Промышленный прокси-сервер

Промышленный прокси-сервер предназначен для работы с промышленными протоколами и реализует следующие функции:

• Постановка в разрыв между управляющим и контролируемыми устройствами.

• Независимое терминирование сессий от всех устройств на себя.

• Полный разбор пакетов в соответствии со спецификациями промышленных протоколов.

• Осуществление гибкой фильтрации по всем параметрам или комбинациям параметров.

• Логирование событий и трафика.

Список поддерживаемых протоколов:

• МЭК 60870-5-104

Описание логики работы промышленного прокси-сервер

Сетевой (L3/L4) уровень

В основе логики работы лежит принципиальная схема, где промышленный прокси-сервер помещается «в разрыв» между управляющей станцией (SCADA) и контролируемыми устройствами (ПЛК). И, перехватывая весь проходящий трафик, предотвращает прямое их взаимодействие.

Вместо прямой передачи данных прокси-сервер самостоятельно терминирует на себе обе сессии: одну — с управляющим устройством, другую — с контролируемым. Это позволяет ему полностью контролировать сетевое взаимодействие, анализировать содержимое каждого пакета и принимать решение о его дальнейшей передаче или блокировке.

Технически перехват трафика реализуется с помощью механизма DNAT (Destination Network Address Translation): трафик, направленный к удаленному хосту, перехватывается и перенаправляется на внутренний интерфейс промышленного прокси-сервера для дальнейшей обработки. Ниже показано, как изменяется схема сети при включении прокси-сервера.

L3/L4 взаимодействие без прокси-сервера

L3/L4 взаимодействие с прокси-сервером

Прикладной уровень

Промышленный прокси-сервер выполняет глубокий разбор TCP-пакетов в соответсвии со спецификацией промышленного протокола (например, МЭК-104). Основной логической единицей анализа становятся отдельные объекты информации (например, ASDU, если использовать протокол МЭК-104). Фильтрация применяется независимо к каждому объекту, даже если они находятся в одном TCP-пакете. При этом учитываются также штатные признаки самого TCP-пакета.

Группа фильтров — базовое понятие. Каждый объект информации, обрабатываемый промышленным прокси-сервером, попадает в заданную Группу фильтров, где последовательно проверяется по установленным критериям фильтрации в так называемых Фильтрах. Проверка идет до первого совпадения параметров объекта информации с условиями Фильтра. Как только совпадение найдено, выполняется указанное в Фильтре политика выполнения Действие, и дальнейшие проверки прекращаются. Если объект информации дошел до конца Группы фильтров, не вызвав срабатывания, к нему применяется Действие по умолчанию. Ниже представлена схема с логикой обработки объекта информации в Группе фильтров.

Логика работы группы фильтров

Каждый фильтр должен иметь определенную политику выполнения - Действие. Для протокола МЭК-104 используются следующие политики выполнения(Действия):

• Принимать - разрешение к дальнейшей передаче объекта информации при совпадении параметров с критериями фильтрации;

• Отбрасывать - блокирование и отбрасывание объекта информации при совпадении параметров с критериями фильтрации;

• Замена - произвести замену полезной нагрузки объекта информации IOA на заданное значение в конфигурируемом Фильтре;

• Логический перехода - данная политика позволяет реализовывать нелинейные цепочки проверок. Объект информации в начале может обрабатываться в одной Группе фильтров, при совпадении определеных условий фильтрации, этот же Объекта информации может перемещаться для обработки в другую Группу фильтров.

Например, на схеме ниже изображено, как трафик по первичным признакам сперва распределяется в разные Группы фильтров, где и происходят основные проверки.

Логический переход

• Закрыть сессию - производится закрытие существующей TCP-сессии при совпадении параметров обрабатываемого объекта информации с критериями фильтрации;

• Установка ЛП (локальной переменной) - политика с нестандартной логикой выполнения. Пользователь может объявить переменную, действующую только в пределах программного модуля Промышленного прокси-сервера. Её значение не влияет на передаваемый Объект информации. Локальную переменную можно, например, присвоить одному фильтре, выполнив арифметические действия, а затем сравнить с заданными значениями в другом фильтре. Подробный кейс применения доступен в разделе Примеры конфигурации промышленного прокси-сервера.

Обработка заблокированных пакетов при использовании политики выполнения Отбрасывать

Поскольку МЭК-104 содержит механизмы контроля сессий, простое «тихое» отбрасывание пакета недопустимо. Это приведет к необоснованной отправке данных или разрыву соединения. Промышленный прокси-сервер обязан корректно обрабатывать блокировку на уровне протокола, имитируя ожидаемое поведение устройства.

