居安思危防范未然工業信息安全產品功能概述

陳智勇SCALANCES602SCALANCES602SCALANCES內部網段中的所有網絡節點都受到其防火墻保護?！?/p>

路由器模式通過將SCALANCES用作路由器，可以將內部網絡與外部網絡分離。這樣，通過SCALANCES連接的內部網絡將成為單獨的子網；必須使用SCALANCES的IP地址將其明確編址為路由器。●

設備和網段的保護防火墻保護功能可應用于單個設備、多個設備或整個網段的運行。NTP（安全）

用于安全的時鐘同步和傳輸。SCALANCES62XSNMPv3用于安全傳送網絡分析信息，使其免受竊聽?！?/p>

路由器模式通過將SCALANCES用作路由器，將內部網絡與外部網絡進行連接。因此，通過SCALANCES連接的內部網絡會成為單獨的子網。

附加DMZ接口(S62X)在非保護區(DMZ)中可放置服務器，用于訪問其它可控制或可限制的網絡（非安全外部網絡、安全內部網絡）。這意味著即使兩個網絡間未直接進行通信，也可以安全地使用服務和數據。SCALANCES62X使用RADIUS服務器進行用戶驗證

在RADIUS服務器上可集中存儲用戶名、密碼和用戶角色。然后，通過RADIUS服務器對這些用戶進行驗證。DMZ在典型的DMZ應用程序中，用戶應組態防火墻規則集，以便能從Internet對DMZ中的服務器進行（外部）訪問（還可以由VPN隧道提供進一步的保護），但不能對安全區域中的設備進行（內部）訪問。SCALANCES62XSCALANCES62XRADIUS認證模式SIMATICS7-300PLCCP

CP343-1Advanced

（6GK7343-1GX31-0XE0）集成防火墻和VPN的CP343-1Advanced特點:集成防火墻功能；集成VPN功能；集成3端口自適應交換機（2個10/100M口，1個10/100/1000M口）；可作為ProfinetIO控制器和IO設備；支持Profienergy,IP路由，FTP，Web服務器，E-mail；支持ProfinetCBA，IP訪問控制列表，擴展Web診斷功能;支持DHCP/Block設置IP，時鐘同步等；用戶受益:通過VPN和防火墻將S7-300系列PLC安全連接到網絡；通過集成防火墻，用戶可以設定更詳細的安全設置和訪問權限；SIMATICS7-400PLCCP

CP443-1Advanced(6GK7443-1GX30-0XE0)集成防火墻和VPN的CP443-1Advanced特點:集成防火墻功能；集成VPN功能；集成5端口自適應交換機（4個10/100M口，1個10/100/1000M口）；可作為ProfinetIO控制器；支持快速啟動，Profienergy,IP路由，FTP，Web服務器，E-mail；支持ProfinetCBA，IP訪問控制列表，擴展Web診斷功能;支持DHCP/Block設置IP，時鐘同步等；用戶受益:通過VPN和防火墻將S7-400系列PLC安全連接到網絡；通過集成防火墻，用戶可以設定更詳細的安全設置和訪問權限；CPX43-1AdvancedCPX43-1Advanced①

阻止所有由內部發往外部的幀類型。②

允許所有由內部發往安全模塊的幀。③

阻止所有由外部發往內部和安全模塊的幀（包括ICMP回送請求）。④

允許以下類型的幀從外部源發往（外部節點和外部安全模塊）安全模塊：?ESP協議（加密）

?IKE（用于建立IPsec隧道的協議）

?NAT穿越（用于建立IPsec隧道的協議）⑤

允許通過IPsec隧道進行IP通信。⑥

安全模塊允許發往外部的Syslog類型的幀并且此類幀不受防火墻的影響。

注意因為Syslog是不可靠的協議，所以無法保證能可靠的傳送日志數據。⑦

允許所有由安全模塊發到內部和外部的幀。⑧

允許來自內部網絡或來自安全模塊的查詢響應。CPX43-1AdvancedCPX43-1Advanced①

允許所有由內部發往安全模塊的幀。②

阻止所有由外部發往安全模塊的幀。③

允許所有以下類型的幀從外部發往安全模塊：?

具有帶寬限制的ARP?

具有帶寬限制的PROFINETDCP?LLDP④

允許從安全模塊發往外部的以下類型的幀：?

具有帶寬限制的ARP?

具有帶寬限制的PROFINETDCP⑤

允許通過IPSec隧道發送的以下協議：?ISO?LLDP

SIMATICS7-PCCP

CP1628

（6GK1162-8AA00）CP1628特點:集成防火墻功能；集成VPN功能；集成2端口10/100/1000M自適應交換機；PCI-E用戶受益:通過VPN和防火墻將工業PC安全連接到網絡；通過互聯網或企業內部網遠程安全訪問集成CP1628的工業PC；SIMATICS7-PCCP

CP1628

（6GK1162-8AA00）SIMATICS7-PCCP

CP1628

（6GK1162-8AA00）允許所有由NDIS和IE（工業以太網）接口發往外部的幀。②

阻止所有來自外部的幀。③

允許所有以下類型的幀從外部發往安全模塊，反之也允許：?ESP協議（加密）?IKE（用于建立IPsec隧道的協議）?NAT穿越（用于建立IPsec隧道的協議）④

允許通過IPsec隧道進行IP通信。⑤

安全模塊允許Syslog類型的幀發往外部SIMATICS7-PCCP

CP1628

（6GK1162-8AA00）SIMATICS7-PCCP

CP1628

（6GK1162-8AA00）①

阻止所有來自外部的幀。②

允許所有從外部網絡發來的以下類型的幀：?

具有帶寬限制的ARP?

具有帶寬限制的PROFINETDCP③

允許從安全模塊發往外部的以下類型的幀：?

具有帶寬限制的PROFINETDCP④

允許通過IPsec隧道發送MAC協議。CP443-1Advanced

CP343-1Advanced

SOFTNETSecurityClient

(6GK1704-1VW04-0AA0)SOFTNETSecurityClientV4_HF1特點:一款VPN客戶端軟件；允許用戶從WindowPC/PG訪問IP網絡站，并通過SCALANCES或帶安全功能的CP提供保護。SOFTNET安全客戶端用戶可以建立與組態中指定的SCALANCES的VPN連接。用戶受益:通過VPN和防火墻將工業PC安全連接到網絡；通過互聯網或企業內部網遠程安全訪問集成安全功能的工業PC或CP；SOFTNETSecurityClient

(6GK1704-1VW04-0AA0)SOFTNETSecurityClientV4_HF1特點:SOFTNET安全客戶端可用于通過VPN與自動化單元進行安全通信。為實現PC/PG和相應自動化單元的自我保護，建議使用病毒掃描程序和Windows防火墻等附加措施。在Windows7中，必須啟用操作系統的防火墻才能建立VPN隧道。SCALANCEW的安全性能安全的工業無線通訊特點:基于IEEE802.11i的訪問安全支持IEEE802.1x(radius)；WPA/WPA2；TKIP/AES協議支持SSH支持ACL-MACbased支持L