SCALANCE S 工业信息安全设备用于保护自动化工程和工业通信中的设备与网络。例如，它们具有具有以下突出特点：

• 实施单元保护方案并支持实施西门子深度防御方案
• 通过集成防火墙检查并过滤数据流量，因此：
  • 防止操作错误
  • 防止未经授权的访问
  • 防止故障和通讯过载
• 经由 VPN 验证通信伙伴并对传输的数据加密，从针对窃取和操纵为通信提供保护
• 坚固的工业兼容设备设计
• 配置方便而清晰：
  TIA Portal 可用来在一个中心位置组态和诊断所有 SIMATIC NET 安全产品
• 无需对现有网络拓扑、应用程序或网络站点进行更改或调整，因为 SCALANCE S 工业信息安全设备也可用作网桥而不仅仅是路由器。
• 通信保护是独立于协议的保护（如 PROFINET 或其它基于以太网的现场总线站）
• 可通过任何提供商，没有限制地借助于 Internet 进行安全远程访问
• 通过以冗余方式保护自动化单元或环形拓扑，可以提高可用性

产品型号：

工业防火墙设备：

SCALANCE SC632-2C；

• 使用状态检测防火墙，可以防止对网段的非法访问
• 通过 2x 组合端口（RJ45 电气端口 (10/100/1000 Mbit/s) 或 SFP 光纤端口（100 Mbit/s 或 1000 Mbit/s））进行连接
• 防火墙数据吞吐量高达 600 Mbit/s。
• 通过 VPN 连接 SINEMA Remote Connect。

SCALANCE SC636-2C；

• 使用状态检测防火墙，可以防止对网段的非法访问
• 通过 4 个 RJ45 电气端口 (10/100/1000 Mbit/s) 和 2 个组合端口（RJ45 电气端口 (10/100/1000 Mbit/s) 或 SFP 光纤端口（100 Mbit/s 或 1000 Mbit/s））进行连接
• 防火墙数据吞吐量高达 600 Mbit/s。
• 通过 VPN 连接 SINEMA Remote Connect。

工业 VPN 设备：

SCALANCE S615;

• 使用状态检测防火墙，可以防止对网段的非法访问
• 可同时运行*多 20 个 VPN 隧道
• 通过 5X 电气端口与 RJ45（10/100 Mbps）连接。
• 防火墙数据吞吐量高达 100 Mbit/s。
• 防火墙数据吞吐量高达 35 Mbit/s。
• 通过 VPN 连接 SINEMA Remote Connect。

SCALANCE SC642-2C；

• 使用状态检测防火墙，可以防止对网段的非法访问
• 可同时运行*多 200 个 VPN 隧道
• 通过 2x 组合端口（RJ45 电气端口 (10/100/1000 Mbit/s) 或 SFP 光纤端口（100 Mbit/s 或 1000 Mbit/s））进行连接
• 防火墙数据吞吐量高达 600 Mbit/s。
• 防火墙数据吞吐量高达 120 Mbit/s。
• 通过 VPN 连接 SINEMA Remote Connect。

SCALANCE SC646-2C；

• 使用状态检测防火墙，可以防止对网段的非法访问
• 可同时运行*多 200 个 VPN 隧道
• 通过 4 个 RJ45 电气端口 (10/100/1000 Mbit/s) 和 2 个组合端口（RJ45 电气端口 (10/100/1000 Mbit/s) 或 SFP 光纤端口（100 Mbit/s 或 1000 Mbit/s））进行连接
• 防火墙数据吞吐量高达 600 Mbit/s。
• 防火墙数据吞吐量高达 120 Mbit/s。
• 通过 VPN 连接 SINEMA Remote Connect。

• 针对未授权访问为工业自动化网络提供保护，并可建立 DMZ（隔离区）以便与其它网络进行数据交换而不必直接访问生产网络。
• 实施单元保护方案可确保：
  • 为基于以太网且自身没有安全功能的可编程控制器和自动化系统提供保护
  • 同时保护多台设备
  • 通过形成受保护的独立通信区（网络分隔）来降低网络故障和未授权网络访问带来的风险
  • 保护与自动化单元之间通信的安全
• 借助于 SNMP 集成到 IT 基础设施和网络管理系统中，从而实现系统范围的网络诊断
• 借助于 Internet 为远程访问提供保护。动态 IP 地址也可与 PPPoE 和 DDNS 结合使用。
• 无需反复配置终端节点或建立新的 IP 子网，即可顺利集成到现有网络中。
• 使用 C-Plug 可移动数据存储介质来备份组态数据，无需编程设备即可更换设备
• 直接集成到环型拓扑中
• 可直接集成到光纤网络中（SCALANCE SC632-2C、SC636-2C、SC642-2C、SC646-2C）

