Access Gate controla quién puede alcanzar un activo y qué protocolo puede usar para hacerlo. Una regla que permite a alice@acme.com alcanzar plc-42 a través de ssh no permite también rdp ni smb: cada protocolo en cada activo es una concesión explícita. Esta sección tiene páginas para los protocolos clave, que cubren los aspectos específicos que importan una vez que vas más allá de "permitir el puerto". Esta sección no abarca todos los protocolos, solo los más comunes.
El modelo común
Cada guía de protocolo de esta sección se basa en las mismas tres ideas. Léelas una vez y luego pasa al protocolo que necesites.
Denegación por defecto. Una sesión se rechaza a menos que exista una regla allow coincidente en la lista de control de acceso del enclave. No hay un "los miembros pueden hacer cualquier cosa" implícito: cada protocolo se concede explícitamente.
Proxy consciente del protocolo. Access Gate termina las sesiones, aplica la identidad y la política, y reenvía la conexión al activo. Eso es lo que hace posibles las alertas de protocolo, el cifrado TLS y las pantallas de acceso, consulta Proteger un activo con enclaves.
En línea o fuera de banda. El gate puede situarse en línea (el tráfico lo atraviesa) o fuera de banda (enrutas los flujos seleccionados a través de su proxy). El modelo de política es idéntico en ambos casos; la diferencia está en cómo el tráfico llega al gate. Consulta Configurar rutas de superposición.
Protocolos clave
| Protocolo | Puerto(s) por defecto | Uso típico | Guía |
|---|---|---|---|
| HTTP / HTTPS | 80 / 443 | HMI web, interfaces de administración de dispositivos, paneles | Configurar HTTP/HTTPS |
| SSH | 22 | Shell remoto a equipos de red, pasarelas, controladores | Configurar SSH |
| RDP | 3389 | Estaciones de trabajo Windows, HMI, hosts de salto | Configurar RDP |
| SMB | 445 | Recursos compartidos de archivos, flujos CUI/documentales, programas de PLC | Configurar SMB |
| Modbus | 502 | Lectura-escritura PLC/RTU en la red OT | Configurar Modbus |
| FTP | 21 | Transferencia de archivos en sistemas heredados e industriales | Configurar FTP |