針對工業控制系統(ICS)的威脅,以及攻擊事件頻傳,有越演越烈的趨勢,像是2015年底烏克蘭發生大停電,據傳就跟BlackEnergy發動惡意軟體攻擊有關,而這次事件也大大震撼整個資安業界,開始重視相關防護機制。

而從強化網路安全的角度而言,已有部分廠商在2015年5月推出了專屬的防火牆產品來因應,那就是Check Point發表的1200R設備。事隔近兩年的現在,以次世代防火牆著稱的Palo Alto Networks,在2月宣布推出PA-220R。

這款機型的規格與一年前推出的PA-220相似,都採用無風扇的散熱設計,支援高可用性的組態(A/A和A/S),以及透過USB隨身碟的自助式大量部署(USB-based bootstrapping),尤其是網路傳輸效能,可說是完全相同,像是防火牆吞吐量均為500 Mbps、VPN吞吐量為150 Mbps、最大連線數可達6.4萬個。它們採用的作業系統,也都是Palo Alto自家的PAN-OS,而能區分所有的網路流量,並且可以同時控管應用程式、威脅、存取內容與使用者。

然而,這兩款次世代防火牆機型之間,仍有不少細部差異。例如,採強固設計的PA220-R,能建置在嚴苛的工業環境,像是變電所、發電廠與廠區,適用環境的溫度範圍更大(攝氏零下40度到70度),並通過IEC 61850-3與IEEE 1613的環境測試驗證,能夠因應一定程度的震動、溫度變化,而且不會受到電磁干擾。

PA220-R採用的作業系統PAN-OS,如今可以透視工業控制系統專屬的流量,並且能夠在運作環境相當嚴峻的工業網當中,提供分區隔離、威脅預防。而該公司在本週舉行的2018網路安全創新用戶大會上,也在介紹PAN-OS 8.1新版功能的場次上,首度公開揭露PA220-R在這方面的應用特色,以及所支援的各種通訊協定與應用程式。

而且,在耗電量的規格上,PA220-R也更為節約,平均為13瓦、最高為16瓦,比起PA220可節省近4成電力。

從體型來看,PA220-R的外觀較為厚實,重量也增加到2公斤,而提供網路介面總數雖然都是8個GbE埠,但其中6個RJ-45接頭都內建突保護機制,另外2個是SFP接頭,可同時支援銅線與光纖網路,使用起來更為彈性。

在接取電源的方式上,PA220-R在前端面板提供旋入式接地點,以及直流電力輸入的插槽,能分別連結接地纜線,以及直流接線板(DC input terminal block)與背後的直流電源線。而PA220則是在機背上,提供接地螺拴和2個電源整流器的插槽。

從設備安裝的位置來看,PA220-R和PA220都支援平面、壁掛、機架的建置形式,但前者還可搭配DIN滑軌使用,僅需在設備的背部或底部加裝托架,即可安裝在DIN滑軌上。

產品資訊

Palo Alto PA220-R
●原廠:Palo Alto(02)7703-9080
●建議售價:2,900美元起
●網路埠:8個GbE埠(6個RJ-45埠、2個SFP埠)
●防火牆吞吐量:500 Mbps(啟用App-ID)
●VPN吞吐量:100 Mbps(IPsec VPN)
●最大連線數:6.4萬個
●支援通訊協定:Modbus、DNP3、IEC 60870-5-104、Siemens S7、OSIsoft PI
●耗電量:平均13瓦、最大16瓦
●運作環境溫度:攝氏-40度到70度●重量:2.04公斤
●外觀:5.08 x 22 x 23.5公分

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容