電話 微信 13581763491 QQ 507533684 北京志鴻恒拓科技有限公司
工業(yè)安全設(shè)備 3000 產(chǎn)品手冊(cè)
這些安全設(shè)備專為抵御最惡劣的工業(yè)環(huán)境而開發(fā)���,并考慮了工業(yè)設(shè)計(jì)和操作因素,可提供穩(wěn)固的端到端安全性��。
產(chǎn)品概述
思科® 工業(yè)安全設(shè)備是真正的工業(yè)設(shè)備����,基于經(jīng)驗(yàn)證的企業(yè)級(jí)安全性提供面向 OT 的保護(hù)。
ISA 3000 是一個(gè) DIN 導(dǎo)軌安裝式加固型設(shè)備,具有四個(gè)數(shù)據(jù)鏈路�����,可為最惡劣和最苛刻的工業(yè)環(huán)境提供最廣泛的訪 問����、威脅及應(yīng)用控制�。
ISA 3000 系列秉承了 IE 4000 交換機(jī)硬件設(shè)計(jì)的工業(yè)成就,添加了 Cisco ASA 和 SourceFire 軟件的經(jīng)驗(yàn)證的安 全性���。ISA 3000 可為您的網(wǎng)絡(luò)現(xiàn)代化項(xiàng)目提供安全保障����。它還在不影響工業(yè)生產(chǎn)實(shí)踐的前提下��,提供融合 IT 和 OT 安全的可視性�。構(gòu)建該安全設(shè)備是為了抵御極端環(huán)境、反映工業(yè)設(shè)計(jì)��,同時(shí)符合整體 IT 網(wǎng)絡(luò)設(shè)計(jì)、合規(guī)性及 性能要求��。
對(duì)于那些需要使用強(qiáng)化產(chǎn)品的工業(yè)以太網(wǎng)的應(yīng)用情況��,ISA 3000 系列是理想選擇����。具體情況包括公共事業(yè)、制造 業(yè)��、能源和流程控制����、智能交通系統(tǒng) (ITS)、石油和天然氣野外現(xiàn)場(chǎng)�����、城市監(jiān)控項(xiàng)目和采礦業(yè)�����。由于單個(gè)設(shè)備能夠同 時(shí)跟蹤可疑文件傳播、線圈設(shè)定點(diǎn)�����、異常流量模式及特權(quán)升級(jí)���,因此安全性和可視性達(dá)到水平。思科安全網(wǎng)絡(luò)產(chǎn)品組合的這一工業(yè)元素與其他工業(yè)級(jí)思科解決方案相輔相成�����,可以讓您了解本地單元與 IT 世界��、外部供應(yīng)商 或承包商活動(dòng)之間的交互��。
ISA 3000 可通過用戶友好的機(jī)上系統(tǒng)管理員或公司范圍內(nèi)的安全管理進(jìn)行管理����,提供以工業(yè)為中心、開箱即用的配 置及簡(jiǎn)化的操作可管理性��。這些高度可定制的管理選項(xiàng)使本地操作感知得以簡(jiǎn)化�,IT/OT 安全融合得以提高,進(jìn)而使 工業(yè)功能和 IT 功能必然混合。
功能和優(yōu)勢(shì)
表 1. Cisco ISA 3000 的功能和優(yōu)勢(shì)
|
功能
|
優(yōu)勢(shì)
|
|
|
|
|
|
|
強(qiáng)大的工業(yè)設(shè)計(jì)
|
● 專為惡劣的環(huán)境和苛刻的溫度范圍(-40°C 至 70°C)而構(gòu)建�����。
|
|
|
|
● 每個(gè) ISA 3000 都具有共形涂層���。
|
|
|
|
● 針對(duì)振動(dòng)���、沖擊���、浪涌及電氣噪音進(jìn)行了強(qiáng)化�����。
|
|
|
|
● 四個(gè) 1 千兆以太網(wǎng)上行鏈路端口提供多個(gè)靈活設(shè)計(jì)選項(xiàng)。(4 個(gè)銅質(zhì)或 2 個(gè)銅
|
|
|
|
質(zhì)/2 個(gè)光纖)
|
|
|
|
● 符合有關(guān)自動(dòng)化、ITS 和變電站環(huán)境的多種行業(yè)規(guī)范。
|
|
|
|
● 提高工業(yè)系統(tǒng)和設(shè)備的正常運(yùn)行時(shí)間、性能和安全性。
|
|
|
|
● 緊湊的 DIN 導(dǎo)軌單元設(shè)計(jì)與工業(yè) LED 功能��,使監(jiān)控更加容易�����。
|
|
|
|
