安全自动化策略，以太网网络

以太网在工厂车间的引入提供了一个开放的体系结构，从大多数地方连接工厂设备和管理工具。但这是有代价的:网络安全。

以太网络的功能很像家庭Web连接，依赖于Internet来正常运行。工厂必须采取措施保护连接的自动化系统免受个人计算机所面临的同样威胁，如黑客、蠕虫和木马。

为了克服这些挑战，工厂环境应该采用与IT部门相同的网络安全工具。这种策略必须在允许本地和远程身份验证访问的同时维护网络安全。这样做甚至可以使远程管理员处理诸如配置和诊断、节点初始化以及获得对机载Web和FTP服务器的访问权等任务。

在开放性和安全性之间找到平衡，以下策略可以帮助创建一个自动化环境，该环境可以与其他网络通信，并在本地和远程管理，同时保持安全性和安全性。

第一道防线:防火墙

防火墙——最古老的网络安全工具之一——仍然是网络拼图中至关重要的一块。防火墙位于内部和外部网络之间，确保只有合法的流量才能在它们之间通过。

在工业环境中，防火墙保护的单元通常包括几个以太网连接的自动化设备，如工业pc和plc。为了保护它们，公司可以安装一个安全模块和一个以太网连接，根据为设备建立的防火墙规则在自动化和更大的网络之间进行通信。

为了确保所有流量都是合法的，状态包检测防火墙使用预先设定的过滤规则对网络进行保护。例如，如果内部节点向外部目标设备发送数据，则防火墙将动态地在有限的时间内允许响应数据包。时间窗口过期后，防火墙会再次阻断该流量。

NAT和NAPT

NAT (Network address translation)是一种自动化安全技术，它是在设备而不是网络中实现的。NAT可以将内网设备的IP地址对外网设备的IP地址进行隐藏。相反，它向面向外部的节点提供一个通用的公共IP地址，并将该地址转换为已建立的内部网络地址。

更复杂的是，网络地址和端口转换(NAPT)通过添加端口号进一步加密NAT。只有一个IP地址提供给公网。在这之后，数据包通过添加端口号被定位到特定的设备。NAPT表通常驻留在路由器上，将私有IP地址端口映射到公共IP地址端口。

如果来自外部网络的设备希望向内部设备发送数据包，则使用带有指定端口的安全设备的公共地址作为目的地址。这个IP地址随后由路由器转换为分配的私有IP地址及其相应的端口。数据包的IP头中的源地址保持不变。但是，由于发送地址与接收地址在不同的子网中，响应必须经过路由器，路由器将其转发到外部设备，从而保护内部设备的实际IP地址不被公众看到。

使用vpn建立安全隧道

虚拟专用网络(vpn)是另一种保护网络的方法。VPN是由连接两端的安全设备组成的加密隧道。为了相互连接，远程设备生成数字证书作为身份证明。这些证书还允许设备在已建立的网络上共享加密数据。

在VPN环境中，安全模块通过数字证书创建VPN, VPN的基本配置有桥接和路由两种。

桥接模式使设备能够在平面网络中安全地通信——在平面网络中，所有设备都直接相互连接。当连接在物理上距离较远或数据必须通过不安全的网络部分时，此配置可能是有利的。桥接通常用于不能路由且不一定在同一子网中的通信类型。

路由方式在不同子网的设备之间创建VPN。与NAPT非常相似，路由器在开放系统互连(OSI)模型的第3层运行，将数据包发送到适当的目标地址。数据包通过加密的VPN隧道传输，使通信即使在Internet等公共网络上也是安全的。

样本情况下

这些安全工具可以配置为特定于工厂的环境，同时考虑开放访问和安全性。下面是一些实践中的例子:

特定于用户的防火墙:例如，当自动化承包商不在工厂时，特定于用户的防火墙规则可以启用远程访问，从而允许进行管理和故障排除。通过建立不同级别的授权，工厂管理人员还可以使用防火墙为远程用户建立特定于设备的访问权限，从而将用户限制为只能访问已授权的设备。

为了连接到模块的IP地址，承包商创建了一个用户名和密码，并用这些凭证登录。根据已建立的权限，网络将在连接丢失之前的一段特定时间内可用。用户可以根据工厂的防火墙规则随时更新连接。

站点VPN:如果公司有一个中心站点和许多卫星设施，那么站点到站点VPN可能更合适。站点到站点VPN是两个站点之间的安全加密连接，根据不同的配置，它允许每个站点的用户访问另一个站点的资源。

这种设置需要在每个位置都有一个模块来创建加密的VPN隧道。防火墙还可以用于提供访问控制，允许访问某些用户，但不允许访问其他用户。

点对点VPN:点对点VPN允许用户通过任何Internet连接访问工厂设备。例如，对于必须对设备进行故障排除的在家工作的管理员来说，这可能是有利的。

此设置需要目标位置上的模块和安全客户端软件，该软件在管理员的笔记本电脑或台式机上运行。客户端允许管理员与任何拥有该模块的站点建立加密的VPN连接。管理员可以通过适当的权限登录任何需要的设备。

多点VPN连接:如果管理员负责多个站点，工厂可以建立一个中央模块，通过VPN连接每个远程站点。这样，管理员就可以从中央模块附带连接，而不是建立许多单独的VPN连接。

例如，这可以使花费大量时间出差的服务工程师受益。通过一个与中心站点的连接，他们现在可以根据需要轻松安全地访问任何其他站点，从而节省了宝贵的时间。

-Tim Pitterling，西门子工业部门产品营销经理。编辑:Jordan M. Schultz, CFE Media，控制工程,jschultz@cfemedia.com．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。