Модули серии SCALANCE S Siemens
Область применения
Модули серии SCALANCE S разработаны для защиты данных, передаваемых через промышленные сети, но способны выполнять свои функции и в офисных сетях, а также системах, использующих IT технологии. Они отвечают специальным требованиям по защите данных систем автоматизации и позволяют выполнять простую модернизацию существующих систем промышленной связи, отличаются простотой монтажа, обеспечивают получение минимального времени простоя в случае отказа системы.
Для обеспечения требуемого уровня безопасности допускается объединение различных мер по защите данных. Модули SCALANCE S612 и SCALANCE S613 могут применяться как для защиты отдельных систем автоматизации, так и для защиты сегментов сети.
Обзор
SIMATIC NET модули защиты данных SCALANCE S 612 и SCALANCE S 613
- Защита промышленных сетей и обеспечение безопасного обмена данными между программируемыми контроллерами
- Обеспечение возможности обмена данными только между зарегистрированными и авторизованными приборами с обеспечением защиты:
- от ошибок оператора
- от несанкционированного доступа
- от ошибок и перегрузки системы связи
- Кодирование передаваемых данных:
- защита от шпионажа
- защита от неправомерных действий с данными
- Минимальное конфигурирование, отсутствие необходимости иметь специальные знания в области защиты данных при использовании IT технологий
- Отсутствие необходимости внесения изменений в существующие сетевые структуры, приложения и станции
- Обеспечение защиты передаваемых данных независимо от типа используемого коммуникационного протокола (PROFINET, Ethernet IP, MODBUS TCP и т.д.)
- Замена модулей без повторного конфигурирования сети, сохоранение всех параметров настройки в съемном модуле памяти C-PLUG (не входит в комплект поставки)
Дизайн
SCALANCE S602
- 10/100/1000 Мбит/с порты для подключения и работы модуля SCALANCE S в гигабитных сетях.
- Дополнительно к режиму моста может функционировать в режиме маршрутизатора и использоваться непосредственно на границе IP подсетей.
- Преобразование адресов:
- NAT (Network Address Translation) позволяет конвертировать частные IP адреса во внутренней сети в общие IP адреса.
- NAPT (Network Address and Port Translation) позволяет конвертировать частные IP адреса во внутренней сети в общие IP адреса при передаче телеграмм через соответствующий коммуникационный порт.
- Станции внутренней сети получают свои IP адреса от встроенного DHCP сервера.
- Файлы регистрации данных могут обрабатываться Syslog сервером.
- Простое и быстрое конфигурирование брандмауэра с использованием глобальных правил и символьных имен IP адресов.
- Расширенная интеграция в IT инфраструктуру и систему управления сетью на базе протокола SNMP.
SCALANCE S612 и SCALANCE S623
Дополнительно к SCALANCE S602:
- Кодирование передаваемых данных через VPN (IPSec):
- Защита от шпионажа.
- Защита от неправомерного использования данных.
- Защищенный удаленный доступ через Интернет. Например, в сочетании с программным обеспечением "SOFTNET Security Client" и GPRS маршрутизатором MD741-1 или UMTS маршрутизатором SCALANCE M875.
Функции
Функции защиты данных
VPN (Virtual Private Network - виртуальная частная сеть);
для надежной идентификации сетевых станций, кодирования и проверки целостности передаваемых данных.
- Идентификация;
Мониторингу и проверке подвергаются все поступающие данные. IP адреса могут быть фальсифицированы (IP spoofing), поэтому одной проверки IP адресов не достаточно. Кроме того, некоторые клиенты имеют альтернативные IP адреса. Поэтому для выпонения идентификации используются хорошо зарекомендовавшие себя механизмы VPN. - Кодирование данных;
Кодирование передаваемых данных обеспечивает их защиту от шпионажа и непавомерных действий. После кодирования передаваемые данные становятся непонятными для всех прослушивающих сетевых устройств. Декодировать эти данные способен только модуль SCALANCE S, установленный на приемной стороне. Логические соединения между модулями SCALANCE S создаются на основе VPN туннелей.
Межсетевая защита (Firewall);
Может использоваться как альтернатива или дополнять механизмы VPN гибкими возможностями управления доступом к сети.
