西门子6GK5615-0AA00-2AA2路由器5端换机
SCALANCE S615 LAN 路由器,到 保护自动化技术中的 设备/电网 和用于保证 工业通信 借助 和防火墙; 其他功能: 地址转换(NAT/NAPT), 连接至 SINEMA RC,5 端口 交换机,1x 数字输入,1x 数字输出
概述
SCALANCE S 工业安全设备用于保护自动化工程和工业通信中的设备和网络。例如,它们具有以下特征:
实施单元保护方案并支持实施西门子深度防御方案
通过集成防火墙检查并过滤数据流量,因此:
防止操作错误
防止未经授权的访问
防止故障和通讯过载
通过 进行通信伙伴的认证和传输数据的加密,从而防止数据和操纵。
坚固的工业兼容装置设计
组态方便、直观:
TIA Portal 可用来从一个中心位置组态和诊断所有 SIMATIC NET 安全产品
通信保护是一种与协议无关的保护(如 PROFINET 或其它基于以太网的现场总线站)
可通过任何提供商,经由互联网进行安全远程访问
工业防火墙设备:
SCALANCE SC622-2C
根据 PROFIsafe 用于网络分离,以使 PROFIsafe 地址更易于管理
使用状态检测防火墙,可以防止对网段的非法访问
通过 2 个组合端口进行连接,通过 RJ45 (10/100/1000 Mbps) 进行电气连接,或者通过 SFP(100 Mbps 或 1000 Mbps)进行光纤连接
防火墙数据吞吐量高达 600 Mbps
通过 连接 SINEMA Remote Connect。
SCALANCE SC632-2C
SCALANCE SC636-2C
通过 4 个端口进行连接,通过 RJ45 (10/100/1000 Mbps) 和 2 个组合端口进行电气连接,通过 RJ45 (10/100/1000 Mbps) 进行电气连接,或者通过 SFP(100 Mbps 或 1000 Mbps)进行光纤连接
工业 设备:
SCALANCE S615
可以同时运行多达 20 个 隧道
通过 5 个 RJ45 电气端口进行连接 (10/100 Mbps)。
防火墙数据吞吐量高达 100 Mbps
数据吞吐量高达 35 Mbps
SCALANCE SC642-2C
可以同时运行多达 200 个 隧道
数据吞吐量高达 120 Mbps
SCALANCE SC646-2C
通过 4 个端口进行连接,通过 RJ45 (10/100/1000 Mbps) 和 2 个组合端口进行电气连接,通过 RJ45 (10/100/1000 Mbps) 进行电气连接,或者通过 SFP(100 Mbps 或 1000 Mbps)进行光纤连接
优势
针对未授权访问为工业自动化网络提供保护,并可建立 DMZ(隔离区)以便与其它网络进行数据交换而不必直接访问生产网络。
实施灵活的单元保护方案可确保:
为基于以太网且自身没有安全功能的可编程控制器和自动化系统提供保护
同时保护多台设备
通过形成受保护的独立通信区(网络分隔)来降低网络故障和未授权网络访问带来的风险
保护与自动化单元间的通信安全
借助于 SNMP 集成到 IT 基础设施和网络管理系统中,从而实现系统范围的网络诊断
借助于 Internet 为远程访问提供保护。 IP 也可与 PPPoE 和 DDNS 结合使用
无需反复配置终端节点或建立新的 IP 子网,即可顺利集成到现有网络中
使用 C-Plug 可移动数据存储介质来备份组态数据,无需编程设备即可更换设备。
可直接集成到光纤网络中(SCALANCE SC632-2C、SC636-2C、SC642-2C、SC646-2C)。
应用
SCALANCE S 工业信息安全设备可用于针对未授权访问为以太网网络的所有设备提供保护。也防止设备间或网段(如自动化单元)间的数据传输被或控制;还可用于通过因特网的安全远程访问。
与 SCALANCE M-800 产品线中的工业路由器相结合,可通过互联网或 2G/3G/4G 进行安全远程访问。
SCALANCE S适宜用于自动化和工业环境,符合自动化系统的特定要求,如现有系统升级容易,安装简便,故障停机时间较小。
设计
SCALANCE S615
通过状态检测防火墙,检查数据流,防止未经授权的访问
10/100 Mbps 端口
路由器可以直接在 IP 子网边界处使用
每个基于端口的 VLAN,较多可有 5 个可变安全区
通过编程可以任意调整这些安全区
