选择HMI远程访问选项
建立移动人机界面(HMI)连接的两种主要方法;一个提供更多的网络安全。远程访问HMI连接对比表。
移动人机界面(HMI)访问是许多工业自动化应用程序的必要条件,存在两种典型的方法来实现与路由器和虚拟专用网络(vpn)的连接:
- 没有VPN的标准路由器
- 云托管VPN路由器。
第一个是标准路由器,虽然它不安全,但它仍然用于许多现有的移动HMI应用程序,甚至在一些较新的应用程序中。它的主要吸引力是成本低,但不鼓励这种方法,因为当防火墙中启用端口转发时,它会带来重大的网络安全风险,因为这会使网络暴露于外部威胁。
云托管VPN路由器通过创建从本地VPN路由器到云托管VPN路由器的加密连接,简化了信息技术(IT)复杂性。远程用户可以通过云托管的VPN路由器安全地访问本地组件和系统。该选项提供了高度的网络安全,以及更简单的配置和维护。
这里不考虑使用传统VPN路由器实现的第三种类型的路由器连接,因为部署这种类型的连接非常复杂。它涉及打开入站连接,并产生类似于标准路由器实现的复杂性和风险。
要评估从笔记本电脑、智能手机或平板电脑访问移动hmi的两种类型的远程访问,请参见总结差异的表格。
远程访问HMI连接对比表
| 标准路由器 | 云端的VPN路由器 | |
| 从笔记本电脑的HMI编程 | 不安全 | 安全 |
| 3.理查德·道金斯派对手机app支持 | 由于端口转发不安全 | 移动VPN安全 |
| 安全风险-笔记本电脑 | 高 | 低 |
| 保安风险-流动 | 高 | 低 |
| 对现有防火墙的更改 | 要求 | 不是必需的,尽管可能需要出站规则 |
| 外部成本 | ||
| 最初的 | 低 | 媒介 |
| 维持 | 低 | 带宽的依赖 |
| 所需的技术专长 | 媒介 | 低 |
| 数据仪表板,警报 | 通常不可用 | 可透过订阅获得 |
标准的路由器
在许多工业应用中,标准路由器和防火墙用于保护企业和工业工厂网络(图1),要求用户手动配置和管理所有路由和防火墙设置。这种类型的路由器通常没有VPN来加密数据,但它会在防火墙中创建端口转发“漏洞”,以便远程用户访问工厂网络中的特定应用程序和组件。
大多数HMI用户想要相同级别的访问,无论是远程还是本地。笔记本电脑通常连接到HMI web服务器以监控数据并更改设定值和其他参数,或者通过编程软件连接到HMI以排除故障或更改程序。
为了使用标准路由器进行远程连接,端口转发通常配置为允许访问HMI或运行远程访问软件的本地PC。本地PC为远程用户提供运行人机界面编程软件的能力。
HMI移动应用程序也需要端口转发,以便远程用户可以访问本地HMI进行控制或查看数据。这些应用程序通常提供与基于浏览器的远程访问相同的功能,但通过应用程序而不是浏览器。
这种方法的主要问题是在移动和基于pc的应用程序中与端口转发相关的安全风险。黑客很容易就能确定防火墙上哪些端口是开放的,从而通过路由器进入公司或工厂网络。
虽然端口转发在企业或工厂网络中非常有效和有用,但在互联网-企业接口上使用此功能是非常危险的。对于新安装的路由器,企业应该避免采用这种方式,而应该将现有的标准路由器安装转换为更安全的连接,例如云托管的VPN路由器。
云托管VPN路由器
云托管vpn通过简单的设置和网络配置提供安全连接。典型的云托管VPN选项包括本地VPN路由器、云托管VPN服务器、VPN客户端和连接的自动化组件(图2)。
在本地路由器(在工厂/控制网络)和VPN客户端(安装在用户笔记本电脑或移动设备上的软件)分别连接到云托管的VPN服务器之后,就建立了安全连接。本地路由器在启动时立即建立连接,但VPN客户端只在远程用户验证请求时才连接。一旦建立了两个连接,所有通过此VPN隧道的数据都是安全的。
大多数云托管vpn每月为基本操作提供免费的带宽分配,一旦达到这个分配,就会限制数据访问,并且还提供额外带宽的高级计划。
