電話(huà) 微信 13581763491 QQ 507533684 北京志鴻恒拓科技有限公司
工業(yè)安全設(shè)備 3000 產(chǎn)品手冊(cè)
這些安全設(shè)備專(zhuān)為抵御最?lèi)毫拥墓I(yè)環(huán)境而開(kāi)發(fā)�����,并考慮了工業(yè)設(shè)計(jì)和操作因素����,可提供穩(wěn)固的端到端安全性。
產(chǎn)品概述
思科® 工業(yè)安全設(shè)備是真正的工業(yè)設(shè)備�,基于經(jīng)驗(yàn)證的企業(yè)級(jí)安全性提供面向 OT 的保護(hù)。
ISA 3000 是一個(gè) DIN 導(dǎo)軌安裝式加固型設(shè)備����,具有四個(gè)數(shù)據(jù)鏈路,可為最?lèi)毫雍妥羁量痰墓I(yè)環(huán)境提供最廣泛的訪 問(wèn)���、威脅及應(yīng)用控制����。
ISA 3000 系列秉承了 IE 4000 交換機(jī)硬件設(shè)計(jì)的工業(yè)成就��,添加了 Cisco ASA 和 SourceFire 軟件的經(jīng)驗(yàn)證的安 全性�。ISA 3000 可為您的網(wǎng)絡(luò)現(xiàn)代化項(xiàng)目提供安全保障。它還在不影響工業(yè)生產(chǎn)實(shí)踐的前提下����,提供融合 IT 和 OT 安全的可視性��。構(gòu)建該安全設(shè)備是為了抵御極端環(huán)境、反映工業(yè)設(shè)計(jì)����,同時(shí)符合整體 IT 網(wǎng)絡(luò)設(shè)計(jì)、合規(guī)性及 性能要求���。
對(duì)于那些需要使用強(qiáng)化產(chǎn)品的工業(yè)以太網(wǎng)的應(yīng)用情況���,ISA 3000 系列是理想選擇。具體情況包括公共事業(yè)�、制造 業(yè)、能源和流程控制��、智能交通系統(tǒng) (ITS)����、石油和天然氣野外現(xiàn)場(chǎng)、城市監(jiān)控項(xiàng)目和采礦業(yè)��。由于單個(gè)設(shè)備能夠同 時(shí)跟蹤可疑文件傳播��、線(xiàn)圈設(shè)定點(diǎn)���、異常流量模式及特權(quán)升級(jí)��,因此安全性和可視性達(dá)到水平��。思科安全網(wǎng)絡(luò)產(chǎn)品組合的這一工業(yè)元素與其他工業(yè)級(jí)思科解決方案相輔相成�,可以讓您了解本地單元與 IT 世界、外部供應(yīng)商 或承包商活動(dòng)之間的交互��。
ISA 3000 可通過(guò)用戶(hù)友好的機(jī)上系統(tǒng)管理員或公司范圍內(nèi)的安全管理進(jìn)行管理�����,提供以工業(yè)為中心���、開(kāi)箱即用的配 置及簡(jiǎn)化的操作可管理性��。這些高度可定制的管理選項(xiàng)使本地操作感知得以簡(jiǎn)化�,IT/OT 安全融合得以提高�,進(jìn)而使 工業(yè)功能和 IT 功能必然混合。
功能和優(yōu)勢(shì)
表 1. Cisco ISA 3000 的功能和優(yōu)勢(shì)
|
功能
|
優(yōu)勢(shì)
|
|
|
|
|
|
|
強(qiáng)大的工業(yè)設(shè)計(jì)
|
● 專(zhuān)為惡劣的環(huán)境和苛刻的溫度范圍(-40°C 至 70°C)而構(gòu)建���。
|
|
|
|
● 每個(gè) ISA 3000 都具有共形涂層�。
|
|
|
|
● 針對(duì)振動(dòng)、沖擊����、浪涌及電氣噪音進(jìn)行了強(qiáng)化。
|
|
|
|
● 四個(gè) 1 千兆以太網(wǎng)上行鏈路端口提供多個(gè)靈活設(shè)計(jì)選項(xiàng)�����。(4 個(gè)銅質(zhì)或 2 個(gè)銅
|
|
|
|
質(zhì)/2 個(gè)光纖)
|
|
|
|
● 符合有關(guān)自動(dòng)化�、ITS 和變電站環(huán)境的多種行業(yè)規(guī)范�����。
|
|
|
|
● 提高工業(yè)系統(tǒng)和設(shè)備的正常運(yùn)行時(shí)間�、性能和安全性。
|
|
|
|
● 緊湊的 DIN 導(dǎo)軌單元設(shè)計(jì)與工業(yè) LED 功能�,使監(jiān)控更加容易。
|
|
|
|
● 無(wú)風(fēng)扇��、對(duì)流冷卻����,無(wú)活動(dòng)部件,耐久性更強(qiáng)���。