Межсетевая защита фильтрует пакеты данных в соответствии со списком фильтрации и запрещает или разрешает установку коммуникационных соединений (межсетевой защитный фильтр пакетов данных). Фильтрации могут подвергаться передаваемые и принимаемые пакеты данных, IP и MAC адреса, а также коммуникационные протоколы (порты).
- Регистрация;
Регистрация является исключительно важной операцией для контроля доступа к сети. Модули SCALANCE S заносят в специальный файл регистрации данные о том кто, когда, как и к кому обращался. Анализ этой информации позволяет выявлять попытки неправомерного доступа к сети и предпринимать соответствующие меры пресечения подобных попыток.
Модификации модулей:
SCALANCE S612;
защита до 3 приборов,
одновременная поддержка до 64 VPN туннелей
SCALANCE S612;
защита до 64 приборов,
одновременная поддержка до 128 VPN туннелей;
диапазон рабочих температур от -20 до +70 °C
Конфигурирование
Конфигурирование может выполняться персоналом, не имеющим специальных знаний в области IT технологий. Конфигурированию подвергаются только модули защиты, поддерживающие между собой защищенный обмен данными. Все параметры конфигурации сохраняются в съемном модуле памяти C-PLUG, что позволяет производить замену модулей SCALANCE S без повторного конфигурирования системы связи. Модуль C-PLUG не входит в комплект поставки SCALANCE S и должен заказываться отдельно.
Примеры конфигураций
Защищенный обмен данными с использованием модулей SCALANCE S
Обмен данными между программатором (PG) и приборами, защищенными модулями SCALANCE S
Обмен данными между программируемыми контроллерами, защищенными модулями SCALANCE S
Особенности
- Управление доступом и защита передаваемых данных в промышленных сетях
- Минимальное конфигурирование, отсутствие необходимости иметь специальные знания в области защиты данных при использовании IT технологий.
- Простая интеграция в существующие системы связи без внесения изменений в топологию сети и реконфигурирования сетевых станций.
- Обеспечение защиты передаваемых данных независимо от типа используемого коммуникационного протокола (например, PROFINET, Ethernet/IP, Modbus TCP, и т.д.), распространение защиты на 2-й уровень транспортных протоколов систем автоматизации.
- Прочная конструкция, ориентированная на работу в промышленных условиях.
- Замена модуля без повторного конфигурирования системы, сохранение параметров настройки в съемном модуле памяти C-Plug (для IT функций обеспечивается сохранение и файловой системы).
- Международный сертификат ISO/IEC 15408 Common Criteria, обеспечение максимального уровня защиты передаваемых данных "Evaluation Assurance Level" EAL4+"
Технические данные
Order number | 6GK5602-0BA10-2AA3 | 6GK5612-0BA10-2AA3 | 6GK5623-0BA10-2AA3 | |
|---|---|---|---|---|
Product type designation | SCALANCE S602 | SCALANCE S612 | SCALANCE S623 | |
Transmission rate |
|
|
| |
Transfer rate | 10 Mbit/s, 100 Mbit/s, 1 000 Mbit/s | 10 Mbit/s, 100 Mbit/s, 1 000 Mbit/s | 10 Mbit/s, 100 Mbit/s, 1 000 Mbit/s | |
Interfaces |
|
|
| |
Number of electrical/optical connections for network components or terminal equipment maximum | 2 | 2 | 3 | |
Number of electrical connections |
|
|
| |
| 1 | 1 | 1 | |
| 1 | 1 | 1 | |
| 0 | 0 | 1 | |
| 1 | 1 | 1 | |
| 1 | 1 | 1 | |
| 1 | 1 | 1 | |
Type of electrical connection |
|
|
| |
| RJ45 port | RJ45 port | RJ45 port | |
| RJ45 port | RJ45 port | RJ45 port | |
| - | - | RJ45 port | |
| 2-pole terminal block | 2-pole terminal block | 2-pole terminal block | |
| 4-pole terminal block | 4-pole terminal block | 4-pole terminal block | |
design of the removable storage C-PLUG | Yes | Yes | Yes | |
Signal-Inputs/outputs |
|
|
| |
Operating voltage of the signaling contacts for DC Rated value | 24 V | 24 V | 24 V | |
