【編者按】將以太網(wǎng)引入到車間層有很多好處勘米，其中一個重要的好處就是創(chuàng)建了更加開放的架構(gòu)盒器，可以大量連接各種工廠設(shè)備和管理工具。但是這種開放性也為工廠網(wǎng)絡(luò)的操作人員帶來了一個必須要解決的問題：安全春庇。

一旦自動化系統(tǒng)加入到以太網(wǎng)之中匠借，就同把計算機(jī)連入互聯(lián)網(wǎng)差不多。在工廠的某個角落猜逮，或者是企業(yè)網(wǎng)絡(luò)當(dāng)中胆快，總會有互聯(lián)網(wǎng)連接存在。因此照菱，企業(yè)必須要采取行動保護(hù)工廠環(huán)境免受來自連入互聯(lián)網(wǎng)計算機(jī)的威脅烁焙。這些威脅可能是黑客、病毒集币、木馬以及各種其他形式的有毒程序考阱。

這就意味著工廠網(wǎng)絡(luò)管理員需要和IT部門同事一樣的安全防護(hù)工具，而且最好是專為工廠環(huán)境設(shè)計的工具鞠苟。這些工具在設(shè)施內(nèi)部的其他區(qū)域或者是其他遠(yuǎn)程地點必須經(jīng)過授權(quán)才能連接到工廠當(dāng)中乞榨。這樣，遠(yuǎn)程管理員就能夠完成諸如配置和診斷当娱、節(jié)點初始化吃既、從設(shè)備連接機(jī)載網(wǎng)絡(luò)和FTP服務(wù)器獲取信息這些任務(wù)。

這個工具集需要包含各種硬件跨细、軟件和使用工具鹦倚，比如防火墻、虛擬專用網(wǎng)(VPN)冀惭、網(wǎng)絡(luò)地址翻譯(NAT)技術(shù)和相應(yīng)的政策震叙。一旦自動化環(huán)境開放，它就要發(fā)揮效用散休，同時它還需要同其他網(wǎng)絡(luò)進(jìn)行通訊媒楼，并能夠從不同地點進(jìn)行管理，保證工廠安全免受互聯(lián)網(wǎng)威脅促讶。

防火墻：第一道屏障

防火墻是一種最古老的安全工具观哲，現(xiàn)今仍然是安防組件的重要組成部分。防火墻位于網(wǎng)絡(luò)之間侮捷，主要是控制內(nèi)部和外部網(wǎng)絡(luò)之間的信息流担戏。它的主要目的是幫助確保只有合法的信息在特定的方向上流動。

在工業(yè)環(huán)境下，防火墻能夠保護(hù)可能包括多個連入互聯(lián)網(wǎng)的自動化設(shè)備單元堵生，比如工業(yè)PC或者是PLC嘁梦。在這種情況下，企業(yè)可以安裝一臺安全模塊棵擂，即一端接收自動化網(wǎng)絡(luò)的以太網(wǎng)接入见炫、一端連接更大網(wǎng)絡(luò)的簡單設(shè)備。任何兩個網(wǎng)絡(luò)之間的交互都需要取決于設(shè)備上安裝的防火墻所設(shè)定的規(guī)則拙达。

防火墻運行有很多策略得稼，工業(yè)網(wǎng)絡(luò)一般因地制宜地使用信息包檢測技術(shù)，讓設(shè)備可以連接當(dāng)前的信息流俭驮。只有確定來自內(nèi)網(wǎng)的要求得到合法反饋的時候回溺，才允許信息進(jìn)入。如果有外部源發(fā)送不需要的信息混萝，就會被屏蔽遗遵。

為了保證所有的信息流都合法，專門的信息包檢測防火墻根據(jù)事先確定的過濾規(guī)則控制信息流逸嘀。舉例來說车要，如果有內(nèi)部節(jié)點向外部目標(biāo)設(shè)備發(fā)送數(shù)據(jù)，防火墻將會在一個特定的時間內(nèi)允許響應(yīng)包崭倘。在這段時間過后翼岁，防火墻將會再次屏蔽信息流。

