所有 iFIX 3.5、早期版本的 SCADA 和客户端节点都可为传入通信创建侦听器。对于客户端,这通常意味着能够从尚未与之发起通信的 SCADA 计算机接收到未被请求的报警消息。 非侦听客户端指不能接受传入连接的客户端/SCADA。非侦听客户端/SCADA 允许该计算机正常连接到其他服务器上,但也允许他们不创建侦听器。这意味着任何与非侦听客户端的通信尝试都将失败,但非侦听客户端在发起连接时仍能够通信。 创建非侦听客户端iFIX 4.0 及以上版本允许默认将客户端配置为非侦听客户端,以此保证 iFIX 的安全,使得非用户配置的通信被拒绝。如果希望客户端接受传入连接,可以在以后修改客户端行为。 创建非侦听客户端的步骤:
RUN=%TCPTASK.EXE 更改为: RUN=%TCPTASK.EXE/s
注意:使用非侦听机器无需安全通信需求,并且是特定的节点/实例。有关安全通信的更多信息,请参阅连接验证。 非侦听客户端和终端服务为每台计算机创建侦听套接口已经成为潜在的安全风险。 在终端服务上,只有上次打开套接口的 iFIX 客户端会话保留套接口;也即,打开套接口的任何呼叫会关闭以前的套接口。因此,在终端服务上,仅一个 iFIX 客户端具有侦听器,并且是基于上次启动的客户端。 使用终端服务,除上次启动的客户端之外的所有客户端自动设为非侦听。不要求创建非侦听客户端。但建议将客户端设为非侦听,因为非侦听客户端比侦听客户端更安全。 非侦听客户端和 Windows XP Service Pack 2 (SP2)如果使用的是 Windows XP SP2 或 Windows Server 2003 SP1,并且 iFIX 客户端试图打开一个套接口,则将显示防火墙以通报该行为。如果选择“否”,客户端会关闭套接口并变为非侦听状态;如果选择“是”,可创建一个打开的套接口。关闭此套接口将不会显示防火墙通知;然而,由于传出通信会建立与 SCADA 的套接口,因此将仅删除接收未经请求消息的功能。 拒绝服务攻击打开不必要的侦听套接口时,拒绝服务 (DoS) 攻击是一个潜在的问题。DoS 攻击指试图阻止服务的合法用户使用该服务。 在 iFIX 中没有任何操作可以阻止 DoS,也无法减轻它对网络的影响;然而,关闭不必要的侦听套接口可以阻止 iFIX 针对以客户端节点为目标的 DoS 消息进行不必要的处理。 在物理安全情况下,这不成为问题,因为该攻击必须来自安全网络内部。然而,在分布式网络中,客户端和 SCADA 处于不同的网络上,增加了其中一个网络变得不安全的机会。关闭侦听套接口可阻止 iFIX 处理不适用于 iFIX 的传入消息;即,仅限 iFIX 的防火墙。
相关信息 |
让 iFIX 帮助您提高效率,降低成本。 |