
Die Firewall erlaubt klare und einfache Zugriffsregeln für jeden Netzwerkteilnehmer. Die Konfiguration erfolgt über die WEB-Oberfläche des Gerätes. S7-Firewall kann beliebig zwischen SPS- und Bedien-/Programmierebene eingebaut werden. Die Einbaurichtung wird automatisch erkannt. Ferner werden zur Erhöhung der Sicherheit nur konfigurierte Verbindungen zugelassen.
Die Kommunikation zur SPS läuft auf Basis des RFC1006-Telegramms. Diese Verbindung zur SPS wird über Absende-MAC,- IP-Adresse, TCP-IP-Port, sowie der IP-Adresse und SPS-Kanal in der Ziel-SPS identifiziert.
S7-Firewall ist eine skalierbare „SPS-Firewall“, die im Gegensatz zu herkömmlichen Firewall-Systemen nicht nur IP-,MAC-Adressen und Port filtert. Der Lese- und Schreibzugriff auf die SPS-Daten wird über die quasi Echtzeitprüfung der Protokollinhalte kontrolliert.
Die Teilnehmer im Netzwerk werden in SPS-Station und PG/OP(SCADA)-Stationen eingeteilt. MAC-, IP-Adresse und Verbindungskanal identifizieren die Station.
Die Verbindungen werden aus der Kombination HMI/PG-Station und SPS-Station gebildet. Jede HMI/SPS-Station kann mehreren HMI/PG-Stationen zugeordnet werden.
Für Verbindungen mit PG-Funktionalität kann bestimmt werden, welche Services erlaubt sind. So kann z.B. nur ein „Read“-Modus aktiviert werden. Damit kann zwar Diagnose an der SPS durchgeführt werden. Programm und Daten der SPS bleiben dabei schreibgeschützt. Ferner kann festgelegt werden, welche Bausteine (Art und Nummer) überhaupt in der Ziel-SPS existieren dürfen.
Ein Übertragen von Schadsoftware wie z.B. Stuxnet, wird dadurch erschwert. Stuxnet & Co. zielen darauf ab, das SPS-Programm zu verändern, um dort schadhaften Code einzuschleusen. Näheres über Stuxnet finden Sie unter http://de.wikipedia.org/wiki/Stuxnet oder unter http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection-process.
Verbindungtypen ohne PG-Funktion dürfen nur auf die freigegebenen Datenbereiche der SPS lesen/schreiben. Jeder einzelnen Verbindungen wird ein „Regelscript“ zugeordnet.
Beispiel einer Konfiguration
HMI/PG-Stationen:
SPS-Stationen:
Die Verbindungen - Kombinantion aus HMI/PG-Station und SPS-Station
In der Konfguration wird festgelegt, ob die HMI/PG-Station überhaupt Programmierfunktionen ausführen darf.
Der Zugriff auf die Prozessdaten (DB, Merker etc. ) wird über die eine einfache Scriptsprache geregelt. Im Handumdrehen wird der Datenzugriff auf die S7 bis auf das Bit genau kontrolliert
Beispiele:
„r:MB1-MB20“ - erlaube nur Lese des MB1 bis MB20,
„rw:DB123.DBB0 - DBB24“ - erlaube Lesen und Schreiben des DB 123 von Datenbyte 0 bis 24.
In quasi Echtzeit analysiert die S7-Firewall den Inhalt der Datentelegramme. Unerlaubte Zugriffe werden abgewehrt und in einem Logfile gespeichert.
Der Datenverkehr wird überwacht, es sind nur die konfigurierten Zugriffe möglich. Das lesen/schreiben von Programmen und Systemdaten wird verhindert. Ohne besondere Konfiguration ist in dieser Betriebsart das SPS-Programm und die Konfiguration bereits gesichert.
In Echtzeit analysiert die S7-Firewall den Inhalt der Datentelegramme. Unerlaubte Zugriffe werden abgewehrt und in einem Logfile gespeichert.
Ist die Firewall komplett parametriert, kann dieser Zustand „eingefroren“ werden. Das Gerät befindet sich dann im „High-Security-Mode“. Änderung der Konfiguration ist nur durch komplettes „Neuladen/Urlöschen“ möglich. Diese Option ist besonders für Anlagen, die einer Validierungspflicht unterliegen, sinnvoll. Dies ist z.B. in der Pharmaindustrie der Fall.
Technische Daten | |
---|---|
Versorgungsspannung | 24V DC +/- 20% |
Leistungsaufnahme | 6,5 Watt |
Anzeige / Bedienung | Web-Interface 4 Status-LED's, Taster Werkeinstellung |
Schnittstellen | 1 x 10/100BaseTX RJ45-Ethernetbuchse WAN-Port 4 x 10/100BaseTX RJ45-Ethernetbuchse SWITCH alle Ports Auto MDI-X (selbst drehend) |
Betriebstemperatur | 5 - 55 ºC |
Gehäuse | pulverbeschichtetes Metallgehäuse |
Abmessungen | 154 x 92 x 28 mm |
Bestellnummer | Bezeichnung |
---|---|
9374-S7-Firewall | S7-Firewall OEM-Version (ohne Zubehör) |
9374-O-Learn | Option für S7-Firewall: Learnmodus Erzeugt aus Logdatei Regeln für den Gerätezugriff |
9391.1 | 24 V SC Steckernetzteil 625 mA Primär 110V-240VAC Euro+USA-Stecker |