Architektur mit zwei Gateway-Schichten. Defense in Depth.
Zwei Architekturen in diesem Szenario möglich. Schützen Sie IT- und OT-Subnetze unabhängig oder konzentrieren Sie die Durchsetzung auf die OT-Domäne. Detaillierte Datenverkehrsflüsse für jeden Pfad.
Architektur Übersicht.
Die Zwei-Gateway-Architektur erweitert den Ein-Firewall-Ansatz mit zwei unterschiedlichen Abdeckungsmodi. Im IT+OT-Modus werden beide Domänen durch das Access Gate geschützt. Im reinen OT-Modus konzentriert das Access Gate die Durchsetzung ausschließlich auf Betriebstechnologie-Assets.
IT + OT-Abdeckung
Ein einzelnes Access Gate setzt Richtlinien über alle Subnetze durch – IT- und OT-Domänen werden gleichzeitig geschützt.
Reine OT-Abdeckung
Access Gate konzentriert sich auf OT-Bus-Datenverkehr. IT-Datenverkehr läuft weiterhin durch die vorhandene Firewall ohne Änderung.
Vorhandener Stack erhalten
Router, Firewall und Switch bleiben unverändert. Access Gate fügt Durchsetzung über eine 'sichere Schleife' hinzu.
Flexibles Verkehrsrouting
Nicht-kritischer Datenverkehr kann das Access Gate umgehen. Nur sensible Flüsse können durchgesetzt werden, was den Overhead reduziert.
Basistopologien.
Zwei Basistopologien decken unterschiedliche Durchsetzungsbereiche ab. Wählen Sie IT+OT-Abdeckung für vollständige Perimeter-Durchsetzung oder reine OT-Abdeckung, wenn die IT-Domäne bereits von vorhandenen Tools verwaltet wird.
Verbindung zum vorhandenen Gateway
Access Gate verbindet sich mit dem Edge- oder OT-Gateway. Keine Änderungen an vorhandener Infrastruktur erforderlich.
Routen-Erstellung
Routen am Edge- oder OT-Gateway hinzugefügt. Datenverkehr für sensible Assets wird durch das Access Gate geleitet.
IT + OT-Modus
Sowohl IT- als auch OT-Subnetze abgedeckt. Aller domänenübergreifende und VPN-Datenverkehr wird durch das Access Gate durchgesetzt.
Reiner OT-Modus
Nur OT-Datenverkehr wird durch Access Gate geleitet. IT-Datenverkehr unberührt.
VPN-Flüsse (Nord-Süd).
Nord-Süd-Flüsse setzen Zugriff für eingehenden VPN-Datenverkehr durch. Das Access Gate fängt sowohl IT-gebundene als auch OT-gebundene VPN-Sitzungen ab und wendet Authentifizierung und Protokollanalyse an, bevor es den zweiten Teil der Kommunikation aufbaut.
VPN zu IT-Assets
IT-VPN-Datenverkehr wird durch Access Gate geleitet. Doppeltes NAT angewendet. Sitzung protokolliert und analysiert, bevor sie das Ziel erreicht.
VPN zu OT-Assets
OT-VPN-Zugriff wird über Access Gate durchgesetzt. MFA kann erforderlich sein. Beschränkt auf spezifische OT-Ressourcen.
Bastion mit doppeltem NAT
Access Gate fungiert als Bastion-Host mit doppeltem NAT an beiden Verbindungsendpunkten. Verschlüsselung & Sitzungsaufzeichnung möglich.
Beschränkter LAN-Zugriff
Zugriff innerhalb des LAN wird auf bestimmte Assets (oder Gruppen), Protokolle und Aktionen gewährt.
Ost-West- Flüsse.
Drei Ost-West-Flussdiagramme decken lateralen Datenverkehr über das Netzwerk ab. IT-zu-OT, OT-zu-OT über Subnetze und OT-zu-OT innerhalb desselben VLAN – jeder wird unterschiedlich vom Access Gate durchgesetzt.
IT-OT (Ost-West)
Domänenübergreifender Datenverkehr von IT zu OT wird über Access Gate durchgesetzt. Access Gate fungiert als Proxy zwischen den beiden Assets.
OT-OT (Ost-West)
Lateraler OT-Datenverkehr zwischen Subnetzen wird durch Access Gate geleitet. Jede Sitzung authentifiziert und protokolliert.
OT-OT innerhalb desselben VLAN
Intra-VLAN-OT-Datenverkehr wird mit Overlay-Adressen kontrolliert. Access Gate kann sogar innerhalb eines einzelnen VLAN einen Proxy einfügen.
Nicht-kritischer Datenverkehr-Bypass
Nicht-sensibler Datenverkehr kann optional das Access Gate umgehen. Nur kritische und CUI-Flüsse werden durchgesetzt.
Laden Sie die Doppel-Firewall-Architektur herunter.
Erhalten Sie alle sieben Diagramme – Basistopologien, VPN-Flüsse und Ost-West-Flüsse – als ein einziges herunterladbares Architekturpaket.
Ein-Firewall-Architektur
Beginnen Sie mit einer einfacheren Bereitstellung? Die Ein-Firewall-Architektur deckt sowohl IT als auch OT von einem einzelnen Inline-Access Gate ab, ohne Änderungen an Ihrem vorhandenen Perimeter.
Multi-Site-Architektur
Müssen Sie den Schutz über mehrere Standorte erweitern? Die Multi-Site-Architektur zeigt, wie sich Enklaven zwischen Standorten über sichere Inter-Site-Tunnel erstrecken.
Multiple Gateway Architecture.
Multiple Gateway Architecture — Video Walkthrough
See how two Access Gates create layered defense-in-depth with separate enforcement zones for IT and OT networks.
Request a DemoHäufige Fragen zur Doppel-Firewall-Architektur.
Bereitstellungsoptionen – IT+OT für vollständige Durchsetzung oder reine OT-Abdeckung, wenn IT bereits verwaltet wird.
Im IT+OT-Modus setzt das Access Gate Richtlinien auf allen Subnetzen durch – sowohl IT als auch OT. Im reinen OT-Modus wird nur der OT-Bus-Datenverkehr durch das Access Gate geleitet. IT-Datenverkehr läuft weiterhin durch die vorhandene Firewall ohne Änderung. Reine OT-Abdeckung ist üblich, wenn IT bereits über ausgereifte Sicherheitskontrollen verfügt.
Ja. Die Routenkonfiguration auf Core-Bus- und OT-Bus-Ebene steuert, welche Flüsse durch das Access Gate laufen. Sie können einen Teil des nicht-kritischen Datenverkehrs auf dem vorhandenen Pfad belassen, während Sie nur sensiblen oder CUI-bezogenen Datenverkehr durch das Overlay durchsetzen.
Das Access Gate verwendet Overlay-Adressen, um Datenverkehr zwischen Assets durchzusetzen, die sich ein physisches VLAN teilen. Durch Routing über das Overlay kann das Access Gate die Broadcast-Domäne 'unterbrechen' und Richtlinien pro Sitzung anwenden.
Nein. Ein einzelnes Access Gate-Gerät verwaltet sowohl IT- als auch OT-Abdeckung in der Doppel-Firewall-Architektur. Die 'Doppel-Firewall' bezieht sich auf die zwei Durchsetzungszonen (IT und OT), nicht auf zwei physische Geräte.