● 無風(fēng)扇�、對(duì)流冷卻���,無活動(dòng)部件,耐久性更強(qiáng)。
|
|
|
|
● IEEE 1588v2 PTP(支持電源配置文件和默認(rèn)配置文件)���。
|
|
|
|
● 警報(bào) I/O 用于監(jiān)控和向外部設(shè)備發(fā)出信號(hào)�����。(未來版本支持)
|
|
|
|
● SD 卡用于配置備份和啟動(dòng)���。(未來版本支持)
|
|
|
|
|
|
|
方便易用的 GUI 設(shè)備管理器
|
● 設(shè)備上的管理功能可使本地感知得到即刻控制�。
|
|
|
|
|
|
|
|
● 多設(shè)備管理可同時(shí)處理數(shù)百臺(tái)設(shè)備�。
|
|
|
|
● 用戶特定訪問和控制定制。
|
|
|
|
|
|
|
功能
|
優(yōu)勢(shì)
|
|
|
|
|
流量連續(xù)性/保護(hù)
|
● 全“帶外遙控”流量繞開銅纜端口���。
|
|
|
● 默認(rèn)被動(dòng)部署學(xué)習(xí)模式��。
|
|
|
|
|
|
● 可進(jìn)行軟件更新而不損失流量�。
|
|
|
● 連接限制可以防止 DOS 產(chǎn)生流量����。
|
|
|
● 延遲檢測(cè)和緩解功能。
|
|
|
● 服務(wù)質(zhì)量策略
|
|
|
|
|
經(jīng)驗(yàn)證的�、可擴(kuò)展的訪問控制
|
● 執(zhí)行 ISA-95/IEC 62264 細(xì)分需求
|
|
|
● 狀態(tài)檢測(cè)
|
|
|
● 第 2 層和第 3 層防火墻操作模式
|
|
|
● 可下載訪問控制列表
|
|
|
● 基于身份的訪問控制策略
|
|
|
● 用戶/用戶組
|
|
|
● 策略型路由 ACL
|
|
|
● 擴(kuò)展 ACL
|
|
|
|
|
|
● WebVPN ACL
|
|
|
● 動(dòng)態(tài) ACL
|
|
|
● TrustSec ACL
|
|
不打折扣的威脅檢測(cè)
|
● 經(jīng)過第三方測(cè)試驗(yàn)證的為最有效的威脅檢測(cè)
|
|
|
● 超過 25,000 個(gè)規(guī)則,可隨時(shí)隨地提供最廣泛的保護(hù)
|
|
|
● 數(shù)百個(gè)以工業(yè)為中心的規(guī)則���。
|
|
|
● 工業(yè)設(shè)備利用保護(hù)規(guī)則
|
|
|
● 協(xié)議濫用識(shí)別
|
|
|
● 保護(hù)基于 Web 的控制系統(tǒng)
|
|
|
● 網(wǎng)絡(luò)行為分析
|
|
|
● 被動(dòng)設(shè)備發(fā)現(xiàn)
|
|
|
|
|
應(yīng)用控制
|
● 所有 DMZ 基礎(chǔ)設(shè)施的可視性與可控性
|
|
|
● 工業(yè)應(yīng)用的可視性與可控性
|
|
|
● 單個(gè)協(xié)議命令和值的可視性與可控性
|
|
遠(yuǎn)程訪問支持/控制
|
● 通過 Cisco AnyConnect 執(zhí)行網(wǎng)絡(luò)訪問控制
|
|
|
● 身份服務(wù)引擎支持
|
|
|
● 站點(diǎn)間 VPN
|
|
|
● 遠(yuǎn)程接入 VPN
|
|
|
● 無客戶端的 SSL VPN 功能
|
|
|
● 思科安全桌面
|
|
|
● 支持 Citrix 和 VMware 無客戶端連接
|
|
|
|
|
DMZ 基礎(chǔ)設(shè)施
|
● DNS 服務(wù)
|
|
|
● DHCP 服務(wù)
|
|
|
● AAA 支持
|
|
|
● IP 路由
|
|
|
|
適合工業(yè)環(huán)境的理想加固型設(shè)備
思科工業(yè)安全設(shè)備 3000 系列提供:
* 從單元和變電站級(jí)一直到 ISP 連接的控制訪問�����。
* 靈活的企業(yè)級(jí)遠(yuǎn)程訪問��。
* 提供 DNS 和 DHCP 等基本網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)�����。
* 從交換機(jī)����、路由器、操作系統(tǒng)���、計(jì)算基礎(chǔ)設(shè)施到工業(yè)控制系統(tǒng)�,對(duì)每一個(gè)網(wǎng)絡(luò)和計(jì)算級(jí)別提供無可比擬的威 脅防范�。
