Siemens SIMATIC S7-1500 Funktionshandbuch Seite 319

Routing
10.3 IP-Forwarding
Netzwerksicherheit berücksichtigen beim IP-Forwarding
Wenn Sie IP-Forwardung für eine CPU aktivieren, dann ermöglichen Sie einen Zugriff "von
außen" auf Geräte, die eigentlich nur von der CPU erreichbar sind und gesteuert werden.
Diese Geräte sind deshalb auch in der Regel ungeschützt gegen Angriffe.
Das folgende Bild zeigt, wie Sie ihr Automatisierungssystem gegen unbefugten Zugriff
schützen.
Bild 10-11
● Über die Schnittstellen X1 und X2 erreicht die CPU alle Geräte innerhalb der CPU-nahen
dunkelgrünen IP-Subnetze B und C.
● In der CPU ist ein Router SCALANCE S konfiguriert. Über den Router erreicht die CPU
die Geräte im entfernten hellgrünen IP-Subnetz A.
● In der CPU ist für den CP 1543 die Funktion "Zugriff auf PLC über
Kommunikationsmodul" aktiviert. Über die Schnittstelle W1 erreicht die CPU alle Geräte
innnerhalb des IP-Subnetzes D.
Wenn IP-Forwarding in der CPU aktiviert ist, dann kann ein Gerät aus dem IP-Subnetz A auf
jedes Gerät innerhalb der CPU-nahen IP-Subnetze B,C und D zugreifen.
Schützen Sie ihr Automatisierungssystem und angeschlossene Geräte gegen unbefugten
Zugriff von außen.
Trennen Sie die CPU-nahen IP-Subnetze mit einer Firewall von den entfernten
IP-Subnetzen. Verwenden Sie dafür zum Beispiel die Security Module SCALANCE S mit
integrierter Firewall.
Wie Sie eine Automatisierungszelle durch die Security Module SCALANCE S602 V3 und
SCALANCE S623 mit einer Firewall schützen, finden Sie beschrieben in diesem
Anwendungsbeispiel (https://support.industry.siemens.com/cs/ww/de/view/22376747).
318
Netzwerksicherheit beim IP-Forwarding
Funktionshandbuch, 11/2019, A5E03735814-AH
Kommunikation