Для решения данной проблемы промышленный прокси-сервер имеет несколько механизмов обработки заблокированных объектов информации:

• Отправка в ответ S-type сообщения - в данном случае система подтверждает получение пакетов на уровне сессии МЭК-104, в результате чего сессия не рвётся, однако если клиентская сторона ожидает результата выполнения, то она ничего не получит, что может привести к перепосылкам сообщений.

• Отправка в ответ I-type сообщения с заданной причиной передачи (CoT) - это более сложный механизм, позволяющий избежать повторных пересылок. Однако он применим только при определённых сочетаниях причины передачи (CoT) и типа объекта информации (ASDU).

Описание параметров

Конфигурация промышленного прокси-сервера производится на вкладке Службы - Промышленный прокси

Службы - Промышленный прокси

В верхней части страницы отображается статус службы и статистическая сводка текущей сессии Промышленного прокси-сервера.

Блок статистической сводки Промышленного прокси содержит 2 строки: Клиент (SCADA) и Сервер (ПЛК). Для каждой стороны обмена формируются счётчики:

Столбцы сводки текущей сессии

Название	Описание
Сторона	Клиент (SCADA) / Сервер (ПЛК)
Пакеты, принятые/недопустимые	принятые - общее количество TCP-пакетов, принятых системой недопустимые - количество принятых TCP-пакетов, структура которых не соответствует протоколу
Байты, TX/RX	Общее количество принятых/переданных данных в рамках существующих TCP-сессий
Действующие сессии	Количество текущих TCP-сессий, которые обрабатываются прокси-сервером
TCP-сессии, открытые/недопустимые	открытые - количество легитимных TCP-сессий, открытых с момента запуска прокси-сервера недопустимые - количество нелегитимных TCP-сессий (инициированы недопустимыми пакетами)
Сессии протокола, открытые/недопустимые	открытые - количество легитимных МЭК-104 сессий, открытых с момента запуска прокси-сервера недопустимые - количество нелегитимных МЭК-104 сессий (инициированы недопустимыми пакетами)
Сработало правил/байт	Количество объектов информации, подвергнутых какому-то действию и их суммарный объём

Настройки логически разбиты на несколько категорий, которые разделены на разные вкладки:

• Общие настройки

• Серверы

• Группы фильтров

• Фильтры

• Локальные переменные (ЛП)

Общие настройки

На вкладке Общие настройки производится настройка параметров основной службы.

Общие настройки

Параметр	Описание
Включен	Запуск службы
Протокол	Выбор протоколов, с которыми будет работать прокси, возможные варианты: iec104
IP-адрес интерфейса (Прослушивание подсети)	Выбор интерфейсов, которые будет использовать служба для приема запросов от контролирующего устройства (например, SCADA) на установление TCP-соединения и последующей передачи данных.
Proxy IP	Вручную задать IP адрес, на который будет перенаправляться трафик (по умолчанию 127.0.0.1) Параметр тонкой настройки функции
Statistics update period, sec	Период обновления статистики, в секундах

Серверы

На вкладке Серверы задаются параметры контролируемых устройств(например, ПЛК).

Важно

Добавлять конфигурацию в Серверы параметры клиентских узлов (например, SCADA) не нужно.

Серверы

Статистика по добавленным ранее серверам содержит описание конфигураций:

Статистика с описанием конфигурации в разделе Серверы

Параметр	Описание
Включен	Активация/Деактивация конфигурации сервера
Имя	Наименование конфигурации сервера
Протокол	Используемый промышленный протокол сервером
IP-адрес	IP-адрес сервера
Порт	Порт сервера
Краткая статистика	Краткая статистика сервера
Полная статистика	Кнопка вывода модального окна с полной статистикой
Особенности, связанные с протоколом	Список профильных параметров для выбранного протокола
Действия	Кнопки редактирования, копирования, удаления
Дополнительные действия	Кнопка быстрого перехода к ассоциированной группе фильтра

При нажатии на кнопку + открывается окно добавления сервера:

