提供对工业以太网的安全远程访问

将以太网引入工厂车间带来了很多好处，尤其是一个更加开放的架构，可以从几乎任何地方连接到工厂设备和管理工具。但随着这种开放性，核电站网络运营商也必须解决一个问题:安全。

当自动化系统连接到以太网网络时，这与将计算机连接到Internet并没有太大的不同。在工厂的某个地方，当然在企业网络中，存在Internet连接。鉴于此，组织必须采取措施保护工厂环境免受任何联网计算机所面临的相同类型的威胁，包括黑客、蠕虫、木马和各种其他形式的恶意软件。

这意味着工厂网络管理员需要与他们的IT同行使用相同类型的安全工具，尽管这些工具是根据工厂环境构建的。这些工具必须允许从设施内的其他区域以及远程位置通过身份验证访问工厂环境。这使远程管理员能够处理配置和诊断、节点初始化以及访问机载Web和FTP服务器以从设备收集信息等任务。

该工具包将包括各种硬件、软件和工作实践，如防火墙、vpn(虚拟专用网络)、网络地址转换(NAT)技术和适当的策略。所有这些都构成了一个立即开放的自动化环境，能够根据需要与其他网络通信，并且可以从任何地方进行管理，同时保持安全，免受来自互联网的威胁。

防火墙:第一道防线

防火墙是最古老的安全工具之一，仍然是安全难题的关键部分。防火墙位于网络之间，通常控制内部和外部网络之间的流量。它的主要目的是帮助确保只有合法的流量通过任何一个方向。

在工业环境中，防火墙保护的单元可能包括几个以太网连接的自动化设备，如工业pc和plc。在这种情况下，公司可以安装一个安全模块，这是一个简单的设备，其中一个以太网连接来自自动化网络端，另一个连接到更大的网络。两者之间的任何流量都要遵守为设备建立的任何防火墙规则。

防火墙操作有不同的策略。工业网络通常使用有状态数据包检测技术，该技术使设备能够在上下文中评估流量。它只允许它知道是对内部网络请求的合法响应的传入流量。如果外部源发送未被请求的数据，则会阻塞它。

为了确保所有流量都是合法的，有状态包检测防火墙会根据预先确定的过滤规则对流量进行控制。例如，如果内部节点向外部目标设备发送数据，防火墙将在有限的时间内动态地允许响应数据包。超过时间窗口后，防火墙会再次阻断流量。

NAT和NAPT

另一种有助于为自动化环境提供安全性的技术是在设备中实现的网络地址转换(NAT)。NAT本质上隐藏了内部网络中设备的实际IP地址，使其不被面向外部网络的公共设备所看到。它向面向外部的节点提供一个公共IP地址，但将该地址转换为网络内部使用的另一个IP地址。

网络地址和端口转换(NAPT)通过在混合中添加端口号将NAT概念进一步推进了一步。使用NAPT，只需要向公众提供一个IP地址。在此之后，数据包通过添加端口号被寻址到特定的设备。NAPT表通常位于路由器上，它将私有IP地址端口映射到公网IP地址端口。

如果外部网络的设备要向内部设备发送报文，则使用安全设备的具有指定端口的公网地址作为目的地址。路由器将该IP地址转换为带有端口地址的私有IP地址。

数据包IP头中的源地址保持不变。但是，由于发送地址与接收地址在不同的子网中，响应必须经过路由器，路由器将其转发到外部设备，同时保护内部设备的实际IP地址不被公众看到。

使用vpn保护隧道

在本质上不安全的网络(如Internet)上提供安全连接的另一种方法是使用虚拟专用网络(VPN)。VPN本质上是由连接两端的安全设备组成的加密隧道，这些设备必须生成数字证书(本质上是数字id)，以相互识别为可信任的合作伙伴。证书还使设备能够在一端加密数据，以加密形式通过Internet(或其他网络)发送数据，然后在另一端解密数据，然后将其传递给终端设备。