安全区之间的防火墙规则可以自由地组态
地址转换
借助 NAT(网络地址转换),可以将公用 IP 地址转换为私用 IP 地址,因而,可以使用内网中的私用 IP 地址。
借助 NAPT(网络地址和端口转换),可以根据所使通信端口对发送至私用 IP 地址的帧进行转换,从而,可以使用内网中的私用 IP 地址。
内网节点可以从集成式 DHCP 服务器获得它们的 IP 地址
Syslog 服务器还可以评古日志文件
通过 SNMP,实现 IT 基础设施和网络管理系统的高度整合
通过 (IPsec 和 Open)对数据传输进行加密
防止
防止被未授权操控
配合使用 SOFTNET 安全客户机和 SCALANCE M 系列 2G/3G/4G 路由器(带 IPsec 功能),实现基于因特网的远程安全访问。
通过具备 Open 功能的自组态接口(可以采用 KEY-PLUG SINEMA RC 启用),可以极其简便地连接至 SINEMA 远程连接
SCALANCE SC622-2C
根据 PROFIsafe 用于网络分离,以使 PROFIsafe 地址更易于管理
通过防火墙提供单元保护,速度为 600 Mbps,较多 1000 个防火墙规则
NAT/NAPT 用于与具有相同 IP 地址的系列计算机通信。
通过 SINEMA Remote Connect 进行安全远程接入
通过光纤长距离(蕞大 200 km)
数字量输入用于在本地激活安全远程访问。
两个电气端口 RJ45,两个光纤端口 SFP(通过组合端口)
控制台端口,可通过编程设备直接访问
冗余 24 V DC 电源
各种安装选件,安装*而安全
紧凑的设计,采用金属后面板制成
通过 C-Plug 移动式数据存储介质进行简单设备更换,用于自动备份组态或规划数据
SCALANCE SC632-2C 和 SCALANCE SC636-2C
通过具有 600 Mbps 和较多 1000 NAT/NAPT 防火墙规则的防火墙进行单元保护,以便与具有相同 IP 地址的系列计算机进行通信
2 个或 6 个 RJ45 电气端口,2 个 SFP 光纤端口,经由组合端口控制台端口,用于通过编程设备直接访问
SCALANCE SC642-2C 和 SCALANCE SC646-2C
通过防火墙提供单元保护,速度为 600 Mbps,较多 1000 个防火墙规则。
管理较多 200 个数据速率高达 120 Mbps 的 连接。
西门子路由器6GK5615-0AA00-2AA2
功能安全功能
防火墙
集成的防火墙可用于灵活访问控制。
它可以过滤数据包,并根据状态(状态检测)以及过滤列表来禁用或启用通信链路。根据 IP 和 地址或通信协议(端口)或以具体用户为基础,可以对到达和离开的通信内容进行过滤。
日志记录
访问数据由工业信息安全设备保存到一个日志文件。可以检测如何、何时以及由谁来访问网络并能检测所做的访问尝试,从而能够采取响应预防措施。
SCALANCE SC622-2C 设备不具有第 2 层桥接功能,因此形成了 PROFINET 自然网络边界。这意味着可满足 IEC 61784-3-3 (PROFIsafe) 第 8.1.2 节双端口路由器的特性要求。
因此,该设备还适合在无法保证 PROFIsafe 地址唯1的安全环境中用作单元保护设备。
(虚拟私有网络)
(仅适用于 SCALANCE S615, SC642-2C, SC646-2C)
用于网络节点的可靠鉴权、数据加密和数据完整性检测。
鉴别
都输入数据通讯都将被监控和检查。由于 IP 地址可被微造(IP 侦听),仅检查 IP 地址(客户机访问)是不够的。此外,客户机 PC 的 IP 地址还可能发生变化。为此,将通过已经验证和测试的 机制进行鉴别。
数据加密
安全加密能够防止数据通讯被和未授权操控。这就意味着网络中的切听者无法操控数据通讯。为此,工业信息安全设备建立与其它安全设备之间的 隧道。
组态
组态是使用 TIA Portal 进行的。因此,可以从一个中心位置来组态和诊断所有 SIMATIC NET 安全产品。所有组态数据都保存在任选 C-PLUG 可移动数据存储介质(不在供货范围内),以便能在发生故障时能够*更换安全模块而无需使用编程器。
除通过 TIA Portal 进行组态外,还可使用 Web based Management (WBM)、命令行工具 (CLI) 或 SNMP 进行组态