概览
• 防火墙
• 虚拟专用网 (VPN)
• 虚拟局域网 (VLAN)
• 端口安全
• RADIUS:远程接入认证服务
工业通信是确保公司成功运营的重要因素,必须对网络采取必要的保护措施。西门子作为优秀的合作伙伴,我们的产品包含有安全模块、软件以及各种集成安全功能的组件。这些通信模块除了具有通信功能之外,还可执行诸如防火墙和 VPN 等特殊安全功能。
西门子的集成安全模块包括:
• SCALANCE S 安全模块。例如,带有 DMZ(非军事区)端口的 S623,可在必要时开放一个单独且具有一定限制权限的网络接入点,用于实施技术服务(如,通过因特网进行远程维护)。
• 在因特网或者公司内网,可以利用 SOFTNET 安全客户端软件,访问由 SCALANCE S 或者集成有安全功能的组件保护的自动化单元和计算机。
• 可通过 CP 343-1 Advanced、CP 443-1 Advanced 和 CP 1543-1 通信处理器对 SIMATIC S7-300、S7-400 和 S7-1500 控制器进行保护。这些通信处理器具有防火墙和 VPN(虚拟专用网)功能(在 STEP7 V12 SP1 中对 CP 1543-1 进行组态),可防止未经授权的访问,防止数据窃取和恶意篡改。
• CP 1628 通信处理器则是通过防火墙和 VPN 确保工业计算机的信息安全,而无需对操作系统进行特殊的安全通信设置。采用这种方式,可直接将装配有该模块的计算机连接到受保护的安全单元中。
• SCALANCE M875 UMTS 路由器,用于通过 UMTS 移动网络安全访问各个工厂车间。
防火墙
使用安全模块,根据所定义的安全限制条件,组态相应的防火墙规则,允许或者禁止互连网络间的数据通信。例如,只允许通过一台特定的计算机访问指定控制器。
虚拟专用网 (VPN)
VPN 隧道可以连接两个或两个以上的处于不同网段的网络节点(例如,安全模块)。这种隧道中的数据经过加密之后,即使通过非安全网络(例如,因特网)进行传输,第三方也无法窃听或者篡改。而且,VPN 与 IPSec 技术配用使用时,还可以降低以服务和技术支持为目的临时接入的“外部计算机”的潜在威胁。
虚拟局域网 (VLAN)
虚拟局域网的特点在于,可通过组态将设备分配给一个设备组,而无需考虑设备的物理位置。这样,这些设备组中的设备即可共享一个物理的网络基础设施。结果是,在一个物理网络上存在多个“虚拟网络”,数据通信发生在虚拟局域网之内。
端口安全
采用这种访问控制功能,可以控制各个端口禁止未知节点的数据访问。如果在某个端口启用了访问控制功能,则对于未知 MAC 地址传送来的数据包将立即丢弃,而只接受从已知节点传送的数据包。
RADIUS:远程接入认证服务
RADIUS 的理念是基于远程认证服务器。只有当工业以太网交换机成功通过认证服务器对终端设备登录数据的验证之后,该设备才能访问网络信息。而且终端设备和认证服务器都需要支持 EAP 协议(扩展认证协议)。