工业安全设备 3000 产品手册
这些安全设备专为抵御的工业环境而开发,并考虑了工业设计和操作因素,可提供稳固的端到端安全性。
产品概述
思科® 工业安全设备是真正的工业设备,基于经验证的企业级安全性提供面向 OT 的保护。
ISA 3000 是一个 DIN 导轨安装式加固型设备,具有四个数据链路,可为和的工业环境提供泛的访 问、威胁及应用控制。
ISA 3000 系列秉承了 IE 4000 交换机硬件设计的工业成就,添加了 Cisco ASA 和 SourceFire 软件的经验证的安 全性。ISA 3000 可为您的网络现代化项目提供安全保障。它还在不影响工业生产实践的前提下,提供融合 IT 和 OT 安全的可视性。构建该安全设备是为了抵御环境、反映工业设计,同时符合整体 IT 网络设计、合规性及 性能要求。
对于那些需要使用强化产品的工业以太网的应用情况,ISA 3000 系列是理想选择。具体情况包括公共事业、制造 业、能源和流程控制、智能交通系统 (ITS)、石油和天然气野外现场、城市监控项目和采矿业。由于单个设备能够同 时跟踪可疑文件传播、线圈设定点、异常流量模式及特权升级,因此安全性和可视性达到水平。思科安全网络产品组合的这一工业元素与其他工业级思科解决方案相辅相成,可以让您全面了解本地单元与 IT 世界、外部供应商 或承包商活动之间的交互。
ISA 3000 可通过用户友好的机上系统管理员或公司范围内的安全管理进行管理,提供以工业为中心、开箱即用的配 置及简化的操作可管理性。这些高度可定制的管理选项使本地操作感知得以简化,IT/OT 安全融合得以提高,进而使 工业功能和 IT 功能必然混合。
功能和优势
表 1. Cisco ISA 3000 的功能和优势
功能 | 优势 |
|
| ||
强大的工业设计 | ● 专为恶劣的环境和苛刻的温度范围(-40°C 至 70°C)而构建。 |
|
● 每个 ISA 3000 都具有共形涂层。 |
| |
● 针对振动、冲击、浪涌及电气噪音进行了强化。 |
| |
● 四个 1 千兆以太网上行链路端口提供多个灵活设计选项。(4 个铜质或 2 个铜 |
| |
质/2 个光纤) |
| |
● 符合有关自动化、ITS 和变电站环境的多种行业规范。 |
| |
● 提高工业系统和设备的正常运行时间、性能和安全性。 |
| |
● 紧凑的 DIN 导轨单元设计与工业 LED 功能,使监控更加容易。 |
| |
● 无风扇、对流冷却,无活动部件,耐久性更强。 |
| |
● IEEE 1588v2 PTP(支持电源配置文件和默认配置文件)。 |
| |
● 警报 I/O 用于监控和向外部设备发出信号。(未来版本支持) |
| |
● SD 卡用于配置备份和启动。(未来版本支持) |
| |
| ||
方便易用的 GUI 设备管理器 | ● 设备上的管理功能可使本地感知得到即刻控制。 |
|
| ||
● 多设备管理可同时处理数百台设备。 |
| |
● 用户特定访问和控制定制。 |
| |
功能 | 优势 |
流量连续性/保护 | ● 全“带外遥控”流量绕开铜缆端口。 |
● 默认被动部署学习模式。 | |
● 可进行软件更新而不损失流量。 | |
● 连接限制可以防止 DOS 产生流量。 | |
● 延迟检测和缓解功能。 | |
● 服务质量策略 | |
经验证的、可扩展的访问控制 | ● 执行 ISA-细分需求 |
● 全面状态检测 | |
● 第 2 层和第 3 层防火墙操作模式 | |
● 可下载访问控制列表 | |
● 基于身份的访问控制策略 | |
● 用户/用户组 | |
● 策略型路由 ACL | |
● 扩展 ACL | |
● WebVPN ACL | |
● 动态 ACL | |
● TrustSec ACL | |
不打折扣的威胁检测 | ● 经过第三方测试验证的为的威胁检测 |
● 超过 25,000 个规则,可随时随地提供泛的保护 | |
● 数百个以工业为中心的规则。 | |
● 工业设备利用保护规则 | |
● 协议滥用识别 | |
● 保护基于 Web 的控制系统 | |
● 网络行为分析 | |
● 被动设备发现 | |
应用控制 | ● 所有 DMZ 基础设施的可视性与可控性 |
● 工业应用的可视性与可控性 | |
● 单个协议命令和值的可视性与可控性 | |
远程访问支持/控制 | ● 通过 Cisco AnyConnect 执行网络访问控制 |
● 身份服务引擎支持 | |
● 站点间 VPN | |
● 远程接入 VPN | |
● 无客户端的 SSL VPN 功能 | |
● 思科安全桌面 | |
● 支持 Citrix 和 VMware 无客户端连接 | |
DMZ 基础设施 | ● DNS 服务 |
● DHCP 服务 | |
● AAA 支持 | |
● IP 路由 | |
适合工业环境的理想加固型设备
思科工业安全设备 3000 系列提供:
* 从单元和变电站级一直到 ISP 连接的控制访问。
* 灵活的企业级远程访问。
* 提供 DNS 和 DHCP 等基本网络基础设施服务。
* 从交换机、路由器、操作系统、计算基础设施到工业控制系统,对每一个网络和计算级别提供的威 胁防范。
* 比工业领域中的其他服务提供更多的流量连续性安全级别。
* 为工业和企业领域的每一级应用提供应用可视性与可控性。
图1 为 ISA 3000,表 2 为可用 ISA 3000 订购 PID,表 3 列出了思科工业安全设备 3000 系列的 SFP 模块。
图1. ISA 3000
表 2. 思科工业安全设备 3000 系列型号和选项:
产品编号 | 铜质 10/100/1000(均支持旁路) | SFP 光纤端口 | |
ISA3000-4C-K9 | 4 | 0 | |
ISA3000-2C2F-K9 | 2 | 2 | |
可选订货功能 | |||
L-ISA3000SEC+-K9 | 支持高可用性,SSL VPN,更多连接数量,VLAN 中继 | ||
表 3. 支持思科加固型 SFP
产品编号 | 类型 |
GLC-SX-MM-RGD= | 1000 BASE-SX 加固型 |
GLC-LX-SM-RGD= | 1000 BASE-LX/LH 加固型 |
GLC-FE-100FX-RGD= | 100 BASE-FX 加固型 |
GLC-FE-100LX-RGD= | 100 BASE-LX 加固型 |
产品规格
表 4 为物理规格,表 5 提供设备性能和可扩展性的相关信息,
表 6 和表 7 为一些重要的软件功能,
表 8 为合规性说明,表 9 为 Cisco ISA 3000 系列管理和标准的相关信息。
表 4. 物理产品规格
说明 | 规格 | |
硬件 | ● 4 核 Intel Rangely(工业临时) | |
● 8 GB DRAM(焊入式) | ||
● 16 GB 板载闪存 | ||
● mSATA 64Gb | ||
● 1 GB 可移动 SD 闪存卡 - 工业临时(未来版本支持) | ||
● 控制台采用 Mini-USB 连接器 | ||
● RJ-45 传统控制台连接器 | ||
● 专用 10/100/1000 管理端口 | ||
● 基于硬件的防伪、防篡改芯片 | ||
● 恢复出厂设置选项 | ||
警报 | ● 警报 I/O:四个警报输入,用于检测干接点为打开或关闭,一个 Form | |
C 警报输出继电器(未来版本支持) | ||
尺寸,(高 x 宽 x 深) | ● 11.2cm(宽)x 13cm(高)x 16cm(深) | |
重量 | ● 1.9kg | |
电源和范围 | ● 双重内部直流 | |
● 标称 ± 12Vdc、24Vdc 或 48Vdc | ||
● 范围 9.6 Vdc 到 60 Vdc | ||
● 功耗 24 瓦 | ||
MTBF - 平均故障间隔时间 | ● ISA-3000-4C | 398,130 小时 |
● ISA-3000-2C2F | 376,580 小时 | |
表 5. 设备的可扩展性
说明 | 规格 |
吞吐量 | 2Gbps - 最小 22Mbps |
因流量类型和安全活动不同而异 | |
(请联系思科 SE 获得您的流量配置文件) | |
IPSec VPN 隧道 | 5,25(有 SecPlus 许可) |
定义的接口 | 200,400(有 SecPlus 许可) |
VLAN 数量 | 5,25(有 SecPlus 许可) |
IPv4 MAC 安全性 ACE | 1,000,采用默认 TCAM 模板 |
NAT 转换 | 双向,128 个子网 NAT 转换条目;如果设计正确,可以扩展到数万个转 |
换的条目 | |
表 6. Cisco ISA 3000 主要网络支持功能
LAN 基准许可证(默认) | 功能 |
NAT | ● 静态 NAT |
端口转换、一对多、非标准端口 | |
● 动态 NAT | |
● 动态 PAT | |
● 身份标识 NAT | |
第 2 层 IPv6 | IPv6 主机支持、基于 IPv6 的 HTTP、基于 IPv6 的 SNMP |
第 3 层路由 | IPv4 静态路由 |
实用程序 | IEEE 1588 v2 PTP 电源配置文件 |
分开管理流量的路由 | 分开数据和管理流量的路由 |
中继 | 支持 802.1q 中继 |
表 7. Cisco ISA 3000 主要安全软件功能
SecurityArea | 功能 |
TrustSec 控制 | ● 带内和带外身份标识 |
● Active Directory 集成 | |
● 基于策略的安全组标签 | |
● 802.1x 支持 | |
● MACSec 和 MAB 支持 | |
● 执行端点安全状态进行远程访问 | |
多级访问控制 | ● 全局黑名单 - 自动或手动 |
● 全局白名单 | |
● 第三方智能馈送利用率 | |
● 文件白名单 | |
● 文件黑名单 | |
● 应用级访问控制 | |
● 802.1x 支持 | |
威胁网络映射 | ● 被动设备标识 |
● 移动设备标识 | |
● 应用主机网络映射 | |
● 漏洞/主机网络映射 | |
● 用户/主机网络映射 | |
威胁发现 | ● 危害表现跟踪 |
● OpenAppID - 开放式社区 ID 系统 | |
● 相关政策和响应 | |
● 流量差异检测 | |
● 基于路由器的补救操作 | |
● Netflow 跟踪 | |
● 25,000+ 威胁标识符 | |
● 可自定义的标识符 | |
● 可创建全新的标识符 | |
● 提供最宽泛的标识符 | |
文件跟踪 | ● 获批的文件跟踪 |
● 可疑文件跟踪 | |
● 恶意软件匹配 | |
表 8. | 合规性说明 | |
类型 | 标准 | |
电磁辐射 | FCC 47 CFR,第 15 部分,A 类 | |
EN 55022A A 类 | ||
VCCI A 类 | ||
AS/NZS CISPR 22 A 类 | ||
CISPR 11 A 类 | ||
CISPR 22 A 类 | ||
ICES 003 A 类 | ||
CNS13438 A 类 | ||
KN22 | ||
: