设备路由器的串行网络安全

由于安全仍然是工业网络设计人员面临的挑战的前沿，使用串行智能电子设备(ied)和其他已忠实运行多年的串行网络组件的遗留系统已成为一个重大问题。它们通常与较新的以太网部署分开，不属于任何自动化安全策略，但它们出色的隔离性可能使它们成为攻击的目标。

该图显示了典型的网络体系结构，包括与以太网核心接口的串行设备。

这几十年来积累的工业设备，利用异步串行协议的操作应用程序，如监控和数据采集(SCADA)和工业设备控制台接口，可以通过不同于互联网协议(IP)/以太网基础设施的单独网络来满足其串行通信需求。但是，对于传统的串行应用程序，没有办法实现远程网络安全管理。为了有效的通信系统范围的安全计划以及整体网络效率，最好将工业网络边缘的串行设备与中央IP/以太网网络集成在一起，以便于管理，并将基于IP的网络安全功能扩展到网络的串行边缘。

市场上出现了整体架构，使串行边缘成为自动化、安全网络系统的一个组成部分。一种被称为串行设备路由器的新兴产品支持一种架构，它允许管理人员设计和控制集成工业网络，为整个网络(包括遗留系统)提供监视、管理和安全性。

整合产业网络

新兴工业网络的整体视图是将以太网交换机作为网络核心的通用连接介质，然后在该核心周围设置用于以太网设备、串行设备和广域网连接的边缘和接入层。看到图形。

在这种体系结构的以太网边缘，支持ip的工业设备直接连接到核心网络，或者通过部署在分布式工业设备附近的以太网边缘交换机连接到核心网络。该体系结构的广域网(WAN)访问元素使远程系统或人员能够访问本地网络中的工业设备。除了到WAN设施的物理层接口之外，WAN访问还需要IP路由来实现不同以太网的互连和边界安全功能，例如IP防火墙。

串行边缘历来是作为一个单独的网络来实现的。虽然以太网和串行域可能共享公共WAN访问元素，但共享本地以太网基础设施一直很困难。

已经开发了相对静态的专用网络，用于将串行设备和接口连接到中央数据收集器和/或连接到基本的远程访问设施。设备可以连接到专用调制解调器连接以进行远程访问，或者可以由本地数据集中器提供一些有限的共享WAN访问，用于操作数据接口(如SCADA)和用于串行控制台访问的单独接口。一个主要的缺点是静态串行边缘网络依赖于每个应用程序的专用连接。因此，增加新的工业设备(ID)或新系统意味着增加新的专用连接。控制台对设备的访问也受到高度限制，阻碍了远程技术人员的有效访问。连接是硬连线的，没有针对故障的弹性，也没有对网络元素的远程管理。

串行设备路由器是一类提供智能串行ip网络的设备，利用以太网基础设施来利用新兴以太网核心架构提供的无处不在、性能、安全性和弹性。通过将它们部署在分布式工业串行设备附近，创建了一个新的动态串行边缘，以提供串行ip /以太网连接到公共本地核心网络。由于它们是专门为工业应用而设计的，因此这些设备即使在最恶劣的环境中也可以广泛分布。此外，多个串行连接可以连接到同一工业设备。例如，操作数据接口(如SCADA)和串行控制台访问都可以共享一个串行设备路由器。

串行设备路由器可以在现有的以太网核心上使用Modbus/TCP提供现场总线连接。

现场总线示例

安全通常不是现场总线关心的问题，因为它们是典型的封闭系统。然而，当基于ip的设备进入人们的视野时，现场总线系统的安全性就成为一个问题。串行设备路由器具有数据操作能力和智能，可以解决网络安全问题。

在工业控制系统环境中有大量的串行设备。许多系统都标准化了串行模式DNP(分布式网络协议)和Modbus协议。Modbus现场总线技术允许连接到同一网络的许多设备之间进行串行通信。例如，在串行SCADA系统中，Modbus常用于连接监控计算机和远程终端单元(RTU)。