Сервер - МЭК-104

Столбцы раздела Серверы

Параметр	Описание
Включен	Активация/Деактивация конфигурации сервера
Имя	Наименование конфигурации сервера
Является группой	При активации данного параметра в поле Адрес сервера возможно задать несколько IP-адресов
Адрес сервера	IP-адрес сервера (серверов)
Порт сервера	Порт сервера, по умолчанию 2404
Длинна COT	Длина поля причина передачи (Cause of Transmit)
Длинна COA	Длина поля общего адреса ASDU (Common Address of ASDU, COA)
Длинна IOA	Длина поля адреса информационного объекта (Information object address)
Значение T1, секунды	Таймаут отправки/приёма I-кадров
Значение T2, секунды	Таймаут подтверждения
Значение T3, секунды	Таймаут тестовых кадров
Значение K	Максимальное количество неподтверждённых I-кадров
Значение W	Количество принятых I-кадров, после которого требуется отправка подтверждения
Цепочка фильтров	Группа фильтров, которая будет применяться к пакетам данного сервера

Группы фильтров

На вкладке Группы фильтров задаются последовательность фильтров и Действие по умолчанию (если ни один фильтр не сработал).

Параметры раздела Группы фильтров

Параметр	Описание
Имя	Наименование конфигурации группы фильтров
Действие по умолчанию	Действие, которое будет применено к объекту информации, не попавшего ни под одно условие пользовательских фильтров
Фильтры	Упорядочиваемый список фильтров, где проверки выполняются последовательно — от верхнего элемента к нижнему. Поддерживается перетаскивание для изменения порядка.

На картинке ниже представлена актуальная очерёдность Фильтров. Каждый Фильтр имеет уникальный идентификатор (ID), который задается динамически при создании конфигурации, и который не влияет на последовательность обработке в Группе Фильтров.

Очерёдность Фильтров в Группе фильтров

Фильтры

На вкладке Фильтры создаются отдельные правила для последующего добавления в какую-то Группу фильтров.

Параметры раздела Фильтры

Параметр	Описание
Включить	Активация/Деактивация конфигурации фильтра
Имя	Уникальное имя фильтра
Действие	Действие, которое будет применено к объекту информации в случае соблюдения всех условий. Описание возможных вариантов приведено ниже в отдельной таблице
Drop reply type Действие=Отбрасывать	Тип сообщения о блокировке: S-type - отправить S-type пакет. CoT - отправить I-type пакет с заданной причиной передачи (CoT).
Перейти к группе фильтров Действие=Логич.переход	Выбор Группы фильтров, в начало которой будет перемещён объект информации, без прохождения оставшихся Фильтров из текущей Группы фильтров
Заменить данные IO Действие=Заменить	Заменить полезную нагрузку объекта информации (IO)
Журналирование	Включить журналирование при срабатывании
Trap	Включить отправку SNMP-Ttap при срабатывании
Описание	Пользовательское описание фильтра
Направление	Направление передачи: К серверу, К клиенту, Оба
IP-адрес источника	IP-адрес источника TCP-пакета
IP-адрес назначения	IP-адрес назначения TCP-пакета
Лимит, п/с	Ограничение поступающих пакетов в секунду
Тип ID	Идентификатор типа объекта информации (ASDU Type ID)
COT	Причина передачи объекта информации (ASDU Cause of Transmit)
SA	Уникальный адрес устройства (Originator Address, ORG, ОА)
Адрес ASDU	Общий адрес ASDU (Common Address of ASDU, COA)
IOA	Адрес информационного объекта (Information object Address)
Данные IO	Полезная нагрузка (Value) объекта информации
Квалификатор	Описатели качества элементов информации. Каждый ASDU typeID имеет уникальный набор описателей качества. Параметр позволяет производить фильтрацию по битовому значению каждого описателя качества. Цветовой индикатор параметра задает битовое значение: Серый - описатель не используется; Зеленый - описатель = 1; Красный - описатель = 0;
Дополнительные параметры
Выберите ЛП для сравнения	Указать созданную ранее локальную переменную
Сравнить ЛП со значением	Сравнить локальную переменную с указанным значением
Сравнить задержку ЛП со значением	Сравнить задержку метки времени локальной переменной со значением
Выберите имя фильтра для сравнения счетчика	Выберите фильтр для сравнения счетчика со значением
Сравнить выбранный фильтр со значением	Сравнить счетчик выбранного фильтра со значением

Ниже приведён список Действий с описанием логики работы.

