上海立年信息科技有限公司
Fortinet工控网络安全隔离方案之防火墙与交换机“双搭”详解
来源: | 作者:上海立年 | 发布时间: 2023-12-13 | 729 次浏览 | 分享到:
在Fortinet的产品家族中,后缀以Rugged结尾属于工控设备,例如FortiGate Rugged 与 FortiSwitch Rugged,以及FortiAP Rugged。

在Fortinet的产品家族中,后缀以Rugged结尾属于工控设备,例如FortiGate Rugged 与 FortiSwitch Rugged,以及FortiAP Rugged。

FortiGate Rugged工控防火墙

FortiGate Rugged版的型号有FortiGate-60F与FortiGate-70F,及其支持3G/4G的FortiGate-60F-3G4G与70F-3G4G。

ortiGate Rugged 70F/70F-3G4G 以及FortiGate Rugged 60F-3G4G /60F

 

从硬件设计来讲Rugged版FortiGate符合工业合规与认证需求,包括电力工业IEC61850-3、EMC 电磁兼容性EN55032:2015 以及合规FCC Part 15 Class A等;确保符合严苛的工业环境运行要求。

 

除了加载Fortinet专利ASIC芯片SPU5兼具网络与安全处理速度外;Rugged系列防火墙还具有专属的可信平台模块 (TPM:Trusted Platform Module),可通过生成、存储和验证密码密钥来强化物理网络设备的安全,基于硬件的安全机制可防止U盘等携带恶意软件和网络钓鱼攻击。

在软件方面,Rugged系列防火墙FortiGate具有常规FortiOS的全部特性,例如NGFW、SD-WAN、ZTNA代理、集成SoC/NoC高级工具等;除了这些功能特点以外,还适用于50多种类OT应用程序与协议的DPI数据包检测以及基于OT网络的IPS应用虚拟补丁与漏洞阻断,最大限度的适容工控网络及降低工控风险。

FortiGate支持的工控协议,访问https://www.fortiguard.com/services/is 获取更多最新的支持协议信息

 

FortiSwitch Rugged工控交换机

FortiSwitch-Rugged 112D-PoE与FortiSwitch-424F-PoE系列是适用于恶劣工业环境的 DIN 导轨和机架式加固网络交换机,具备IP30与IP40标准防护等级。无风扇设计,支持DIN导轨和机架式安装,支持PoE供电、特定型号支持PoE++微摄像机传感器及无线接入点等设备提供和管理电源


FortiSwitch-112D-PoE与FortiSwitch-424F-PoE

FortiLink协议

Fortinet专有协议融合网络与安全,更懂工控网络的微隔离

FortiLink 是Fortinet专有的管理协议,使FortiGate无缝管理任意FortiSwitch。FortiLink 协议允许用户将 FortiSwitch作为FortiGate 的一个逻辑延伸。FortiSwitch支持FortiLink协议,与FortiGate协同部署,可实现FortiSwitch交换机的自发现的零接触部署、集中式策略管理,并提供基本的网络访问控制(NAC)功能。相较多个单点产品部署,以FortiGate 防火墙为中心加交换的高度集成部署,更全面的威胁防护的同时拥有更低的成本优势。

通过FortiLink协议FortiSwitch与FortiGate深度集成

FortiSwtich 支持适合ICS/OT工控网络的网络协议

MRP协议:让工控网络具有弹性

为了适应ICS/OT 网络的弹性且不间断的服务,提高网络可用性,在 ICS 内实施了冗余环网。基于此环网需要健壮且容错的网络冗余协议来最大限度地缩短恢复时间,并为处理控制网络 PCN(PCN:process control network / 工业控制系统 (ICS) 领域内的通信网络称为过程控制网络 (PCN)) 提供在完全或部分网络故障时更快恢复能力。国际标准 IEC 62439 指定了用于在工业和自动化网络中实施和维护高可用性的网络协议。为了满足 ICS/OT 网络的高可用性和弹性要求,FortiSwitch Rugged 系列交换机支持 IEC 62439-2介质冗余协议 (MRP:Media Redundancy Protocol) 和基于 MRP 的环网实施。

基于FortiSwitch Rugged MRP的环网

 

SPAN和 RSPAN 交换接口及远程交换接口分析技术:让工控网络更易管控

ICS/OT 网络资产所有者和运营商经常部署被动工业网络异常检测解决方案(也称为工业入侵检测系统 (IDS)),被动接收 PCN 流量、对其进行分析,并提供网络资产和漏洞的可见性。工业 IDS 解决方案使用依赖于网络交换机的“传感器”或“探针”来捕获网络流量,然后将其发送到中央服务器(也称为控制台)以进行关联、分析、可视化和报告目的。

FortiSwitch支持SPAN(交换接口分析switched port analyzer和RSPAN(Remote Switched Port Analyzer 远程交换接口分析) 技术,Fortinet 合作伙伴工业 IDS 解决方案(如 Nozomi 、Claroty等)可以与 ICS/OT 网络中的 FortiSwitch 协同工作。

为了降低实施 ICS 被动网络监控解决方案的总体成本,可以使用远程交换端口分析 (RSPAN) 和虚拟可扩展 LAN (VXLAN) 技术。RSPAN 是一种第 2 层技术,它通过将网络捕获结合到中央网络交换机来减少网络捕获点(也称为网络分路器)的数量和网络布线要求。中央交换机无需将物理网络电缆连接到每个网络捕获点,而是可以使用 RSPAN 远程捕获 LAN 内的网络流量。另一方面,VXLAN 是一种第 3 层技术,可以帮助通过第 3 层网络将来自各个第 2 层网段的网络捕获直接传输到单个中央工业 IDS 传感器。这消除了从多个网段捕获网络流量所需的多个网络捕获点和多个工业 IDS 传感器的需要。FortiGate NGFW 支持 VXLAN 技术。

以上是FortiSwitch针对工业互联网场景的比较显著的特点与优势。