​市场、行业双引领，威努特防火墙家族又添新成员

引言

工控网络按功能和流程划分为5个层级，分别是现场设备层、现场控制层、过程监控层、生产管理层和企业资源层，每个层级、不同应用场景对于防火墙能力具有不同需求，单一的防火墙产品无法满足所有应用场景需求。威努特经过8000个现场项目实践和需求总结，规划和研发出适应不同层级和不同应用场景的系列防火墙产品。

图1：覆盖工控网络五个层级纵深防护的防火墙产品线

现场设备层——物联网安全接入网关

现场设备层，存在大量的物联网设备和控制终端，如传感器、摄像头、PLC等，这些设备除了通过网线、光纤接入工业互联网，还可以通过4G、5G或Wi-Fi等无线方式接入工业互联网。近年来，工业互联网在蓬勃发展的同时，也暴露出许多安全问题，终端接入安全缺失、PLC安全防护缺失、通信链路可靠性缺失和数据传输安全缺失等。

威努特结合工业物联网场景特点，自主研发出物联网安全接入网关产品，可部署在物联网边缘节点的网络出口处，具备接入控制、访问控制、攻击防护、入侵检测、无线通信、可靠传输、虚拟专网、数据加密、数采转换等能力，有效解决物联网场景下的业务传输和安全防护问题。

图2：物联网安全接入网关及产品能力

现场控制层——工业环网交换防火墙

现场控制层，存在众多的生产业务子系统，如钢铁冶炼的轧钢、烧结、转炉和EMS子系统等，这些业务子系统是通过工业控制环网将各种设备接入网络。如果将工业防火墙部署在环网上，需要工业防火墙既具备安全防护的能力，又具备工业环网网络通信传输的能力。

威努特与工业网络通信领导者MOXA达成战略合作，联合研制出业界首款工业环网交换防火墙，具备工业环网交换机所有能力，同时又具备工业防火墙安全防护能力，完美解决了工业控制网络中各种设备接入、工业环网传输和子系统边界隔离的问题。

图3：工业环网交换防火墙及产品能力

过程监控层——工业防火墙、车载

防火墙

过程监控层与生产管理层的边界，是整个大生产网的边界，普遍采用专业工业控制协议进行数据交互，满足工业精细控制、工业数据汇聚、数据共享等业务需求，但同时面临着端口开放、漏洞频出、数据读写属性易被篡改、工业控制指令易被篡改、工业控制系统高级威胁攻击等安全风险，时刻威胁着工业控制系统的稳定运行。

威努特自2015年规划并研制出第一台工业防火墙以来，历经8年迭代研发，基于可扩展标记语言的未知协议深度解析引擎和无监督学习智能检测两大核心技术，研发出网络通信白名单、工业协议白名单、串口白名单、组态工程文件白名单、业务工艺行为白名单、无监督智能学习、硬件级安全策略防篡改等行业领先的产品能力，实现了生产业务系统业务工艺行为模型的动态建立，进而将工业控制系统潜在威胁识别出来并阻止新的“零日”攻击或APT攻击。2022年，威努特工业防火墙市场占有率排名第一。

图4：威努特新一代硬件级配置防篡改工业防火墙

国家国际标准双合规，引领车载防护新理念。轨道交通车辆控制设备采用专用的机械结构，以3U板卡的形态固定于机框中，网络接口采用M12接口，同时车载环境要求防火墙设备必须满足-40~70℃（短时85℃）宽温运行、无风扇自然散热、抗强振动、抗腐蚀、防火、防尘、车载控制协议深度解析、车载关键业务监控及15年使用寿命，这些都是现有工业防火墙类产品所不具备的。为满足轨道交通车辆的专用要求，威努特研发出适用于列车车载控制环境的车载防火墙产品，并通过了多项国家、国际标准，完全满足车载使用环境，覆盖车载PIS系统、车载信号系统、车载TCMS系统及其内部的牵引、制动、通风、照明、屏蔽门等子系统的车载控制网络安全防护，并在近20条地铁线路上成功应用，实现了车车同步防护、车地一体化防护的安全战略目标。

图5：威努特3U插卡式车载防火墙

生产管理层——工业互联防火墙

生产管理层，是IT与OT融合的应用场景，威胁形态日新月异，互联网和办公网设备遭受病毒感染或将扩散至整个生产网络，影响生产运行。需要防火墙既具备传统IT业务的安全防护能力，又具备工业控制系统业务的安全防护能力。威努特规划并研制出国内第一款工业互联防火墙，解决了OT/IT融合业务场景的安全问题。

威努特工业互联防火墙全面融合工业协议解析引擎、网络协议解析引擎、互联网协议解析引擎、IPS安全检测引擎、病毒安全检测引擎、URL/WEB/APP安全检测引擎等，支持超过40种工业协议深度解析，100+工业协议应用识别，100多种网络协议深度解析，7000+互联网应用协议识别，能同时支持复杂的IT网络协议和OT控制协议全面解析和控制，为生产管理层提供可靠的安全防护。

图6：威努特工业互联防火墙及产品能力

企业资源层——下一代防火墙、数据库

防火墙

企业资源层，是企业IT网络的大边界，黑客们可以轻易地通过一些新型或高级攻击手段瘫痪企业网络，木马、病毒等恶意软件也经常通过邮件、恶意的Web网页、文档下载等应用层途径在企业网络内传播。传统防火墙对于高级可持续威胁攻击的防护能力较弱，对携带病毒的软件也无法进行限制传输；传统防火墙产品安全策略和安全日志多，日常管理复杂，安全事件响应效率也难以保障。

威努特规划并研制出下一代防火墙，拥有卓越的网络性能，可以为网络提供高达40Gbps或更高的吞吐量，并采用模块化设计，集成深度包检测、应用程序可见性和控制、攻击检测和预防、IPS/IDS、反病毒等功能，大幅加强应对高级可持续威胁攻击的防护能力和简洁高效的可视化管理能力，是一款全面、可靠、易用的防火墙产品。

图7：威努特下一代防火墙及产品能力

在数据要素驱动发展的当下，数据安全的重要性不言而喻，数据库作为承载数据的基础设施，需要根据其特点有针对性地开展安全防护建设。拖库、撞库、SQL注入攻击、非法操作行为都是威胁数据库安全的攻击手段，部署在数据库安全域边界上的安全设备，需要具备数据库协议解析的能力，否则不能有效地为数据提供安全价值。

威努特自主研发了数据库防火墙，支持20余种主流数据库协议的深度解析，通过人工智能技术自动建立合法访问基线，支持防御针对数据库的各类网络攻击，同时通过特别优化的底层协议栈，做到极低的数据包传输时延，在保障用户高效使用数据的同时，杜绝数据安全隐患，全面构建数据要素安全防护体系。

图8：威努特数据库防火墙及产品能力

总结

经过多年实践和研究，威努特为工控网络安全规划和研制出一系列创新性的解决方案。目前，威努特防火墙产品线包含7大系列33种型号，全面覆盖从OT到IT的所有应用场景，实现工控网络五个层级的全方位纵深防护，为工业生产的安全稳定运行提供了有力保障。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施网络空间安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121