Tofino防火墙的LSM

完全掌控您的工业通讯网络交通 绝大多数的控制网络在不同的子系统之间很少甚至没有隔离功能。如果网络中的一部分设备因配置错误，硬件故障，或病毒 的原因发生问题，它可以在几秒钟内传播到整个网络，造成你的整个工厂停车。如果您的网络连接没有安全保护措施，即使是冗余的系统也可能会发生主用和备用设备同时故障的情况。 Tofino防火墙的LSM （Loadable Security Module）如同是工业网络交通警察，它可以检查出所有有悖于您的控制网络工程师所定义的网络安全规则的通讯内容。所有的违反网络安全规则的名单都将被封锁，Tofino防火墙将对所有非法的通讯内容都进行封锁并提供报告和记录。编辑安全规则时使用的都是控制领域人们所熟悉的术语和概念，而且，独特的“Tofino测试模式”可以让您在没有任何风险的环境下对您的网络进行安全规则的测试。 节约成本措施：? 在遵守安全原则和安全标准 前提下对实施过程进行简化? 减少停机时间和降低生产损失 ? 更低的培训费用和人员费用 ? 提高系统可靠性和稳定性特有功能：? 由您的控制团队来定义通讯安全规则，比如指定哪些设备可以使用什么通信协议进行通讯等? 规则的定义很简单，使用图形化的拖放编辑器就可实现? 与安全规则相悖的通讯内容会自动被屏蔽并提供报告? 预先定义超过50个IT及工业通信协议? 预先定义超过25个控制器类型? 预先定义“特殊规则”用于高级过滤和攻击保护 典型应用：? 将关键设备从安全威胁来源端隔离? 将各层控制网络配置到独立的安全区域，隔离保护各层网络之间的通讯? 通过修复已知的协议漏洞来保护控制器? 特点及规格

可同时保护多台设备

通过独特的引导和授权设定为每个客户端/服务器建立连接方式实现对主从设备的支持

过滤原则

默认为拒绝：任何不被允许的通讯内容都将被隔离并发出报告

状态追踪

状态封包检测（SPI）

用户可设置的选项

基于IP协议：? 源设备：可以设定为指定的IP地址、网络或“任何设备（any）” ? 目标设备：可以设定为指定的IP地址、网络、广播、组播或“任何设备（any）” ? 应用协议：任意的单一、系列和（或）端口范围等的组合方向性：输入，传出，双向? 基于IP和非IP协议皆可? 权限：允许，拒绝，允许/有日志，拒绝/无日志

传输协议

支持TCP, UDP 和 其它非IP 协议

配置方式

使用Tofino中央管理平台（CMP） 可以便捷的进行配置

操作模式

支持所有标准Tofino模式：? 被动模式：允许所有通讯且没有报警? 测试模式：允许所有的通讯并为每个用户的安全规则生成报警? 操作模式：过滤通讯内容并为每个用户的安全规则生成报警

安全警报

通过Tofino Exception Heartbeats功能在CMP上报告被隔离的通讯

认证

MUSIC 2009-1 安全认证 (基础层) ? 通过Modbus –IDA 认证

系统需求

Tofino安全设备（TSA) ? Tofino中央管理平台（CMP）