Возможные Действия раздела Фильтры

Действие	Описание
Принимать	Объект информации не меняется и передаётся дальше.
Отбрасывать	Объект информации блокируется и не передаётся дальше.
Замена	Заменить значение полезной нагрузки объекта информации (IO)
Логич.Переход	Объект информации направляется в другую Группу фильтров
Закрыть Сессию	Объект информации блокируется и не передаётся дальше. При этом сессия закрывается.
Установка ЛП	Производятся только указанные манипуляции с Логической Переменной. При этом объект информации не прекращает движение по текущей Группе фильтров

Действие «Отбрасывать»

В случае выбора Действия Отбрасывать появляются дополнительные опции обрасывания, многие из которых применимы только в случае блокировки трафика с определёнными типами объекта информации (ASDU) или причины передачи (CoT). В таблице ниже дано описание дополнительных опций и их зависимости от параметров трафика.

Дополнительные опции Действия Отбрасывать

Тип ответа при Отбрасывать	Описание	Требования к CoT и ASDU
S-type сообщение	Отправка S-type сообщения позволяет сохранить сессию, но не позволяет избежать перепосылок	нет
I-type сообщение CoT = 0	Отправка I-type сообщение, возвращающая CoT 7 «Подтверждение активации (Activation Confirm)»	CoT = 6
I-type сообщение CoT = 0	Отправка I-type сообщение, возвращающая CoT 9 «Подтверждение деактивации (Deactivation Confirm)»	CoT = 8
I-type сообщение CoT = 44	Отправка I-type сообщение, возвращающая CoT 44 «Неизвестный тип идентификатора»	нет
I-type сообщение CoT = 45	Отправка I-type сообщение, возвращающая CoT 45 «Неизвестная причина передачи»	нет
I-type сообщение CoT = 46	Отправка I-type сообщение, возвращающая CoT 46 «Неизвестный общий адрес станции»	нет
I-type сообщение CoT = 47	Отправка I-type сообщение, возвращающая CoT 47 «Неизвестный адрес объекта информации»	нет
I-type сообщение Drop reply PN	Дополнительная опция, позволяющая при формировании ответного сообщения задавать «P/N (positive/negative) bit»	нет

Локальные переменные (ЛП)

На вкладке Локальные переменные (ЛП) можно создать Локальные переменные для последующего использовании в Фильтрах

Параметры раздела Локальные переменные (ЛП)

Параметр	Описание
Имя	Уникальное имя локальной переменной
По умолчанию	Значение по умолчанию, которое будет использоваться как стартовое (значение по умолчанию = 0 (пустое поле))

Подсистема логирования Промышленного прокси

Подсистема логирования состоит из разделов:

• Журналы системы

• Журнал фильтров

Журналы системы

Журналы системы расположены в разделе Службы - Промышленный прокси - Журналы системы

Журналы системы

В данном журнале фиксируются системные события и ошибки службы Промышленного прокси-сервера. В таблице ниже представлено описание основных системных событий.

Описание системных событий

Событие в журнале	Описание
События штатного запуска службы
PROXY Stat thread started	Программный поток статистики прокси-сервера запущен
PROXY Client thread started	Программный поток клиента прокси-сервера запущен
PROXY Server thread started	Программный поток сервера прокси-сервера запущен
События штатного завершения службы
PROXY Received shutdown signal	Штатное завершение работы службы
CLIENT Ending client thread	Программный поток клиента прокси-сервера завершен
SERVER Ending server thread	Программный поток сервера прокси-сервера завершен
Ошибки конфигурации
PROXY Failed to init config	Невозможно применить конфигурацию
Field „filters“ is missing in config	В группе фильтров отсутсвуют фильтры

Журнал фильтров

Журнал фильтров расположен в разделе Службы - Промышленный прокси - Журнал фильтров

Журнал фильтров

В данном журнале фиксируются события фильтрации трафика. В таблице ниже представлено описание основных атрибутов событий фильтрации.

Описание основных атрибутов событий фильтрации

Атрибут события	Описание
Dir	Направление передачи трафика
src/dst	IP-адрес отправителя/получателя
Filter ID	Уникальный идентификатор фильтра
DROP/ACCEPT/REPLACE/JUMP/LOCAL_VARIABLES	Используемая политика выполнения
Limit	Ограничение поступающих пакетов: set - установлен лимит пакетов; tokens left - количество оставшихся токенов; need at least - количество необходимых токенов для игнорирования фильтра;
TypeID	Идентификатор ASDU
ASDU address	Адрес устройства/сектора
COT	Причина передачи
IOA	Адрес объекта информации
Value	Значение полезной нагрузки объекта информации

Фильтровать события возможно по категориям:

• Все - все доступные события;

• DEBUG - отладочная информации;

• INFO - информационное сообщения (события фильтрации трафика);

• WARNING - предупреждения;

• ERROR - ошибки выполнения;

Примеры конфигурации промышленного прокси-сервера

Конфигурация с действием по умолчанию «блокировать»

Для примера сконфигурируем промышленный прокси таким образом, чтоб пропускался только трафик, который явным образом разрешнён, а весь остальной - блокировался.

