Typische Anlagenkonfigurationen
2.3.12
Control Center Zone mit DMZ
Als zusätzliche Sicherheitsmaßnahme kann eine Demilitarisierte Zone (DMZ) zwischen Office
Zone und Control Center Zone eingefügt werden.
Der Verbindungsaufbau muss, wenn technisch möglich, immer aus der sicheren Zone in die DMZ
erfolgen.
Beispiele:
Datentransfer zwischen Control Center Zone und Office Zone via FTP:
•
Rechner aus der Control Center Zone speichert Daten auf FTP Server ab
•
Rechner aus Office Zone holt Daten vom FTP-Server
•
Firewalls erlauben nur passive FTP
Toolbox II Parametrierung im Office:
•
Toolbox II Rechner aus Office Zone nutzt Toolbox II Peerserver in der DMZ
•
Der Toolbox II Rechner aus der Office Zone kann nicht direkt auf die Zielsysteme
zugreifen
•
Toolbox II Rechner in der Engineering Zone nutzt Toolbox II Peerserver in der DMZ und
lädt die Parameter ins Zielsystem
•
Firewalls erlauben nur den beiden Rechnern (IP-Adressen) Zugriff auf den Toolbox II
Peerserver auf den benötigten TCP-Ports (siehe Dokumentation der
Kommunikationsports).
Fernwartung von Geräten im Prozessnetz aus der Office Zone via Terminalserver:
•
Rechner aus der Office Zone baut Verbindung mit Terminalserver in der DMZ via Remote
Desktop Protokoll (RDP) auf.
•
Terminalserver in der DMZ baut RDP-Verbindung mit Toolbox-Rechner in Control Center
Zone auf
•
Parametrierung und Download der Parameter ins Zielsystem erfolgt vom Toolbox-Rechner
in der Control Center Zone
42
SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager
ADMINISTRATOR Security-Handbuch
DC0-114-2.15, Ausgabe 12.2017