工業(yè)通信是確保公司成功運營的重要因素，必須對網(wǎng)絡采取必要的保護措施。西門子作為優(yōu)秀的合作伙伴，我們的產(chǎn)品包含有安全模塊、軟件以及各種集成安全功能的組件。這些通信模塊除了具有通信功能之外，還可執(zhí)行諸如防火墻和 VPN 等特殊安全功能。

西門子的集成安全模塊包括：

●SCALANCE S 安全模塊。例如，帶有 DMZ（非軍事區(qū)）端口的 S623，可在必要時開放一個單獨且具有一定限制權限的網(wǎng)絡接入點，用于實施技術服務（如，通過因特網(wǎng)進行遠程維護）。

●在因特網(wǎng)或者公司內(nèi)網(wǎng)，可以利用 SOFTNET 安全客戶端軟件，訪問由 SCALANCE S 或者集成有安全功能的組件保護的自動化單元和計算機。

●可通過 CP 343-1 Advanced、CP 443-1 Advanced 和 CP 1543-1 通信處理器對 SIMATIC S7-300、S7-400 和 S7-1500 控制器進行保護。這些通信處理器具有防火墻和 VPN（虛擬專用網(wǎng)）功能（在 STEP7 V12 SP1 中對 CP 1543-1 進行組態(tài)），可防止未經(jīng)授權的訪問，防止數(shù)據(jù)竊取和惡意篡改。

●CP 1628 通信處理器則是通過防火墻和 VPN 確保工業(yè)計算機的信息安全，而無需對操作系統(tǒng)進行特殊的安全通信設置。采用這種方式，可直接將裝配有該模塊的計算機連接到受保護的安全單元中。

●SCALANCE M875 UMTS 路由器，用于通過 UMTS 移動網(wǎng)絡安全訪問各個工廠車間。

防火墻

使用安全模塊，根據(jù)所定義的安全限制條件，組態(tài)相應的防火墻規(guī)則，允許或者禁止互連網(wǎng)絡間的數(shù)據(jù)通信。例如，只允許通過一臺特定的計算機訪問指定控制器。

虛擬專用網(wǎng) (VPN)

VPN 隧道可以連接兩個或兩個以上的處于不同網(wǎng)段的網(wǎng)絡節(jié)點（例如，安全模塊）。這種隧道中的數(shù)據(jù)經(jīng)過加密之后，即使通過非安全網(wǎng)絡（例如，因特網(wǎng)）進行傳輸，第三方也無法竊聽或者篡改。而且，VPN 與 IPSec 技術配用使用時，還可以降低以服務和技術支持為目的臨時接入的“外部計算機”的潛在威脅。

虛擬局域網(wǎng) (VLAN)

虛擬局域網(wǎng)的特點在于，可通過組態(tài)將設備分配給一個設備組，而無需考慮設備的物理位置。這樣，這些設備組中的設備即可共享一個物理的網(wǎng)絡基礎設施。結果是，在一個物理網(wǎng)絡上存在多個“虛擬網(wǎng)絡”，數(shù)據(jù)通信發(fā)生在虛擬局域網(wǎng)之內(nèi)。

端口安全

采用這種訪問控制功能，可以控制各個端口禁止未知節(jié)點的數(shù)據(jù)訪問。如果在某個端口啟用了訪問控制功能，則對于未知 MAC 地址傳送來的數(shù)據(jù)包將立即丟棄，而只接受從已知節(jié)點傳送的數(shù)據(jù)包。

RADIUS：遠程接入認證服務

RADIUS 的理念是基于遠程認證服務器。只有當工業(yè)以太網(wǎng)交換機成功通過認證服務器對終端設備登錄數(shù)據(jù)的驗證之后，該設備才能訪問網(wǎng)絡信息。而且終端設備和認證服務器都需要支持 EAP 協(xié)議（擴展認證協(xié)議）。