|
|
|
|
● IEEE 1588v2 PTP(支持電源配置文件和默認(rèn)配置文件)��。
|
|
|
|
● 警報(bào) I/O 用于監(jiān)控和向外部設(shè)備發(fā)出信號(hào)��。(未來(lái)版本支持)
|
|
|
|
● SD 卡用于配置備份和啟動(dòng)����。(未來(lái)版本支持)
|
|
|
|
|
|
|
方便易用的 GUI 設(shè)備管理器
|
● 設(shè)備上的管理功能可使本地感知得到即刻控制。
|
|
|
|
|
|
|
|
● 多設(shè)備管理可同時(shí)處理數(shù)百臺(tái)設(shè)備�。
|
|
|
|
● 用戶(hù)特定訪問(wèn)和控制定制。
|
|
|
|
|
|
|
功能
|
優(yōu)勢(shì)
|
|
|
|
|
流量連續(xù)性/保護(hù)
|
● 全“帶外遙控”流量繞開(kāi)銅纜端口�����。
|
|
|
● 默認(rèn)被動(dòng)部署學(xué)習(xí)模式�����。
|
|
|
|
|
|
● 可進(jìn)行軟件更新而不損失流量�。
|
|
|
● 連接限制可以防止 DOS 產(chǎn)生流量。
|
|
|
● 延遲檢測(cè)和緩解功能���。
|
|
|
● 服務(wù)質(zhì)量策略
|
|
|
|
|
經(jīng)驗(yàn)證的��、可擴(kuò)展的訪問(wèn)控制
|
● 執(zhí)行 ISA-95/IEC 62264 細(xì)分需求
|
|
|
● 狀態(tài)檢測(cè)
|
|
|
● 第 2 層和第 3 層防火墻操作模式
|
|
|
● 可下載訪問(wèn)控制列表
|
|
|
● 基于身份的訪問(wèn)控制策略
|
|
|
● 用戶(hù)/用戶(hù)組
|
|
|
● 策略型路由 ACL
|
|
|
● 擴(kuò)展 ACL
|
|
|
|
|
|
● WebVPN ACL
|
|
|
● 動(dòng)態(tài) ACL
|
|
|
● TrustSec ACL
|
|
不打折扣的威脅檢測(cè)
|
● 經(jīng)過(guò)第三方測(cè)試驗(yàn)證的為最有效的威脅檢測(cè)
|
|
|
● 超過(guò) 25,000 個(gè)規(guī)則�,可隨時(shí)隨地提供最廣泛的保護(hù)
|
|
|
● 數(shù)百個(gè)以工業(yè)為中心的規(guī)則。
|
|
|
● 工業(yè)設(shè)備利用保護(hù)規(guī)則
|
|
|
● 協(xié)議濫用識(shí)別
|
|
|
● 保護(hù)基于 Web 的控制系統(tǒng)
|
|
|
● 網(wǎng)絡(luò)行為分析
|
|
|
● 被動(dòng)設(shè)備發(fā)現(xiàn)
|
|
|
|
|
應(yīng)用控制
|
● 所有 DMZ 基礎(chǔ)設(shè)施的可視性與可控性
|
|
|
● 工業(yè)應(yīng)用的可視性與可控性
|
|
|
● 單個(gè)協(xié)議命令和值的可視性與可控性
|
|
遠(yuǎn)程訪問(wèn)支持/控制
|
● 通過(guò) Cisco AnyConnect 執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制
|
|
|
● 身份服務(wù)引擎支持
|
|
|
● 站點(diǎn)間 VPN
|
|
|
● 遠(yuǎn)程接入 VPN
|
|
|
● 無(wú)客戶(hù)端的 SSL VPN 功能
|
|
|
● 思科安全桌面
|
|
|
● 支持 Citrix 和 VMware 無(wú)客戶(hù)端連接
|
|
|
|
|
DMZ 基礎(chǔ)設(shè)施
|
● DNS 服務(wù)
|
|
|
● DHCP 服務(wù)
|
|
|
● AAA 支持
|
|
|
● IP 路由
|
|
|
|
適合工業(yè)環(huán)境的理想加固型設(shè)備
思科工業(yè)安全設(shè)備 3000 系列提供:
* 從單元和變電站級(jí)一直到 ISP 連接的控制訪問(wèn)�。
* 靈活的企業(yè)級(jí)遠(yuǎn)程訪問(wèn)。
* 提供 DNS 和 DHCP 等基本網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)�����。
* 從交換機(jī)��、路由器���、操作系統(tǒng)、計(jì)算基礎(chǔ)設(shè)施到工業(yè)控制系統(tǒng)���,對(duì)每一個(gè)網(wǎng)絡(luò)和計(jì)算級(jí)別提供無(wú)可比擬的威 脅防范�����。
