Werbung
Typische Anlagenkonfigurationen
2.3.6
Substation Zone mit Segmentierung durch „Hardware-Based
Application-Layer-Firewall"
Soll die Vorgabe „Zur Netzwerktrennung sollte die Nutzung von Gateways, die eine
Protokollwandlung durchführen und keinen direkten IP-Verkehr zulassen, geprüft werden."
(BDEW Whitepaper) umgesetzt werden können keine herkömmlichen Netzwerkfirewalls (Layer
3+4) verwendet werden.
In diesem Fall kann SICAM RTUs als Firewall eingesetzt werden, die Daten einer
Netzwerkschnittstelle werden bis auf Layer 7 entpackt bevor diese an einer anderen
Netzwerkschnittstelle wieder in IP Pakete verpackt und weitergeleitet werden.
So könnte z.B. bei Einsatz eines vor Ort Bedienpanels auf Basis Windows Embedded, welches
nicht gepatcht werden soll, SICAM RTUs als „Hardware-Based Application-Layer-Firewall"
eingesetzt werden.
Hinweis
Bei Einsatz von SICAM RTUs als „Hardware-Based Application-Layer-Firewall" können nur von SICAM
RTUs unterstützte Kommunikationsdienste übertragen werden. Da durch die „Hardware-Based
Application-Layer-Firewall" kein IP-Traffic übertragen wird, funktionieren keine auf IP-basierende
Kommunikationsdienste auf hinter der „Hardware-Based Application-Layer-Firewall" liegenden Geräten.
Vorteile:
•
Netzwerksicherheit auch innerhalb der Substation-Zone
•
keine transparente IP-Verbindung zu Geräten „hinter" der „Hardware-Based Application-
Layer-Firewall"
Nachteile:
•
Kosten der zusätzlichen Netzwerkschnittstellen
•
da keine transparente IP-Verbindung zu Geräten „hinter" der „Hardware-Based
Application-Layer-Firewall" existiert, kann es zu Einschränkungen der Funktionalität
kommen, z.B.: kann in der oben angegebenen Konfiguration auf das lokale HMI-System
nicht aus der Ferne zugegriffen werden.
32
SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager
ADMINISTRATOR Security-Handbuch
DC0-114-2.15, Ausgabe 12.2017
Quicklinks ausblenden:
Werbung
Kapitel
