一般情况下,防火墙通过拦截未授权的访问和允许授权的访问帮助来保护网络安全区周围。防火墙指的是一台设备或一套设备,基于一套规则和其他标准将其配置为允许、拒绝、加密或代理不同安全区之间的流量。
流程控制设备和高速生产机器要求快速的数据吞吐量,并且经常不能容忍控制网络中进攻性安全策略所引入的延迟。因此,通过在网络周围提供保护,防火墙在安全策略中扮演了重要的角色。防火墙是整个系统级别策略的重要组成部分。
注意: Schneider Electric 在控制系统的开发和实施过程中严格遵循行业最佳实践。这其中包括一种“深度防御”方法,旨在保护工业控制系统的安全。此方法将控制器置于一个或多个防火墙之后,将访问范围限制为仅经过授权的人员和协议。
|
|
|
未经授权访问及其导致的未经授权的机器操作 |
|
o评估环境或机器是否已连接到关键基础结构,如果已连接,请在将自动化系统连接到任何网络之前,基于深度防护采取适当的预防措施。 o将连接到网络的设备数限制为所需的最小数量。 o将工业网络与公司内部的其他网络隔离。 o使用防火墙、VPN 或其他经证实的安全措施,防止意外访问任何网络。 o监控系统内的活动。 o防止未经授权方或未经身份验证的操作直接访问或直接链接主体设备。 o准备恢复计划,包括系统和过程信息的备份。 |
|
不遵循上述说明可能导致人员伤亡或设备损坏。 |
可通过以下三种方式管理控制器防火墙配置:
o静态配置
o动态更改
o应用程序设置
在静态配置中使用脚本文件,以及使用它进行动态更改。
在控制器启动时加载静态配置。
可通过管理位于控制器中的缺省脚本文件来静态配置控制器防火墙。此文件的路径是 /usr/Cfg/FirewallDefault.cmd。
注意: 文件名区分大小写。
在控制器启动后,可通过使用脚本文件来更改控制器防火墙配置。
可通过以下两种方法来加载这些动态更改:
o物理 SD 卡。
o应用程序中的功能块。
请参阅以太网配置。
