1802077****
更新时间: 2023-07-15
无公共协议或端口
没有一种协议在同一个时间用同一个端口,穿越一个防火墙再穿过另一个防火墙。这就防止了蠕虫,如:蠕虫王(Slammer)穿过上层防火墙,在隔离区感染系统,进而在控制区域传播病毒。
仅有一个通道入或出
从DMZ通过低层防火墙进入制造区的通道仅有一条,或进或出。从企业局域网通过上层防火墙进入DMZ的通道也只有一条。
以上的原则其实包含了一个重要的概念,这就是首先要严格控制对自动化和控制应用的远程访问,而不是盲目信赖远程用户在访问工厂应用时不做错事。
远程访问用例
考虑远程访问的用例非常重要,因为解决方案应该满足用例的需求。远程访问制造工厂的用例具有一些基本特性,包括用户是谁(角色-包括内部员工、合作伙伴和供应商),以及用户的位置在哪里(物理和网络的位置)。不同的用例有着不同的考虑和需求。
1. 角色 讨论对工厂数据和应用实时访问的部署,用户要对生产监视或操作或采取某些行动。角色可以由内部或外部人员来扮演,并假设已经事先确定。企业ERP应用读取连续数据的方法,虽然当前的方案不排除或约束这种机制。
实施远程访问要考虑的关键点是事先必须了解用户,应是长期或经常访问工业自动化和控制系统的人员。在部署访问时,这是对用户的基本要求,特别是外部用户,诸如合作伙伴或供应商,通常要向IT部门提出申请,申请的批复和实施要花一些时间。公司的相关策略应该定义了不同的角色和访问的等级。
2. 位置 把位于企业网络之中(在制造区的外部)和企业网络之外的远程用户一并考虑。
企业内的用户可不使用下面描述的所有技术(诸如建立到企业的VPN),因为他们已经遵从公司已有的安保策略了。
当伙伴或第三方客户的物理位置已经在工厂内的情况。因为有很多技术可用于客户访问,包括无线客户访问或网络准许控制,这些技术为Web浏览器提供了通用的因特网访问。这些方法可以与**技术结合使用,实现远程访问,制造区外边基于隧道的客户可以使用描述的方法访问制造区。
