通过数据二极管将 Kaspersky Industrial CyberSecurity for Networks 连接到工业网络

要将 Kaspersky Industrial CyberSecurity for Networks 连接到工业网络，您还可以使用提供工业网络单向数据传输的特殊设备。这些设备被称为数据二极管。

通过数据二极管接收工业网络流量

为了将工业网络流量传输到 Kaspersky Industrial CyberSecurity for Networks，数据二极管必须支持所有链路层协议（包括服务协议）的网络数据包的未过滤传输。数据二极管安装在 Kaspersky Industrial CyberSecurity for Networks 监控点的连接链接上以及网络交换机的 SPAN 端口上。

下图显示了通过数据二极管连接到服务器上的监控点的部署场景。数据二极管传输来自工业网络中的网络交换机的 SPAN 端口的流量。在这种场景中，服务器安装时无需外部探测器。

该图说明了企业工业网络中的网络交换机的 SPAN 端口与应用程序服务器上的监控点之间的通信通道上数据二极管的连接。应用程序仅通过此数据二极管接收网络流量。

通过数据二极管连接服务器的标准场景

下图显示了多个 Kaspersky Industrial CyberSecurity for Networks 探测器通过数据二极管连接的部署场景。数据二极管传输来自工业网络中的网络交换机的 SPAN 端口的流量。在这种场景中，服务器安装了三个探测器。

该图说明了企业工业网络中网络交换机的 SPAN 端口与应用程序探测器上的监控点之间每个通信通道上的数据二极管的连接。应用程序仅通过这些数据二极管接收网络流量。

通过数据二极管连接探测器的标准场景

如果您想要将安装探测器的工业网络的区段与安装服务器的专用的卡巴斯基工业网络安全的区段额外分开，您可以在探测器和服务器之间的连接链接上使用防火墙。

通过数据二极管接收工业网络流量并与 EPP 应用程序集成

为了与 EPP 应用程序集成，二极管侧和 EPP 应用程序内部都需要支持通过二极管进行数据传输。

下图显示了一个部署场景，其中 Kaspersky Industrial CyberSecurity for Networks 探测器通过网络交换机上的 SPAN 端口接收网络流量以及来自部署在多个站点的 EPP 应用程序的遥测数据。

该图说明了 EPP 应用程序和网络交换机的 SPAN 端口通过数据二极管与应用程序探测器的连接。具有不同功能能力的数据二极管用于遥测数据和网络流量。

EPP 应用程序流量和探测器数据采集图

来自网络交换机上 SPAN 端口的网络流量通过数据二极管路由到 Kaspersky Industrial CyberSecurity for Networks 探测器的监控点，数据二极管支持所有链路层协议（包括服务协议）的网络数据包的无过滤传输。

探测器通过不被用作监控点的网络接口从 EPP 应用程序接收遥测数据。由于这些数据通过 MQTT 传输，因此数据二极管需要 MQTT 代理功能才能实现传输。安装了 EPP 应用程序的订阅者计算机用于接收和处理传入的 MQTT 消息。

端点代理软件组件处理通过 MQTT 消息发送和接收遥测数据。有关为此遥测传输场景配置 EPP 应用程序的更多信息，请联系您的技术客户经理 (TAM)。

工业站点段和非军事区 (DMZ) 网络段由防火墙分隔。

页首