OPSWAT- NetWall USG / Netwall BSG

针对实体隔离网路之安全资料传输闸道器

当您的网路环境存在两个隔离网路/实体隔离网路，但又有资料传送的需求时，以往要落实政策只能透过可携式储存，人工手动的方式来两个网路交换资料。OPSWAT的Netwall隔离闸道器可以满足您的自动化、零信任资料传输需求。

Netwall隔离闸道器系列，具备两个版本 USG(单向传输) & BSG (双向传输):

• NetWall USG (Unidirectional Security Gateway)/单向传输
  能够确保单向的资料流，提供即时OT资料的转送，避免反向连结造成隔离网路的穿透感染，并可防止资料的遗失与重传。
• NetWall BSG (Bilateral Security Gateway)/双向传输
  提供特定协定的双向传输与回应需求，提供即时OT资料的存取，不会将具有威胁的资料导入OT网路，并防止资料的遗失与重传。

OPSWAT NetWall 隔离闸道方案，可以与OPSWAT MetaDefender Kiosk和Vault紧密结合，使用安全、分段且单向的资料路径，达到真正的通讯协定中断、无路由传送(Non-routable)的连线，保证不会遗失资料。:

重点优势：

• 容易部署且操作简易：预先配置好的平台能快速、紧密地进行部署，经过一次性初步设定后的几分钟内即可使用，无需防火墙的审核与配置。
• 无反向连结路径：确保单向资料流是由成对的NetWall USG/BSG伺服器之间非联网的串行连线所达成。
• 资料传输确保：在资料乘载的过程中，绝对不会遗失资料。
• 防止超载运转(Anti-Overrun)：能控制资料防止溢出、重传与同步的问题，
• 可扩充性高：共有50Mbit、100Mbit、1Gbit、10Gbit等输出量可供选择。
• 符合法规遵循：符合OT工业网路的相关安全标准规定。

不需改变既有的工作流程：对使用者来说具有透明度，高拟真的资料复制方式，不需要改变使用者的手动介入，达成自动化。

OPSWAT Netwall 与传统透过防火墙、路由器ACL的差别

传统网路的区隔，可能会透过布署网路防火墙(Firewall)、透过路由器(Router)，切网段与设定ACL或 VLANs。然而事实证明，即使透过防火墙设置，攻击者仍然有很多方式得以穿透，而OPSWAT Netwall的隔离方法，才是真正的实体隔离的实现。请参考下表的比较:

坊间以往也有所谓的Data Diode (资料半导体)硬体设备，来满足单向传输需求，下表是差异比较:

OPSWAT Netwall 支援的OT工控与IT常用协定

OPSWAT NetWall单向闸道支援广泛的 OT和 IT 通讯协定及资料复制。应用程式和通讯协定支援说明如下:

工业历史(Historian)资料库复制(仅 BSG 双向型号支援)

▪ GE Proficy Historian

▪ Aspentech IP21

▪ OSIsoft PI

▪ CanaryLab Historian

▪ 加上其它的工业Historian历史纪录资料库

IT 通讯协定

▪ UDP, TCP, HTTP, HTTP

▪ 视讯/音讯串流传输

工业通讯协定

▪ Modbus

▪ OPC (UA, DA, A&E)

▪ MQTT-SN

IT 监控应用程式

▪ Log Transfer, SNMP Traps, SYSLOG

▪ 经由 SYSLOG 的 SIEM 整合

▪ GE OSM

关联式资料库 (Relational Database) 复制 (仅 BSG 双向型号支援)

▪ Microsoft SQL

▪ Oracle Golden Gate

▪ 加上其它的关联式资料库

档案/资料夹传输

▪ FTP、资料夹和档案传输/复制

▪ Windows 档案共享、伺服器讯息区块 (SMB)、网路档案分享系统 (CIFS)

▪ 防毒更新、修补程式更新 (Windows Server Update Service/WSUS)

USG(纯单向) vs BSG (可双向) 两种版本支援协定比较: