隔离网关防火墙

隔离网关防火墙

本产品是我公司自主研发一款面向工业OT网络安全的多功能安全路由器/防火墙产品。该产品定位为集防火墙、NAT、VPN、路由、交换于一体的工业级防火墙，适用于SCADA、船舶监控系统、工厂自动化等关键基础设施的网络安全防护场景。

产品具有满足L2交换和L3路由功能，支持DIN导轨安装，满足工业级宽温、宽压、EMC等环境要求，并具备深度包检测（DPI）、入侵检测/防御（IDS/IPS）、虚拟专网（IPSEC等VPN）等高级安全功能。

产品是一款机架式托管工业以太网交换机，具备时延敏感网络（TSN）功能。该设备配备多个100/1000Base-X SFP 光端口及10/100/1000Base-T(X)RJ45电端口，并支持通过与对等设备的自动配置实现端口速率及双工模式协商。

产品是由IEEE 802.1 TSN工作组制定的协议标准。该标准为以太网数据传输定义了时敏机制，通过优先级数据包转发、基于网关控制的线路优化调度机制以及带宽预留技术，确保服务流量性能。这些改进措施为标准以太网提供了确定性和可靠性保障，使关键数据传输能够保持稳定的服务水平。当前支持的TSN基础协议包括IEEE 802.1AS、IEEE 802.1Qbv、IEEE 802.1Qci、802.1CB和802.1Qbu。

产品支持包括IEEE 1588 PTPv2、 ERPS（自愈时间<30毫秒）、 RSTP / MSTP 、VLAN、组播、QoS及SSH在内的全套第二层软件功能。该设备还提供多种管理协议接口，包括命令行界面（CLI）、Telnet和Web界面，并配备基于SNMPv1/v2c/v3的网络管理软件。产品线采用IP40级金属外壳、抗冲击轨道安装结构、极端温度耐受性及卓越电磁兼容性能，确保在严苛工业环境中稳定运行。在工业应用领域，北京维盛新仪作为工业网络技术的下一代演进方案，已广泛应用于自动化系统、汽车车载网络等需要高传输时间稳定性的场景。

技术指标

机械与安装

机械与安装要求
安装方式	DIN导轨安装（35mm标准导轨）；可选壁挂安装套件
外壳材质	全金属外壳（铝合金或冷轧钢板），IP30以上防护等级
尺寸要求	≤ 65 × 140 × 110 mm（宽×高×深），紧凑型导轨式设计
散热方式	被动散热
LED指示灯	PWR1, PWR2, STATE, MASTER, VPN, USB 等状态指示灯，要求清晰可辨

网络接口

网络接口要求
以太网口	8个 10/100/1000BaseT(X) RJ45端口（自适应MDI/MDI-X）
光口	≥ 2个 1G/2.5G SFP插槽（SFP模块独立采购）
DMZ端口	支持用户可配置的DMZ端口
端口灵活配置	每个端口可灵活配置为WAN、LAN或Bridge模式
Console口	RS-232 Console口（USB Type-C接口），115200/n/8/1

电源与供电

电源要求
标准型号	12/24/48 VDC 宽压输入（工作范围 9.6~60 VDC），冗余双路输入
浪涌保护	电源端口 ≥ 2kV，信号端口 ≥ 4kV（符合 IEC 61000-4-5）

I/O接口

I/O接口要求
数字输入（DI）	≥ 1路，+13~+30V为高电平，-30~+3V为低电平，最大输入电流8mA
告警触点（Relay）	≥ 1路，阻性负载 1A @ 24VDC
复位按钮	物理复位按钮（支持恢复出厂设置）
USB接口	≥ 1个USB口，支持配置备份/恢复、固件升级、日志导出

环境与可靠性

环境与可靠性要求
标准工作温度	-10°C ~ +60°C
宽温型号（-T）	-40°C ~ +75°C
存储温度	-40°C ~ +85°C
相对湿度	5% ~ 95%（无凝露）
MTBF	≥ 500,000 小时（依据 Telcordia / Bellcore 标准）
防震	符合 IEC 60068-2-6（振动）、IEC 60068-2-27（冲击）、IEC 60068-2-32（跌落）
三防处理（可选）	PCB板三防涂覆（conformal coating），适用于高湿/腐蚀环境

