Модули серии SCALANCE S

Заказные данные
(5)
Аксессуары
(12)

SIMATIC NET модули защиты данных SCALANCE S 612 и SCALANCE S 613

Защита промышленных сетей и обеспечение безопасного обмена данными между программируемыми контроллерами
Обеспечение возможности обмена данными только между зарегистрированными и авторизованными приборами с обеспечением защиты:
- от ошибок оператора
- от несанкционированного доступа
- от ошибок и перегрузки системы связи
Кодирование передаваемых данных:
- защита от шпионажа
- защита от неправомерных действий с данными
Минимальное конфигурирование, отсутствие необходимости иметь специальные знания в области защиты данных при использовании IT технологий
Отсутствие необходимости внесения изменений в существующие сетевые структуры, приложения и станции
Обеспечение защиты передаваемых данных независимо от типа используемого коммуникационного протокола (PROFINET, Ethernet IP, MODBUS TCP и т.д.)
Замена модулей без повторного конфигурирования сети, сохоранение всех параметров настройки в съемном модуле памяти C-PLUG (не входит в комплект поставки)

Область применения

Модули серии SCALANCE S разработаны для защиты данных, передаваемых через промышленные сети, но способны выполнять свои функции и в офисных сетях, а также системах, использующих IT технологии. Они отвечают специальным требованиям по защите данных систем автоматизации и позволяют выполнять простую модернизацию существующих систем промышленной связи, отличаются простотой монтажа, обеспечивают получение минимального времени простоя в случае отказа системы.

Для обеспечения требуемого уровня безопасности допускается объединение различных мер по защите данных. Модули SCALANCE S612 и SCALANCE S613 могут применяться как для защиты отдельных систем автоматизации, так и для защиты сегментов сети.

Дизайн

SCALANCE S602

10/100/1000 Мбит/с порты для подключения и работы модуля SCALANCE S в гигабитных сетях.
Дополнительно к режиму моста может функционировать в режиме маршрутизатора и использоваться непосредственно на границе IP подсетей.
Преобразование адресов:
- NAT (Network Address Translation) позволяет конвертировать частные IP адреса во внутренней сети в общие IP адреса.
- NAPT (Network Address and Port Translation) позволяет конвертировать частные IP адреса во внутренней сети в общие IP адреса при передаче телеграмм через соответствующий коммуникационный порт.
Станции внутренней сети получают свои IP адреса от встроенного DHCP сервера.
Файлы регистрации данных могут обрабатываться Syslog сервером.
Простое и быстрое конфигурирование брандмауэра с использованием глобальных правил и символьных имен IP адресов.
Расширенная интеграция в IT инфраструктуру и систему управления сетью на базе протокола SNMP.

SCALANCE S612 и SCALANCE S623

Дополнительно к SCALANCE S602:

Кодирование передаваемых данных через VPN (IPSec):
- Защита от шпионажа.
- Защита от неправомерного использования данных.
Защищенный удаленный доступ через Интернет. Например, в сочетании с программным обеспечением "SOFTNET Security Client" и GPRS маршрутизатором MD741-1 или UMTS маршрутизатором SCALANCE M875.

Функции

Функции защиты данных

VPN (Virtual Private Network - виртуальная частная сеть);
для надежной идентификации сетевых станций, кодирования и проверки целостности передаваемых данных.

Идентификация;
Мониторингу и проверке подвергаются все поступающие данные. IP адреса могут быть фальсифицированы (IP spoofing), поэтому одной проверки IP адресов не достаточно. Кроме того, некоторые клиенты имеют альтернативные IP адреса. Поэтому для выпонения идентификации используются хорошо зарекомендовавшие себя механизмы VPN.
Кодирование данных;
Кодирование передаваемых данных обеспечивает их защиту от шпионажа и непавомерных действий. После кодирования передаваемые данные становятся непонятными для всех прослушивающих сетевых устройств. Декодировать эти данные способен только модуль SCALANCE S, установленный на приемной стороне. Логические соединения между модулями SCALANCE S создаются на основе VPN туннелей.

Межсетевая защита (Firewall);
Может использоваться как альтернатива или дополнять механизмы VPN гибкими возможностями управления доступом к сети.
Межсетевая защита фильтрует пакеты данных в соответствии со списком фильтрации и запрещает или разрешает установку коммуникационных соединений (межсетевой защитный фильтр пакетов данных). Фильтрации могут подвергаться передаваемые и принимаемые пакеты данных, IP и MAC адреса, а также коммуникационные протоколы (порты).

