TOFINO防火墙内置50几种主流自动化产品制造商的私有通信协议,可实现与各主流自动化产品如Honeywell DCS系统、Yokogawa DCS系统、INVENSYS DCS等系统,OPC SERVER、IP21/PHD/PI等服务器或数据库无扰动接入。与常规防火墙不同的是,Tofino防火墙是基于内置工业通讯协议的防护模式,由于工业通讯协议通常是基于常规TCP/IP在应用层的高级开发,所以TOFINO防火墙不仅是在端口上的防护,更重要的是基于应用层上数据包的深度检查、协议分析,属于新一代工业通讯协议防火墙,为工业通讯提供独特的、工业级的专业隔离防护解决方案。

       TOFINO防火墙具备在线修改组态功能,可以实时对已组态的防火墙策略进行修改,而且不影响工业实时通讯,避免断电、重启等。
       TOFINO防火墙遵循ANSI/ISA-99工业控制系统安全标准设计,属于工业型防火墙,导轨式安装,低功耗无风扇,具备二区防爆认证等。
产品特性
       与传统IT防火墙相比,Tofino的独特特性使其更适合于工业控制系统网络安全防护:
       1、独有的专利安全连接技术
       a)TOFINO防火墙自身是基于非IP的独有专利安全连接技术进行管理,能够阻挡任何欺骗式***。
       b)TOFINO防火墙能够隐藏后端所有设备的IP地址,让***者无法发现目标,更无从谈起发动任何***。
       c)TOFINO防火墙集防火墙与虚拟路由于一身,能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向,可以设定数据流入、流出的单向或双向。
       2、市面上独家满足ANSI/ISA-99和NERC-CIP标准
       根据ANSI/ISA-99 和NERC-CIP标准,TSA可以很方便的针对PLC、DCS、RTU、IED和HMI提供一个性价比很高的安全分区—一个配置得当的保护区域分组。
       3、特有‘测试’模式
       ‘测试’模式可以在对控制系统无任何风险的情况下进行防火墙和×××测试。TEST模式不同于实际的操作模式,在TEST模式中,Tofino允许所有的通讯通过,但是由CMP报告在操作模式下任何可能被拦截的通讯。这一点对于工业或SCADA控制系统的安全操作相当关键,用传统的IT防火墙是不可能实现的。这也是Tofino适合于工业控制系统安全独特性的一个方面。
       4、实时网络通讯透视镜功能
       TOFINO防火墙能够为目前控制系统网络故障分析、监控、记录提供一个简单、有效的可靠工具,能够确切的观察、分析、控制系统网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录,保证控制网络通讯的实时诊断。
       
5、即插即用
       不会对现有控制系统网络有任何的改变,Tofino硬件TSA不用预组态,无需工厂停车就可在线直接插入使用,启动时对过程控制网络是“透明的”,不存在安全顾虑。
       6、冗余电源输入
       为了确保设备供电的可靠性,Tofino™ Argon系列硬件TSA支持冗余电源输入,可以连接两路独立的电源,当主电源发生故障时,立即启用备用电源。
       7、工业设计
       Tofino硬件TSA参照工业外形和增强型工业环境设计,标准的工业模块大小,导轨式安装,低功耗无风扇,具备二区防爆认证。
       8、电气友好性,安装、配置轻松
       无需任何专业培训,任何技术人员都能将Tofino硬件TSA安装到需要保护的控制系统。Tofino硬件TSA被设计成“零配置”安装步骤,安装人员仅需将硬件TSA安装到DIN导轨或者控制器机架上,然后连接电源线和通信电缆即可。无需对硬件TSA或要保护的设备进行IP地址设定或调整。
一旦安装完成,一直到被Tofino组态管理平台CMP管理,硬件TSA都是透明的,所以任何时候都能安装硬件TSA,不会对操作过程有任何影响。用Tofino CMP工作站即可轻易地对硬件TSA进行配置和监测。
       9、对脆弱的控制器进行保护
       控制系统网络上的PLC、DCS、IED和 RTU对现场实时控制来说非常有效,但就控制系统网络连接来说它们都不是很强壮,甚至一般的控制系统网络故障,比如广播和多点发送信息就会使一些设备过载,从而导致控制系统网络受到破坏。 使用Tofino对控制系统进行通讯规则定义变得很简单,比如定义指定控制系统网络设备所允许的指定通讯规则,以及它们使用什么通讯协议,任何不适合已定义规则的通讯将被Tofino硬件TSA自动锁定,同时作为一个安全警报进行报告 。
       
10、提升网络区域划分
       许多控制系统是从简单独立的系统发展成复杂复合网络的,在这些网络中,各个子系统之间未经隔离并且一般都没有保护措施,所以会导致如果一个区域出现问题,很快就会传染到整个控制系统网络。 Tofino TSA是一个理想的控制系统网络安全区域划分解决方案, 它可以不用进行任何改变地安装在已存在的控制系统中在各个分区间形成特有的通讯“管道”。控制工程师可以定义在哪个控制系统网络上允许哪些通讯以及它们使用哪种通讯协议。
       11、避免突发事故和恶意***
       即使没有连接到Internet,控制系统仍然是有风险的。研究表明,大量的控制系统网络安全事故发生在各种各样的进入控制系统网络的次要入口处,例如公司网络、维护时的临时连接、第三方网络(比如合作商和服务商),甚至一些可移动介质如笔记本电脑和U盘等。集成在Tofino 区域安全策略中的安全风险评估措施可以辨别出这些潜在的威胁源及入口和各个分散的点。如果在一个次要入口处的区域内确实发生了***,那么这个***最多就限制在本区域内,而不会扩散到整个控制系统网络上