产品综述

Tofino工业防火墙产品构成

Tofino工业防火墙产品构成详解

Tofino实现的目标

Tofino防火墙的应用范围

Tofino防火墙具有的独特优势(传统防火墙特点 Tofino防火墙的专有特点)

Tofino在中国

产品综述

Tofino，中文名译为“多芬诺”。Tofino安全公司是世界领先的工业安全产品制造商，Tofino工业安全解决方案，是一个由独特的硬件和软件搭建的安全平台，保护工业控制系统及网络不会遭到攻击与破坏。比较著名的产品是Tofino工业防火墙，该产品已经在石油和天然气，核电厂，冶金，化工，水厂，医药，公用事业等行业应用，同时其部分产品为Honeywell、MTL、Invensys-Triconex等国际知名制造商OEM生产。

TOFINO 一款针对工业网络设计的防火墙

Tofino工业防火墙产品构成

1、Tofino(TM) Security Appliance (TSA)

多芬诺(TM)安全设备模块 (TSA)

2、Tofino(TM) Loadable Security Modules (LSM)多芬诺(TM)可装载安全软插件 (LSM)

3、Tofino(TM) Central Management Platform (CMP)

组态软件-中央管理平台(CMP)

Tofino工业防火墙产品构成详解

1、Tofino安全模块（TSA）——硬件设计遵循增强型工业环境要求，应用于受保护的区域或控制器等关键设备之前，设计使用寿命27年。

TSA-220

硬件规格：

外形类似普通的I / O模块和隔离器

温度0°C 到 60°C

双电源输入12-60VDC

继电器开关输出

铜和/或光纤网络接口

MUSIC 安全认证

TSA-100

硬件规格：

外形类似普通的I / O模块和隔离器

温度-40°C到+70°C

双电源输入

故障继电器输出报价

二区保护, 具备FM和ATEX认证

MUSIC 安全认证

2、中央管理平台（CMP）：

集中组态,管理和监测所有Tofino安全设备模块(TSA)及所在网络，操作简单。

网络地图可拖放模块、通讯协议等来制定你的网络规则。

组态软件界面

中央管理平台（CMP）： 操作简单

3、 Tofino(TM)可装载安全软插件(LSM):

LSM 是软件插件，提供诸如安全服务：

Firewall防火墙

Secure Asset Management资产管理

OPC Enforcer OPC通讯安全插件

Modbus TCP Enforcer Modbus通讯安全插件

Event& Log 事件报警记录

VPN

每个LSM插件是可下载到多芬诺(TM) 安全设备模块(TSA)里，使它能够提供可定制的安全功能，这取决

于控制系统的要求。

Tofino实现的目标

区域隔离：Tofino工业防火墙插件能够过滤两个区域网络间的通信。 这样意味着网络故障会被控制在最初

发生的区域内，而不会影响到其它部分；

深度检查：面向应用层对特有的工业通讯协议进行内容深度检查，告别病毒库升级缺陷；

通信管控：通信规则是可以通过中央管理平台进行在线组态和测试的；

实时报警：所有部署的防火墙都能由中央管理平台统一进行实时监控，任何非法的（没有被组态允许的）访

问，都会在中央管理平台产生实时报警信息，从而故障问题会在原始发生区域被迅速的发现和解

决。

Tofino防火墙的应用范围

1、对脆弱的控制器进行保护（Controller）

控制网络上的PLC, DCS, ESD和 RTU对现场实时控制来说非常有效，但就网络连接来说它们都不是很强

壮，甚至一般的网络攻击，比如广播和多点发送信息就会使一些设备过载而导致受到破坏。

2、提升网络区域划分（OPC Communication）

许多控制系统是从简单独立的系统发展成复杂复合网络的，在这些网络中，各个子系统之间未经隔离并

且一般都没有保护措施，所以会导致如果一个区域出现问题，很快就会传染到整个网络.

