概覽
• 防火墻
• 虛擬專用網(wǎng) (VPN)
• 虛擬局域網(wǎng) (VLAN)
• 端口安全
• RADIUS:遠(yuǎn)程接入認(rèn)證服務(wù)
工業(yè)通信是確保公司成功運(yùn)營(yíng)的重要因素,必須對(duì)網(wǎng)絡(luò)采取必要的保護(hù)措施��。西門子作為優(yōu)秀的合作伙伴,我們的產(chǎn)品包含有安全模塊、軟件以及各種集成安全功能的組件。這些通信模塊除了具有通信功能之外�,還可執(zhí)行諸如防火墻和 VPN 等特殊安全功能���。
西門子的集成安全模塊包括:
• SCALANCE S 安全模塊����。例如,帶有 DMZ(非軍事區(qū))端口的 S623����,可在必要時(shí)開放一個(gè)單獨(dú)且具有一定限制權(quán)限的網(wǎng)絡(luò)接入點(diǎn),用于實(shí)施技術(shù)服務(wù)(如�����,通過因特網(wǎng)進(jìn)行遠(yuǎn)程維護(hù))�����。
• 在因特網(wǎng)或者公司內(nèi)網(wǎng)���,可以利用 SOFTNET 安全客戶端軟件���,訪問由 SCALANCE S 或者集成有安全功能的組件保護(hù)的自動(dòng)化單元和計(jì)算機(jī)�����。
• 可通過 CP 343-1 Advanced����、CP 443-1 Advanced 和 CP 1543-1 通信處理器對(duì) SIMATIC S7-300���、S7-400 和 S7-1500 控制器進(jìn)行保護(hù)。這些通信處理器具有防火墻和 VPN(虛擬專用網(wǎng))功能(在 STEP7 V12 SP1 中對(duì) CP 1543-1 進(jìn)行組態(tài))�,可防止未經(jīng)授權(quán)的訪問,防止數(shù)據(jù)竊取和惡意篡改�����。
• CP 1628 通信處理器則是通過防火墻和 VPN 確保工業(yè)計(jì)算機(jī)的信息安全�,而無需對(duì)操作系統(tǒng)進(jìn)行特殊的安全通信設(shè)置。采用這種方式�,可直接將裝配有該模塊的計(jì)算機(jī)連接到受保護(hù)的安全單元中。
• SCALANCE M875 UMTS 路由器�����,用于通過 UMTS 移動(dòng)網(wǎng)絡(luò)安全訪問各個(gè)工廠車間���。
防火墻
使用安全模塊��,根據(jù)所定義的安全限制條件��,組態(tài)相應(yīng)的防火墻規(guī)則��,允許或者禁止互連網(wǎng)絡(luò)間的數(shù)據(jù)通信��。例如���,只允許通過一臺(tái)特定的計(jì)算機(jī)訪問指定控制器���。
虛擬專用網(wǎng) (VPN)
VPN 隧道可以連接兩個(gè)或兩個(gè)以上的處于不同網(wǎng)段的網(wǎng)絡(luò)節(jié)點(diǎn)(例如,安全模塊)��。這種隧道中的數(shù)據(jù)經(jīng)過加密之后����,即使通過非安全網(wǎng)絡(luò)(例如,因特網(wǎng))進(jìn)行傳輸����,第三方也無法竊聽或者篡改。而且��,VPN 與 IPSec 技術(shù)配用使用時(shí)���,還可以降低以服務(wù)和技術(shù)支持為目的臨時(shí)接入的“外部計(jì)算機(jī)”的潛在威脅���。
虛擬局域網(wǎng) (VLAN)
虛擬局域網(wǎng)的特點(diǎn)在于,可通過組態(tài)將設(shè)備分配給一個(gè)設(shè)備組�����,而無需考慮設(shè)備的物理位置����。這樣,這些設(shè)備組中的設(shè)備即可共享一個(gè)物理的網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����。結(jié)果是��,在一個(gè)物理網(wǎng)絡(luò)上存在多個(gè)“虛擬網(wǎng)絡(luò)”�,數(shù)據(jù)通信發(fā)生在虛擬局域網(wǎng)之內(nèi)。
端口安全
采用這種訪問控制功能�����,可以控制各個(gè)端口禁止未知節(jié)點(diǎn)的數(shù)據(jù)訪問�����。如果在某個(gè)端口啟用了訪問控制功能,則對(duì)于未知 MAC 地址傳送來的數(shù)據(jù)包將立即丟棄�����,而只接受從已知節(jié)點(diǎn)傳送的數(shù)據(jù)包�。
RADIUS:遠(yuǎn)程接入認(rèn)證服務(wù)
RADIUS 的理念是基于遠(yuǎn)程認(rèn)證服務(wù)器。只有當(dāng)工業(yè)以太網(wǎng)交換機(jī)成功通過認(rèn)證服務(wù)器對(duì)終端設(shè)備登錄數(shù)據(jù)的驗(yàn)證之后��,該設(shè)備才能訪問網(wǎng)絡(luò)信息���。而且終端設(shè)備和認(rèn)證服務(wù)器都需要支持 EAP 協(xié)議(擴(kuò)展認(rèn)證協(xié)議)�。