NAT和NAPT

另外一項能夠為自動化環(huán)境提供安全功能的技術(shù)是NAT司光，它應(yīng)用在設(shè)備層面上琅坡。NAT一般是在外部公眾的視野內(nèi)隱藏內(nèi)部網(wǎng)絡(luò)中設(shè)備的實際IP地址。它向外部節(jié)點顯示公共IP地址残家，但是卻對網(wǎng)絡(luò)內(nèi)部使用的IP地址進(jìn)行了變換榆俺。

網(wǎng)絡(luò)地址和端口編譯(NAPT)技術(shù)利用了NAT的概念，并且加入了端口編號闸骨，將技術(shù)又向前發(fā)展了一步扯殴。通過NAPT技術(shù)，內(nèi)網(wǎng)在公眾面前只顯示一個IP地址奔祟。而在后臺谅沛，通過添加端口號將信息包分配給指定的設(shè)備。NAPT工作表通常部署在路由器上朗玩，將私人IP地址端口映射到公共IP地址端口上。

如果來自外部網(wǎng)絡(luò)的設(shè)備希望向一臺內(nèi)部設(shè)備發(fā)送信息包蔼于，它需要使用帶有特定端口的安全設(shè)備公共地址作為目標(biāo)地址即荞。這個目標(biāo)IP地址會被路由器翻譯成帶有端口地址的私人IP地址。

數(shù)據(jù)包IP標(biāo)頭中的源地址保持不變。但是尾疟，因為發(fā)送地址是在接收地址的不同子網(wǎng)當(dāng)中辟焚，反饋必須要經(jīng)過路由，然后再轉(zhuǎn)發(fā)給外部設(shè)備垫弱，同時保護(hù)內(nèi)部設(shè)備的實際IP地址不被外部公眾看到究滞。

使用VPN的安全通道

另外一種在本質(zhì)上不安全的網(wǎng)絡(luò)上進(jìn)行安全連接的方法，就是使用虛擬私人網(wǎng)絡(luò)(VPN)装获。VPN基本上是由安全設(shè)備在連接的每一個端點形成的加密通道瑞信，它必須要產(chǎn)生數(shù)字認(rèn)證。這種認(rèn)證一般就是一個數(shù)字ID穴豫，受信任的伙伴可以用來進(jìn)行識別凡简。認(rèn)證還保證設(shè)備在一端對數(shù)據(jù)進(jìn)行加密，以加密的形式將其在互聯(lián)網(wǎng)上發(fā)送精肃，然后在傳輸給終端設(shè)備之前在另一端解密秤涩。

安全模塊使用數(shù)字認(rèn)證進(jìn)行工作，并采用兩種基本配置方式創(chuàng)建VPN司抱，它們分別是橋接和路由模式：

橋接模式可以用來實現(xiàn)設(shè)備在虛擬“平面”網(wǎng)絡(luò)上進(jìn)行安全通訊筐眷，而這些設(shè)備的地理位置可能相隔很遠(yuǎn)，或者它們之間的通訊需要跨越網(wǎng)絡(luò)中不安全的部分习柠。它還可以用于無法進(jìn)行路由匀谣、或者處于同一子網(wǎng)的通訊。

路由模式可以用來創(chuàng)建位于分離子網(wǎng)上設(shè)備之間的VPN津畸。路由器在OSI模型的第三層級工作振定，有一定的智能性，可以識別出周圍網(wǎng)絡(luò)需要將數(shù)據(jù)發(fā)送給合適的目標(biāo)地址魁夫。數(shù)據(jù)包是在一條安全加密的VPN通道中傳輸城汹，因此這種通訊要比在類似互聯(lián)網(wǎng)這樣的公共網(wǎng)絡(luò)上更加安全。

安全工具

工廠環(huán)境有很多的安全工具窗耘，可以根據(jù)你具體的需要按照不同的方式進(jìn)行配置拄下。下面就是一些例子：

特定用戶的防火墻。假定你的承包商正在調(diào)試你工廠中的一些自動化設(shè)備卖檬。當(dāng)他不在工廠里時鸳咐，如果他能夠登錄工廠網(wǎng)絡(luò)，比如進(jìn)行故障診斷静熊，對于解決突發(fā)問題就很有益處泥觉。在這種情況下，你可以在防火墻當(dāng)中創(chuàng)建一套特定用戶的規(guī)則亩咪，保證這個遠(yuǎn)程用戶能夠接入網(wǎng)絡(luò)紊捉。你還可以創(chuàng)建不同級別的授權(quán)，保證不同的遠(yuǎn)程客戶只能連接到他們得到授權(quán)的相應(yīng)設(shè)備。

