將以太網引入到車間層有很多好處����,其中一個重要的好處就是創建了更加開放的架構����,可以大量連接各種工廠設備和管理工具�����。但是這種開放性也為工廠網絡的操作人員帶來了一個必須要解決的問題:安全��。
一旦自動化系統加入到以太網之中���,就同把計算機連入互聯網差不多����。在工廠的某個角落��,或者是企業網絡當中�,總會有互聯網連接存在���。因此��,企業必須要采取行動保護工廠環境免受來自連入互聯網計算機的威脅����。這些威脅可能是黑客�、病毒���、木馬以及各種其他形式的有毒程序����。
這就意味著工廠網絡管理員需要和IT部門同事一樣的安全防護工具��,而且是專為工廠環境設計的工具�����。這些工具在設施內部的其他區域或者是其他遠程地點必須經過授權才能連接到工廠當中�。這樣�,遠程管理員就能夠完成諸如配置和診斷��、節點初始化�、從設備連接機載網絡和FTP服務器獲取信息這些任務�����。
這個工具集需要包含各種硬件����、軟件和使用工具���,比如防火墻�����、虛擬專用網(VPN)��、網絡地址翻譯(NAT)技術和相應的政策��。一旦自動化環境開放��,它就要發揮效用�����,同時它還需要同其他網絡進行通訊����,并能夠從不同地點進行管理����,保證工廠安全免受互聯網威脅����。
防火墻:第1道屏障
防火墻是一種古老的安全工具�,現今仍然是安防組件的重要組成部分���。防火墻位于網絡之間����,主要是控制內部和外部網絡之間的信息流��。它的主要目的是幫助確保只有合法的信息在特定的方向上流動���。
在工業環境下����,防火墻能夠保護可能包括多個連入互聯網的自動化設備單元�����,比如工業PC或者是PLC��。在這種情況下�,企業可以安裝一臺安全模塊���,即一端接 收自動化網絡的以太網接入���、一端連接更大網絡的簡單設備�。任何兩個網絡之間的交互都需要取決于設備上安裝的防火墻所設定的規則�。
防火墻運行有很多策略�,工業網絡一般因地制宜地使用信息包檢測技術����,讓設備可以連接當前的信息流��。只有確定來自內網的要求得到合法反饋的時候�,才允許信息進入����。如果有外部源發送不需要的信息����,就會被屏蔽����。
為了保證所有的信息流都合法�����,專門的信息包檢測防火墻根據事先確定的過濾規則控制信息流�����。舉例來說�,如果有內部節點向外部目標設備發送數據�,防火墻將會在一個特定的時間內允許響應包���。在這段時間過后��,防火墻將會再次屏蔽信息流����。
NAT和NAPT
另外一項能夠為自動化環境提供安全功能的技術是NAT����,它應用在設備層面上����。NAT一般是在外部公眾的視野內隱藏內部網絡中設備的實際IP地址�。它向外部節點顯示公共IP地址���,但是卻對網絡內部使用的IP地址進行了變換��。
網絡地址和端口編譯(NAPT)技術利用了NAT的概念����,并且加入了端口編號�����,將技術又向前發展了一步�����。通過NAPT技術��,內網在公眾面前只顯示一個 IP地址����。而在后臺�����,通過添加端口號將信息包分配給指定的設備��。NAPT 工作表通常部署在路由器上��,將私人IP地址端口映射到公共IP地址端口上��。
如果來自外部網絡的設備希望向一臺內部設備發送信息包���,它需要使用帶有特定端口的安全設備公共地址作為目標地址�����。這個目標IP地址會被路由器翻譯成帶有端口地址的私人IP地址�。
數據包IP標頭中的源地址保持不變��。但是��,因為發送地址是在接收地址的不同子網當中�,反饋必須要經過路由��,然后再轉發給外部設備�����,同時保護內部設備的實際IP地址不被外部公眾看到���。
使用VPN的安全通道