* 比工業(yè)領(lǐng)域中的其他服務(wù)提供更多的流量連續(xù)性安全級(jí)別。
* 為工業(yè)和企業(yè)領(lǐng)域的每一級(jí)應(yīng)用提供應(yīng)用可視性與可控性�。
圖1 為 ISA 3000,表 2 為可用 ISA 3000 訂購(gòu) PID����,表 3 列出了思科工業(yè)安全設(shè)備 3000 系列的 SFP 模塊。
圖1. ISA 3000
表 2. 思科工業(yè)安全設(shè)備 3000 系列型號(hào)和選項(xiàng):
|
產(chǎn)品編號(hào)
|
銅質(zhì) 10/100/1000(均支持旁路)
|
SFP 光纖端口
|
|
|
|
|
ISA3000-4C-K9
|
4
|
0
|
|
|
|
|
|
|
|
ISA3000-2C2F-K9
|
2
|
2
|
|
|
|
可選訂貨功能
|
|
|
|
|
|
|
|
L-ISA3000SEC+-K9
|
支持高可用性�,SSL VPN,更多連接數(shù)量����,VLAN 中繼
|
|
|
|
|
|
|
表 3. 支持思科加固型 SFP
|
產(chǎn)品編號(hào)
|
類型
|
|
|
|
|
GLC-SX-MM-RGD=
|
1000 BASE-SX 加固型
|
|
|
|
|
GLC-LX-SM-RGD=
|
1000 BASE-LX/LH 加固型
|
|
GLC-FE-100FX-RGD=
|
100 BASE-FX 加固型
|
|
|
|
|
GLC-FE-100LX-RGD=
|
100 BASE-LX 加固型
|
|
|
|
產(chǎn)品規(guī)格
表 4 為物理規(guī)格���,表 5 提供設(shè)備性能和可擴(kuò)展性的相關(guān)信息,
表 6 和表 7 為一些重要的軟件功能���,
表 8 為合規(guī)性說明�����,表 9 為 Cisco ISA 3000 系列管理和標(biāo)準(zhǔn)的相關(guān)信息�����。
表 4. 物理產(chǎn)品規(guī)格
|
說明
|
規(guī)格
|
|
|
|
|
|
硬件
|
● 4 核 Intel Rangely(工業(yè)臨時(shí))
|
|
|
● 8 GB DRAM(焊入式)
|
|
|
● 16 GB 板載閃存
|
|
|
|
● mSATA 64Gb
|
|
|
|
● 1 GB 可移動(dòng) SD 閃存卡 - 工業(yè)臨時(shí)(未來版本支持)
|
|
|
● 控制臺(tái)采用 Mini-USB 連接器
|
|
|
● RJ-45 傳統(tǒng)控制臺(tái)連接器
|
|
|
● 專用 10/100/1000 管理端口
|
|
|
● 基于硬件的防偽�、防篡改芯片
|
|
|
● 恢復(fù)出廠設(shè)置選項(xiàng)
|
|
|
|
|
警報(bào)
|
● 警報(bào) I/O:四個(gè)警報(bào)輸入�����,用于檢測(cè)干接點(diǎn)為打開或關(guān)閉�����,一個(gè) Form
|
|
|
C 警報(bào)輸出繼電器(未來版本支持)
|
|
尺寸�,(高 x 寬 x 深)
|
● 11.2cm(寬)x 13cm(高)x 16cm(深)
|
|
|
|
|
|
重量
|
● 1.9kg
|
|
|
電源和范圍
|
● 雙重內(nèi)部直流
|
|
|
|
● 標(biāo)稱 ± 12Vdc、24Vdc 或 48Vdc
|
|
|
● 范圍 9.6 Vdc 到 60 Vdc
|
|
|
● 功耗 24 瓦
|
|
|
|
|
|
|
MTBF - 平均故障間隔時(shí)間
|
● ISA-3000-4C
|
398,130 小時(shí)
|
|
|
● ISA-3000-2C2F
|
376,580 小時(shí)
|
|
|
|
|
表 5. 設(shè)備的可擴(kuò)展性
|
說明
|
規(guī)格
|
|
|
|
|
吞吐量
|
2Gbps - 最小 22Mbps
|
|
|
因流量類型和安全活動(dòng)不同而異
|
|
|
(請(qǐng)聯(lián)系思科 SE 獲得您的流量配置文件)
|
|
|
|
|
IPSec VPN 隧道
|
5,25(有 SecPlus 許可)
|
|
