Access Gate steuert, wer einen Asset erreichen kann und welches Protokoll er dafür verwenden darf. Eine Regel, die alice@acme.com erlaubt, plc-42 über ssh zu erreichen, erlaubt damit nicht auch rdp oder smb: Jedes Protokoll auf jedem Asset ist eine ausdrückliche Berechtigung. Dieser Abschnitt enthält Seiten zu den wichtigsten Protokollen und behandelt die Besonderheiten, die zählen, sobald Sie über das bloße „den Port freigeben" hinausgehen. Dieser Abschnitt deckt nicht alle Protokolle ab, sondern nur die gängigen.
Das gemeinsame Modell
Jeder Protokollleitfaden in diesem Abschnitt baut auf denselben drei Ideen auf. Lesen Sie diese einmal und springen Sie dann zu dem Protokoll, das Sie benötigen.
Standardmäßige Verweigerung. Eine Session wird abgelehnt, sofern keine passende allow-Regel in der Zugriffskontrollliste der Enklave existiert. Es gibt kein implizites „Mitglieder dürfen alles": Jedes Protokoll wird ausdrücklich gewährt.
Protokollbewusstes Proxying. Access Gate beendet Sessions, wendet Identität und Richtlinie an und leitet die Verbindung an den Asset weiter. Das macht Protokollwarnungen, TLS-Verschlüsselung und Access Screens erst möglich, siehe Ein Asset mit Enklaven schützen.
Inline oder Out-of-Band. Das Gate kann inline sitzen (der Verkehr fließt hindurch) oder out-of-band (Sie routen ausgewählte Flüsse über seinen Proxy). Das Richtlinienmodell ist in beiden Fällen identisch; der Unterschied liegt darin, wie der Verkehr das Gate erreicht. Siehe Overlay-Routen konfigurieren.
Wichtige Protokolle
| Protokoll | Standardport(s) | Typische Verwendung | Leitfaden |
|---|---|---|---|
| HTTP / HTTPS | 80 / 443 | Web-HMIs, Geräte-Admin-Oberflächen, Dashboards | HTTP/HTTPS konfigurieren |
| SSH | 22 | Remote-Shell zu Netzwerkgeräten, Gateways, Controllern | SSH konfigurieren |
| RDP | 3389 | Windows-Arbeitsplätze, HMIs, Jump-Hosts | RDP konfigurieren |
| SMB | 445 | Dateifreigaben, CUI-/Dokumentenflüsse, PLC-Programme | SMB konfigurieren |
| Modbus | 502 | PLC-/RTU-Lesen-Schreiben im OT-Netzwerk | Modbus konfigurieren |
| FTP | 21 | Dateitransfer auf Legacy- und Industriesystemen | FTP konfigurieren |