DCS与SIS系统的接口方案.docVIP

DCS与SIS系统的接口方案

大唐太原第二热电厂六期扩建工程2×300MW空冷供热机组分散控制系统（DCS）投标文件

杭州和利时自动化有限公司 专题五与SIS系统的接口方案

HangzhouHollySysCo.Ltd，第PAGE1页共NUMPAGES5页

发，使之不依赖于硬件产品；同时利用VARIANT数据类型，可以不依存于硬件要求的数据类型。和利时公司DCS产品支持OPC数据接口，有了OPC，与其它厂商的控制系统、与工厂MIS网、ERP系统、PLC之间的数据交换问题迎刃而解，不再需要编制各种特殊的接口程序，减少工程师的维护量，节约投资成本。

本工程SIS通讯站使用DELL的普通PC机，通讯站运行的是通讯站IO服务任务，不需要经常监视。每套SIS通讯站均有3个以太网通讯口等。

完成与全厂信息系统SIS的通讯可如下图所示进行：

硬件防火墙：采用台湾DLINKVPN防火墙－DFL-900

针对黑客攻击的健壮的全状态包检测

DFL-900有许多在一般的网关上没有的安全特性。它能防止你的网络遭受拒绝服务攻击并且能通过全状态包检测来保证网络的可靠性。它能检测黑客攻击并且能过滤想要进入你的网络的入侵包。

DFI-900保护你的网络免受以下攻击：SYNFlood，PingofDeath，Spoof，TearDrop，ICMPflood，UDPflood等等。它能够把这些攻击信息记入日志，并且定位攻击方的源IP地址，而且把攻击报告发给一个特定的email地址，并且建立针对特定IP地址建立数据检测策略。

支持高性能IPSecVPN

DFL-900有内置VPN功能，能为远程办公室提供多个IPSec通道。IPSec采用健壮的加密算法，如DES、3DES，通过IKE/ISAKMP实现自动秘钥管理。DFL-900能为远程用户激活一个VPN通道，通过使用3DES加密算法来传输需要安全性的数据。多个VPN通道能很容易的创建，而不需要配置IKE策略。

接入控制

通过在受保护的内网或外部公用网络来对DFL-900进行管理，从而管理接入。DFL-900为认证用户提供一个关于访问各种服务的内部数据库。它映射公有IP地址到内部网络的信息服务器，以允许公共的接入。你也可以使用强大的URL模式匹配来限制特殊web站点的接入。

预定策略

防火墙策略能被预定，每种策略可以用于不同的时间，只使用一次或重复使用。

硬件加速

DFL-900使用专门设计的ASIC来执行VPN加密和解密。通过硬件加速减轻了CPU的负载。

1个DMZ端口，1个信任的LAN端口

DFL-900有1个10/100BASE-TX自适应端口用来连接内部办公网络，1个物理DMZ（非火区）端口能连接你的Web，mail，FTP服务器，用于来自Internet的访问。DMZ功能是很有用的，因为它能减轻进入你的内部网服务器的数据流量，同时也保护你的办公网络不受来自Internet的攻击。

管理

DFL-900支持从远程终端，内部网络，甚至外部远程站点通过一个安全的SSL连接来进行基于web的管理。DFL-900也能通过RS-232串口进行配置。

关键特性

-带内容过滤的防火墙保护

-支持IPSec加密/解密VPN通道，通过

-更快的基于硬件的VPN加密解密

-最多100个VPN，10,000个并发会话，1000个策略，256个计划

-3个10/100BASE-TX端口：1个WAN,1个LAN,1个DMZ端口

-通过VPN通道的安全系统管理

-VPN通道中的会话带宽控制

-用户认证控制

-带URL/域名限制的预定策略控制

-基于web的管理和通过浏览器的远程控制

-通过浏览器软件升级

全状态包检测（SPI）

-IP地址和端口号

-包数量和字节数量

-序列号和确认号

-时间戳

-有效载荷更改历史

-动态结合

能防护的拒绝服务（DoS）

-SYN溢出

-TCPHijacking

-LAND攻击

-WinNuke/OOBNuke

-ChristmasTreeSYN/FIN

-SYN/FIN（零尺寸DNS区域载荷）

-BACKOffice（UDP31337）

-NetBus

-Smurf

-teardrop

-ICMP溢出

-特洛伊木马

-UDP溢出

-UDP扫描

-ARP攻击

内容过滤

-动态URL过滤

-HTTPURL级别：关键字/全URL*

-HTTP内容级别：URL限制，Java,Javascript,ActiveX,Cookie

-应用代理：POP3,SMTP,FTP

-IP地址分配：静态分配，用于