* 比工業(yè)領(lǐng)域中的其他服務(wù)提供更多的流量連續(xù)性安全級(jí)別��。
* 為工業(yè)和企業(yè)領(lǐng)域的每一級(jí)應(yīng)用提供應(yīng)用可視性與可控性�����。
圖1 為 ISA 3000�����,表 2 為可用 ISA 3000 訂購(gòu) PID�����,表 3 列出了思科工業(yè)安全設(shè)備 3000 系列的 SFP 模塊����。
圖1. ISA 3000
表 2. 思科工業(yè)安全設(shè)備 3000 系列型號(hào)和選項(xiàng):
|
產(chǎn)品編號(hào)
|
銅質(zhì) 10/100/1000(均支持旁路)
|
SFP 光纖端口
|
|
|
|
|
ISA3000-4C-K9
|
4
|
0
|
|
|
|
|
|
|
|
ISA3000-2C2F-K9
|
2
|
2
|
|
|
|
可選訂貨功能
|
|
|
|
|
|
|
|
L-ISA3000SEC+-K9
|
支持高可用性,SSL VPN�,更多連接數(shù)量,VLAN 中繼
|
|
|
|
|
|
|
表 3. 支持思科加固型 SFP
|
產(chǎn)品編號(hào)
|
類(lèi)型
|
|
|
|
|
GLC-SX-MM-RGD=
|
1000 BASE-SX 加固型
|
|
|
|
|
GLC-LX-SM-RGD=
|
1000 BASE-LX/LH 加固型
|
|
GLC-FE-100FX-RGD=
|
100 BASE-FX 加固型
|
|
|
|
|
GLC-FE-100LX-RGD=
|
100 BASE-LX 加固型
|
|
|
|
產(chǎn)品規(guī)格
表 4 為物理規(guī)格�����,表 5 提供設(shè)備性能和可擴(kuò)展性的相關(guān)信息���,
表 6 和表 7 為一些重要的軟件功能�����,
表 8 為合規(guī)性說(shuō)明���,表 9 為 Cisco ISA 3000 系列管理和標(biāo)準(zhǔn)的相關(guān)信息�。
表 4. 物理產(chǎn)品規(guī)格
|
說(shuō)明
|
規(guī)格
|
|
|
|
|
|
硬件
|
● 4 核 Intel Rangely(工業(yè)臨時(shí))
|
|
|
● 8 GB DRAM(焊入式)
|
|
|
● 16 GB 板載閃存
|
|
|
|
● mSATA 64Gb
|
|
|
|
● 1 GB 可移動(dòng) SD 閃存卡 - 工業(yè)臨時(shí)(未來(lái)版本支持)
|
|
|
● 控制臺(tái)采用 Mini-USB 連接器
|
|
|
● RJ-45 傳統(tǒng)控制臺(tái)連接器
|
|
|
● 專(zhuān)用 10/100/1000 管理端口
|
|
|
● 基于硬件的防偽����、防篡改芯片
|
|
|
● 恢復(fù)出廠設(shè)置選項(xiàng)
|
|
|
|
|
警報(bào)
|
● 警報(bào) I/O:四個(gè)警報(bào)輸入,用于檢測(cè)干接點(diǎn)為打開(kāi)或關(guān)閉���,一個(gè) Form
|
|
|
C 警報(bào)輸出繼電器(未來(lái)版本支持)
|
|
尺寸�,(高 x 寬 x 深)
|
● 11.2cm(寬)x 13cm(高)x 16cm(深)
|
|
|
|
|
|
重量
|
● 1.9kg
|
|
|
電源和范圍
|
● 雙重內(nèi)部直流
|
|
|
|
● 標(biāo)稱(chēng) ± 12Vdc��、24Vdc 或 48Vdc
|
|
|
● 范圍 9.6 Vdc 到 60 Vdc
|
|
|
● 功耗 24 瓦
|
|
|
|
|
|
|
MTBF - 平均故障間隔時(shí)間
|
● ISA-3000-4C
|
398,130 小時(shí)
|
|
|
● ISA-3000-2C2F
|
376,580 小時(shí)
|
|
|
|
|
表 5. 設(shè)備的可擴(kuò)展性
|
說(shuō)明
|
規(guī)格
|
|
|
|
|
吞吐量
|
2Gbps - 最小 22Mbps
|
|
|
因流量類(lèi)型和安全活動(dòng)不同而異
|
|
|
(請(qǐng)聯(lián)系思科 SE 獲得您的流量配置文件)
|
|
|
|
|
IPSec VPN 隧道
|
5�����,25(有 SecPlus 許可)
|
|
定義的接口
|
