网络分段提高性能和保护

网络设计的五个步骤可以降低网络安全风险，优化网络性能。隐藏在u盘或PC软件补丁中的攻击载体能否访问您的可编程逻辑控制器(PLC)?您是否容易受到来自被盗的原始设备制造商(OEM)凭证的恶意软件的攻击?如果是，你并不孤单。近年来，大型工商公司，甚至政府都遭遇了严重的公共安全漏洞。

互联的工厂和企业级网络被证明是当今工业流程、机械和基础设施运行的必要条件。这些网络及其提供的信息是现代组织的命脉。在这个每天发生数百万次网络攻击的时代，网络和数据必须受到更广泛的威胁，而不是过去孤立的、单一用途的网络。

网络分段是利用开放互联网络时帮助降低安全风险的一种方法。分割通过将网络分解成更小的基于功能和访问的区域来创建更小的信任域。虽然分割不是一种纯粹的安全机制，但它通过限制流量并引导其通过检查点来简化安全策略的实施，这有助于确保只允许批准的数据和用户访问网络的特定部分。

网络分段使用物理和逻辑分割在网络设备和组件周围绘制实线和虚线。这将创建与每个节对齐的安全组。“实线”指的是物理分割，即网络中实际主机、设备或节点的细分。与此同时，逻辑分割更加抽象。它是概述哪些端点需要在同一子网或局域网(LAN)中的过程，并涉及设备之间的关系—例如，它们是否在功能上相互连接、绑定到同一进程或仅在有限的基础上相互交互。所采用的分段方法可以显著影响开发网络基础设施的安全性、成本、性能和时间。

单网络值

工业公司过去依赖多层网络模型，使用不同的网络技术执行不同的控制规程(运动、安全和过程控制)。不同的通信标准提供了自然的物理网络技术分割。支持制造企业的自动化系统越来越多地转向使用基于IP和以太网的技术(如EtherNet/IP，一种ODVA以太网协议)的紧密连接系统。这使得多个控制和信息规程能够融合在一起，并且可以提高生产力、资产的利用和决策制定。这也为保护过去单一用途网络无法使用的通信提供了选项。

市场细分的必要性

网络融合的优势很快变得不可否认。然而，它确实需要终端用户和机器制造商部署工业网络设计方法，如分割，以帮助维持实时网络性能。分割具有使网络更加模块化的附加优势。模块化减少了网络蔓延，并为制造商提供了在对网络性能和基础设施影响最小的情况下增加容量的灵活性。模块化还有助于确保流量通过检查点，如防火墙和托管交换机，作为更大的安全策略的一部分。

应用分割拓扑

物理分割的概念是帮助定义界限，即支持根据所连接设备的物理位置从一个职责转移到另一个职责。物理上划分网络有多种方式。最直接的方法是完全使用不连接到工厂或企业网络基础设施的隔离网络。然而，这意味着失去了前面讨论过的收敛优势。

物理分割的其他方法可以提供连接性。例如，双网卡(dual network interface card)和NAT (network address translation)功能为单个终端设备创建了两个网络身份。

在可编程控制器或其他机器资源中使用多个NIC卡可以与以前未连接到以太网的设备通信。可以使用多个网卡建立一个终端设备与多个物理隔离网络的连通性。使用多个网卡，工厂操作员可以通过一个卡访问特定的控制器，企业IT部门可以通过另一个卡提取控制器信息，将实时工厂信息提供给企业级数据库和报告。

使用具有NAT功能的托管工业交换机，通过确定哪些设备暴露在更大的网络中，可以灵活地分割或隔离网络流量。通过限制对某些设备的访问，可以将它们与更广泛的网络流量隔离开来，这有助于优化本地级别的网络性能。NAT在设备制造商和原始设备制造商中很受欢迎，因为它可以简化从一组本地机器级IP地址到最终用户更广泛的工厂过程网络的IP地址映射的集成。这使得oem能够适应最终用户网络，并限制使用的IP地址数量，从而限制调试期间的时间和风险。

利用多个NIC卡和NAT的拓扑自然地分割不同类型的通信，以减少网络颤振，并提高性能和安全性。然而，使用这种方法的网络边界受到设计的限制，并且需要在提供内置功能的特定硬件上进行投资。