例如,一款产品每月提供5GB的免费VPN数据交换,这足以满足大多数故障排除、监控和编程需求。当本地路由器通过标准的开放端口(如HTTPS)通过出站连接向服务器发起通信时,安全风险就会降低。这通常不需要对企业IT防火墙进行更改,并满足IT安全问题。为了增加安全信心,用户应该寻找具有行业认证的信息安全管理系统(如ISO/IEC 27001:2013)的云托管vpn。这表明供应商已经实施了全面的安全程序和控制。
更简单的路由器配置
云托管VPN的另一个优点是简单的路由器配置。由于安全本地路由器(图3)将连接到预定义的云服务器,因此路由器预先配置了复杂的VPN网络设置,允许非it人员安装它。所需要的只是知道连接到局域网的自动化组件的IP地址,以及internet服务提供商(ISP)或企业广域网路由器(不是云托管的VPN路由器)是否动态或静态地提供IP地址。
其他高级选项可能包括云数据日志和警报通知,它提供了HMI功能的子集,也比自定义编程更容易使用。这些服务允许用户在他们的移动设备或笔记本电脑上记录系统数据并接收定制的关键警报,在需要时提供一个方便的、基于web的系统性能历史记录。
基于移动应用的远程访问
工业HMI和可编程逻辑控制器(PLC)组件越来越多地支持移动应用程序。这为用户提供了随时随地的远程访问,并具有监视和控制功能。为了安全访问工业设备,移动设备还必须采用VPN技术对从移动设备到工厂网络的数据进行加密。如果没有移动VPN,工厂的防火墙端口将需要打开,这将创建一个与标准路由器类似的场景,并使工厂网络容易受到网络攻击。
使用托管VPN为笔记本电脑和移动设备提供安全的VPN连接;后者是通过一个完全支持VPN的移动应用程序。一旦通过移动VPN应用程序安全连接到工厂网络,就可以打开第三方HMI或PLC应用程序,并连接到本地HMI和PLC组件,就像移动用户在现场一样,因为用户实际上就在现场。
有些路由器为笔记本电脑和移动设备提供托管VPN连接。提供苹果iOS和谷歌Android移动设备应用,为用户提供安全的工厂网络连接。
基于应用程序的访问正在进行
一些云托管的VPN供应商还提供对云中运行的数据日志软件的基于应用程序的访问,以及用于配置可远程查看的定制仪表板的小部件(图4)。
这种内置的云日志记录对于原始设备制造(OEM)机器制造商特别有效,这些制造商在全球数百个地点安装了数千台机器,每台机器都有多个用户。OEM将为每台机器提供一个VPN路由器,预配置为记录数据,并包括定制的仪表板,用于在移动应用程序上远程查看。OEM的客户无需配置、安装或维护远程访问软件,只需在智能手机或平板电脑上安装应用程序即可。
对于仪表板之外的更全面的访问,远程用户可以使用托管VPN供应商提供的移动VPN通过应用程序访问本地hmi和plc。例如,一些移动HMI软件在与供应商特定的VPN路由器结合使用时可以安全地工作。本地设备也可以通过PC安全地远程访问,以进行编程、监控或故障排除。
基于云的VPN安全
对于许多原始设备制造商和其他公司来说,通过移动设备和笔记本电脑访问本地HMIs和自动化系统是必要的。使用云托管的VPN提供这种访问,可获得安装、配置和维护简单的安全系统。
乔纳森·格里菲思他是AutomationDirect的工业通信和电源产品经理。由内容经理马克·霍斯克编辑,控制工程,《媒体,mhoske@cfemedia.com.
关键词:移动HMI,安全VPN监控
移动HMI访问选项包括一个标准路由器,基于云的VPN路由器,或创建入站连接。
存在安全风险标准路由器和入站连接。
简单的选择有优势。
考虑一下这个
可以更移动HMI访问帮助您更好地完成工作?
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
