針對工業控制系統網路提供防護的網路防火牆,我們過去陸續介紹過幾套產品,像是Check Point的1200R,以及Palo Alto的PA-220R,還有其他選擇嗎?在今年上半舉行的臺灣資安大會,我們就看到次世代防火牆廠商Stormshield的代理商柏策科技,現場展出了尺寸相當迷你的SNi40(16.5 x 8 x 14.5公分),正好就是打著工業級防火牆旗號的產品,可防護生產控制系統為主的OT環境,以及OT與IT融合的環境。

事實上,SNi40這款機型是在2016年4月發表,由下列四個單位所共同研發的產物,分別是:Stormshield、工業自動化及控制大廠施耐德電機(Schneider Electric)、資安稽核公司Oppida,以及布列塔尼電信學院研究中心(Télécom Bretagne Research Institute),而這樣的產學合作之所以能夠促成,則是源自於2014年,當時的法國政府呼籲各界,應加速發展工業領域網路安全解決方案。

而在他們開發工控安全產品的初期,Stormshield先於自家的網路安全產品當中,針對工業控制系統環境常用的網路通訊協定,像是Modbus、S7、DNP3,以及OPC UA等,整合了新的深度封包檢測與過濾功能。而在適用的環境上,SNi40本身的硬體設計也考量到這個領域的特定需求,例如,能夠比照工業自動化機器人的規格,忍受極端的環境溫度。

就在2016這一年,Stormshield從新發布的系統韌體2.3.4版,開始支援SNi40,在7月和10月陸續通過法國國家資訊系統安全局(ANSSI)的第一級安全認證和基礎級認證。

相較於上述提到的兩款工業級防火牆設備,SNi40在體型、重量的規格上,和Check Point 1200R頗為接近;網路埠的部份,SNi40提供5個RJ-45接頭的GbE埠與2個SFP接頭的GbE埠,雖然少於Check Point 1200R和Pal Alto PA-220R(都是6+2的配置),不過,從Stormshield韌體3.0版起,也開始在SNi 40提供硬體式旁路(bypass)功能,啟用後,一旦遇到設備電源或系統本身故障,原本流經SNi40處理的網路流量,還是能繼續傳送。

若從適用的環境溫度範圍來看,SNi40、1200R、220-R均為攝氏零下40度到70度。如果以網路流量處理的效能來比較,以1518 byte UDP為準,SNi40的防火牆吞吐量可達到4.8 Gbps,IPS吞吐量為2.9 Gbps,1200R的防火牆吞吐量是2 Gbps,

而220-R的部份,由於Palo Alto並未針對單純啟用防火牆的部分列出效能規格,而是公布啟用App-ID與記錄的防火牆吞吐量(最高為560 Mbps),以及啟用進階威脅防禦的效能(最高為260 Mbps),因此難以相互比較。

產品資訊

Stormshield SNi40
●代理商:柏策科技(02)2557-5687
●建議售價:47萬元起(未稅,含1年的Industrial Security Pack、Industrial Security Pack Renew費用)
●網路埠:7個GbE埠(5個RJ-45埠、2個SFP埠)
●防火牆吞吐量:2.4 Gbps(IMIX)
●VPN吞吐量:0.8 Gbps(IPsec AES256/SHA2)
●最大連線數:50萬個
●支援通訊協定:Modbus、UMAS、S7 200-300-400、EtherNet/IP、CIP、OPC UA、IEC-60870-5-104、OPC (DA/HDA/AE), BACnet/IP
●耗電量:閒置15.5瓦、最大19.5瓦
●運作環境溫度:攝氏-40度到75度
●重量:1.4公斤●外觀:16.5 x 8 x 14.5公分

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容