使用虚拟局域网(vlan)和子网在逻辑上划分网络在IT界是众所周知的，但对于控制系统工程师来说，在单元/区域区域中仍然是一个较新的概念。使用这种方法，用户可以通过在管理交换机中配置多个vlan，将“控制”设备与其他设备分开。这使用户能够在路由器或第三层交换机的帮助下选择哪些流量穿过子网/ vlan。

相互分割小区/区域区域将有助于创建更小的第二层域，减少整体网络带宽，并创建更小的信任域。当新系统被引入网络时，它们可以被合并，对现有系统的性能影响有限。

将工厂网络寻址扩展到机器也减轻了对上面描述的一些物理方法的需要。网络上的资源在网络上只有一个身份，但是它们的性能受到保护，不受本地VLAN之外的其他资源的广播和组播通信的影响。这降低了新设备添加到网络时的风险和连接成本。

防火墙可以作为网络上的物理段和逻辑段。例如，工业路由器可以同时支持NAT和路由功能。为了使防火墙有效，网络流量必须通过它们，在逻辑上控制网络上的信息流。

当使用更高级别的入侵检测和防御系统(ids / ips)来检查进出远程设备的流量时，防火墙通常工作得最好。他们还会通过授权渠道寻找表明来自授权来源的攻击或威胁的签名。IDS/IPS提供了额外的安全级别，以减少可能利用防火墙上的开放端口或可能来自授权用户或设备的威胁或攻击，例如来自授权用户计算机的病毒。

开始网络设计

要设计和规划您的网络，请考虑以下步骤并提出以下问题:

1)评估:考虑逻辑模型的每个层次，并通过计算行业最佳实践和标准(包括最近发布的NIST改进关键基础设施网络安全框架)以及任何所需的未来扩展能力，生成网络需求文档。

需要考虑的问题:为什么当前的网络设计没有根据操作/可用性基线运行?当前的网络架构是否强大到足以保护知识产权和资产?如何知道网络上的问题是否与安全相关，以及如何解决这些问题?如果我将来需要增加容量，我怎样才能根据我今天所做的准备做好更好的准备呢?

2)设计:在逻辑模型中列出具有网络依赖关系的设备和应用程序，以帮助定义需求文档的物理和逻辑拓扑。

问:我现有的体系结构是否可以防止恶意软件攻击?我需要做些什么来确保我的体系结构能够适应当前和未来的需求?如何确定技术更新任务的优先级以最大化操作可用性?

3)部署:根据生成的需求文档，完成网络的安装、采购和配置。然后，根据标准审核网络，以帮助确保网络需求得到满足。

问题:如何配置设备以使其与过程控制网络实现最佳接口?如果我升级到“X”会有什么影响，我该如何进行更改?我如何安全地处理旧设备，以确保我的数据不被暴露?

4)治理:确保遵守法律法规。

问:我需要遵守任何规定吗?如果有，它们是什么，我如何遵守?如果我不遵守规定，会有什么风险?我需要多长时间才能顺从?

5)管理和监控:最大化网络可用性，管理变更控制，并监控网络以尽早发现问题。这可以通过评估网络移动、添加和更改作为更改控制过程的一部分来实现，以保护网络需求和性能的完整性。

问题:我如何安全地远程访问我的网络?有哪些资源可以帮助我保持可用性?

遵循这五个步骤并利用网络设计的最佳实践，可以提供开放和互连网络的优势，优化性能并降低安全风险。

Jessica Forguites是Rockwell Automation的产品经理;由Mark T. Hoske编辑，他是CFE Media的内容经理，控制工程，mhoske@cfemedia.com．

关键概念

• 网络分段提高性能和保护。
• 降低网络安全风险，优化网络性能。
• 遵循以下5个步骤来利用网络设计的最佳实践。

考虑一下这个

当前的网络架构是否强大到足以保护知识产权和资产?

在线额外

这篇在线文章的链接和更多的网络安全和网络信息出现在11月的问题。

控制工程有以太网和安全性的页面。

//www.globalelove.com/networking-security/ethernet.html

//www.globalelove.com/networking-security/cyber-security.html

请参阅下面有关网络的相关文章。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。