Remote Access Tools 安全性

一旦 Tools 小程序客户端连接到 Runtime 客户端，就可以建立 VPN 连接，具体取决于在给定设备上向用户授予“VPN 访问”权限的方式。

FactoryTalk® Remote Access™

VPN 在 ISO/OSI 协议栈的层级 2 工作，即封装以太网帧而不是 IP 数据包。这样做是为了与使用非 IP 协议或广播消息的常见工业方案实现最佳兼容性。

VPN 是通过在前端 PC 上安装虚拟以太网适配器来实现的。

FactoryTalk® Remote Access™

Runtime 可以截获所选物理接口的低级网络流量，并将其发送到前端的虚拟以太网适配器。对于前端计算机和

FactoryTalk® Remote Access™

Runtime 设备，前端计算机似乎已物理连接到所选的 Runtime LAN。

即使层级 2 低于 IP，默认情况下，Runtime 服务也会自动将可用 IP 分配给前端虚拟 VPN 适配器。这样做是为了方便，因为大多数有用的协议都是基于 IP 的，因此可以随时使用。此外，还使用来自实际物理子网的 IP。不会创建虚拟 IP 子网和后续路由规则。

Runtime 通过发送 ARP 消息定期轮询网络上的现有设备。它会发现以后可以分配给 VPN 连接的“空闲”IP。此策略非常方便，但如果需要更严格、更可控的配置，则可以更改此策略。可以在设备上配置 IP 池，以便 Runtime 将仅分配来自该池的 IP。在这种情况下，不执行 ARP 发现。

将前端 PC 虚拟连接到物理设备网络的功能强大且实用，但可以通过多种方式对其进行配置和限制，以符合 ICT 策略。

可以在

FactoryTalk® Remote Access™

组织

中配置 VPN 防火墙规则，以控制可以远程使用的设备/子设备/用户/协议的某种组合的流量类型。可以通过跨组织层次结构配置防火墙规则来获取这些规则。规则是分层的、按用户、按资源或按资源组划分的，并且可以以允许 - 拒绝的方式限制为特定的远程 MAC 地址、远程 IP、子网以及以太网或 IP 协议。服务器在 VPN 连接启动之前计算生成规则集，并在前端和 Runtime 强制执行。

有关安全性的最佳实践是仅启用特定远程用户或用户组所需的协议和可访问目标。这使得 VPN 连接比实际的物理本地连接更安全，因为在物理连接中，本地 PC 防火墙是限制流量的唯一机制。在本例中，

FactoryTalk® Remote Access™

基础架构负责强制执行管理员决定的安全规则。

远程文件操作（下载、上传、重命名、删除）都通过

FactoryTalk® Remote Access™

服务进程实现。默认情况下，此过程以本地系统权限运行。在任何情况下，

FactoryTalk® Remote Access™

组织管理员都可以为远程用户启用或禁用此操作，具体取决于文件传输权限如何传播到特定用户的特定设备。

可以使用在本地网络上工作的特定小程序对域进行注册或配置。这些小程序使用 AES-256 GCM 算法来加密网络流量。