另外一種在本質上不安全的網絡上進行安全連接的方法����,就是使用虛擬私人網絡(VPN)�����。VPN基本上是由安全設備在連接的每一個端點形成的加密通道���,它 必須要產生數字認證�����。這種認證一般就是一個數字ID�����,受信任的 伙伴可以用來進行識別����。認證還保證設備在一端對數據進行加密���,以加密的形式將其在互聯網上發 送��,然后在傳輸給終端設備之前在另一端解密���。
安全模塊使用數字認證進行工作���,并采用兩種基本配置方式創建VPN�����,它們分別是橋接和路由模式:
橋接模式可以用來實現設備在虛擬“平面”網絡上進行安全通訊����,而這些設備的地理位置可能相隔很遠���,或者它們之間的通訊需要跨越網絡中不安全的部分�。它還可以用于無法進行路由����、或者處于同一子網的通訊�。
路由模式可以用來創建位于分離子網上設備之間的VPN��。路由器在OSI模型的第三層級工作����,有一定的智能性����,可以識別出周圍網絡需要將數據發送給合適的目 標地址�����。數據包是在一條安全加密的VPN通道中傳輸�,因此這種通訊要比在類似互聯網這樣的公共網絡上更加安全����。
安全工具
工廠環境有很多的安全工具��,可以根據你具體的需要按照不同的方式進行配置����。下面就是一些例子:
特定用戶的防火墻�。假定你的承包商正在調試你工廠中的一些自動化設備���。當他不在工廠里時���,如果他能夠登錄工廠網絡�,比如進行故障診斷��,對于解決突發問題 就很有益處��。在這種情況下�,你可以在防火墻當中創建一套特定用戶的規則��,保證這個遠程用戶能夠接入網絡�����。你還可以創建不同級別的授權����,保證不同的遠程客戶 只能連接到他們得到授權的相應設備���。
為遠程用戶創建用戶名和密碼是份簡單的工作����,然后他就可以連接到模塊的IP地址��,使用這些秘密信息登錄�����。安裝默認的設置�,他可以連接一段特定的時間�,這段時間之后�����,他就會自動登出�,防止他從計算機前離開卻保持連接了過長時間�。如果承包商需要更多的時間��,他可以在時間結束之前使用一個基于網絡的表格重新登錄����。
站對站VPN�。有時候公司有一個中心站���,還可能有兩座衛星設施���。這種情況站對站VPN就是更加合適的方案����。站對站VPN在兩站之間一般采用加密連接����,根據配置的情況�����,允許每個站上的用戶連接其他站上的任何資源�����,當然這是在假設他們都有合適權限的前提下�����。
這種方式需要每個位置上的模塊都創建加密VPN通道�,防火墻也可以用來提供更加精細的接入控制���,比如允許特定的用戶接觸到一部分資源�����,而不能查看其它���。
點對點VPN�����。點對點VPN保證用戶可以從有互聯網連接的任何地點連接其他任何地點上的設備�。這對于下班之后在家工作需要從遠程位置登陸進行設備故障診斷的管理員來說�,非常重要�����。
這種方式需要在目標位置上的模塊裝有合適的安全客戶端軟件�,在管理員的筆記本或者平板電腦上運行�����。軟件幫助管理員建立一個與任何擁有該模塊的站點的加密VPN連接�����。無論他身處何處�,通過合適的許可��,他可以登錄任何需要的設備�。
多點VPN連接?��,F在��,還是那個管理員��,他希望從家中連接另外五到十個站點����。他并不需要針對每一個站點建立相應的VPN連接��,他可以連接一個已經建立的��、與每一個遠程站點VPN連接的中心模塊����,然后就可以連接上述站點了����。
這對于每天奔波于各地的服務工程師來說�����,應該是一個好消息����。通過與中心站點的單獨連接����,它們現在可以簡單并且安全地接入其他需要的站點��,節約了連接時間��。
還有一些工具可以保證基于以太網的自動化環境像現場總線環境一樣安全�。盡管防火墻和VPN都是安全解決方案的重要組成部分����,對于遠程用戶的安全訪問至關重要�����,我們還需要縱深防御的安全模型以確保在工業環境下達到真正的深度安全�����。要時刻牢記:安全是生命不是兒戲���。