SCALANCE S 系列工业安全设备可用于针对未授权访问为工业以太网网络的所有设备提供保护。SCALANCE S 也防止设备间或网段（如自动化单元）间的数据传输被监听或控制；还可用于通过因特网的安全远程访问。

工业安全设备不仅可在网桥模式下运行，也可直接在 IP 子网边界处使用。

采用 SCALANCE M-800 系列2G/3G/4G 路由器，可以实现基于因特网或 2G/3G/4G 的远程安全访问。

SCALANCE S *适宜用于自动化和工业环境，符合自动化系统的特定要求，如现有系统升级容易，安装简便，故障停机时间*小。

SCALANCE S602

• 检查数据流量，并通过状态检测防火墙防止未经授权的访问。
• 借助公用防火墙规则和 IP 地址符号名，可以快速、简单地组态防火墙。
• 根据与用户相关的防火墙规则向用户授予特定访问权限。
• 10/100/1 000 Mbit/s 端口，用于在千兆网络中连接和运行 SCALANCE S
• 除网桥模式外，还可在路由器模式下运行，因此可直接在 IP 子网边界处使用
• 地址转换
  • 借助 NAT（网络地址转换），可以将公用 IP 地址转换为私用 IP 地址，因而，可以使用内网中的私用 IP 地址。
  • 借助 NAPT（网络地址和端口转换），可以根据所使通信端口对发送至私用 IP 地址的帧进行转换，从而，可以使用内网中的私用 IP 地址。
• 内网节点可以从集成式 DHCP 服务器获得它们的 IP 地址
• Syslog 服务器还可以评估日志文件
• 通过 SNMP，实现 IT 基础设施和网络管理系统的高度整合
• 通过动态切换 IP 地址来交替保护具体设备（“Ghost”模式）

SCALANCE S612

此外，SCALANCE S602 还可以：

• 通过 VPN (IPSec) 加密数据传输
  • 防止监听
  • 防止被未授权操控
• 通过 Internet 进行安全远程访问，例如，与 SOFTNET Security Client 和 SCALANCE M UMTS 路由器（具有 IPSec VPN 功能）相结合

SCALANCE S615

• 检查数据流量，并通过状态检测防火墙防止未经授权的访问。
• 10/100 Mbps 端口
• 路由器可以直接在 IP 子网边界处使用
• 每个基于端口的 VLAN，*多可有 5 个可变安全区
  • 通过编程可以任意调整这些安全区
  • 安全区之间的防火墙规则可以自由地组态
• 地址转换
  • 借助 NAT（网络地址转换），可以将公用 IP 地址转换为私用 IP 地址，因而，可以使用内网中的私用 IP 地址。
  • 借助 NAPT（网络地址和端口转换），可以根据所使通信端口对发送至私用 IP 地址的帧进行转换，从而，可以使用内网中的私用 IP 地址。
• 内网节点可以从集成式 DHCP 服务器获得它们的 IP 地址
• Syslog 服务器还可以评估日志文件
• 通过 SNMP，实现 IT 基础设施和网络管理系统的高度整合
• 通过 VPN（IPSec 和 OpenVPN）对数据传输进行加密
  • 防止监听
  • 防止被未授权操控
• 通过 Internet 进行安全远程访问，例如，与 SOFTNET Security Client 和 SCALANCE M 系列的 2G/3G/4G 路由器（具有 IPSec VPN 功能）结合使用
• 通过具有 OpenVPN 功能的自动配置接口，可极为简便地连接到 SINEMA Remote Connect（可通过 Key-Plug SINEMA RC 启用）

SCALANCE S623

如 SCALANCE S612；此外，还可以：

• 通过 DMZ 端口在两个网络间建立保护区（DMZ = demilitarized，即隔离）。DMZ 用于为其它网络提供数据，但不允许直接访问自动化网络，从而可大幅提高安全性。DMZ 端口也可用于保护远程维护访问，例如，只能访问低层的自动化单元，无需访问工厂网络。
• 通过路由器和防火墙冗余对自动化单元进行安全、冗余连接

