CDKY-FW3000-SC机架式安全可控工业防火墙

USB

USB 2.0 secret key (two-factor authentication)*2

Bypass

3组

Console

1*1000M/100M RJ45 in-band management

MNG管理口

1*1000M/100M RJ45 in-band management

延迟

在吞吐量90%条件下：

对64字节短包、256字节中长包、512字节长包，百兆工业防火墙平均延迟不应超过1ms。

对64字节短包、256字节中长包、512字节长包，千兆工业防火墙平均延迟不应超过200us。

最大并发连接数

不少于500000。

每秒新建连接数

不少于10000个/秒。

应用吞吐量

不小于500Mbps。

支持工控协议白名单

设备内置多种工业防护模型，并可以自定义防护规则支持智能学习和自定义结合的方式；构建工控协议白名单规则，进行指令级乃至值域级的控制，从而达到阻断异常指令和可疑操作的目的。

工控协议深度解析

支持常见工业协议如OPC UA、Modbus(TCP/UDP)、IEC104、MMS、GOOSE、SV等工控协议识别，报文最深达值域级的深度解析，支持报文格式检查，支持OPC DA动态端口识别。

支持多种工业协议深度解析：包括 Modbus、S7、IEC-104、DNP3、OPC-DA、

OPC-UA、EtherNet/IP、SECS-GEM、FINS、EGD、Profinet-IO、Profinet-DCP、

ModbusRTU、IEC-102、IEC-102RTU、SCNET 等协议，可以做到指令级访问控制。

私有协议自定义管控：支持自定义应用类型的二次开发，可以对私有协议或者常用工控协议私有字段的自定义进行识别。提供对第三方工控协议的深度解析和二次开发样例，方便实现协议深度解析与扩展。支持用户自行对工业数据包编写过滤策略，可根据企业私有协议自由定义 bit 位级别的过滤安全策略，充分保证私有协议定义安全。

流量分析可视化

对所有通过防火墙上的实时数据流量进行实时显示，并按照设备、MAC、IP地址、网络服务、时间和协议类型等维度进行分析统计，包括流量占比图表、实时流量趋势图、平均流量等，能够对流量超过预警值的行为进行告警和生成相应日志。

攻击防护功能

产品具备特征库，应支持拒绝服务攻击防护功能

ICMP Flood攻击防护；

UDP Flood攻击防护；

SYN Flood攻击防护；

TearDrop攻击防护；

Land攻击防护；

Ping of Death攻击防护。

安全审计

支持日志级别的设定，至少须包括调试、信息、警告、错误四个级别。

针对目前各行业广泛的态势感知平台、日志分析平台支持提供日志信息给第三方日志平台。

支持生成国网规范格式的日志。

系统自身安全性

支持通过安全管理平台的集中管控和管理用户权限的三权分立。

基于SSL的远程管理：通过网络可以直接对工业防火墙进行管理和配置。通讯采用了SSL加密技术，所有配置管理信息在网络上全部以密文传输，可以防止恶意攻击者使用网络监听工具窃取信息。

系统高可用性

设备采用工业级硬件设计，具有较强的环境适应性。

支持硬件Bypass功能，触发该功能时可及时告警。

启动时进行自检，发现异常及时告警，并对程序文件或配置文件的异常提供一定的恢复功能。

支持学习模式、测试模式和正常工作模式

支持学习模式，工控防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；

支持验证模式或测试模式，该模式下工控防火墙对禁止策略进行告警，但不拦截；

支持正常工作模式，工控防火墙的正常工作模式，严格按照防护策略进行过滤等动作保护。

支持透明、路由、混合模式部署。

防护等级

IP40

尺寸（W×D×H）

440mm x 431mm x 44mm

安装方式

1U 机架

电源冗余

双电源

功率

<18w

保护

反接保护、过载保护

保存温度

-40℃- +70℃

相对湿度

5%-95%无凝结

HA指示灯

HA

告警指示灯

HDD

MTBF

>350000h