通信协议，100种私有工业通讯协议；

采用工业级环境设计：采用工业级芯片、IP40防护、无风扇、电源冗余、重负荷铝合金全封闭设计，适应恶劣工业环境。

四、技术优势

1、网络适应性强

为应对复杂的网络环境，融安RSF工业防火墙支持丰富的链路层和网络层功能。

2、渐进式部署

RSF工业防火墙内置全通模式、学习模式、测试模式、正常模式等工作模式，支持渐进式部署。渐进式部署既保证了网络的连通和业务的稳定，又可逐步增强安全防护，最大限度的规避网络调整的风险。

3、低时延转发

RSF工业防火墙支持极低的转发时延，轻载时延小于30us，重载时延小于50us，满载时延小于100us，可以保障工控网络的通信实时性。

4、全面的防护能力

RSF工业防火墙提供l2-l7防护能力。在网络层，提供IPMAC绑定、ARP防护、访问控制、会话控制、抗渗透等安全功能。在应用层，提供黑名单漏洞防护、白名单、应用控制等全面而精细的防护。

5、智能学习规则

RSF工业防火墙支持智能学习功能。系统在学习状态下会对报文进行深度解析，在此基础上智能提取数据特征，并生成白名单规则。智能学习功能能够准确地学习当前工控网络环境中的流量，简化白名单规则生成。智能学习功能也可以学习未知设备，便于批量添加工控设备对象。

6、丰富的协议与应用

RSF工业防火墙系统内置MODBUS、OPC、IEC-104、ENIP、S7、PROFINET等数十种工业协议和2800多种应用特征，可精确识别网络中的流量并进行控制，避免未许可的流量威胁到网络安全。

7、深层次的工业协议控制

RSF工业防火墙集成深度协议解析引擎，可以对数十种工业协议进行深度解析与精细控制。系统支持对所有控制字段进行自定义配置，实现对扩展协议的控制。

8、管理简便灵活

RSF防火墙支持WEB自管理和集中管理。WEB管理页面配置简便、灵活、丰富、直观。所有策略均基于对象进行配置，使用起来十分直观。配置管理功能也十分强大，支持对管理员进行菜单级权限控制。

五、应用场景

工业网络可分为运营管理层、监督控制层、现场控制层，融安RSF工业防火墙可部署在各个层级中。

层级间安全防护

系统网络各层级间的安全逻辑隔离，如下图在运营管理层与监督控制层各网络之间安全隔离防护。

同层级不同安全区域的防护

同层级网络不同控制域间的安全逻辑隔离，如下图在控制网络与功能安全保护网络之间安全隔离防护。

现场控制层防护

对现场控制层设备进行安全隔离。如下图对现场控制层设备进行安全隔离与访问控制。

目前融安网络RSF工业防火墙已经应用在石油石化、电力、轨交、冶金、燃气、水务、智能制造等国家重点行业项目的应用中，为工控安全的提高网络安全保障水平，强化关键信息基础设施保护，加大核心技术研发力度和市场化引导，切实保障国家数据安全，真正筑起网络安全的“防火墙”。