Регистрация;
Регистрация является исключительно важной операцией для контроля доступа к сети. Модули SCALANCE S заносят в специальный файл регистрации данные о том кто, когда, как и к кому обращался. Анализ этой информации позволяет выявлять попытки неправомерного доступа к сети и предпринимать соответствующие меры пресечения подобных попыток.

Модификации модулей:

SCALANCE S612;
защита до 3 приборов,
одновременная поддержка до 64 VPN туннелей

SCALANCE S612;
защита до 64 приборов,
одновременная поддержка до 128 VPN туннелей;
диапазон рабочих температур от -20 до +70 °C

Конфигурирование

Конфигурирование может выполняться персоналом, не имеющим специальных знаний в области IT технологий. Конфигурированию подвергаются только модули защиты, поддерживающие между собой защищенный обмен данными. Все параметры конфигурации сохраняются в съемном модуле памяти C-PLUG, что позволяет производить замену модулей SCALANCE S без повторного конфигурирования системы связи. Модуль C-PLUG не входит в комплект поставки SCALANCE S и должен заказываться отдельно.

Примеры конфигураций

Защищенный обмен данными с использованием модулей SCALANCE S

Обмен данными между программатором (PG) и приборами, защищенными модулями SCALANCE S

Обмен данными между программируемыми контроллерами, защищенными модулями SCALANCE S

Особенности

Управление доступом и защита передаваемых данных в промышленных сетях
Минимальное конфигурирование, отсутствие необходимости иметь специальные знания в области защиты данных при использовании IT технологий.
Простая интеграция в существующие системы связи без внесения изменений в топологию сети и реконфигурирования сетевых станций.
Обеспечение защиты передаваемых данных независимо от типа используемого коммуникационного протокола (например, PROFINET, Ethernet/IP, Modbus TCP, и т.д.), распространение защиты на 2-й уровень транспортных протоколов систем автоматизации.
Прочная конструкция, ориентированная на работу в промышленных условиях.
Замена модуля без повторного конфигурирования системы, сохранение параметров настройки в съемном модуле памяти C-Plug (для IT функций обеспечивается сохранение и файловой системы).
Международный сертификат ISO/IEC 15408 Common Criteria, обеспечение максимального уровня защиты передаваемых данных "Evaluation Assurance Level" EAL4+"