200��,400(有 SecPlus 許可)
|
|
|
|
|
VLAN 數(shù)量
|
5�����,25(有 SecPlus 許可)
|
|
IPv4 MAC 安全性 ACE
|
1,000�,采用默認(rèn) TCAM 模板
|
|
|
|
|
NAT 轉(zhuǎn)換
|
雙向����,128 個(gè)子網(wǎng) NAT 轉(zhuǎn)換條目��;如果設(shè)計(jì)正確����,可以擴(kuò)展到數(shù)萬(wàn)個(gè)轉(zhuǎn)
|
|
|
換的條目
|
|
|
|
表 6. Cisco ISA 3000 主要網(wǎng)絡(luò)支持功能
|
LAN 基準(zhǔn)許可證(默認(rèn))
|
功能
|
|
NAT
|
● 靜態(tài) NAT
|
|
|
端口轉(zhuǎn)換�、一對(duì)多、非標(biāo)準(zhǔn)端口
|
|
|
● 動(dòng)態(tài) NAT
|
|
|
● 動(dòng)態(tài) PAT
|
|
|
● 身份標(biāo)識(shí) NAT
|
|
|
|
|
第 2 層 IPv6
|
IPv6 主機(jī)支持�����、基于 IPv6 的 HTTP���、基于 IPv6 的SNMP
|
|
第 3 層路由
|
IPv4 靜態(tài)路由
|
|
|
|
|
實(shí)用程序
|
IEEE 1588 v2 PTP 電源配置文件
|
|
分開(kāi)管理流量的路由
|
分開(kāi)數(shù)據(jù)和管理流量的路由
|
|
|
|
|
中繼
|
支持 802.1q 中繼
|
|
|
|
表 7. Cisco ISA 3000 主要安全軟件功能
|
SecurityArea
|
功能
|
|
TrustSec 控制
|
● 帶內(nèi)和帶外身份標(biāo)識(shí)
|
|
|
● Active Directory 集成
|
|
|
● 基于策略的安全組標(biāo)簽
|
|
|
● 802.1x 支持
|
|
|
● MACSec 和 MAB 支持
|
|
|
● 執(zhí)行端點(diǎn)安全狀態(tài)進(jìn)行遠(yuǎn)程訪問(wèn)
|
|
|
|
|
多級(jí)訪問(wèn)控制
|
● 全局黑名單 - 自動(dòng)或手動(dòng)
|
|
|
● 全局白名單
|
|
|
● 第三方智能饋送利用率
|
|
|
|
|
|
● 文件白名單
|
|
|
● 文件黑名單
|
|
|
● 應(yīng)用級(jí)訪問(wèn)控制
|
|
|
● 802.1x 支持
|
|
威脅網(wǎng)絡(luò)映射
|
● 被動(dòng)設(shè)備標(biāo)識(shí)
|
|
|
● 移動(dòng)設(shè)備標(biāo)識(shí)
|
|
|
● 應(yīng)用主機(jī)網(wǎng)絡(luò)映射
|
|
|
● 漏洞/主機(jī)網(wǎng)絡(luò)映射
|
|
|
● 用戶(hù)/主機(jī)網(wǎng)絡(luò)映射
|
|
|
|
|
威脅發(fā)現(xiàn)
|
● 危害表現(xiàn)跟蹤
|
|
|
● OpenAppID - 開(kāi)放式社區(qū) ID 系統(tǒng)
|
|
|
● 相關(guān)政策和響應(yīng)
|
|
|
● 流量差異檢測(cè)
|
|
|
● 基于路由器的補(bǔ)救操作
|
|
|
● Netflow 跟蹤
|
|
|
|
|
|
● 25,000+ 威脅標(biāo)識(shí)符
|
|
|
● 可自定義的標(biāo)識(shí)符
|
|
|
● 可創(chuàng)建全新的標(biāo)識(shí)符
|
|
|
● 提供最寬泛的標(biāo)識(shí)符
|
|
文件跟蹤
|
● 獲批的文件跟蹤
|
|
|
● 可疑文件跟蹤
|
|
|
● 惡意軟件匹配
|
|
|
|
|
表 8.
|
合規(guī)性說(shuō)明
|
|
|
|
|
|
|
類(lèi)型
|
|
標(biāo)準(zhǔn)
|
|
|
|
|
電磁輻射
|
FCC 47 CFR��,第 15 部分����,A 類(lèi)
|
|
|
|
EN 55022A A 類(lèi)
|
|
|
|
VCCI A 類(lèi)
|
|
|
|
AS/NZS CISPR 22 A 類(lèi)
|
|
|
|
CISPR 11 A 類(lèi)
|
|
|
|
CISPR 22 A 類(lèi)
|
|
|
|
ICES 003 A 類(lèi)
|
|
|
|
CNS13438 A 類(lèi)
|
|
|
|
KN22
|
