電話 微信 13581763491 QQ 507533684 北京志鴻恒拓科技有限公司
工業安全設備 3000 產品手冊
這些安全設備專為抵御最惡劣的工業環境而開發,并考慮了工業設計和操作因素,可提供穩固的端到端安全性。
產品概述
思科® 工業安全設備是真正的工業設備,基于經驗證的企業級安全性提供面向 OT 的保護。
ISA 3000 是一個 DIN 導軌安裝式加固型設備,具有四個數據鏈路,可為最惡劣和最苛刻的工業環境提供最廣泛的訪 問、威脅及應用控制。
ISA 3000 系列秉承了 IE 4000 交換機硬件設計的工業成就,添加了 Cisco ASA 和 SourceFire 軟件的經驗證的安 全性。ISA 3000 可為您的網絡現代化項目提供安全保障。它還在不影響工業生產實踐的前提下,提供融合 IT 和 OT 安全的可視性。構建該安全設備是為了抵御極端環境、反映工業設計,同時符合整體 IT 網絡設計、合規性及 性能要求。
對于那些需要使用強化產品的工業以太網的應用情況,ISA 3000 系列是理想選擇。具體情況包括公共事業、制造 業、能源和流程控制、智能交通系統 (ITS)、石油和天然氣野外現場、城市監控項目和采礦業。由于單個設備能夠同 時跟蹤可疑文件傳播、線圈設定點、異常流量模式及特權升級,因此安全性和可視性達到水平。思科安全網絡產品組合的這一工業元素與其他工業級思科解決方案相輔相成,可以讓您了解本地單元與 IT 世界、外部供應商 或承包商活動之間的交互。
ISA 3000 可通過用戶友好的機上系統管理員或公司范圍內的安全管理進行管理,提供以工業為中心、開箱即用的配 置及簡化的操作可管理性。這些高度可定制的管理選項使本地操作感知得以簡化,IT/OT 安全融合得以提高,進而使 工業功能和 IT 功能必然混合。
功能和優勢
表 1. Cisco ISA 3000 的功能和優勢
功能 |
優勢 |
|
|
||
強大的工業設計 |
● 專為惡劣的環境和苛刻的溫度范圍(-40°C 至 70°C)而構建。 |
|
● 每個 ISA 3000 都具有共形涂層。 |
|
|
● 針對振動、沖擊、浪涌及電氣噪音進行了強化。 |
|
|
● 四個 1 千兆以太網上行鏈路端口提供多個靈活設計選項。(4 個銅質或 2 個銅 |
|
|
質/2 個光纖) |
|
|
● 符合有關自動化、ITS 和變電站環境的多種行業規范。 |
|
|
● 提高工業系統和設備的正常運行時間、性能和安全性。 |
|
|
● 緊湊的 DIN 導軌單元設計與工業 LED 功能,使監控更加容易。 |
|
|
● 無風扇、對流冷卻,無活動部件,耐久性更強。 |
|
|
● IEEE 1588v2 PTP(支持電源配置文件和默認配置文件)。 |
|
|
● 警報 I/O 用于監控和向外部設備發出信號。(未來版本支持) |
|
|
● SD 卡用于配置備份和啟動。(未來版本支持) |
|
|
|
||
方便易用的 GUI 設備管理器 |
● 設備上的管理功能可使本地感知得到即刻控制。 |
|
|
||
● 多設備管理可同時處理數百臺設備。 |
|
|
● 用戶特定訪問和控制定制。 |
|
|
功能 |
優勢 |
流量連續性/保護 |
● 全“帶外遙控”流量繞開銅纜端口。 |
● 默認被動部署學習模式。 |
|
● 可進行軟件更新而不損失流量。 |
|
● 連接限制可以防止 DOS 產生流量。 |
|
● 延遲檢測和緩解功能。 |
|
● 服務質量策略 |
|
經驗證的、可擴展的訪問控制 |
● 執行 ISA-95/IEC 62264 細分需求 |
● 狀態檢測 |
|
● 第 2 層和第 3 層防火墻操作模式 |
|
● 可下載訪問控制列表 |
|
● 基于身份的訪問控制策略 |
|
● 用戶/用戶組 |
|
● 策略型路由 ACL |
|
● 擴展 ACL |
|
● WebVPN ACL |
|
● 動態 ACL |
|
● TrustSec ACL |
|
不打折扣的威脅檢測 |
● 經過第三方測試驗證的為最有效的威脅檢測 |
● 超過 25,000 個規則,可隨時隨地提供最廣泛的保護 |
|
● 數百個以工業為中心的規則。 |
|
● 工業設備利用保護規則 |
|
● 協議濫用識別 |
|
● 保護基于 Web 的控制系統 |
|
● 網絡行為分析 |
|
● 被動設備發現 |
|
應用控制 |
● 所有 DMZ 基礎設施的可視性與可控性 |
● 工業應用的可視性與可控性 |
|
● 單個協議命令和值的可視性與可控性 |
|
遠程訪問支持/控制 |
● 通過 Cisco AnyConnect 執行網絡訪問控制 |
● 身份服務引擎支持 |
|
● 站點間 VPN |
|
● 遠程接入 VPN |
|
● 無客戶端的 SSL VPN 功能 |
|
● 思科安全桌面 |
|
● 支持 Citrix 和 VMware 無客戶端連接 |
|
DMZ 基礎設施 |
● DNS 服務 |
● DHCP 服務 |
|
● AAA 支持 |
|
● IP 路由 |
|
適合工業環境的理想加固型設備
思科工業安全設備 3000 系列提供:
* 從單元和變電站級一直到 ISP 連接的控制訪問。
* 靈活的企業級遠程訪問。
* 提供 DNS 和 DHCP 等基本網絡基礎設施服務。
* 從交換機、路由器、操作系統、計算基礎設施到工業控制系統,對每一個網絡和計算級別提供無可比擬的威 脅防范。
* 比工業領域中的其他服務提供更多的流量連續性安全級別。
* 為工業和企業領域的每一級應用提供應用可視性與可控性。
圖1 為 ISA 3000,表 2 為可用 ISA 3000 訂購 PID,表 3 列出了思科工業安全設備 3000 系列的 SFP 模塊。
圖1. ISA 3000
表 2. 思科工業安全設備 3000 系列型號和選項:
產品編號 |
銅質 10/100/1000(均支持旁路) |
SFP 光纖端口 |
|
ISA3000-4C-K9 |
4 |
0 |
|
ISA3000-2C2F-K9 |
2 |
2 |
|
可選訂貨功能 |
|||
L-ISA3000SEC+-K9 |
支持高可用性,SSL VPN,更多連接數量,VLAN 中繼 |
||
表 3. 支持思科加固型 SFP
產品編號 |
類型 |
GLC-SX-MM-RGD= |
1000 BASE-SX 加固型 |
GLC-LX-SM-RGD= |
1000 BASE-LX/LH 加固型 |
GLC-FE-100FX-RGD= |
100 BASE-FX 加固型 |
GLC-FE-100LX-RGD= |
100 BASE-LX 加固型 |
產品規格
表 4 為物理規格,表 5 提供設備性能和可擴展性的相關信息,
表 6 和表 7 為一些重要的軟件功能,
表 8 為合規性說明,表 9 為 Cisco ISA 3000 系列管理和標準的相關信息。
表 4. 物理產品規格
說明 |
規格 |
|
硬件 |
● 4 核 Intel Rangely(工業臨時) |
|
● 8 GB DRAM(焊入式) |
||
● 16 GB 板載閃存 |
||
● mSATA 64Gb |
||
● 1 GB 可移動 SD 閃存卡 - 工業臨時(未來版本支持) |
||
● 控制臺采用 Mini-USB 連接器 |
||
● RJ-45 傳統控制臺連接器 |
||
● 專用 10/100/1000 管理端口 |
||
● 基于硬件的防偽、防篡改芯片 |
||
● 恢復出廠設置選項 |
||
警報 |
● 警報 I/O:四個警報輸入,用于檢測干接點為打開或關閉,一個 Form |
|