Operating current of the signaling contacts for DC maximum | 0.1 A | 0.1 A | 0.1 A | |
Supply voltage, current consumption, power loss |
|
|
| |
Supply voltage external | 24 V | 24 V | 24 V | |
Supply voltage external | 19.2 ... 28.8 V | 19.2 ... 28.8 V | 19.2 ... 28.8 V | |
Type of voltage of the supply voltage | DC | DC | DC | |
Consumed current maximum | 0.5 A | 0.5 A | 0.6 A | |
Product component fusing at power supply input | Yes | Yes | Yes | |
Fuse protection type at input for supply voltage | Non-replaceable melting fuse (F 3 A / 32 V) | Non-replaceable melting fuse (F 3 A / 32 V) | Non-replaceable melting fuse (F 3 A / 32 V) | |
Active power loss |
|
|
| |
| 6.72 W | 6.72 W | 6.96 W | |
Permitted ambient conditions |
|
|
| |
Ambient temperature |
|
|
| |
| -40 ... +60 °C | -40 ... +60 °C | -40 ... +60 °C | |
| -40 ... +80 °C | -40 ... +80 °C | -40 ... +80 °C | |
| -40 ... +80 °C | -40 ... +80 °C | -40 ... +80 °C | |
Relative humidity at 25 °C without condensation during operation maximum | 95 % | 95 % | 95 % | |
Protection class IP | IP20 | IP20 | IP20 | |
Design, dimensions and weight |
|
|
| |
Design | compact | compact | compact | |
Width | 60 mm | 60 mm | 60 mm | |
Height | 125 mm | 125 mm | 125 mm | |
Depth | 124 mm | 124 mm | 124 mm | |
Net weight | 0.8 kg | 0.8 kg | 0.81 kg | |
Mounting type | Screw mounting on horizontal and vertical surfaces | Screw mounting on horizontal and vertical surfaces | Screw mounting on horizontal and vertical surfaces | |
Mounting type |
|
|
| |
| Yes | Yes | Yes | |
| Yes | Yes | Yes | |
| Yes | Yes | Yes | |
Product properties, functions, components general |
|
|
| |
Product function DynDNS client | Yes | Yes | Yes | |
Protocol is supported PPPoE | Yes | Yes | Yes | |
Product functions management, configuration |
|
|
| |
Product function |
|
|
| |
| Yes | Yes | Yes | |
Protocol is supported |
|
|
| |
| Yes | Yes | Yes | |
| Yes | Yes | Yes | |
Type of configuration | SCT: Security Configuration Tool (included in scope of delivery) | SCT: Security Configuration Tool (included in scope of delivery) | SCT: Security Configuration Tool (included in scope of delivery) | |
Product functions Diagnosis |
|
|
| |
Product function |
|
|
| |
| Yes | Yes | Yes | |
| Yes | Yes | Yes | |
| Yes | Yes | Yes | |
| Yes | Yes | Yes | |
Product functions DHCP |
|
|
| |
Product function |
|
|
| |
| Yes | Yes | Yes | |
Product functions Routing |
|
|
| |
Product function Static IP routing | Yes | Yes | Yes | |
Product functions Security |
|
|
| |
Firewall version | stateful inspection | stateful inspection | stateful inspection | |
Product function with VPN connection | - | IPSec | IPSec | |
Type of encryption algorithms with VPN connection | - | AES-256, AES-192, AES-128, 3DES-168, DES-56 | AES-256, AES-192, AES-128, 3DES-168, DES-56 | |
Type of authentication procedure with VPN connection | - | Preshared key (PSK), X.509v3 certificates | Preshared key (PSK), X.509v3 certificates | |
Type of hashing algorithms with VPN connection | - | MD5, SHA-1 | MD5, SHA-1 | |
Number of possible connections with VPN connection | 0 | 128 | 128 | |
Number of network nodes for internal network with VPN connection |
|
|
| |
| 128 | 128 | ||
| - | Limitation only applies in bridge mode. No limitation in routing mode | Limitation only applies in bridge mode. No limitation in routing mode | |
Product function |
|
|
| |
| Yes | Yes | Yes | |
| Yes | Yes | Yes | |
| Yes | Yes | Yes | |
Product functions Redundancy |
|
|
| |
Product function |
|
|
| |
| Yes | |||
Product functions Time |
|
|
| |
Product function pass on time synchronization | Yes | Yes | Yes | |
Protocol is supported NTP | ||||
Ответ от производителя может занять до 5 дней и более.
