如果两个 SCALANCE S 在互联网上建立一个虚拟私有网络(VPN),并且内网中的节点能够访问互联网,需要如何配置 SCALANCE S 防火墙规则?

n

描述

本条目描述了如果两个 SCALANCE S 在英特网上建立了一个虚拟私有网络(VPN),并且内网A中的节点也能够访问互联网,那么 SCALANCE S 应该配置怎样的防火墙规则。n

条目 24968210 介绍了两台SCALANCE S 之间如何配置 VPN 。n

SCALANCE S 612 A 搜寻到一个路由后向外网发送消息。如果 VPN 已建立,消息被加密后通过 VPN 从内网 A 发送出去。n

如果两个 SCALANCE S 在互联网上建立一个虚拟私有网络(VPN),并且内网中的节点能够访问互联网,需要如何配置 SCALANCE S 防火墙规则?
图01n

如果没有建立 VPN ,未加密的消息就直接发送到外网路由器 A ,随后被转发到外网(互联网)。n

如果对防火墙规则没有作任何配置,SCALANCE S将会让这些消息通过并保存一个相应的“状态”,从而确保响应和相同编址的消息能被尽快处理。n

相比已配置的防火墙规则,“状态”有更高的优先级。这样未加密的消息将不断的被转发到外网,直到 VPN 再次建立。n

这种行为将导致连续的连接失败,尤其是在设备循环 keep-alives 时。n

如果两个 SCALANCE S 在互联网上建立一个虚拟私有网络(VPN),并且内网中的节点能够访问互联网,需要如何配置 SCALANCE S 防火墙规则?
图02n

为了防止这种情况就必须在允许从内网 A (192.168.1.0 / 24) 到外网的访问规则之外配置一个 Drop 规则。n

如果 VPN 没有建立,Drop 规则将阻止内网 B (192.168.10.0 / 24) 到外网的未加密消息通过防火墙。n

如果两个 SCALANCE S 在互联网上建立一个虚拟私有网络(VPN),并且内网中的节点能够访问互联网,需要如何配置 SCALANCE S 防火墙规则?
图03n

注意

  • 如果建立了多个 VPN 或者在 VPN 后有额外的节点存在,则必须根据子网对每一个节点建立一个 Drop 规则n
  • Drop 规则必须在允许规则之前插入才会生效。

NAT 选项中必须使能“允许所有内部节点对外访问”以便内网节点能够与互联网通讯。n

如果两个 SCALANCE S 在互联网上建立一个虚拟私有网络(VPN),并且内网中的节点能够访问互联网,需要如何配置 SCALANCE S 防火墙规则?
图04n

安全事项

警告

本文描述的功能和解决方案只涉及本身自动化任务的实现。更进一步的,当将设备连接到工厂的其他部分,企业网络或因特网时,请务必采取相对应的工业安全方面的保护措施。更多信息请参考条目: 50203404

相关信息
关于 SCALANCE S工业安全的相关详细信息见以下手册和应用。

手册/应用 条目

SIMATIC NET 工业以太网安全基础和应用配置手册

61630777

SIMATIC NET 工业以太网安全使用入门

60166939

SIMATIC NET 工业以太网安全 SCALANCE S V3.0安装和调试手册

56576669

SCALANCE S 模块通过 IPSec VPN 通道实现工业安全

22056713

原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc329429.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2020年11月5日 下午12:03
下一篇 2021年4月12日 上午12:00

相关推荐

发表回复

登录后才能评论