车间层为什么要引入工业以太网

将工业以太网引入到车间层有许多优点，其间一个重要的优点便是创立了愈加敞开的架构，能够许多衔接各种工厂设备和办理东西。可是这种敞开性也为工厂网络的 *** 作人员带来了一个必需求处理的问题：安全。

一旦自动化系统加入到以太网之中，就同把计算机连入互联网差不多。在工厂的某个旮旯，或许是企业网络傍边，总会有互联网衔接存在。因而，企业必需求采纳行动维护工厂环境免受来自连入互联网计算机的要挟。这些要挟可能是黑客、病毒、木马以及各种其他方法的有毒程序。

这就意味着工厂网络办理员需求和IT部分同事一样的安全防护东西，而且最好是专为工厂环境设计的东西。这些东西在设备内部的其他区域或许是其他长途地址必须经过授权才能衔接到工厂傍边。这样，长途办理员就能够完成诸如装备和确诊、节点初始化、从设备衔接机载网络和FTP服务器获取信息这些使命。

这个东西集需求包含各种硬件、软件和运用东西，比方防火墙、虚拟专用网（VPN）、网络地址翻译（NAT）技能和相应的政策。一旦自动化环境敞开，它就要发挥效用，同时它还需求同其他网络进行通讯，并能够从不同地址进行办理，保证工厂安全免受互联网要挟。

防火墙：第一道屏障

防火墙是一种最陈旧的安全东西，如今仍然是安防组件的重要组成部分。防火墙坐落网络之间，首要是 *** 控内部和外部网络之间的信息流。它的首要目的是协助保证只要合法的信息在特定的方向上活动。

在工业环境下，防火墙能够维护可能包含多个连入互联网的自动化设备单元，比方工业PC或许是PLC。在这种情况下，企业能够装置一台安全模块，即一端接 收自动化网络的以太网接入、一端衔接更大网络的简略设备。任何两个网络之间的交互都需求取决于设备上装置的防火墙所设定的规矩。

防火墙运转有许多战略，工业网络一般因地制宜地运用信息包检测技能，让设备能够衔接当时的信息流。只要确认来自内网的要求得到合法反应的时候，才答应信息进入。假如有外部源发送不需求的信息，就会被屏蔽。

为了保证一切的信息流都合法，专门的信息包检测防火墙依据事先确认的过滤规矩 *** 控信息流。举例来说，假如有内部节点向外部方针设备发送数据，防火墙将会在一个特定的时刻内答应呼应包。在这段时刻过后，防火墙将会再次屏蔽信息流。

NAT和NAPT

别的一项能够为自动化环境供给安全功用的技能是NAT，它应用在设备层面上。NAT一般是在外部大众的视野内隐藏内部网络中设备的实践IP地址。它向外部节点显示公共IP地址，可是却对网络内部运用的IP地址进行了变换。

网络地址和端口编译（NAPT）技能利用了NAT的概念，而且加入了端口编号，将技能又向前开展了一步。经过NAPT技能，内网在大众面前只显示一个 IP地址。而在后台，经过添加端口号将信息包分配给指定的设备。NAPT工作表一般布置在路由器上，将私家IP地址端口映射到公共IP地址端口上。

假如来自外部网络的设备希望向一台内部设备发送信息包，它需求运用带有特定端口的安全设备公共地址作为方针地址。这个方针IP地址会被路由器翻译成带有端口地址的私家IP地址。

数据包IP标头中的源地址坚持不变。可是，由于发送地址是在接收地址的不同子网傍边，反应必需求经过路由，然后再转发给外部设备，同时维护内部设备的实践IP地址不被外部大众看到。

运用VPN的安全通道

别的一种在本质上不安全的网络上进行安全衔接的方法，便是运用虚拟私家网络（VPN）。VPN基本上是由安全设备在衔接的每一个端点构成的加密通道，它 必需求发生数字认证。这种认证一般便是一个数字ID，受信任的同伴能够用来进行辨认。认证还保证设备在一端对数据进行加密，以加密的方法将其在互联网上发 送，然后在传输给终端设备之前在另一端解密。

安全模块运用数字认证进行工作，并选用两种基本装备方法创立VPN，它们分别是桥接和路由形式：

桥接形式能够用来完成设备在虚拟“平面”网络上进行安全通讯，而这些设备的地理方位可能相隔很远，或许它们之间的通讯需求跨越网络中不安全的部分。它还能够用于无法进行路由、或许处于同一子网的通讯。

路由形式能够用来创立坐落分离子网上设备之间的VPN。路由器在OSI模型的第三层级工作，有必定的智能性，能够辨认出周围网络需求将数据发送给适宜的目 标地址。数据包是在一条安全加密的VPN通道中传输，因而这种通讯要比在类似互联网这样的公共网络上愈加安全。

安全东西

工厂环境有许多的安全东西，能够依据你详细的需求按照不同的方法进行装备。下面便是一些比如：

特定用户的防火墙。假定你的承包商正在调试你工厂中的一些自动化设备。当他不在工厂里时，假如他能够登录工厂网络，比方进行故障确诊，关于处理突发问题 就很有益处。在这种情况下，你能够在防火墙傍边创立一套特定用户的规矩，保证这个长途用户能够接入网络。你还能够创立不同等级的授权，保证不同的长途客户 只能衔接到他们得到授权的相应设备。

为长途用户创立用户名和密码是份简略的工作，然后他就能够衔接到模块的IP地址，运用这些隐秘信息登录。装置默许的设置，他能够衔接一段特定的时刻，这段时刻之后，他就会自动登出，避免他从计算机前脱离却坚持衔接了过长时刻。假如承包商需求更多的时刻，他能够在时刻结束之前运用一个根据网络的表格从头登录。

站对站VPN。有时候公司有一个中心站，还可能有两座卫星设备。这种情况站对站VPN便是愈加适宜的方案。站对站VPN在两站之间一般选用加密衔接，依据装备的情况，答应每个站上的用户衔接其他站上的任何资源，当然这是在假定他们都有适宜权限的前提下。

这种方法需求每个方位上的模块都创立加密VPN通道，防火墙也能够用来供给愈加精密的接入 *** 控，比方答应特定的用户接触到一部分资源，而不能检查其它。

点对点VPN。点对点VPN保证用户能够从有互联网衔接的任何地址衔接其他任何地址上的设备。这关于下班之后在家工作需求从长途方位登陆进行设备故障确诊的办理员来说，非常重要。

这种方法需求在方针方位上的模块装有适宜的安全客户端软件，在办理员的笔记本或许平板电脑上运转。软件协助办理员树立一个与任何具有该模块的站点的加密VPN衔接。无论他身处何处，经过适宜的答应，他能够登录任何需求的设备。

多点VPN衔接。现在，还是那个办理员，他希望从家中衔接别的五到十个站点。他并不需求针对每一个站点树立相应的VPN衔接，他能够衔接一个现已树立的、与每一个长途站点VPN衔接的中心模块，然后就能够衔接上述站点了。

这关于每天奔波于各地的服务工程师来说，肯定是一个好消息。经过与中心站点的单独衔接，它们现在能够简略而且安全地接入其他需求的站点，节省了衔接时刻。

还有一些东西能够保证根据以太网的自动化环境像现场总线环境一样安全。尽管防火墙和VPN都是安全处理方案的重要组成部分，关于长途用户的安全访问至关重要，我们还需求纵深防护的安全模型以保证在工业环境下达到真正的深度安全。

责任编辑：ct