处理性能

处理性能要求
路由吞吐量	≥ 2Gbps / 350Kpps（基于RFC 2544）
防火墙吞吐量	≥ 2Gbps / 350Kpps（基于RFC 2544）
IPS吞吐量	≥ 2Gbps / 200Kpps（基于RFC 2544）
VPN吞吐量	≥ 800Mbps / 100Kpps（AES-256, SHA-256, 基于RFC 2544）
最大路由表	≥ 4K条路由规则
并发连接数	≥ 400K（基于RFC 3511）
每秒新建连接	≥ 20K（基于RFC 3511）
并发VPN隧道	≥ 20条 IPsec VPN隧道

软件指标

防火墙功能

防火墙功能要求
策略型防火墙	基于策略规则控制不同安全区域之间的流量
状态检测	有状态包检测（SPI），支持路由模式和透明桥接模式
过滤维度	IP地址、MAC地址、端口号、以太网协议、ICMP类型
对象化管理	基于对象的防火墙规则管理（IP/子网对象、服务对象、自定义服务）
DDoS/DoS防护	ARP Flood、SYN Flood、ICMP Flood、FIN Scan、Null Scan、Xmas Scan、NMAP扫描等

深度包检测（DPI）

DPI 支持的工业协议
Modbus TCP/UDP	支持，可检测功能码级别的操作
EtherNet/IP	支持
OPC UA	支持
Siemens S7 Comm.	必须支持（西门子PLC通信协议）
DPI策略	支持白名单/黑名单模式，可对功能码级别进行读写控制
MQTT协议	支持

入侵检测/防御系统（IDS/IPS）

IDS/IPS 功能要求
检测模式	同时支持IDS（检测告警）和IPS（检测并阻断）模式
检测引擎	基于特征（Signature）的模式匹配检测
特征库更新	支持在线和离线特征库更新，更新周期 ≤ 1个月
虚拟补丁	支持Virtual Patching技术，在不停机情况下屏蔽已知漏洞
自定义规则	支持用户自定义IPS规则
许可模式	IPS功能可通过独立许可证（License）激活，支持按年订阅

VPN功能

VPN 功能要求
IPsec VPN	必须支持，站点间（Site-to-Site）和远程接入
L2TP	支持L2TP Server
PPTP	支持PPTP Client（兼容性需求）
加密算法	DES, 3DES, AES-128, AES-192, AES-256
认证算法	MD5, SHA-256
证书	RSA（1024/2048位），X.509 v3数字证书
隧道数量	≥ 250条并发IPsec VPN隧道
WireGuard（建议）	建议支持WireGuard协议，提升远程运维效率（对标竞品优势项）

路由与交换功能

三层路由功能
静态路由	支持
OSPF	支持
RIPv1/v2	支持
组播路由	支持静态组播路由
VRRP	虚拟路由器冗余协议，保障路由级高可用
策略路由（建议）	基于源地址/目的地址/服务的策略路由
二层交换功能
VLAN	IEEE 802.1Q VLAN Tagging，VID 1~4094，最大16个VLAN
IGMP Snooping	IGMP v1/v2/v3，最大256组
STP/RSTP	IEEE 802.1D/802.1w
静态端口聚合	IEEE 802.3ad 静态端口聚合
流控	IEEE 802.3x 流控制

NAT功能

NAT 功能要求
1:1 NAT	支持
N:1 NAT	支持（多对一PAT）
端口转发	支持
NAT Loopback	支持（内网通过公网地址访问内部服务）

3.8 管理与运维

管理与运维功能
Web管理	HTTP/HTTPS Web Console，支持向导式快速配置，支持动态口令等多因素认证登录
CLI管理	支持SSH和Telnet命令行管理
SNMP	SNMPv1/v2c/v3
LLDP	链路层发现协议
NTP/SNTP	支持NTP Server/Client
DDNS	动态DNS
DHCP	DHCP Server / Client
RADIUS（可选）	支持RADIUS认证
TACACS+（可选）	支持TACACS+认证
IEEE 802.1X	端口级网络准入控制
Trust Access Control	可信访问控制
QoS/CoS/ToS	服务质量保障
Syslog	事件日志发送至Syslog服务器
SNMP Trap	告警事件以SNMP Trap方式上报
本地日志存储	支持本地存储及USB导出日志