当防火墙遇上SD-WAN,“一举多得”实现制造业网络安全

随着新一代信息技术在制造业中的应用程度加深,数字化转型进程加速,企业面临的网络安全问题层出不穷,并且牵一发而动全身。

据《数字中国发展报告(2022年)》显示,2022年,工业互联网核心产业规模超1.2万亿元,同比增长15.5%。新一代信息技术更迭如潮,IT/OT正在不断融合。未来高端制造要向“工厂即产品,机器制造机器”的数字化方向发展,IT/OT必须深度融合。在制造领域数字化转型中,IT是关键基础,OT是业务成果。安全可靠的IT连接,才能提升业务的智能性、敏捷性,IT和OT融合才能实现更大的业务价值。

知难不畏难

工信部公开征求对《工业领域数据安全标准体系建设指南(2023版)》的意见中提出:到2024年,初步建立工业领域数据安全标准体系;到2026年,形成较为完备的工业领域数据安全标准体系,全面落实数据安全相关法律法规和政策制度要求。当前,制造业网络安全主要面临三大风险:层次不清晰,隔离不力;系统安全漏洞未知,缺乏风险与威胁情报;访问控制手段粗放,难以有效控制和管理。企业安全缺少弹性。

思科防火墙包含数百个工业IPS规则,具备广泛的工业协议和通信模式的威胁检测能力,支持包括SCADA、DNP3、CIP、Modbus等OT协议。它可以监测和识别与工业控制系统相关的网络流量,并分析其中的潜在威胁。通过深入理解工业协议和通信模式的细节,特征库能够及时发现和阻止针对工业环境的攻击行为,保护工业网络免受恶意活动的侵害。

前不久,思科推出专为极具发展潜力的企业分支机构打造的Cisco Secure Firewall 3105。与过去的中端平台相比,全新3105性能提升高达500%。通过全新的硬件框架和软件,全面强化合作伙伴及用户网络部署的安全弹性。

Cisco Secure Firewall 3100是一系列以威胁防护为重点的安全设备,提供卓越的威胁防御,帮助企业打造安全弹性。每种型号都为多个防火墙使用场景提供出色的性能,吞吐量范围可以满足从互联网边缘到数据中心和私有云,能够满足企业业务发展以及运营规模的增长所产生的安全防护需求。

思科防火墙搭载的是下一代IPS引擎Snort3。过去20多年,Snort已成为衡量所有网络入侵检测系统的事实标准。Snort3是对久经考验的网络安全工具的重大升级,为思科防火墙提供了强大的性能和安全能力优化。功能更强大且更易于使用,同时还降低了系统资源的使用。加持了Snort3的思科防火墙为制造业客户提供更强大、更高效、更具弹性的安全防护能力。

此外,来自思科强大的安全情报团队Talos的加持也使得思科防火墙系列产品具备了更智能、更有针对性的安全防护能力。Cisco Talos Intelligence Group 是世界上最大的商业威胁情报团队之一,可以为思科客户、产品和服务创建准确、快速和可操作的威胁情报,保护客户免受已知和新出现的威胁,发现常见软件中的新漏洞,并在威胁进一步危害整个网络之前拦截它们。Talos利用其广泛的威胁情报为每个客户打造更安全的网络基础设施,极大提高了思科客户的安全能力建设。

应用见真章

随着大型制造企业所需的MPLS专线的增加,广域网部署成本也在增加;传统广域网可能会受到云应用性能缓慢的影响而降低传输效率;工厂位置分散、设备数量增加使得网络攻击面成倍增加……这些网络难题现如今通过部署集成了SD-WAN解决方案的Cisco Secure Firewall 3105即可轻松解决,实现“一举多得”。

首先,Cisco Secure Firewall 3105集成了先进的威胁检测和防御技术,包括防火墙、入侵检测和防御系统(IDS/IPS)、虚拟专用网络(VPN)等,提供了强大的安全性能,可以有效防御各种网络威胁。

同时,Cisco Secure Firewall 3105通过NGFWv在公有云上的部署,在虚拟私有云(VPC)和公有云服务提供商(如AWS、Azure)之间,以及分支机构之间实现互联互通;在分支机构连接互联网时,企业IT能够对网络流量进行实时观察和分析,识别和阻止潜在威胁,保护企业的敏感数据和业务应用。

Cisco Secure Firewall 3105通过CPU与FPGA的混合硬件架构来实现性能的大幅提升。新的硬件架构优化了防火墙、加密和威胁检查的处理能力,直接将七层安全能力性价比提升了3倍,在VPN加密吞吐性价比方面提升了接近6倍。其10Gbps的七层吞吐能力和丰富的新功能,非常适合企业网安全边界接入及SDWAN互联互通组网,以及小型数据中心隔离和策略控制。

Cisco Secure Firewall 3105智能选路功能通过监测和评估不同连接路径的性能指标,如延迟、带宽利用率和丢包率等,来动态地选择最佳的数据传输路径。它根据实时数据和应用程序需求进行智能决策,确保数据在可靠且高效的网络通道上传输。同时智能选路功能结合了高级的应用识别和流量分析技术,能够根据应用程序类型和安全组标签SGT对数据流进行分类和处理。这样,关键业务应用可以被优先传输,而低优先级的流量则可以被限制或重定向,以充分利用可用的带宽资源,为企业提供了更大的灵活性和可扩展性。

不止于此,制造企业向云转型过程中,越来越依赖SaaS和IaaS应用程序来进行业务运营。这些应用程序分散在多个地点,由不同人员操作。传统的广域网下,这些应用程序运行缓慢且效率低,伴随着延迟增加,性能差等问题,网络安全性低,也更容易出错。Cisco Secure Firewall 3105集成了SD-WAN解决方案,SD-WAN可以大大加快SaaS和IaaS应用程序的多云访问速度。它还可以将所有主要公共云的工作流管理实现自动化。这意味着关键的SaaS应用程序可以通过SD-WAN实时优化智能制造的可见性和可控性。另一个好消息是,思科防火墙很快即将推出支持针对SaaS的智能选路功能机。

具备高度集成的管理功能的思科防火墙,简化了SD-WAN网络的配置和管理。它提供直观的用户界面和强大的自动化工具,使管理员能够轻松地管理网络性能、安全策略和连接状态。这种集成管理的能力节省了企业的时间和精力,使其能够专注于核心业务而不必担心网络管理的复杂性。

保障网络安全是SD-WAN在制造业中最重要的能力之一。基于云的应用程序分散在各处,网络攻击面增加,很难保护。而SD-WAN提供了最佳的威胁保护措施,可以轻松管理网络中的恶意活动和策略违规行为。它还支持企业构建强大的安全访问服务边缘(SASE)架构,保护网络数据访问,通过将安全和网络功能融合到单一的云交付服务中,提高了网络运行效率和性能。它采用零信任网络访问(Zero Trust Network Access),从不默认信任,会为每个访问请求建立信任,确保只有正确的用户和设备才可以访问应用程序和网络,从而确保一致的数据保护。

思科大中华区副总裁,安全事业部总经理卜宪录表示:“随着新技术、新模式新业态不断涌现,数字环境正在加速改变,制造业企业尤其需要一种简单而集中的安全平台来管理和保护其不断扩展和快速演化的IT基础设施。全新Cisco Secure Firewall 3105的推出,为思科防火墙产品系列注入‘新鲜血液’,将防火墙性能大幅提升,在错综复杂的IT环境中给客户提供简化的、安全的、一致性体验,助力制造业企业打造统一的安全防护网,进一步为客户本地化创新提供更具保障性的支持。”