Im Allgemeinen dienen Firewalls dem Schutz der Netzwerksicherheitszone, indem Sie jeden unbefugten Zugriff verhindern und ausschließlich autorisierten Zugriff gewähren. Bei einer Firewall handelt es sich um ein Gerät bzw. um eine Gruppe von Geräten, die für die Genehmigung, Verweigerung, Verschlüsselung, Entschlüsselung oder Umleitung über Proxy des Datenverkehrs zwischen verschiedenen Sicherheitszonen auf der Grundlage einer Reihe von Regeln und anderen Kriterien konfiguriert wurden.
Geräte zur Prozesssteuerung und Maschinen zur Hochgeschwindigkeitsproduktion benötigen einen hohen Datendurchsatz und tolerieren in vielen Fällen die Latenz nicht, die bei einer aggressiven Sicherheitsstrategie innerhalb des Steuerungsnetzwerks gegeben ist. Aus diesem Grund spielen Firewalls eine bedeutende Rolle in jeder Sicherheitsstrategie, da sie bestimmte Schutzniveaus am Netzwerkperimeter bereitstellen. Firewalls sind ein wichtiger Bestandteil einer globalen Strategie auf Systemebene.
HINWEIS: Schneider Electric operiert unter den Industriestandards bei der Entwicklung und Implementierung von Steuerungssystemen. Dies beinhaltet ein „Defense-in-Depth-Konzept“ zum Schutz industrieller Steuerungssysteme. Bei diesem Verfahren werden die Steuerungen hinter einer oder mehreren Firewalls platziert, um den Zugriff auf autorisierte Personen und Protokolle zu beschränken.
|
|
|
UNBERECHTIGTER ZUGRIFF MIT UNBERECHTIGTEM MASCHINENBETRIEB |
|
oBeurteilen Sie, ob Ihre Betriebsumgebung bzw. Ihre Maschinen mit Ihrer kritischen Infrastruktur verbunden sind. Ist das der Fall, dann ergreifen Sie angemessene Präventivmaßnahmen auf der Basis des Defense-in-Depth-Konzepts, bevor Sie das Automatisierungssystem mit einem Netzwerk verbinden. oBegrenzen Sie die Anzahl der mit einem Netzwerk verbundenen Geräte auf das strikte Minimum. oIsolieren Sie Ihr Industrienetzwerk von anderen Netzwerken in Ihrer Firma. oSchützen Sie alle Netzwerke vor unberechtigtem Zugriff mithilfe von Firewalls, VPNs oder anderen bewährten Schutzmaßnahmen. oÜberwachen Sie die Aktivität in Ihren Systemen. oVerhindern Sie jeden direkten Zugriff bzw. jede direkte Verbindung von Fachgeräten durch unberechtigte Personen oder nicht autorisierte Vorgänge. oStellen Sie einen Wiederherstellungsplan für den Notfall auf. Dazu gehört ebenfalls der Backup Ihrer System- und Prozessdaten. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Es gibt zwei Möglichkeiten, um die Konfiguration der Steuerungsfirewall zu verwalten:
oStatische Konfiguration
oDynamische Änderungen
oAnwendungseinstellungen
Für die statische Konfiguration und dynamische Änderungen werden Skriptdateien verwendet.
Die statische Konfiguration wird geladen, wenn die Steuerung gestartet wird.
Die Firewall der Steuerung kann statisch konfiguriert werden, indem eine auf der Steuerung befindliche Standardskriptdatei verwaltet wird. Speicherort dieser Datei: /usr/Cfg/FirewallDefault.cmd
HINWEIS: Der Dateiname unterliegt der Groß-/Kleinschreibung.
Nachdem die Steuerung gestartet wurde, kann die Konfiguration der Steuerungsfirewall mittels Skriptdateien geändert werden.
Es stehen zwei Methoden zum Laden dieser dynamischen Änderungen zur Auswahl:
oEin Funktionsbaustein in der Anwendung.
Siehe Ethernet-Konfiguration.