Технические данные

Order number	6GK5602-0BA10-2AA3	6GK5612-0BA10-2AA3	6GK5623-0BA10-2AA3
Product type designation	SCALANCE S602	SCALANCE S612	SCALANCE S623
Transmission rate
Transfer rate	10 Mbit/s, 100 Mbit/s, 1 000 Mbit/s	10 Mbit/s, 100 Mbit/s, 1 000 Mbit/s	10 Mbit/s, 100 Mbit/s, 1 000 Mbit/s
Interfaces
Number of electrical/optical connections for network components or terminal equipment maximum	2	2	3
Number of electrical connections
● for internal network	1	1	1
● for external network	1	1	1
● for DMZ	0	0	1
● for signaling contact	1	1	1
● for power supply	1	1	1
● for redundant voltage supply	1	1	1
Type of electrical connection
● for internal network	RJ45 port	RJ45 port	RJ45 port
● for external network	RJ45 port	RJ45 port	RJ45 port
● for DMZ			RJ45 port
● for signaling contact	2-pole terminal block	2-pole terminal block	2-pole terminal block
● for power supply	4-pole terminal block	4-pole terminal block	4-pole terminal block
design of the removable storage C-PLUG	Yes	Yes	Yes
Signal-Inputs/outputs
Operating voltage of the signaling contacts at DC Rated value	24 V	24 V	24 V
Operating current of the signaling contacts at DC maximum	0.1 A	0.1 A	0.1 A
Supply voltage, current consumption, power loss
Supply voltage external	24 V	24 V	24 V
Supply voltage external	19.2 ... 28.8 V	19.2 ... 28.8 V	19.2 ... 28.8 V
Type of voltage of the supply voltage	DC	DC	DC
Consumed current maximum	0.5 A	0.5 A	0.6 A
Product component fusing at power supply input	Yes	Yes	Yes
Fuse protection type at input for supply voltage	Non-replaceable melting fuse (F 3 A / 32 V)	Non-replaceable melting fuse (F 3 A / 32 V)	Non-replaceable melting fuse (F 3 A / 32 V)
Power loss [W]
● at DC at 24 V typical	6.72 W	6.72 W	6.96 W
Permitted ambient conditions
Ambient temperature
● during operation	-40 ... +60 °C	-40 ... +60 °C	-40 ... +60 °C
● during storage	-40 ... +80 °C	-40 ... +80 °C	-40 ... +80 °C
● during transport	-40 ... +80 °C	-40 ... +80 °C	-40 ... +80 °C
Relative humidity at 25 °C without condensation during operation maximum	95 %	95 %	95 %
Protection class IP	IP20	IP20	IP20
Design, dimensions and weight
Design	compact	compact	compact
Width	60 mm	60 mm	60 mm
Height	125 mm	125 mm	125 mm
Depth	124 mm	124 mm	124 mm
Net weight	0.8 kg	0.8 kg	0.81 kg
Mounting type	Screw mounting on horizontal and vertical surfaces	Screw mounting on horizontal and vertical surfaces	Screw mounting on horizontal and vertical surfaces
Mounting type
● 35 mm DIN rail mounting	Yes	Yes	Yes
● S7-300 rail mounting	Yes	Yes	Yes
● wall mounting	Yes	Yes	Yes
Product properties, functions, components general
Product function DynDNS client	Yes	Yes	Yes
Protocol is supported PPPoE	Yes	Yes	Yes
Product functions management, configuration
Product function
● symbolic names for IP addresses	Yes	Yes	Yes
Protocol is supported
● SNMP v1	Yes	Yes	Yes
● SNMP v3	Yes	Yes	Yes
Type of configuration	SCT: Security Configuration Tool (included in scope of delivery)	SCT: Security Configuration Tool (included in scope of delivery)	SCT: Security Configuration Tool (included in scope of delivery)
