技術 | 當防火牆遇上 SD-WAN,“一舉多得” 實現製造業網絡安全

思科聯天下

隨著新一代信息技術在製造業中的應用程度加深,數字化轉型進程加速,企業面臨的網絡安全問題層出不窮,並且牽一發而動全身。

據《數字中國發展報告( 2022 年)》顯示,2022 年,工業互聯網核心產業規模超 1.2 萬億元,同比增長 15.5%。新一代信息技術更迭如潮,IT/OT 正在不斷融合。未來高端製造要向 “工廠即產品,機器製造機器” 的數字化方向發展,IT/OT 必須深度融合。在製造領域數字化轉型中,IT 是關鍵基礎,OT 是業務成果。安全可靠的 IT 連接,才能提升業務的智能性、敏捷性,IT 和 OT 融合才能實現更大的業務價值。

知難不畏難

工信部公開徵求對《工業領域數據安全標準體系建設指南( 2023 版)》的意見中提出:到 2024 年,初步建立工業領域數據安全標準體系;到 2026 年,形成較為完備的工業領域數據安全標準體系,全面落實數據安全相關法律法規和政策制度要求。當前,製造業網絡安全主要面臨三大風險:層次不清晰,隔離不力;系統安全漏洞未知,缺乏風險與威脅情報;訪問控製手段粗放,難以有效控制和管理。企業安全缺少彈性。

思科防火牆包含數百個工業 IPS 規則,具備廣泛的工業協議和通信模式的威脅檢測能力,支持包括 SCADA、DNP3、CIP、Modbus 等 OT 協議。它可以監測和識別與工業控制系統相關的網絡流量,並分析其中的潛在威脅。通過深入理解工業協議和通信模式的細節,特徵庫能夠及時發現和阻止針對工業環境的攻擊行為,保護工業網絡免受惡意活動的侵害。

前不久,思科推出專為極具發展潛力的企業分支機構打造的 Cisco Secure Firewall 3105。與過去的中端平台相比,全新 3105 性能提升高達 500%。通過全新的硬件框架和軟件,全面強化合作夥伴及用戶網絡部署的安全彈性。

Cisco Secure Firewall 3100 是一系列以威脅防護為重點的安全設備,提供卓越的威脅防禦,幫助企業打造安全彈性。每種型號都為多個防火牆使用場景提供出色的性能,吞吐量範圍可以滿足從互聯網邊緣到數據中心和私有云,能夠滿足企業業務發展以及運營規模的增長所產生的安全防護需求。

思科防火牆搭載的是下一代 IPS 引擎 Snort3。過去 20 多年,Snort 已成為衡量所有網絡入侵檢測系統的事實標準。 Snort3 是對久經考驗的網絡安全工具的重大升級,為思科防火牆提供了強大的性能和安全能力優化。功能更強大且更易於使用,同時還降低了系統資源的使用。加持了 Snort3 的思科防火牆為製造業客戶提供更強大、更高效、更具彈性的安全防護能力。

此外,來自思科強大的安全情報團隊 Talos 的加持也使得思科防火牆系列產品具備了更智能、更有針對性的安全防護能力。 Cisco Talos Intelligence Group 是世界上最大的商業威脅情報團隊之一,可以為思科客戶、產品和服務創建準確、快速和可操作的威脅情報,保護客戶免受已知和新出現的威脅,發現常見軟件中的新漏洞,並在威脅進一步危害整個網絡之前攔截它們。 Talos 利用其廣泛的威脅情報為每個客戶打造更安全的網絡基礎設施,極大提高了思科客戶的安全能力建設。

應用見真章

隨著大型製造企業所需的 MPLS 專線的增加,廣域網部署成本也在增加;傳統廣域網可能會受到雲應用性能緩慢的影響而降低傳輸效率;工廠位置分散、設備數量增加使得網絡攻擊面成倍增加……這些網絡難題現如今通過部署集成了 SD-WAN 解決方案的 Cisco Secure Firewall 3105 即可輕鬆解決,實現 “一舉多得”。

首先,Cisco Secure Firewall 3105 集成了先進的威脅檢測和防禦技術,包括防火牆、入侵檢測和防禦系統(IDS/IPS)、虛擬專用網絡(VPN)等,提供了強大的安全性能,可以有效防禦各種網絡威脅。

同時,Cisco Secure Firewall 3105 通過 NGFWv 在公有云上的部署,在虛擬私有云(VPC)和公有云服務提供商(如AWS、Azure)之間,以及分支機構之間實現互聯互通;在分支機構連接互聯網時,企業 IT 能夠對網絡流量進行實時觀察和分析,識別和阻止潛在威脅,保護企業的敏感數據和業務應用。

Cisco Secure Firewall 3105 通過 CPU 與 FPGA 的混合硬件架構來實現性能的大幅提升。新的硬件架構優化了防火牆、加密和威脅檢查的處理能力,直接將七層安全能力性價比提升了 3 倍,在 VPN 加密吞吐性價比方面提升了接近 6 倍。其 10Gbps 的七層吞吐能力和豐富的新功能,非常適合企業網安全邊界接入及 SDWAN 互聯互通組網,以及小型數據中心隔離和策略控制。

Cisco Secure Firewall 3105 智能選路功能通過監測和評估不同連接路徑的性能指標,如延遲、帶寬利用率和丟包率等,來動態地選擇最佳的數據傳輸路徑。它根據實時數據和應用程序需求進行智能決策,確保數據在可靠且高效的網絡通道上傳輸。同時智能選路功能結合了高級的應用識別和流量分析技術,能夠根據應用程序類型和安全組標籤 SGT 對數據流進行分類和處理。這樣,關鍵業務應用可以被優先傳輸,而低優先級的流量則可以被限製或重定向,以充分利用可用的帶寬資源,為企業提供了更大的靈活性和可擴展性。

不止於此,製造企業向雲轉型過程中,越來越依賴 SaaS 和 IaaS 應用程序來進行業務運營。這些應用程序分散在多個地點,由不同人員操作。傳統的廣域網下,這些應用程序運行緩慢且效率低,伴隨著延遲增加,性能差等問題,網絡安全性低,也更容易出錯。 Cisco Secure Firewall 3105 集成了 SD-WAN 解決方案,SD-WAN 可以大大加快 SaaS 和 IaaS 應用程序的多雲訪問速度。它還可以將所有主要公共雲的工作流管理實現自動化。這意味著關鍵的 SaaS 應用程序可以通過 SD-WAN 實時優化智能製造的可見性和可控性。另一個好消息是,思科防火牆很快即將推出支持針對 SaaS 的智能選路功能機。

具備高度集成的管理功能的思科防火牆,簡化了 SD-WAN 網絡的配置和管理。它提供直觀的用戶界面和強大的自動化工具,使管理員能夠輕鬆地管理網絡性能、安全策略和連接狀態。這種集成管理的能力節省了企業的時間和精力,使其能夠專注於核心業務而不必擔心網絡管理的複雜性。

保障網絡安全是 SD-WAN 在製造業中最重要的能力之一。基於雲的應用程序分散在各處,網絡攻擊面增加,很難保護。而 SD-WAN 提供了最佳的威脅保護措施,可以輕鬆管理網絡中的惡意活動和策略違規行為。它還支持企業構建強大的安全訪問服務邊緣(SASE)架構,保護網絡數據訪問,通過將安全和網絡功能融合到單一的雲交付服務中,提高了網絡運行效率和性能。它採用零信任網絡訪問(Zero Trust Network Access),從不默認信任,會為每個訪問請求建立信任,確保只有正確的用戶和設備才可以訪問應用程序和網絡,從而確保一致的數據保護。

思科大中華區副總裁,安全事業部總經理卜憲錄表示:

“ 隨著新技術、新模式新業態不斷湧現,數字環境正在加速改變,製造業企業尤其需要一種簡單而集中的安全平台來管理和保護其不斷擴展和快速演化的 IT 基礎設施。全新 Cisco Secure Firewall 3105 的推出,為思科防火牆產品系列注入 ‘新鮮血液’,將防火牆性能大幅提升,在錯綜複雜的IT環境中給客戶提供簡化的、安全的、一致性體驗,助力製造業企業打造統一的安全防護網,進一步為客戶本地化創新提供更具保障性的支持。”