C 警報輸出繼電器(未來版本支持) |
||
尺寸,(高 x 寬 x 深) |
● 11.2cm(寬)x 13cm(高)x 16cm(深) |
|
重量 |
● 1.9kg |
|
電源和范圍 |
● 雙重內部直流 |
|
● 標稱 ± 12Vdc、24Vdc 或 48Vdc |
||
● 范圍 9.6 Vdc 到 60 Vdc |
||
● 功耗 24 瓦 |
||
MTBF - 平均故障間隔時間 |
● ISA-3000-4C |
398,130 小時 |
● ISA-3000-2C2F |
376,580 小時 |
|
表 5. 設備的可擴展性
說明 |
規格 |
吞吐量 |
2Gbps - 最小 22Mbps |
因流量類型和安全活動不同而異 |
|
(請聯系思科 SE 獲得您的流量配置文件) |
|
IPSec VPN 隧道 |
5,25(有 SecPlus 許可) |
定義的接口 |
200,400(有 SecPlus 許可) |
VLAN 數量 |
5,25(有 SecPlus 許可) |
IPv4 MAC 安全性 ACE |
1,000,采用默認 TCAM 模板 |
NAT 轉換 |
雙向,128 個子網 NAT 轉換條目;如果設計正確,可以擴展到數萬個轉 |
換的條目 |
|
表 6. Cisco ISA 3000 主要網絡支持功能
LAN 基準許可證(默認) |
功能 |
NAT |
● 靜態 NAT |
端口轉換、一對多、非標準端口 |
|
● 動態 NAT |
|
● 動態 PAT |
|
● 身份標識 NAT |
|
第 2 層 IPv6 |
IPv6 主機支持、基于 IPv6 的 HTTP、基于 IPv6 的SNMP |
第 3 層路由 |
IPv4 靜態路由 |
實用程序 |
IEEE 1588 v2 PTP 電源配置文件 |
分開管理流量的路由 |
分開數據和管理流量的路由 |
中繼 |
支持 802.1q 中繼 |
表 7. Cisco ISA 3000 主要安全軟件功能
SecurityArea |
功能 |
TrustSec 控制 |
● 帶內和帶外身份標識 |
● Active Directory 集成 |
|
● 基于策略的安全組標簽 |
|
● 802.1x 支持 |
|
● MACSec 和 MAB 支持 |
|
● 執行端點安全狀態進行遠程訪問 |
|
多級訪問控制 |
● 全局黑名單 - 自動或手動 |
● 全局白名單 |
|
● 第三方智能饋送利用率 |
|
● 文件白名單 |
|
● 文件黑名單 |
|
● 應用級訪問控制 |
|
● 802.1x 支持 |
|
威脅網絡映射 |
● 被動設備標識 |
● 移動設備標識 |
|
● 應用主機網絡映射 |
|
● 漏洞/主機網絡映射 |
|
● 用戶/主機網絡映射 |
|
威脅發現 |
● 危害表現跟蹤 |
● OpenAppID - 開放式社區 ID 系統 |
|
● 相關政策和響應 |
|
● 流量差異檢測 |
|
● 基于路由器的補救操作 |
|
● Netflow 跟蹤 |
|
● 25,000+ 威脅標識符 |
|
● 可自定義的標識符 |
|
● 可創建全新的標識符 |
|
● 提供最寬泛的標識符 |
|
文件跟蹤 |
● 獲批的文件跟蹤 |
● 可疑文件跟蹤 |
|
● 惡意軟件匹配 |
|
表 8. |
合規性說明 |
|
類型 |
標準 |
|
電磁輻射 |
FCC 47 CFR,第 15 部分,A 類 |
|
EN 55022A A 類 |
||
VCCI A 類 |
||
AS/NZS CISPR 22 A 類 |
||
CISPR 11 A 類 |
||
CISPR 22 A 類 |
||
ICES 003 A 類 |
||
CNS13438 A 類 |
||
KN22 |