Product functions Diagnosis
Product function
● SysLog	Yes	Yes	Yes
● Packet Filter Log	Yes	Yes	Yes
● Audit Log	Yes	Yes	Yes
● System log	Yes	Yes	Yes
Product functions DHCP
Product function
● DHCP server - internal network	Yes	Yes	Yes
Product functions Routing
Product function Static IP routing	Yes	Yes	Yes
Product functions Security
Firewall version	stateful inspection	stateful inspection	stateful inspection
Product function with VPN connection	-	IPSec	IPSec
Type of encryption algorithms with VPN connection	-	AES-256, AES-192, AES-128, 3DES-168, DES-56	AES-256, AES-192, AES-128, 3DES-168, DES-56
Type of authentication procedure with VPN connection	-	Preshared key (PSK), X.509v3 certificates	Preshared key (PSK), X.509v3 certificates
Type of hashing algorithms with VPN connection	-	MD5, SHA-1	MD5, SHA-1
Number of possible connections with VPN connection	0	128	128
Number of network nodes for internal network with VPN connection
● maximum		128	128
● Note	-	Limitation only applies in bridge mode. No limitation in routing mode	Limitation only applies in bridge mode. No limitation in routing mode
Product function
● Password protection	Yes	Yes	Yes
● Bandwidth limiting	Yes	Yes	Yes
● NAT/NAPT	Yes	Yes	Yes
Product functions Redundancy
Product function
● Standby redundancy			Yes
Product functions Time
Product function pass on time synchronization	Yes	Yes	Yes
Protocol is supported NTP	Yes	Yes	Yes
Product component Hardware real-time clock	Yes	Yes	Yes
Product feature Hardware real-time clock w. battery backup	Yes	Yes	Yes
Standards, specifications, approvals
Standard
● for FM	FM 3611	FM 3611	FM 3611
● for hazardous zone	EN 60079-0: 2006, EN60079-15: 2005, II 3 G Ex nA IIT.., KEMA 07 ATEX 0145 X	EN 60079-0: 2006, EN60079-15: 2005, II 3 G Ex nA IIT.., KEMA 07 ATEX 0145 X	EN 60079-0: 2006, EN60079-15: 2005, II 3 G Ex nA IIT.., KEMA 07 ATEX 0145 X
● for safety from CSA and UL	UL 60950 / CSA C22.2 No. 60950-00, UL 508 / CSA C22.2 No. 142	UL 60950 / CSA C22.2 No. 60950-00, UL 508 / CSA C22.2 No. 142	UL 60950 / CSA C22.2 No. 60950-00, UL 508 / CSA C22.2 No. 142
● for emitted interference	EN 61000-6-4 : 2007	EN 61000-6-4 : 2007	EN 61000-6-4 : 2007
● for interference immunity	EN 61000-6-2 : 2005	EN 61000-6-2 : 2005	EN 61000-6-2 : 2005
Certificate of suitability	AS/NZS 2064 (Class A), EN 61000-6-2, EN 61000-6-4, marine classification pending	AS/NZS 2064 (Class A), EN 61000-6-2, EN 61000-6-4, marine classification pending	AS/NZS 2064 (Class A), EN 61000-6-2, EN 61000-6-4, marine classification pending
Certificate of suitability
● CE marking	Yes	Yes	Yes
● C-Tick	Yes	Yes	Yes
Marine classification association
● American Bureau of Shipping Europe Ltd. (ABS)	No	No	No
● Bureau Veritas (BV)	No	No	No
● Det Norske Veritas (DNV)	No	No	No
● Germanische Lloyd (GL)	No	No	No
● Lloyds Register of Shipping (LRS)	No	No	No
● Nippon Kaiji Kyokai (NK)	No	No	No
● Polski Rejestr Statkow (PRS)	No	No	No
Accessories
Product extension optional C-PLUG	Yes	Yes	Yes