為遠(yuǎn)程用戶創(chuàng)建用戶名和密碼是份簡單的工作溯剑，然后他就可以連接到模塊的IP地址蛉加，使用這些秘密信息登錄。安裝默認(rèn)的設(shè)置缸逃，他可以連接一段特定的時間针饥，這段時間之后，他就會自動登出需频，防止他從計算機(jī)前離開卻保持連接了過長時間丁眼。如果承包商需要更多的時間，他可以在時間結(jié)束之前使用一個基于網(wǎng)絡(luò)的表格重新登錄贺辰。

站對站VPN户盯。有時候公司有一個中心站，還可能有兩座衛(wèi)星設(shè)施饲化。這種情況站對站VPN就是更加合適的方案莽鸭。站對站VPN在兩站之間一般采用加密連接，根據(jù)配置的情況吃靠，允許每個站上的用戶連接其他站上的任何資源硫眨，當(dāng)然這是在假設(shè)他們都有合適權(quán)限的前提下。

這種方式需要每個位置上的模塊都創(chuàng)建加密VPN通道巢块，防火墻也可以用來提供更加精細(xì)的接入控制织岁，比如允許特定的用戶接觸到一部分資源，而不能查看其它炒垫。

點對點VPN着脐。點對點VPN保證用戶可以從有互聯(lián)網(wǎng)連接的任何地點連接其他任何地點上的設(shè)備。這對于下班之后在家工作需要從遠(yuǎn)程位置登陸進(jìn)行設(shè)備故障診斷的管理員來說够煮，非常重要畸居。

這種方式需要在目標(biāo)位置上的模塊裝有合適的安全客戶端軟件，在管理員的筆記本或者平板電腦上運行弟茸。軟件幫助管理員建立一個與任何擁有該模塊的站點的加密VPN連接栅洁。無論他身處何處，通過合適的許可版叁，他可以登錄任何需要的設(shè)備劳诽。

多點VPN連接。現(xiàn)在敲侧，還是那個管理員定歧，他希望從家中連接另外五到十個站點。他并不需要針對每一個站點建立相應(yīng)的VPN連接僻匿，他可以連接一個已經(jīng)建立的嚼锄、與每一個遠(yuǎn)程站點VPN連接的中心模塊减拭，然后就可以連接上述站點了。

這對于每天奔波于各地的服務(wù)工程師來說区丑，絕對是一個好消息。通過與中心站點的單獨連接修陡，它們現(xiàn)在可以簡單并且安全地接入其他需要的站點沧侥，節(jié)約了連接時間。

還有一些工具可以保證基于以太網(wǎng)的自動化環(huán)境像現(xiàn)場總線環(huán)境一樣安全魄鸦。盡管防火墻和VPN都是安全解決方案的重要組成部分宴杀，對于遠(yuǎn)程用戶的安全訪問至關(guān)重要，我們還需要縱深防御的安全模型以確保在工業(yè)環(huán)境下達(dá)到真正的深度安全拾因。要時刻牢記：安全是生命不是兒戲旺罢。

聲明：本網(wǎng)站所收集的部分公開資料來源于互聯(lián)網(wǎng)，轉(zhuǎn)載的目的在于傳遞更多信息及用于網(wǎng)絡(luò)分享绢记，并不代表本站贊同其觀點和對其真實性負(fù)責(zé)扁达，也不構(gòu)成任何其他建議。本站部分作品是由網(wǎng)友自主投稿和發(fā)布蠢熄、編輯整理上傳缨拇，對此類作品本站僅提供交流平臺，不為其版權(quán)負(fù)責(zé)敞冤。如果您發(fā)現(xiàn)網(wǎng)站上所用視頻类紧、圖片、文字如涉及作品版權(quán)問題崭甩，請第一時間告知抵思，我們將根據(jù)您提供的證明材料確認(rèn)版權(quán)并按國家標(biāo)準(zhǔn)支付稿酬或立即刪除內(nèi)容，以保證您的權(quán)益有愚！聯(lián)系電話：010-58612588 或 Email:editor@mmsonline.com.cn焙句。