一般情况下,防火墙通过拦截未授权的访问和允许授权的访问帮助来保护网络安全区周围。防火墙指的是一台设备或一套设备,基于一套规则和其他标准将其配置为允许、拒绝、加密或代理不同安全区之间的流量。
流程控制设备和高速生产机器要求快速的数据吞吐量,并且经常不能容忍控制网络中进攻性安全策略所引入的延迟。因此,通过在网络周围提供保护,防火墙在安全策略中扮演了重要的角色。防火墙是整个系统级别策略的重要组成部分。
注意: Schneider Electric adheres to industry best practices in the development and implementation of control systems. This includes a "Defense-in-Depth" approach to secure an Industrial Control System. This approach places the controllers behind one or more firewalls to restrict access to authorized personnel and protocols only.
|
|
|
UNAUTHENTICATED ACCESS AND SUBSEQUENT UNAUTHORIZED MACHINE OPERATION |
|
oEvaluate whether your environment or your machines are connected to your critical infrastructure and, if so, take appropriate steps in terms of prevention, based on Defense-in-Depth, before connecting the automation system to any network. oLimit the number of devices connected to a network to the minimum necessary. oIsolate your industrial network from other networks inside your company. oProtect any network against unintended access by using firewalls, VPN, or other, proven security measures. oMonitor activities within your systems. oPrevent subject devices from direct access or direct link by unauthorized parties or unauthenticated actions. oPrepare a recovery plan including backup of your system and process information. |
|
不遵循上述说明可能导致人员伤亡或设备损坏。 |
可通过以下三种方式管理控制器防火墙配置:
o静态配置
o动态更改
o应用程序设置
在静态配置中使用脚本文件,以及使用它进行动态更改。
在控制器启动时加载静态配置。
可通过管理位于控制器中的缺省脚本文件来静态配置控制器防火墙。此文件的路径是 /usr/Cfg/FirewallDefault.cmd。
在控制器启动后,可通过使用脚本文件来更改控制器防火墙配置。
可通过以下两种方法来加载这些动态更改:
o物理 SD 卡。
o应用程序中的功能块。
请参阅以太网配置。
