GE SR760 760P1G1S1HIA20R

更新时间: 2023-07-15

​ 建立与工厂DMZ防火墙的SSL VPN 会话

        一旦安全浏览器连接了防火墙，防火墙要建立一个与远程用户的SSL VPN会话，增加另一层保护。这个会话会进一步保护终端客户机和工厂防火墙之间的数据流。远程访问服务器需要对远程用户再一次进行验证，检验服务/帐号。

        另外，工厂服务器确保所有远程用户被验证和授权使用远程访问服务。

        入侵检测/保护系统IDS/IPS

        一旦用户建立了一个会话，防火墙的侵入检测和保护服务开始运行，检查进出防火墙的数据流，防止不同类型的网络威胁。IDS/IPS **为工厂架构的一部分，要检查所有通过防火墙的数据流。IDS/IPS增加了一个安保等级，阻止来自远程系统可能的威胁和攻击，在源头阻截恶意数据流，防止这些威胁在隔离区或者制造区影响系统。

        虽然NAC也可以减少来自远程系统的威胁，但两种技术可以取长补短，NAC针对远程系统的姿态（版本和保护类型），IPS/IDS检查没有被NAC阻截的威胁和攻击的数据流。再者，按深度防御的方法需要实施不同的安保服务。

        到远程访问服务器的远程终端会话

        一旦安全浏览器建立了与工厂隔离区的连接，防火墙可以允许这个用户通过终端会话访问远程访问服务器。可以使用远程桌面协议（RDP），Citrix，虚拟网络计算（VNC），或者其他终端会话技术。在使用RADIUS服务器前，防火墙会提示用户通过验证，经过授权的用户才可以访问远程访问服务器。

        仅允许使用远程终端协议，可使通过远程会话造成的病毒或攻击的潜在风险大大降低了，工厂还可以审计和记录远程工程师或者伙伴的所作所为。