由于Modbus是一种重要且广泛部署的串行技术，因此串行设备路由器将Modbus/RTU和Modbus/ASCII串行设备与较新的TCP/IP网络设备集成的能力尤为重要。利用Modbus/TCP, Modbus/RTU的扩展，可以在基于TCP/ ip的网络中对Modbus消息进行编码和传输，以支持客户端(主)和服务器(从)操作模式。这种方法可以将Modbus设备集成到以太网核心集成工业网络中，从而将基于以太网的管理和网络安全功能扩展到工业设施中的Modbus设备。

其他串行方法

与串行设备路由器一样，传统的终端服务器、串行设备服务器或控制台服务器提供串行到tcp /IP协议封装和连接到以太网的基本功能。而串行设备路由器集成了终端服务器、以太网交换机、IP路由器和防火墙的多种功能，可以增强串行设备的管理、弹性和安全能力。传统的终端服务器和其他串行服务器设备没有智能，因此没有安全能力。如果连接的串行设备位于安全区域，并且访问仅限于受信任的员工，则这可能不是问题。例如，终端服务器不可能使用诸如每个端口虚拟局域网(vlan)之类的安全技术。然而，今天强调的是安全准备而不是信任，这表明通信管理应该包括一个统一的安全系统，该系统不仅要对外部攻击保持警惕，而且要对安装中的人员或系统的未经授权的使用保持警惕。SDR具有在工业网络中扮演多种角色的灵活性，包括作为远程位置的外围安全设备(如防火墙和vlan)，作为串行端口活动的看门狗，或作为以太网网络域之间的第3层(IP协议)网关。

串行设备路由器还专为工业环境而设计，可承受极端温度，浪涌，EMI和腐蚀性，高颗粒或高湿环境。这些经过强化的设备可以在终端服务器(通常只有商业级)无法运行的应用程序中进行可靠的部署。

新型工业路由器结合SDR功能，为支持动态以太网和动态串行边缘的集成网络提供广域网连接。

网络安全特性

当启用远程访问时，网络安全变得更加紧迫，远程访问对于有效支持许多工业功能至关重要。在电力传输等一些行业，实施远程访问会带来关键基础设施网络安全保护的监管义务。除了通过wan访问防火墙功能实现外围安全外，全面的网络保护还需要对工业设备进行严格的端口安全保护，包括远程系统和人员在端到端基础上对串行连接进行身份验证和加密，并在本地扩展到串行端口本身。串行设备路由器具有IP功能，允许它们支持来自远程系统和基于pc的远程人员的安全套接字层(SSL)会话，并具有特定于单个串行端口的身份验证，此外还有高性能、硬件辅助的流量加密，一直到本地网络的边缘。串行设备路由器还具有使用以太网802.1Q VLAN技术等功能将串行端口关联到封闭社区的能力，该技术允许将网络中的串行端口按端口分配给不同的VLAN。

业务目标

串行设备路由器可以创建动态串行边缘，满足工业网络设计者和规划者的许多关键业务目标。除了将网络安全扩展到串行设备的工业网络边缘，并促进符合网络安全标准之外，串行设备路由器还可以提高网络可靠性，从而提高相关操作系统和过程的可靠性。通过提高本地网络连接的安全性和弹性，提高了SCADA系统的可靠性。

串行设备路由器通过为远程系统和人员提供网络支持的串行设备来保护工业设备中的现有投资。通过在工业环境(包括网络安全)中利用以太网核心网络，以及通过使用开放标准技术构建长期项目生命周期，可以使其他工业设备和系统的部署更具成本效益。

新的和不断发展的应用需求，如全面的网络安全要求和对整体系统可靠性的高度关注，需要对工业网络架构有新的看法。网络中的串行设备增加了安全挑战，因为它们不容易适应支持ip的安全系统。此外，每个应用程序都需要自己单独的上行链路，这增加了新部署的复杂性。随着多协议工业网络设计和规划的集成方法的出现，网络规划者和设计人员可以使用串行设备路由器的新兴产品类别来促进集成，安全和可靠的工业网络。

作者信息

Howard Linton, GarrettCom Inc.应用工程总监。打电话给他。hlinton@garrettcom.com．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。