Order number	6GK5627-2BA10-2AA3	6GK5615-0AA00-2AA2
Product type designation	SCALANCE S627-2M	SCALANCE S615
Transmission rate
Transfer rate	10 Mbit/s, 100 Mbit/s, 1 000 Mbit/s	10 Mbit/s, 100 Mbit/s
Interfaces
Number of electrical/optical connections for network components or terminal equipment maximum	7	5
Number of electrical connections
● for internal network	3
● for external network	3
● for DMZ	1
● for signaling contact	1
● for power supply	1	1
● for redundant voltage supply	1	1
Type of electrical connection
● for internal network	RJ45 port + media module	RJ45 port
● for external network	RJ45 port + media module	RJ45 port
● for DMZ	RJ45 port
● for signaling contact	2-pole terminal block
● for power supply	4-pole terminal block	5-pole terminal block
design of the removable storage C-PLUG	Yes	Yes
Signal-Inputs/outputs
Number of electrical connections
● for digital input signals		1
● for digital output signals		1
Type of electrical connection
● for digital input signals		2-pole terminal block
● for digital output signals		2-pole terminal block
Operating voltage of the signaling contacts at DC Rated value	24 V
Operating current of the signaling contacts at DC maximum	0.1 A
Supply voltage, current consumption, power loss
Supply voltage external	24 V	24 V
Supply voltage external	19.2 ... 28.8 V	10.8 ... 28.2 V
Type of voltage of the supply voltage	DC	DC
Consumed current maximum	0.7 A	0.2 A
Product component fusing at power supply input	Yes	Yes
Fuse protection type at input for supply voltage	Non-replaceable melting fuse (F 3 A / 32 V)	Non-replaceable melting fuse (F 2 A5 / 32 V)
Power loss [W]
● at DC at 24 V typical	12 W	4 W
● Note	(without media modules)
Permitted ambient conditions
Ambient temperature
● during operation	-40 ... +60 °C	-40 ... +70 °C
● during storage	-40 ... +70 °C	-40 ... +80 °C
● during transport	-40 ... +70 °C	-40 ... +80 °C
● Note	When using media modules please observe the mounting manual!
Relative humidity at 25 °C without condensation during operation maximum	95 %	95 %
Protection class IP	IP20	IP20
Design, dimensions and weight
Design	compact	compact
Width	120 mm	35 mm
Height	125 mm	147 mm
Depth	124 mm	127 mm
Net weight	1.3 kg	0.4 kg
Mounting type	Screw mounting on horizontal and vertical surfaces
Mounting type
● 35 mm DIN rail mounting	Yes	Yes
● S7-300 rail mounting	Yes	Yes
● S7-1500 rail mounting		Yes
● wall mounting	Yes
Product properties, functions, components general
Product function DynDNS client	Yes
Protocol is supported PPPoE	Yes
Product functions management, configuration
Product function
● CLI		Yes
● web-based management		Yes
● MIB support		Yes
● symbolic names for IP addresses	Yes
Protocol is supported
● HTTP		Yes
● SNMP v1	Yes	Yes
● SNMP v2		Yes
● SNMP v3	Yes	Yes
Type of configuration	SCT: Security Configuration Tool (included in scope of delivery)	Web Based Management, CLI, SNMP, SCT (Configuration support for certificate generation)
Product functions Diagnosis
Product function
● SysLog	Yes	Yes
● Packet Filter Log	Yes	Yes
● Audit Log	Yes	Yes
● System log	Yes	Yes
Product functions DHCP
Product function
● DHCP client		Yes
● DHCP server - internal network	Yes	Yes
Product functions Routing
Product function Static IP routing	Yes	Yes
Product functions Security
Firewall version	stateful inspection	stateful inspection
Product function with VPN connection	IPSec	IPSec, OpenVPN (as Client for SINEMA RC)
Type of encryption algorithms with VPN connection	AES-256, AES-192, AES-128, 3DES-168, DES-56	AES-256, AES-192, AES-128, 3DES-168, DES-56
Type of authentication procedure with VPN connection	Preshared key (PSK), X.509v3 certificates	Preshared key (PSK), X.509v3 certificates
Type of hashing algorithms with VPN connection	MD5, SHA-1	MD5, SHA-1
Number of possible connections with VPN connection	128	20
Number of network nodes for internal network with VPN connection
● maximum	128
● Note	Limitation only applies in bridge mode. No limitation in routing mode
Product function
● Password protection	Yes	Yes
● Bandwidth limiting	Yes	No
● NAT/NAPT	Yes	Yes
Product functions Redundancy
Product function
● Ring redundancy	Yes
● Redundancy manager	No
● Standby redundancy	Yes
● High Speed Redundancy Protocol (HRP)	Yes
Protocol is supported Media Redundancy Protocol (MRP)	Yes
Product functions Time
Product function pass on time synchronization	Yes
Protocol is supported NTP	Yes	Yes
Product component Hardware real-time clock	Yes	Yes
Product feature Hardware real-time clock w. battery backup	Yes	No
Standards, specifications, approvals
Standard
● for FM	FM 3611	FM-CoC 3021712
● for hazardous zone	EN 60079-0: 2006, EN60079-15: 2005, II 3 G Ex nA IIT.., KEMA 07 ATEX 0145 X	EN 60079-15, EN 60079-0, II 3 G Ex nA IIC T4 Gc, KEMA 07ATEX0145 X
● for safety from CSA and UL	UL 60950 / CSA C22.2 No. 60950-00, UL 508 / CSA C22.2 No. 142	UL E115352 (NWGQ, NGWQ7)
● for emitted interference	EN 61000-6-4 : 2007	EN 61000-6-4
● for interference immunity	EN 61000-6-2 : 2005	EN 61000-6-2
Certificate of suitability	AS/NZS 2064 (Class A), EN 61000-6-2, EN 61000-6-4, marine classification pending	ATEX, EMV, RoHS, Marine classification in preparation
Certificate of suitability
● CE marking	Yes	Yes
● C-Tick	Yes
Marine classification association
● American Bureau of Shipping Europe Ltd. (ABS)	No	Yes
● Bureau Veritas (BV)	No	No
● Det Norske Veritas (DNV)	No
● Germanische Lloyd (GL)	No
● DNV GL		Yes
● Lloyds Register of Shipping (LRS)	No	Yes
● Nippon Kaiji Kyokai (NK)	No	Yes
● Polski Rejestr Statkow (PRS)	No	Yes
● Royal Institution of Naval Architects (RINA)		Yes
MTBF at 40 °C		55 y
Accessories
Product extension optional C-PLUG	Yes	Yes
Product extension optional KEY-PLUG		Yes
accessories		optional KEY-PLUG

Дальнейшая информация

Более полную информацию можно найти в Интернете по адресу:
http://webservices.siemens.com/medaps/webeditor/www.siemens.de/industrialsecurity