СТА 4/2017

34 СТА 4/2017 ОБЗОР /ПРОМЫШЛЕННЫЕ СЕТИ www.cta.ru В ВЕДЕНИЕ Принцип построения защиты про- мышленной Ethernet-сети “Defense in Depth” является одним из наиболее по- пулярных [1]. Многоуровневая структу- ра позволяет создать высокоэффектив- ную многоступенчатую защиту, которая будет отвечать самым современным требованиям. Фактически согласно “Defense in Depth” для разных областей промышленной сети необходимо ре- шать разные задачи. Для организации защиты границы сети, условно назовём это уровнем 1, необходимо в первую очередь обеспечить защиту от внешних угроз. Решается это путём установки промышленного брандмауэра на грани- це сети, который должен функциони- ровать на уровне L3 модели OSI [1]. Та- кой подход является классикой и поз- воляет как осуществить контроль про- ходящего трафика, так и предоставить дополнительную полезную функцио- нальность. “Defense in Depth” в действии. Уровень 1: защита границы сети Сергей Воробьёв В статье рассмотрен вариант организации защиты границы промышленной сети Industrial Ethernet при условии построения её по принципу “Defense in Depth”. В качестве возможного инструментария описан промышленный брандмауэр EAGLE One компании Hirschmann. ПЛК Сеть контроля Граница промышленной сети Офисная сеть Интернет Сеть предприятия Средства удалённой диагностики Внешняя сеть ПЛК IT-брандмауэр IT-брандмауэр Каналы Серверы Серверы ПК контрагента Станции инженеров Станции операторов Рабочие ПК Корпоративные серверы Точка доступа Wi-Fi Точка доступа Wi-Fi Коммутируемое соединение Зоны Рис. 1. Пример сети промышленного объекта