Edge 网关的安全通知
重要
为安全起见,操作时必须注意 CODESYS Edge Gateway 它包含的功能可能会导致意外攻击。作为两者之间的中心纽带 CODESYS Automation Server 和现有的 PLC 网络,Edge Gateway 存在此类攻击的潜在风险。因此,运营商必须采取适当的措施来防止未经授权的访问。
为了有效保护,必须在激活功能之前(因此在 Edge Gateway 启动之前)采取以下安全措施。
提示
有关安全和 0_Global: Produkt CAS 的更多信息,请参阅: CODESYS 自动化服务器的安全
Edge 网关允许 CODESYS Automation Server 和所有客户端,它们通过 CODESYS Automation Server (CODESYS, web 可视化/浏览器), 可以完全访问运行时系统通过通信接口提供的所有服务。
防火墙
Edge Gateway 只能在 PLC 网络中运行。 Edge Gateway 必须能够访问此网络中的 PLC。但是,远程访问(互联网)PLC 和 Edge 网关需要有效的保护(防火墙)。
Edge Gateway 的网关端口(默认设置:1217)不得远程访问(互联网)。
配置
Edge Gateway 应仅在安全环境中配置。这 CODESYS Automation Server Connector 用于此的必须位于受信任的网络环境中。
在操作期间,您必须确保不能对 Edge Gateway 进行任何未经授权的配置。
以下设置可以更轻松地为 Edge Gateway 创建安全环境。这两个设置都在配置文件中指定 Gateway.cfg, 也相互结合。
限制网关的可访问性:通常情况下,计算机的每个 IP 地址都可以访问网关。要启用安全配置,可能需要网关只能在一个特定 IP 地址下访问。这可以通过以下设置来完成
Gateway.cfg:[CmpGwCommDrvTcp]LocalAddress=<IP address>示例
IP address:127.0.0.1限制网关对特定通信对等方的可访问性:通常,网关接受所有连接请求。为了启用安全配置,网关只允许来自特定客户端的连接是有意义的,具体取决于网络配置。这可以通过以下设置来完成:
[CmpGwCommDrvTcp]PeerAddress=<IP address or network base address>为此提供了三种不同的配置选项:
该设置不可用:网关允许来自所有客户端的连接。
该设置分配给特定的 IP 地址:网关仅允许来自具有此 IP 地址的客户端的连接。
该设置分配给网络基地址:网关允许来自该网络中所有客户端的连接。网络基地址是本地网络中可能的最小地址。地址可以如下计算:
<local IP address> AND <subnet mask> = <network base address>
访问 Edge Gateway 设备
运行 Edge Gateway 的设备上的文件系统必须受到保护,以防止未经授权的访问。未经授权的人员不得读取或修改机密信息(配置、证书、访问数据等)。
连接到 CODESYS Automation Server
连接成功后 CODESYS Automation Server,服务器通过加密隧道获得对 Edge Gateway 网络中所有可用 PLC 的完全访问权限。如果这对设施的运行造成额外的安全威胁,则必须专门评估和解决这些威胁。
有关更多信息,请参阅: 将 Edge 网关连接到服务器并进入 PLC