n
描述
本条目描述了如果两个 SCALANCE S 在英特网上建立了一个虚拟私有网络(VPN),并且内网A中的节点也能够访问互联网,那么 SCALANCE S 应该配置怎样的防火墙规则。n
条目 24968210 介绍了两台SCALANCE S 之间如何配置 VPN 。n
SCALANCE S 612 A 搜寻到一个路由后向外网发送消息。如果 VPN 已建立,消息被加密后通过 VPN 从内网 A 发送出去。n
图01n
如果没有建立 VPN ,未加密的消息就直接发送到外网路由器 A ,随后被转发到外网(互联网)。n
如果对防火墙规则没有作任何配置,SCALANCE S将会让这些消息通过并保存一个相应的“状态”,从而确保响应和相同编址的消息能被尽快处理。n
相比已配置的防火墙规则,“状态”有更高的优先级。这样未加密的消息将不断的被转发到外网,直到 VPN 再次建立。n
这种行为将导致连续的连接失败,尤其是在设备循环 keep-alives 时。n
图02n
为了防止这种情况就必须在允许从内网 A (192.168.1.0 / 24) 到外网的访问规则之外配置一个 Drop 规则。n
如果 VPN 没有建立,Drop 规则将阻止内网 B (192.168.10.0 / 24) 到外网的未加密消息通过防火墙。n
图03n
注意
- 如果建立了多个 VPN 或者在 VPN 后有额外的节点存在,则必须根据子网对每一个节点建立一个 Drop 规则n
- Drop 规则必须在允许规则之前插入才会生效。
NAT 选项中必须使能“允许所有内部节点对外访问”以便内网节点能够与互联网通讯。n
图04n
安全事项
警告
本文描述的功能和解决方案只涉及本身自动化任务的实现。更进一步的,当将设备连接到工厂的其他部分,企业网络或因特网时,请务必采取相对应的工业安全方面的保护措施。更多信息请参考条目: 50203404 。
相关信息
关于 SCALANCE S工业安全的相关详细信息见以下手册和应用。
| 手册/应用 | 条目 |
|
SIMATIC NET 工业以太网安全基础和应用配置手册 | 61630777 |
SIMATIC NET 工业以太网安全使用入门 | 60166939 |
SIMATIC NET 工业以太网安全 SCALANCE S V3.0安装和调试手册 | 56576669 |
SCALANCE S 模块通过 IPSec VPN 通道实现工业安全 | 22056713 |
原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc329429.html
微信扫一扫 
支付宝扫一扫