Сначала необходимо сконфигурировать Фильтры

Фильтр 1

Параметр	Значение
Включить	Включить
Имя	Accept_C_IC_NA_1_act
Действие	Принимать
Журналирование	Включить
Описание	Accept_C_IC_NA_1_act
Направление	To server
IP-адрес источника	192.168.7.50
IP-адрес назначения	192.168.8.50
Тип ID	eq 100
COT	eq 6
Остальные параметры оставить по умолчанию

Фильтр 2

Параметр	Значение
Включить	Включить
Имя	Accept_C_IC_NA_1_act_con
Действие	Принимать
Журналирование	Включить
Описание	Accept_C_IC_NA_1_act_con
Направление	To client
IP-адрес источника	192.168.8.50
IP-адрес назначения	192.168.7.50
Тип ID	eq 100
COT	eq 7
Остальные параметры оставить по умолчанию

Фильтр 3

Параметр	Значение
Включить	Включить
Имя	Accept_C_IC_NA_1_act_term
Действие	Принимать
Журналирование	Включить
Описание	Accept_C_IC_NA_1_act_term
Направление	To client
IP-адрес источника	192.168.8.50
IP-адрес назначения	192.168.7.50
Тип ID	eq 100
COT	eq 10
Остальные параметры оставить по умолчанию

Фильтр 4

Параметр	Значение
Включить	Включить
Имя	Accept_M_IT_NA_1
Действие	Принимать
Журналирование	Включить
Описание	Accept_M_IT_NA_1
Направление	To client
IP-адрес источника	192.168.8.50
IP-адрес назначения	192.168.7.50
Тип ID	eq 15
COT	eq 3
IOA	range 4011 - 4020
Остальные параметры оставить по умолчанию

Фильтр 5

Параметр	Значение
Включить	Включить
Имя	Accept_M_IT_NA_1_cot_20
Действие	Принимать
Журналирование	Включить
Описание	Accept_M_ME_NA_1
Направление	To client
IP-адрес источника	192.168.8.50
IP-адрес назначения	192.168.7.50
Тип ID	eq 15
COT	eq 20
IOA	range 4011 - 4020
Остальные параметры оставить по умолчанию

Фильтр 6

Параметр	Значение
Включить	Включить
Имя	Accept_M_ME_NA_1
Действие	Принимать
Журналирование	Включить
Описание	Accept_M_IT_NA_1
Направление	To client
IP-адрес источника	192.168.8.50
IP-адрес назначения	192.168.7.50
Тип ID	eq 9
COT	eq 3
IOA	range 19461 - 19465
Остальные параметры оставить по умолчанию

Фильтр 7

Параметр	Значение
Включить	Включить
Имя	Accept_M_ME_NA_1_cot_20
Действие	Принимать
Журналирование	Включить
Описание	Accept_M_IT_NA_1
Направление	To client
IP-адрес источника	192.168.8.50
IP-адрес назначения	192.168.7.50
Тип ID	eq 9
COT	eq 20
IOA	range 19461 - 19465
Остальные параметры оставить по умолчанию

Фильтр 8

Параметр	Значение
Включить	Включить
Имя	Accept_M_SP_NA_1
Действие	Принимать
Журналирование	Включить
Описание	Accept_M_IT_NA_1
Направление	To client
IP-адрес источника	192.168.8.50
IP-адрес назначения	192.168.7.50
Тип ID	eq 1
COT	eq 3
IOA	range 1001 - 1002
Остальные параметры оставить по умолчанию

Фильтр 9

Параметр	Значение
Включить	Включить
Имя	Accept_M_SP_NA_1_cot_20
Действие	Принимать
Журналирование	Включить
Описание	Accept_M_SP_NA_1
Направление	To client
IP-адрес источника	192.168.8.50
IP-адрес назначения	192.168.7.50
Тип ID	eq 1
COT	eq 20
IOA	range 1001 - 1002
Остальные параметры оставить по умолчанию

В результате должно получится 9 правил, как на скриншоте ниже.

