SQL Gateway 功能支持 SQL Gateway 和 MySQL 数据库或 Microsoft SQL Server 数据之间通过 TLS(传输层安全)/ SSL(安全套接层)实现安全连接。 如果正确配置了这些连接,数据库便可位于工业网络之外。
控制器与 SQL Gateway 之间的通讯不受保护,只能在您的工业网络内部进行,与您公司的其他网络隔离,并防止接入互联网。
注意: Schneider Electric 在控制系统的开发和实施过程中严格遵循行业最佳实践。这其中包括一种“深度防御”方法,旨在保护工业控制系统的安全。此方法将控制器置于一个或多个防火墙之后,将访问范围限制为仅经过授权的人员和协议。
|
|
|
未经授权访问及其导致的未经授权的机器操作 |
|
o评估环境或机器是否已连接到关键基础结构,如果已连接,请在将自动化系统连接到任何网络之前,基于深度防护采取适当的预防措施。 o将连接到网络的设备数限制为所需的最小数量。 o将工业网络与公司内部的其他网络隔离。 o使用防火墙、VPN 或其他经证实的安全措施,防止意外访问任何网络。 o监控系统内的活动。 o防止未经授权方或未经身份验证的操作直接访问或直接链接主体设备。 o准备恢复计划,包括系统和过程信息的备份。 |
|
不遵循上述说明可能导致人员伤亡或设备损坏。 |
SQL Gateway 使用的是单个 TCP 端口,控制器通过此端口发送 SQL 查询。建立网络结构,并配置防火墙,使得此 TCP 端口可供控制器访问,但无法从工业网络外部访问。
利用每个 SSL 加密连接来验证 SSL 证书。这有助于确保 SSL 客户端连接到预期的 SSL 服务器,反之亦然。
对于 SSL 加密,可使用两种不同类型的证书:
o服务器证书:
SSL 服务器的证书。它们有两个用途:
o提供用于对从 SSL 客户端发送到 SSL 服务器的数据进行加密的公私密钥。
o提供相应信息以允许客户端检验其是否连接到正确的 SSL 服务器。
o客户端证书:
SSL 客户端的证书。它们不用于加密数据,而是仅用于客户端验证。客户端证书的使用是可选的,但若服务器要检验 SSL 客户端是否有权连接到 SSL 服务器,则需要用到这些证书。
您可以创建自签名证书,或者可以使用认证机构 (CA) 签名的证书。配置 SSL 加密连接章节中简短地描述了每种 SQL 数据库类型的自签名证书的创建方式。
在连接建立后,SSL 客户端最好是验证服务器证书,以确保客户端连接到预期的服务器。
客户端可执行的验证方法有两种:
o验证证书:此方法验证服务器证书或者它的其中一个根证书是否是受信任的证书。这就是说,它存在于证书存储库的可信根证书授权文件夹下。
o验证名称:此方法验证服务器证书中的主题名称是否与 TCP 连接中的服务器名称匹配。
证书存储库是管理证书的 Windows 组件。
|
步骤 |
操作 |
注释 |
|---|---|---|
|
1 |
在 Windows PC 上,执行命令 mmc。 |
结果:Microsoft 管理控制台随即打开。 |
|
2 |
执行命令文件 > 添加/删除管理单元...。 |
– |
|
3 |
在添加或删除管理单元对话框中,选择证书,然后单击添加 > 按钮。 |
– |
|
4 |
在对话框中,选择计算机账户选项,然后单击下一步,然后单击完成。 |
– |
|
5 |
单击确定,关闭添加或删除管理单元对话框。 |
结果:Microsoft 管理控制台包含两个相关的证书文件夹: o个人:包含服务器和客户端证书。 o可信根证书授权:包含可信的根证书。 |
如要导入证书,则右键单击个人或可信根证书授权文件夹,然后执行命令所有任务 > 导入...。请遵循证书导入向导的指导。选择基于证书类型自动选择证书存储库选项。
|
步骤 |
操作 |
|---|---|
|
1 |
右键单击证书存储库中的证书,然后执行命令所有任务 > 管理私有密钥。 |
|
2 |
在下一步对话框中单击添加按钮。 |
|
3 |
选择对象类型 > 服务账户选项。 |
|
4 |
单击按钮位置,选择本地 PC 的条目,然后单击确定。 |
|
5 |
将名称复制到文本框。 |
|
步骤 |
操作 |
|---|---|
|
1 |
双击证书。 |
|
2 |
在详细信息选项卡中,选择拇指指纹条目,然后复制其值。 |
