Arquitectura con Dos Capas de Gateway. Defensa en Profundidad.
Dos arquitecturas posibles en este escenario. Protege tanto las subredes IT como OT de manera independiente, o enfoca la aplicación en el dominio OT. Flujos de tráfico detallados para cada camino.
Visión general de la arquitectura.
La arquitectura de Dos Gateway extiende el enfoque de un solo firewall con dos modos de cobertura distintos. En el modo IT+OT, ambos dominios están protegidos por el Access Gate. En el modo solo OT, el Access Gate enfoca la aplicación exclusivamente en los activos de tecnología operativa.
Cobertura IT + OT
Un solo Access Gate aplica políticas en todas las subredes — dominios IT y OT protegidos simultáneamente.
Cobertura Solo OT
Access Gate enfocado en el tráfico del Bus OT. El tráfico IT continúa a través del firewall existente sin modificaciones.
Pila Existente Preservada
Router, Firewall y Switch permanecen sin cambios. Access Gate añade aplicación a través de un 'bucle seguro'.
Enrutamiento de Tráfico Flexible
El tráfico no crítico puede pasar por alto el Access Gate. Solo los flujos sensibles pueden ser aplicados, reduciendo la sobrecarga.
Topologías Base.
Dos topologías base cubren diferentes alcances de aplicación. Elige cobertura IT+OT para una aplicación completa del perímetro, o solo OT cuando el dominio IT ya está manejado por herramientas existentes.
Conexión al Gateway existente
Access Gate se conecta al Gateway de Borde o OT. No se requieren cambios en la infraestructura existente.
Creación de Rutas
Rutas añadidas en el Gateway de Borde o OT. Tráfico para activos sensibles dirigido a través del Access Gate.
Modo IT + OT
Tanto las subredes IT como OT están cubiertas. Todo el tráfico entre dominios y VPN es aplicado a través del Access Gate.
Modo Solo OT
Solo el tráfico OT es enrutado a través del Access Gate. El tráfico IT no se ve afectado.
Flujos VPN (Norte-Sur).
Los flujos norte-sur aplican acceso para el tráfico VPN entrante. El Access Gate intercepta sesiones VPN tanto dirigidas a IT como a OT, aplicando autenticación y análisis de protocolos antes de construir el segundo tramo de la comunicación.
VPN a Activos IT
El tráfico VPN IT se enruta a través del Access Gate. Se aplica NAT doble. La sesión se registra y analiza antes de llegar al destino.
VPN a Activos OT
El acceso VPN OT es aplicado a través del Access Gate. Se puede requerir MFA. Limitado solo a recursos OT específicos.
Bastión con NAT Doble
Access Gate actúa como un host bastión con NAT doble en ambos extremos de conexión. Posible cifrado y grabación de sesión.
Acceso LAN Limitado
El acceso dentro de la LAN se concede a activos específicos (o grupo de), protocolos y acciones.
Flujos Este-Oeste.
Tres diagramas de flujo este-oeste cubren el tráfico lateral a través de la red. IT-a-OT, OT-a-OT entre subredes, y OT-a-OT dentro de la misma VLAN — cada uno aplicado de manera diferente por el Access Gate.
IT-OT (Este-Oeste)
El tráfico entre dominios de IT a OT es aplicado a través del Access Gate. Access Gate actúa como Proxy entre los dos activos.
OT-OT (Este-Oeste)
El tráfico lateral OT entre subredes es enrutado a través del Access Gate. Cada sesión es autenticada y registrada.
OT-OT Dentro de la Misma VLAN
El tráfico intra-VLAN OT es controlado usando direcciones de superposición. Access Gate puede inyectar un proxy incluso dentro de una sola VLAN.
Bypass de Tráfico No Crítico
El tráfico no sensible puede opcionalmente pasar por alto el Access Gate. Solo los flujos críticos y CUI son aplicados.
Descarga la Arquitectura de Doble Firewall.
Obtén los siete diagramas — topologías base, flujos VPN y flujos este-oeste — como un solo paquete de arquitectura descargable.
Arquitectura de Un Firewall
¿Comenzando con un despliegue más simple? La arquitectura de un solo firewall cubre tanto IT como OT desde un solo Access Gate en línea sin cambios en tu perímetro existente.
Arquitectura Multi-Sitio
¿Necesitas extender la protección a través de múltiples instalaciones? La arquitectura multi-sitio muestra cómo los enclaves se extienden entre sitios a través de túneles inter-sitio seguros.
Multiple Gateway Architecture.
Multiple Gateway Architecture — Video Walkthrough
See how two Access Gates create layered defense-in-depth with separate enforcement zones for IT and OT networks.
Request a DemoPreguntas Comunes Sobre la Arquitectura de Doble Firewall.
opciones de despliegue — IT+OT para aplicación completa, o solo OT cuando IT ya está manejado.
En el modo IT+OT, el Access Gate aplica políticas en todas las subredes — tanto IT como OT. En el modo solo OT, solo el tráfico del Bus OT es enrutado a través del Access Gate. El tráfico IT continúa a través del firewall existente sin modificaciones. Solo OT es común cuando IT ya tiene controles de seguridad maduros.
Sí. La configuración de rutas en el nivel del Bus Central y del Bus OT controla qué flujos pasan a través del Access Gate. Puedes mantener una parte del tráfico no crítico en el camino existente mientras aplicas solo el tráfico sensible o relacionado con CUI a través de la superposición.
El Access Gate utiliza direcciones de superposición para aplicar tráfico entre activos que comparten una VLAN física. Al enrutar a través de la superposición, el Access Gate puede 'romper' el dominio de difusión y aplicar políticas por sesión.
No. Un solo dispositivo Access Gate maneja tanto la cobertura IT como OT en la arquitectura de doble firewall. El 'doble firewall' se refiere a las dos zonas de aplicación (IT y OT), no a dos dispositivos físicos.