Созданные Фильтры

Затем на вкладке Группа фильтров создать Группу фильтров и добавить в неё созданные ранее фильтры

Создание Группы фильтров

Параметр	Значение
Имя	Filter_chain
Действие по умолчанию	Блокировать
Фильтры	Accept_M_SP_NA_1 Accept_M_ME_NA_1 Accept_M_IT_NA_1 Accept_M_SP_NA_1_cot_20 Accept_M_ME_NA_1_cot_20 Accept_M_IT_NA_1_cot_20 Accept_C_IC_NA_1_act Accept_C_IC_NA_1_act_con Accept_C_IC_NA_1_act_term

Результат конфигурирования Группы фильтров на скриншоте ниже

Создание Группы фильтров

Затем нужно сконфигурировать Сервер

Конфигурация Сервера

Параметр	Описание
Включен	Включить сервер
Имя	PLC
Адрес сервера	192.168.8.50
Порт сервера	2404
Цепочка фильтров	Filter_chain

Результат конфигурирования Сервера на скриншоте ниже

Результат конфигурации Сервера

Затем необходимо задать необходимые интерфейсы

Общие настройки

Параметр	Описание
Включен	Включен
Протокол	iec104
IP-адрес интерфейса (Прослушивание подсети)	GE3, GE4

В итоге мы получили конфигурацию, где весь трафик будет блокироваться, за исключением явного указанного в разрешающих правилах.

Конфигурация с действием «Логический Переход»

Помимо линейной логики проверок в Группах фильтров присутствует инструмент для создания разветвлённой логики фильтрации при помощи действия Логический Переход. Для примера, сконфигурируем Группы фильтров так, чтобы в основной Группе фильтров объекты распределялись по признаку ASDU type, после чего объекты с типами M_SP_NA_1, M_ME_NC_1, M_IT_NA_1 проверялись отдельно в разных Группах фильтров. Для этого, как и в прошлом примере, начнём с конфигурирования Фильтров

Фильтр Логического перехода 1

Параметр	Значение
Включить	Включить
Имя	Jump_M_SP_NA_1
Действие	Логич.Переход
Перейти к группе фильтров	отсутствует (после создания группы - Jump_to_M_SP_NA_1_FILTER_CHAIN_1)
Описание	Jump_to_M_SP_NA_1_filter_rules
Направление	To client
Тип ID	eq 1
Остальные параметры оставить по умолчанию

Фильтр Логического перехода 2

Параметр	Значение
Включить	Включить
Имя	Jump_M_ME_NC_1
Действие	Логич.Переход
Перейти к группе фильтров	отсутствует (после создания группы - Jump_to_M_ME_NC_1_FILTER_CHAIN_2)
Описание	Jump_to_M_ME_NC_1_filter_rules
Направление	To client
Тип ID	eq 13
Остальные параметры оставить по умолчанию

Фильтр Логического перехода 3

Параметр	Значение
Включить	Включить
Имя	Jump_M_IT_NA_1
Действие	Логич.Переход
Перейти к группе фильтров	отсутствует (после создания группы - Jump_to_M_IT_NA_1_FILTER_CHAIN_3)
Описание	Jump_to_M_IT_NA_1_filter_rules
Направление	To client
Тип ID	eq 15
Остальные параметры оставить по умолчанию

В результате должно получится 3 правила, как на скриншоте ниже.

Созданные Фильтры Логического Перехода

Далее создадим несколько произвольных правил, например, по 2 на каждый тип:

Созданные Фильтры

Затем на вкладке Группы фильтров создадим 1 основную группу с именем «Filter_chain», и 3 дочерние: «Jump_M_SP_NA_1_FILTER_CHAIN_1», «Jump_M_ME_NC_1_FILTER_CHAIN_2», «Jump_M_IT_NA_1_FILTER_CHAIN_3»

В основной Группе фильтров добавить 3 фильтра, с Логическими Переходами

Группа фильтров с Логическими переходами

В остальные группы добавить обычные фильтры, блокирующие или разрешающие в зависимости от параметров.

Созданные Группа фильтров

Затем следует вернуться на вкладку Фильтры и в фильтрах Логического перехода вместо отсутствует указать созданные только что**Группы фильтров**

Привязываем дочерние Группы фильтров

Теперь, привязываем группу «Filter_chain» к необходимым Серверам и запускаем службу промышленного прокси-сервера. При текущей настройке весь трафик сперва будет проверяться в группе «Filter_chain», из неё распределяться по трём дочерним, и уже там будут происходить необходимые пользователю проверки.