定義的接口
|
200�,400(有 SecPlus 許可)
|
|
|
|
|
VLAN 數(shù)量
|
5,25(有 SecPlus 許可)
|
|
IPv4 MAC 安全性 ACE
|
1,000�,采用默認(rèn) TCAM 模板
|
|
|
|
|
NAT 轉(zhuǎn)換
|
雙向,128 個(gè)子網(wǎng) NAT 轉(zhuǎn)換條目����;如果設(shè)計(jì)正確,可以擴(kuò)展到數(shù)萬個(gè)轉(zhuǎn)
|
|
|
換的條目
|
|
|
|
表 6. Cisco ISA 3000 主要網(wǎng)絡(luò)支持功能
|
LAN 基準(zhǔn)許可證(默認(rèn))
|
功能
|
|
NAT
|
● 靜態(tài) NAT
|
|
|
端口轉(zhuǎn)換�����、一對(duì)多�、非標(biāo)準(zhǔn)端口
|
|
|
● 動(dòng)態(tài) NAT
|
|
|
● 動(dòng)態(tài) PAT
|
|
|
● 身份標(biāo)識(shí) NAT
|
|
|
|
|
第 2 層 IPv6
|
IPv6 主機(jī)支持、基于 IPv6 的 HTTP���、基于 IPv6 的SNMP
|
|
第 3 層路由
|
IPv4 靜態(tài)路由
|
|
|
|
|
實(shí)用程序
|
IEEE 1588 v2 PTP 電源配置文件
|
|
分開管理流量的路由
|
分開數(shù)據(jù)和管理流量的路由
|
|
|
|
|
中繼
|
支持 802.1q 中繼
|
|
|
|
表 7. Cisco ISA 3000 主要安全軟件功能
|
SecurityArea
|
功能
|
|
TrustSec 控制
|
● 帶內(nèi)和帶外身份標(biāo)識(shí)
|
|
|
● Active Directory 集成
|
|
|
● 基于策略的安全組標(biāo)簽
|
|
|
● 802.1x 支持
|
|
|
● MACSec 和 MAB 支持
|
|
|
● 執(zhí)行端點(diǎn)安全狀態(tài)進(jìn)行遠(yuǎn)程訪問
|
|
|
|
|
多級(jí)訪問控制
|
● 全局黑名單 - 自動(dòng)或手動(dòng)
|
|
|
● 全局白名單
|
|
|
● 第三方智能饋送利用率
|
|
|
|
|
|
● 文件白名單
|
|
|
● 文件黑名單
|
|
|
● 應(yīng)用級(jí)訪問控制
|
|
|
● 802.1x 支持
|
|
威脅網(wǎng)絡(luò)映射
|
● 被動(dòng)設(shè)備標(biāo)識(shí)
|
|
|
● 移動(dòng)設(shè)備標(biāo)識(shí)
|
|
|
● 應(yīng)用主機(jī)網(wǎng)絡(luò)映射
|
|
|
● 漏洞/主機(jī)網(wǎng)絡(luò)映射
|
|
|
● 用戶/主機(jī)網(wǎng)絡(luò)映射
|
|
|
|
|
威脅發(fā)現(xiàn)
|
● 危害表現(xiàn)跟蹤
|
|
|
● OpenAppID - 開放式社區(qū) ID 系統(tǒng)
|
|
|
● 相關(guān)政策和響應(yīng)
|
|
|
● 流量差異檢測(cè)
|
|
|
● 基于路由器的補(bǔ)救操作
|
|
|
● Netflow 跟蹤
|
|
|
|
|
|
● 25,000+ 威脅標(biāo)識(shí)符
|
|
|
● 可自定義的標(biāo)識(shí)符
|
|
|
● 可創(chuàng)建全新的標(biāo)識(shí)符
|
|
|
● 提供最寬泛的標(biāo)識(shí)符
|
|
文件跟蹤
|
● 獲批的文件跟蹤
|
|
|
● 可疑文件跟蹤
|
|
|
● 惡意軟件匹配
|
|
|
|
|
表 8.
|
合規(guī)性說明
|
|
|
|
|
|
|
類型
|
|
標(biāo)準(zhǔn)
|
|
|
|
|
電磁輻射
|
FCC 47 CFR����,第 15 部分����,A 類
|
|
|
|
EN 55022A A 類
|
|
|
|
VCCI A 類
|
|
|
|
AS/NZS CISPR 22 A 類
|
|
|
|
CISPR 11 A 類
|
|
|
|
CISPR 22 A 類
|
|
|
|
ICES 003 A 類
|
|
|
|
CNS13438 A 類
|
|
|
|
KN22
|
