12.8. OPC

OPC steht für OLE for Process Control. Ein auf OLE, COM und DCOM basierender Standard für den Zugriff auf Prozesssteuerungsinformationen auf Microsoft Windows-Systemen.

OPC ist ein Integrationsprotokoll für industrielle Umgebungen. Der OPC Enforcer ist eine Funktion, die die Netzwerksicherheit unterstützt. Das Gerät blockiert die Datenpakete, die gegen die vorgegebenen Profile verstoßen. Auf Benutzeranforderung überprüft das Gerät die Datenpakete auf ihre Plausibilität und ihre Fragmenteigenschaften. Das Gerät verifiziert und beobachtet OPC-Datenverbindungen und hilft, vor ungültigen oder gefälschten Datenpaketen zu schützen. Die Funktion aktiviert dynamisch die TCP-Ports für jede Datenverbindung. Auf Anforderung eines OPC-Servers baut das Gerät die Datenverbindung nur zwischen dem OPC-Server und dem zugehörigen OPC-Client auf.

Voraussetzung ist, dass in Ihrem Endgerät die Authentifizierungsstufe 5 oder niedriger eingerichtet ist, um die Deep Packet Inspection (DPI) durchzuführen. Das Endgerät kann ein Computer oder ein anderes Gerät sein, das in der Lage ist, OPC-Datenpakete zu senden. Die Authentifizierungsebene definiert die Art der Authentifizierung, die für einen OPC-Client erforderlich ist, um eine Verbindung mit einem OPC-Server herzustellen.

Bei den folgenden Ereignissen entfernt das Gerät die Statusinformationen aus dem Paketfilter:

  • Bei der Anwendung der im Gerät gespeicherten Profile auf den Datenstrom.

  • Beim Aktivieren/Deaktivieren der Routing-Funktion auf einer Router-Schnittstelle.

Dazu gehören auch mögliche DCE RPC Informationen des OPC Enforcers. Das Gerät unterbricht dabei offene Kommunikationsverbindungen.

Das OPC-Protokoll finden Sie unter Firewall → Enforcer → OPC.

OPC

12.8.1. OPC-Einstellungen

Aktiviert

Ob der OPC-Enforcer aktiv ist oder nicht.

Mögliche Werte:

  • Aktiviert

  • Deaktiviert (Standardeinstellung)

Name

Name des OPC-Enforcer.

Mögliche Werte:

  • Zeichenfolge mit 0..100 Zeichen

Beschreibung

Beschreibung des OPC-Enforcers.

Mögliche Werte:

  • Zeichenkette mit 0..250 Zeichen

Sanity Check

Aktiviert/deaktiviert die Plausibilitätsprüfung für die Datenpakete.

Mögliche Werte:

  • Aktiviert (Standardeinstellung)

    Die Plausibilitätsprüfung ist aktiv.

    Das Gerät prüft die Plausibilität der Datenpakete hinsichtlich Format und Spezifikation.

    Das Gerät blockiert die Datenpakete, die gegen die angegebenen Profile verstoßen.

  • Deaktiviert

    Die Plausibilitätsprüfung ist inaktiv.

Fragment Check

Aktiviert/deaktiviert die Fragmentprüfung für die Datenpakete.

Mögliche Werte:

  • Aktiviert (Standardeinstellung)

    Die Fragmentprüfung ist aktiv.

    Das Gerät prüft die Datenpakete auf Fragmentierungsmerkmale.

  • Deaktiviert

    Die Fragmentprüfung ist inaktiv.

Timeout Connect

Gibt die Zeit in Sekunden an, nach der das Gerät die dynamischen TCP-Ports entfernt, wenn keine aktive OPC-Datenverbindung mehr auf den dynamischen TCP-Ports besteht.

Mögliche Werte:

  • 1..300 (Standardeinstellung: 5)

  • 0

    Mit dem Wert 0 wird die Funktion deaktiviert.

    Die OPC-Datenverbindung bleibt ohne zeitliche Begrenzung aufgebaut.