SCALANCE S627-2M

如 SCALANCE S623；此外，还可以：

• 两个介质模块插槽可分别提供两个额外的切换式红色或绿色端口。
  • 可直接集成在总线型或环型拓扑中
  • 可集成到冗余环网中（MRP、HRP）
  • 对自动化单元或环网进行安全、冗余连接
  • 使用光纤介质模块，可直接集成在光纤网络中
  • 桥接更长的电缆段；或通过部署 MM992-2VD 介质模块（可变距离）来利用现有两线电缆（如 PROFIBUS）

SCALANCE SC632-2C 和 SCALANCE SC636-2C

• 通过防火墙提供单元保护，速度为 600 Mbit/s，*多 1000 个 NAT/NAPT 防火墙规则，用于与具有相同 IP 地址的系列计算机通信
• 通过 SINEMA Remote Connect 进行安全远程接入。
• 通过光纤实现较大距离（*长 200 km）
• 数字量输入用于在本地激活安全远程访问。
• 2 个或 6 个 RJ45 电气端口，2 个 SFP 光纤端口，经由组合端口控制台端口，用于通过编程设备直接访问。
• 冗余 24 V DC 电源
• 各种安装选件，安装快速而安全
• 设计紧凑，带有金属后面板
• 通过 C-Plug 移动式数据存储介质进行简单设备更换，用于自动备份组态数据。

SCALANCE SC642-2C 和 SCALANCE SC646-2C

• 通过防火墙提供单元保护，速度为 600 Mbit/s，*多 1000 个防火墙规则
• 管理*多 200 个数据速率高达 120 Mbit/s 的 VPN 连接。
• NAT/NAPT 用于与具有相同 IP 地址的系列计算机通信
• 通过 SINEMA Remote Connect 进行安全远程接入。
• 通过光纤实现较大距离（*长 200 km）
• 数字量输入用于在本地激活安全远程访问。
• 2 个或 6 个 RJ45 电气端口，2 个 SFP 光纤端口，经由组合端口控制台端口，用于通过编程设备直接访问。
• 冗余 24 V DC 电源
• 各种安装选件，安装快速而安全
• 设计紧凑，带有金属后面板
• 通过 C-Plug 移动式数据存储介质进行简单设备更换，用于自动备份组态数据。

安全功能

VPN（虚拟私有网络）
（适用于 S615、SC642-2C、SC646-2C ）
用于可靠鉴别（验证）网络节点，数据加密以及检查数据的完整性。

• 鉴别；
  都输入数据通讯都将被监视和检查。由于 IP 地址可被伪造（IP 侦听），仅检查 IP 地址（客户机访问）是不够的。此外，客户机 PC 的 IP 地址还可能发生变化。为此，将通过已经验证和测试的 VPN 机制进行鉴别。
• 数据加密；
  安全加密能够防止数据通讯被监听和未授权操控。这就意味着网络中的窃听者无法操控数据通讯。为此，工业信息安全设备建立与其它安全设备之间的 VPN 隧道。

防火墙
可用作备选方案或使用灵活的访问控制补充 VPN。
防火墙能够过滤数据包，根据过滤表和状态检测启用或禁用通讯链路。输入和输出通信、IP 和 MAC 地址以及通信协议（端口）都可过滤。

• 日志记录； 
  访问数据由工业信息安全设备保存到一个日志文件。可以检测如何、何时以及由谁来访问网络并能检测所做的访问尝试，从而能够采取响应预防措施。

根据 Achilles II 标准进行认证：

组态是使用 TIA Portal 进行的。因此，可以从一个中心位置来组态和诊断所有 SIMATIC NET 安全产品。所有组态数据都保存在任选 C-PLUG 可移动数据存储介质（不在供货范围内），以便能在发生故障时能够快速更换安全模块而无需使用编程器。

SCALANCE S615, SC632-2C, SC636-2C, SC642-2C, SC646-2C

除通过 TIA Portal 进行组态外，还可使用 Web Based Management (WBM)、命令行工具 (CLI) 或 SNMP 进行组态。

配置

使用 SCALANCE S 工业安全设备，不用直接连接到自动化网络即可实现安全远程访问

以 DMZ（隔离区）为例，介绍一种灵活的安全区方案。

经由虚拟专用网 (VPN) 实现与各种远程站之间的安全、直接通信