安全模块使用数字证书工作，可以在桥接和路由两种基本配置下创建vpn:

• 桥接模式可用于使设备在虚拟的“平面”网络中安全地通信，而它们位于较远的位置，或者当它们的通信必须通过网络的不安全部分时。这也用于不能路由或必须在同一子网中的通信类型。
• 可以使用路由方式在不同子网的设备之间创建VPN。路由器工作在OSI模型的第3层，具有将数据包路由到适当目的地址所需的周围网络的智能和感知能力。同样，数据包通过一个安全、加密的VPN隧道传输，使得通信即使在Internet等公共网络上也是安全的。

样例用例

工厂环境中可用的各种安全工具可以以不同的方式配置，具体取决于您需要提供什么样的访问以及向谁提供访问。下面是一些例子:

用户特定的防火墙——假设你有一个承包商在你的一个工厂里为一些自动化设备工作。当他不在工厂时，如果他能登录，比如解决问题，这是很有用的。在这种情况下，您可以在防火墙中创建特定于用户的规则，使特定的远程用户能够获得访问权限。您还可以创建不同级别的授权，以确保不同的远程用户只能访问他们被授权的设备。

这是为远程用户创建用户名和密码的简单问题。然后，他可以连接到模块的IP地址，并使用这些凭据登录。在默认情况下，他将在预定义的时间内访问，在此之后他将被注销，以防止他离开计算机并在较长时间内保持连接打开。如果承包商需要更多的时间，他可以使用基于web的表单在连接用完之前更新连接。

点到点VPN——在一个公司有一个中心站点和两个卫星设施的实例中，点到点VPN可能更合适。site-to-site VPN本质上是两个站点之间的安全加密连接，根据它的配置方式，可以允许每个站点的用户访问其他站点的任何资源——当然，前提是他们有适当的授权。

这个设置需要每个位置都有一个模块来创建加密的VPN隧道。防火墙还可以用于提供更细粒度的访问控制，例如允许某些用户访问某些资源，而不能访问其他资源。

点到点VPN—点到点VPN允许用户从任何有Internet连接的站点访问任何站点的设备。这对于下班后在家工作且需要登录到远程位置以排除设备故障的管理员非常有用。

此设置需要在目标位置上安装一个模块以及适当的安全客户机软件，该软件运行在管理员的笔记本电脑或台式机上。该软件使他能够与任何拥有该模块的站点建立加密VPN连接。从那里，有了适当的权限，他可以登录到任何他需要的设备。

多点VPN连接——现在说同一个管理员必须从家里访问另外5到10个站点。他可以连接到一个已经建立了到每个远程站点的VPN连接的中央模块，而不是建立到每个远程站点的单独VPN连接，并基本上利用这些连接。

这对那些经常出差的服务工程师来说是一个很大的好处。通过与中心站点的单个连接，他们现在可以根据需要轻松而安全地访问任何其他站点，从而节省了宝贵的时间。

这些只是确保启用以太网的自动化环境与基于现场总线的前辈及其对应的IT环境一样安全的一些工具。虽然防火墙和vpn是这个难题的重要组成部分，并且对于为远程用户提供安全访问至关重要，但它需要额外的安全层来确保真正的、深度防御的安全模型。永远记住:安全是一种生活方式，而不仅仅是一个复选框。

Tim Pitterling是西门子工业部门的工业以太网基础设施产品营销经理。Jonas Ljungberg是西门子工业部门的工业以太网基础设施高级咨询应用工程师。

关键概念:

• 您的工业网络总是以某种方式连接到Internet，因此必须加以保护。
• 有许多技术可以帮助确保通信安全，并最大限度地减少您面临的威胁。

在线

欲了解更多信息，请访问:www.siemens.com/industrialsecurity

请参阅下面的相关网络安全报道。

还在www.globalelove.com，浏览网络安全网络广播和培训视频。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。