文档类型 产品通知, 条目ID: 60987772, 文档发布日期 2012年7月11日
(0)
评估

SCALANCE S602 V3 和 S612 V3 的销售发布和受限制的产品发布

  • 文献
  • 涉及产品

SCALANCE S602 V3 和 S612 V3 已由 I IA SC CI 在一定限制条件下发布,可从库存立即供货。

SCALANCE S V3 现已发布并具有以下限制:

1. 尚未获得以下认证:

  • FM

此认证预计在 2012 年 6 月底通过。
 

1. 产品描述

Scalance S 是一种安全设备,可为以太网网络的设备、自动化单元和网段提供保护。此设备可针对外部和内部威胁(如未授权的访问或不必要的通信负荷)实施有效保护。另外,还可通过加密来防范数据窃取和操纵(例如,通过 Internet 或 WAN 等不安全网络进行远程访问),从而保障通信安全。

功能

SCALANCE S V3 提供了与此前的 SCALANCE S 型号相同的功能与特性:

  • VPN (带有 S612 的虚拟专用网):用于对网络参与者进行安全身份验证(识别),并进行数据加密和数据完整性检查。数据加密用于防止数据通信被窃取和操纵。这就使得网络上的数据通信对于窃听者来说难以理解。在这种情况下,安全模块会建立一个通向其它具有 VPN 功能的设备的 IPSec VPN 隧道。
  • 状态检测防火墙:过滤数据包,并根据过滤列表来禁用或启用通信链路。可对传入和传出通信进行过滤。将对 IP 和 MAC 地址以及通信协议(端口)进行过滤。除 VPN 之外,还可使用防火墙。状态检测意味着也可基于状态对通信进行过滤。例如,可允许源自内部网络的通信的响应消息帧通过,但阻断源自外部的同一类型的通信。
  • 日志记录(系统日志):为了监视访问状况并检测已尝试的各种攻击,所有访问或已拒绝的访问尝试都存储在一个日志文件中,此文件可由组态工具来读取。也可以向系统日志服务器自动发送日志数据。
  • NAT/NAPT (网络地址和端口转换):在内部网络中,可以使用专用 IP 地址。因此,可以节省公共 IP 地址(NAPT),并可建立与这些专用 IP 地址相同的自动化单元(NAT)。
  • IP 地址的符号名称: 简化防火墙规则的配置和可读性。

·        全局防火墙规则: 可以将应用于多个 Scalance S 设备的防火墙规则分组为全局防火墙规则,从而实现方便、快速的调试。

  • 坚固耐用的工业级设计,经过量身定制,满足特定工业环境的需要。

从 V3 起,SCALANCE S 还提供以下功能特性:

  • 用户特定防火墙规则和使用用户登录名和密码进行的用户身份验证: 用户可登录 SCALANCE S,识别之后,将向其分配特定防火墙规则,限制其对某些设备的访问,如有必要,对其可使用的通信协议加以限制。例如,可对各设备厂商对其各自设备的访问进行限制。通过用户特定防火墙规则可获得附加安全性,这种防火墙规则仅允许 VPN 流量,因此需要用户也建立 VPN 连接。
  • SNMP (V1 + V3): 用于进行标准网络诊断并将网络分析信息传输至网络管理系统的简单网络管理协议。SNMP V3 还可提供安全传输和比 SNMP V1 更高的安全性。
  • PPPoE: 用于自动从提供商获得 IP 地址的基于以太网的点对点协议,无需对 DSL 路由器进行单独组态
  • DynDNS: 动态域名服务,可将动态 IP 地址用于 SCALANCE S 的服务器运行,以通过 Internet 提供商实现远程维护
  • S612 的 VPN 连接扩展(同时有 128 个连接,内部网络中最多有 128 个节点)
  • 对于所有型号,工作温度范围均较宽(-40°C 至 +60°C)

 

可通过安全组态工具(SCT)进行组态,此工具包括在 STEP7 的产品包内(从 V5.5 SP2 HF1 起)。

设计

SCALANCE S V3 具有 SCALANCE 设计的所有优点:

  • 坚固的金属外壳,适合安装到标准导轨和 S7-300 安装导轨上或进行墙壁安装,节省空间
  • 坚固耐用的工业兼容站接口,带有 PROFINET 兼容 RJ45 插入式连接器,外壳上有锁定机构,可提供附加的弯曲应力消除
  • 冗余电源
  • 故障信号触点
  • 设备上具有 LED 诊断指示灯(电源、链路状态、数据通信)
  • 可以将 C-PLUG (配置插头)作为移动介质插入,在发生故障时,无需编程设备即可快速更换模块

SCALANCE S602 和 S612: 2 个 RJ45 端口(红色/绿色)

要保护的设备连接至标为绿色的端口,而标为红色的端口用于与外部网络相连。

2. 订货信息

产品名称 订货号
SCALANCE S602
SCALANCE S612
6GK5 602-0BA10-2AA3
6GK5 612-0BA10-2AA3

3. 可能应用

SCALANCE S 用于控制对自动化设备的访问,并为工业环境中的数据传输提供保护。此时,安全性完全独立于协议,这意味着可对所有基于 IP (第 3 层)和基于 MAC (第 2 层)的通信进行保护。因此,可按照单元保护方案来保障下层网络的安全。通过数据加密,可确保自动化系统之间实现安全数据通信,针对数据窃取和操纵提供保护。SCALANCE S 是针对在机柜中使用而设计的。

客户利益:

  • 针对以太网网络中的任何设备提供访问保护
  • 可通过 Internet 实现安全远程访问(例如,使用 DSL 调制解调器)
  • 可通过 SNMP (V1 + V3)集成到网络管理系统中,从而可进行集成网络诊断
  • 通过桥接模式,可方便地集成到现有网络中;无需对终端进行重新组态,无需引入新的 IP 子网。
  • 通过 NAT 或 NAPT (网络地址和端口转换)功能,可在内部网络中使用专用 IP 地址
  • 具有坚固的工业设计,适合在工业环境中使用

作为西门子工业安全设计的一部分,西门子提供了以下带有集成 VPN 和防火墙安全机制的产品:

  • SCALANCE S:用于保护任何设备和数据传输的安全设备
  • CP 343-1 Advanced:用于保护 SIMATIC S7-300 和数据传输的安全通信处理器
  • CP 443-1 Advanced:用于保护 SIMATIC S7-400 和数据传输的安全通信处理器
  • CP 1628:用于保护 PC 和数据传输的安全通信处理器

此产品线通过 Softnet Security Client 而变得完整,而 Softnet Security Client 可用作 VPN 客户端软件,用于建立从 PC 或便携式 PC 到上面所列 SIMATIC NET 模块的安全 VPN 连接。

 

这些产品是使用相同的组态工具(集成到 STEP 7 中的 SCT 或 SCT)进行组态的,可以相互建立安全 VPN 连接。全局防火墙规则组可与所有上述产品(Softnet Security Client 除外)结合使用,无需针对每个单独产品来创建。

 

4. 技术数据


总的来说,SCALANCE S V3 的技术数据对应于 SCALANCE S 以前的技术数据。

SCALANCE S602 的安全功能:

  • 状态检测防火墙

+ 全局防火墙规则

+ 用户特定防火墙规则

 

SCALANCE S612 的安全功能

  • 状态检测防火墙

+ 全局防火墙规则

+ 用户特定防火墙规则

  • IPSec VPN

VPN 连接的最大数目:128

内部网络中的最大设备数目:128

 

图: SCALANCE S612