3、避免突发事故和恶意入侵（Eng&APC Stations）

即使没有连接到Internet，您的控制系统仍然是有风险的。研究表明，大量的网络安全事故发生在各种各

样的进入网络的次要入口处，例如公司网络、维护时的临时连接、第三方网络（比如合作商和服务

商），甚至一些可移动介质如笔记本电脑和U盘等。

4、Tofino防火墙的应用范围涵盖：

工程师站隔离

APC防护

ESD防护

Modbus防护

控制器防护

控制网与信息网隔离（OPC DA/HAD/A&E）

SCADA 防护

MES网络防护

Tofino防火墙具有的独特优势

与传统防火墙相比，Tofino防火墙具有的独特优势：

传统防火墙特点

传统防火墙分3类：包过滤防火墙，状态检测防火墙，应用代理防火墙。

1、包过滤防火墙：

工作原理:

根据已经定义好的过滤规则来审查每个数据报，并确定该数据报是否与过滤规则匹配，从而绝地的那个数据报是否能通过。

工作在网际层 、传输层

缺点：

包过滤技术主要依据是在IP报头中的各种信息，但IP包中信息的可靠性没有保证，IP源地址可以伪造，

通过内部合谋，入侵者轻易就可以绕过防火墙。

并非所有的服务都与静态端口绑定，包过滤只能够过滤IP地址，所以不能识别相同IP地址下不同的用

户，从而不具备身份认证的功能。

工作在网际层和传输层，不能检测那些对高层进行的攻击

如果为了提高安全性而是用很复杂的过滤规则，那么效率就会大大降低

对每一个数据报单独处理不具备防御Dos攻击和DDos攻击的能力

2、状态检测防火墙（SPI 动态包过滤 自适应防火墙）

工作原理:

在基本包过滤的基础上增加了状态检测的功能，它记录和跟踪所有进出数据报的信息，对连接的状态进行动态维护和分析，一旦发现异常的流量或异常连接，就动态生成过滤规则。

工作在 网际层 传输层

缺点：

不能对应用层数据进行控制，不能记录高层次的日志。

3、应用代理防火墙

工作原理:

基于软件实现，包含3个模块，客户代理模块，服务器代理模块，过滤模块。客户代理模块负责处理客户访问请求，由过滤模块分析和决定是否接受请求

工作在 应用层

缺点：

工作效率低，对不同的应用层服务都可能需要定制不同的应用代理防火墙软件，缺乏灵活性，不易扩展，目前常规应用代理防火墙仅限于HTTP、FTP、 SMTP通讯协议，没有针对工业通讯协议的应用。

Tofino防火墙的专有特点

1、 工业型防火墙：

(1)内置50多种专有工业通信协议，与常规防火墙不同的是，Tofino防火墙是基于内置工业通讯协议的防护模式，由于工业通讯协议通常是基于常规TCP/IP在应用层的高级开发所以该防火墙不仅是在端口上的防护，更重要的是基于应用层上数据包深度检查，属于新一代工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。

(2)具备在线修改防火墙组态功能，可以实时对组态的防火墙策略进行修改，而且不影响工业实时通讯。其它防火墙需要断电、重启等。

(3)工业型设计，导轨式安装，低功耗无风扇，具备二区防爆认证。

2、 独有专利安全连接技术：

(1) 首先防火墙自身是基于非IP的独有专利安全连接技术进行管理，能够阻挡任何欺骗式攻击。

(2) 能够隐藏防火墙后端所有设备的IP地址，让入侵者无法发现目标，更无从谈发动任何攻击。

(3) 集防火墙与虚拟路由于一身，能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向，可以设定数据流入、流出的单向或双向。

3、实时网络通讯透视镜：

能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。

Tofino在中国

目前在中国，Tofino工业防火墙做的比较好的公司是青岛海天炜业自动化控制系统有限公司，该公司拥有多年的工业网络安全安装及维护经验，并与来自加拿大的全球首个工业控制网安全专家Byres Security Inc.结成合作伙伴，以独特的设计理念、先进的制造技术以及卓越的产品性能为工业控制网通讯安全提供了可靠保障。目前在国内已有多个成功的项目，先后为中国石化、中国石油、中国海油、甘肃酒泉钢铁、南通电厂等国内多家大型石油石化、钢铁、发电、冶金，化工，水厂，医药，公用事业等企业提供Tofino工业防火墙工业网络安全服务，并受到用户的一致好评。