从 Kaspersky SD-WAN 组件接收工业网络流量

Kaspersky Industrial CyberSecurity for Networks 可与 Kaspersky SD-WAN 集成运行。在此模式下运行时，如果在远程站点上安装了用户终端部件 (CPE)（Kaspersky SD-WAN 组件），Kaspersky Industrial CyberSecurity for Networks 将接收通过这些站点交换机的镜像流量。您可以使用 CPE 设备通过将工业网络流量从远程站点转发到应用程序来实现 Kaspersky Industrial CyberSecurity for Networks 的某些功能。数据通过安全通道发送到应用程序。

直接在远程站点接收镜像流量的 CPE 设备会加密流量，然后将其转发到与 Kaspersky Industrial CyberSecurity for Networks 节点共享网络的其他（接收）CPE 设备。如果仅允许通过网关进行发送镜像流量的设备之间的通信，则必须为接收 CPE 设备分配 SD-WAN 网关角色。我们建议将接收 CPE 设备放置在专用的 Kaspersky Industrial CyberSecurity 网络上。这些设备将镜像流量中继到 Kaspersky Industrial CyberSecurity for Networks 节点的网络接口。

Kaspersky Industrial CyberSecurity for Networks 节点网络接口从各种 CPE 设备接收的流量通过根据 IEEE 802.1q 标准添加到网络数据包的虚拟局域网 (VLAN) ID 进行识别。在配置 Kaspersky Industrial CyberSecurity for Networks 和 Kaspersky SD-WAN 之间的集成时，请确保 Kaspersky SD-WAN 组件使用的 VLAN ID 与安装了 Kaspersky Industrial CyberSecurity for Networks 组件的计算机使用的 VLAN ID 相匹配。每个接收具有特定 VLAN ID 的流量的网络接口必须是具有匹配 ID 的 VLAN 接口。

为了有效集成，您可以通过软件组件的额外配置来放宽应用程序中监控点数量的限制。与 Kaspersky SD-WAN 集成的最大可能限制：

每个节点最多 100 个监控点
总计，应用中的监控点不超过 100 个

Kaspersky Industrial CyberSecurity for Networks 组件的其余部署要求与其他典型部署模式类似，例如无需外部传感器的服务器安装。

有关配置软件组件以在集成模式下运行的更多信息，请联系您的技术客户经理 (TAM)。

下图显示了当来自多个站点的镜像流量通过单个 SD-WAN 网关传输到 Kaspersky Industrial CyberSecurity for Networks 服务器时，Kaspersky Industrial CyberSecurity for Networks 和 Kaspersky SD-WAN 的示例部署模式。连接到专用 Kaspersky Industrial CyberSecurity 网络的计算机和安装了中央 SD-WAN 组件的计算机位于公司总部。虚线表示镜像流量从远程站点的交换机所采用的路径。

图表展示了通过 Kaspersky SD-WAN 组件从站点向服务器传输流量。

包含 Kaspersky SD-WAN 的部署模式示例

页首