De manière générale, les pare-feu permettent de protéger les périmètres des zones de sécurité des réseaux en bloquant les accès non autorisés et en laissant passer les accès autorisés. Un pare-feu est un équipement ou un groupe d'équipements qui est configuré pour autoriser, refuser, crypter, décrypter ou filtrer le trafic entre différentes zones de sécurité en s'appuyant sur un ensemble de règles et d'autres critères.
Les équipements de contrôle de processus et les machines de fabrication à grande vitesse nécessitent un débit de données rapide et ne peuvent souvent pas tolérer les délais de latence introduits par une stratégie de sécurité drastique au sein du réseau de contrôle. Par conséquent, les pare-feu jouent un rôle important dans une stratégie de sécurité en offrant des niveaux de protection aux périmètres du réseau. Les pare-feu représentent une part importante d'une stratégie globale au niveau du système. Par défaut, les règles de pare-feu n'autorisent pas le transfert de télégrammes IP depuis un réseau contrôleur vers un réseau de bus de terrain.
NOTE : Schneider Electric respecte les bonnes pratiques de l'industrie, en vigueur dans le développement et la mise en œuvre des systèmes de contrôle. Cette approche, dite de « défense en profondeur », permet de sécuriser les systèmes de contrôle industriels. Elle place les contrôleurs derrière des pare-feu pour restreindre leur accès aux seuls personnels et protocoles autorisés.
|
|
|
ACCÈS NON AUTHENTIFIÉ ET UTILISATION NON AUTORISÉE DE LA MACHINE |
|
oEstimer si votre environnement ou vos machines sont connecté(e)s à votre infrastructure vitale et, le cas échéant, prendre les mesures nécessaires de prévention, basées sur le principe de défense en profondeur, avant de connecter le système d'automatisme à un réseau quelconque. oLimiter au strict nécessaire le nombre d'équipements connectés à un réseau. oIsoler votre réseau industriel des autres réseaux au sein de votre société. oProtéger chaque réseau contre les accès non autorisés à l'aide d'un pare-feu, d'un VPN ou d'autres mesures de sécurité éprouvées. oSurveiller les activités au sein de votre système. oEmpêcher tout accès direct ou liaison directe aux équipements sensibles par des utilisateurs non autorisés ou des actions non authentifiées. oPréparer un plan de récupération intégrant la sauvegarde des informations de votre système et de votre processus. |
|
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels. |
Trois méthodes permettent de gérer la configuration du pare-feu du contrôleur :
oConfiguration statique
oModifications dynamiques
oParamètres d'application
La configuration statique et les modifications dynamiques reposent sur des fichiers de script.
La configuration statique est chargée au démarrage du contrôleur.
Vous pouvez configurer le pare-feu du contrôleur de manière statique à l'aide d'un fichier de script par défaut enregistré sur ce dernier (dans le répertoire /usr/Cfg/FirewallDefault.cmd).
Une fois le contrôleur démarré, vous pouvez modifier la configuration du pare-feu à l'aide de fichiers de script.
Voici les deux moyens permettant de charger ces modifications dynamiques :
oUne carte SD physique.
oUn bloc fonction dans l'application.
Consultez Configuration Ethernet
