网络安全部署指南

安装与调试安全
在将Ekip Connect连接到任何网络或设备之前，为了最大限度地减少安全漏洞和恶意软件的风险，请遵循以下安全检查清单：

1. 操作系统

•    在安装最新安全补丁（最低：Windows 10）的Windows 11上部署
•    在 BIOS 中启用安全启动（Windows 11 强制）

2. 工作站安全

•    限制对 Ekip Connect 工作站的物理访问
•    启用全盘加密（BitLocker 或等效工具）
•    禁用自动登录;配置密码保护登录
•    配置自动屏幕锁定（建议15分钟）
•    启用Windows防火墙并默认拒绝入站规则

3. 软件保护

•    安装杀毒软件 + 反恶意软件
•    配置实时Scanning和每日全扫描
•    启用自动杀毒软件定义更新

4. 用户认证

•    所有用户必须通过MyABB（如果是ABB笔记本电脑）进行身份验证
•    强制执行强密码（至少8个字符，3个字符类型）
•    为MyABB启用多因素认证（MFA）
•    禁用同一用户账户中的并发会话

5. 网络配置

•    部署到专用管理网络段（独立VLAN）
•    配置防火墙只允许必要的出站端口：

      • 端口443/TCP（HTTPS云连接）

      • 端口53/UDP（DNS）

      • 端口123/UDP（NTP）

•    将设备网络与企业网络隔离（需要防火墙）

6. 自动更新

•    启用自动Windows更新
•    配置杀毒软件以自动更新定义

7. 初步验证

•    确认安全启动是否激活
•    验证Windows防火墙是否启用

•    确认杀毒软件是否运行并更新

   

防火墙配置与安全性

Ekip Connect 使用特定端口进行不同类型的通信。正确的防火墙配置对安全至关重要。

强制移植（云功能必需）

端口443/TCP（HTTPS - 云连接）

• ABB ELSP 数字管理器 API
• ABB能力平台连接
• 固件库访问
• 更新和补丁下载
• 云功能必须启用
• 始终加密（TLS 1.2及以上）

端口53/UDP（DNS - 域名解析）

• 解析ABB云端点的必要条件
• 任何云连接都必须启用
• 无加密（标准DNS协议）

• 建议使用可信赖的DNS服务器

   

推荐移植（强烈推荐）

端口123/UDP（NTP - 时间同步）

• 用于系统时钟精度的网络时间协议
• 对日志时间戳的准确性和安全性非常重要
• 强烈推荐，但并非绝对强制

• 如果网络配置允许，请启用

   

设备通信端口（用于设备连接）

端口502/TCP（Modbus TCP）

• 设备与 Ekip Connect 通过以太网的通信
• 双向（设备可以重新连接）
• 未加密协议（需要网络分段）
• 只在设备网络上启用（非面向互联网的网络）
• 防火墙应该只允许授权设备访问该端口

端口69/UDP（TFTP - 简单文件传输协议）

• 固件下载与设备配置
• 双向通信
• 未加密（仅用于孤立网络）
• 仅在固件更新操作期间需要
• 可以在维护窗口外禁用

注意：在设备配置到ABB Ability™ EM和AM过程中，确保防火墙配置正确，符合上述活跃端口。如果遇到通信问题，尝试暂时禁用防火墙，在配置过程结束时重新启用防火墙。