图3 OPC服务器的Firewall标签页

测试规则

       独特的“测试”模式允许所有的网络通讯通过Tofino安全模块，但对实际运行中会受阻的通讯产生报警信息。从而可以在不存在意外阻止正确工厂操作所需通讯的风险下，对防火墙和OPC enforcer规则进行测试。

       使用“general/communication”标签页中底部的下拉控制，可以设置运行模式，在Tofino的工作模式改变后，必须停止并重启OPC客户端，这样的话OPC enforcer就能发现数据连接请求，解析出所分配的端口号，并配置防火墙以便让数据连接通过。

       当OPC enforcer创建完防火墙规则，允许数据连接通过Tofino安全模块后，将给CMP发送报警信息即“exception heartbeat”通知用户。这些信息都显示在屏幕底部的“event”视图中。双击这些心跳信息中的某一条信息，将打开图4所示详细视图。

图4 Tofino OPC Enforcer Exception Heartbeat

       通过监测异常事件，编辑防火墙和OPC enforcer的配置，用户就能确保所有必需的系统通讯都能通过Toflno SA，同时也不会产生报警。测试完成后，可以将Tofino SA设置为运行模式，执行已配置好的规则。

OPC enforcer选项

       有三个选项可用来控制OPC enforcer如何管理每个OPC连接。

       “Sanity check”功能使OPC enforcer能检查数据连接请求和响应是否符合DCE/RPC协议标准，并且阻止任何不标准的通讯。对于一些OPC客户端和/或服务器，需要关闭该功能。

        “Fragment check”功能使OPC enforcer能阻止不完整的DCE/RPC数据连接请求。和“Sanity check”相同，对于一些OPC客户端，可能需要关闭该功能。

       “connection T/O”定义了数据连接请求和实际数据连接开始之间的最长时间限制。如果由于某种原因，OPC客户端不再创建数据连接，该设置将确保通过OPC enforcer在防火墙创建的“大门”及时关闭。默认的时间限制是5秒，但对于一些OPC客户端，这个值可能需要增加。对Matrikon OPC Explorer的测试表明，10秒的超时设置对该客户端是最佳的选择，如图5所示。

图5 OPC Enforer选项设置