多芬诺公司近日表示其与施耐德电气公司的合作进一步加强。施耐德电气公司已扩展其ConneXium网络并提升安全需求,要求将以太网/IP深度包检测(DPI)功能加入ConneXium Tofino防火墙中。这一针对当下流行的以太网/IP协议的DPI技术将一方面帮助施耐德电气的用户进一步强化其工业控制系统安全,避免网络事故与网络攻击的影响;另一方面也将使公司针对网络和设备使用权限相关的政策实施起来更加容易。


“针对制造业和过程控制设施的网络攻击已越来越多,而且也演变地更加复杂。提高安全防御水平,同伴随企业提升安全能力和遵守政策带来的切实商业利益一样,都是企业必须重视的工作。”施耐德电气工业安全设备产品经理Ken Mikelinich说,“此次对ConneXium Tofino防火墙的功能扩展包含对以太网/IP通信的超强防护,这一举措是我们帮助用户降低风险并响应工厂使用安全设备相关政策的一种重要形式。”


ConneXium Tofino防火墙能够检查并确保进出施耐德电气自动化设备的网络流量安全,并在出现网络拥堵、信息格式错误和蓄意黑客攻击时提供安全防护。此外,这项技术还可应用于执行工厂程序。例如,它可用于阻止对关键设备和控制器不适当地修改和编程,避免出现代价高昂的错误,进而提升整个网络的正常运行时间及可靠性。


多芬诺公司安全部高级产品经理Frank Williams指出:“我们非常欣喜地看到这一新产品增进了我们与施耐德电气公司的紧密联系,并且这一合作也为他们的用户提供了便于安装,且与他们的系统完美契合的工业级防火墙。”


ConneXium Tofino防火墙的核心功能设计是一个安全硬件/防火墙,它能检查每条经过的网络消息,确保只有从指定电脑发出的合规网络信息才能发送至关键控制器。它能有效阻止任何尝试黑客攻击、蓄意发出有害信息,甚至是网络流量拥堵等事件的发生。


对于那些通常意义上讲并非安全专家的工程师而言,多芬诺安全公司独创的即插即用技术让产品的安装与组态变得十分简单易行。不仅如此,产品的卓越性能还表现在:只要轻点鼠标,就可以查找出防火墙编程中的常见错误并修正它。产品兼容特定的施耐德电气产品操作技巧,并预设了针对施耐德电气公司主要自动化产品的防火墙模板。


通过DPI技术可实现高级防护功能。传统的IT防火墙只检查网络消息中TCP/IP的头部,然后根据这一有限的信息判定到底是允许还是阻止某一网络消息通过。而DPI技术使得防火墙能够深入挖掘TCP/IP前端的SCADA和ICS协议。这样防火墙就能精确地判断出这里使用了哪种工业协议,进而更好地做出允许或阻止消息通过的决定。


2012年发布的ConneXium Tofino防火墙包含针对Modbus TCP协议的深度包检测(DPI)。今年,这项功能扩展了对以太网/IP协议的深度包检测(DPI)。这一特殊功能设计包括,对于以太网/IP通信:

  • 根据ODVA的要求,预装图形用户界面(GUI),支持所有常见工业协议(CIP)对象和服务;
  • 对常见工业协议(CIP)和以太网/IP协议信息的头部进行有效性检查,阻止常见的黑客攻击,如缓冲区溢出攻击等;
  • 含有“高级”选项,允许工程师在预组态下拉框中修改防火墙规则,选择特定允许通过的服务或对象。


“ConneXium Tofino防火墙之所以与众不同,原因在于通过融入施耐德电气产品的智能技术,使得这项原本就易于实施的安全技术更加便捷可行,”多芬诺安全公司的首席技术官Eric Byres评论道,“它将易用性与专门针对工业需求的高级防火墙特性相结合。这对工厂车间是一个实用且稳固的安全解决方案。”


包含以太网/IP防护的ConneXium Tofino防火墙是施耐德电气ConneXium工业通信和安全系列产品提供的功能。2012年ConneXium工业防火墙的发布为工业设施提供了边界防护和加密功能。同年,ConneXium Tofino 防火墙也推向市场,为自动化系统的工厂车间提供安全防护,避免受到网络事故和网络攻击的影响。