将以太网引入到车间层有很多好处,其中一个重要的好处就是创建了更加开放的架构,可以大量连接各种工厂设备和管理工具。但是这种开放性也为工厂网络的操作人员带来了一个必须要解决的问题:安全。
一旦自动化系统加入到以太网之中,就同把计算机连入互联网差不多。在工厂的某个角落,或者是企业网络当中,总会有互联网连接存在。因此,企业必须要采取行动保护工厂环境免受来自连入互联网计算机的威胁。这些威胁可能是黑客、病毒、木马以及各种其他形式的有毒程序。
这就意味着工厂网络管理员需要和IT部门同事一样的安全防护工具,而且最好是专为工厂环境设计的工具。这些工具在设施内部的其他区域或者是其他远程地点必须经过授权才能连接到工厂当中。这样,远程管理员就能够完成诸如配置和诊断、节点初始化、从设备连接机载网络和FTP服务器获取信息这些任务。
这个工具集需要包含各种硬件、软件和使用工具,比如防火墙、虚拟专用网(VPN)、网络地址翻译(NAT)技术和相应的政策。一旦自动化环境开放,它就要发挥效用,同时它还需要同其他网络进行通讯,并能够从不同地点进行管理,保证工厂安全免受互联网威胁。
防火墙:第一道屏障
防火墙是一种最古老的安全工具,现今仍然是安防组件的重要组成部分。防火墙位于网络之间,主要是控制内部和外部网络之间的信息流。它的主要目的是帮助确保只有合法的信息在特定的方向上流动。
在工业环境下,防火墙能够保护可能包括多个连入互联网的自动化设备单元,比如工业PC或者是PLC。在这种情况下,企业可以安装一台安全模块,即一端接收自动化网络的以太网接入、一端连接更大网络的简单设备。任何两个网络之间的交互都需要取决于设备上安装的防火墙所设定的规则。
防火墙运行有很多策略,工业网络一般因地制宜地使用信息包检测技术,让设备可以连接当前的信息流。只有确定来自内网的要求得到合法反馈的时候,才允许信息进入。如果有外部源发送不需要的信息,就会被屏蔽。
为了保证所有的信息流都合法,专门的信息包检测防火墙根据事先确定的过滤规则控制信息流。举例来说,如果有内部节点向外部目标设备发送数据,防火墙将会在一个特定的时间内允许响应包。在这段时间过后,防火墙将会再次屏蔽信息流。
NAT和NAPT
另外一项能够为自动化环境提供安全功能的技术是NAT,它应用在设备层面上。NAT一般是在外部公众的视野内隐藏内部网络中设备的实际IP地址。它向外部节点显示公共IP地址,但是却对网络内部使用的IP地址进行了变换。
网络地址和端口编译(NAPT)技术利用了NAT的概念,并且加入了端口编号,将技术又向前发展了一步。通过NAPT技术,内网在公众面前只显示一个IP地址。而在后台,通过添加端口号将信息包分配给指定的设备。NAPT工作表通常部署在路由器上,将私人IP地址端口映射到公共IP地址端口上。
如果来自外部网络的设备希望向一台内部设备发送信息包,它需要使用带有特定端口的安全设备公共地址作为目标地址。这个目标IP地址会被路由器翻译成带有端口地址的私人IP地址。
数据包IP标头中的源地址保持不变。但是,因为发送地址是在接收地址的不同子网当中,反馈必须要经过路由,然后再转发给外部设备,同时保护内部设备的实际IP地址不被外部公众看到。
使用VPN的安全通道
另外一种在本质上不安全的网络上进行安全连接的方法,就是使用虚拟私人网络(VPN)。VPN基本上是由安全设备在连接的每一个端点形成的加密通道,它必须要产生数字认证。这种认证一般就是一个数字ID,受信任的伙伴可以用来进行识别。认证还保证设备在一端对数据进行加密,以加密的形式将其在互联网上发送,然后在传输给终端设备之前在另一端解密。
安全模块使用数字认证进行工作,并采用两种基本配置方式创建VPN,它们分别是桥接和路由模式:
桥接模式可以用来实现设备在虚拟“平面”网络上进行安全通讯,而这些设备的地理位置可能相隔很远,或者它们之间的通讯需要跨越网络中不安全的部分。它还可以用于无法进行路由、或者处于同一子网的通讯。
路由模式可以用来创建位于分离子网上设备之间的VPN。路由器在OSI模型的第三层级工作,有一定的智能性,可以识别出周围网络需要将数据发送给合适的目标地址。数据包是在一条安全加密的VPN通道中传输,因此这种通讯要比在类似互联网这样的公共网络上更加安全。
安全工具
工厂环境有很多的安全工具,可以根据你具体的需要按照不同的方式进行配置。下面就是一些例子:
特定用户的防火墙。假定你的承包商正在调试你工厂中的一些自动化设备。当他不在工厂里时,如果他能够登录工厂网络,比如进行故障诊断,对于解决突发问题就很有益处。在这种情况下,你可以在防火墙当中创建一套特定用户的规则,保证这个远程用户能够接入网络。你还可以创建不同级别的授权,保证不同的远程客户只能连接到他们得到授权的相应设备。
为远程用户创建用户名和密码是份简单的工作,然后他就可以连接到模块的IP地址,使用这些秘密信息登录。安装默认的设置,他可以连接一段特定的时间,这段时间之后,他就会自动登出,防止他从计算机前离开却保持连接了过长时间。如果承包商需要更多的时间,他可以在时间结束之前使用一个基于网络的表格重新登录。
站对站VPN。有时候公司有一个中心站,还可能有两座卫星设施。这种情况站对站VPN就是更加合适的方案。站对站VPN在两站之间一般采用加密连接,根据配置的情况,允许每个站上的用户连接其他站上的任何资源,当然这是在假设他们都有合适权限的前提下。
这种方式需要每个位置上的模块都创建加密VPN通道,防火墙也可以用来提供更加精细的接入控制,比如允许特定的用户接触到一部分资源,而不能查看其它。
点对点VPN。点对点VPN保证用户可以从有互联网连接的任何地点连接其他任何地点上的设备。这对于下班之后在家工作需要从远程位置登陆进行设备故障诊断的管理员来说,非常重要。
这种方式需要在目标位置上的模块装有合适的安全客户端软件,在管理员的笔记本或者平板电脑上运行。软件帮助管理员建立一个与任何拥有该模块的站点的加密VPN连接。无论他身处何处,通过合适的许可,他可以登录任何需要的设备。
多点VPN连接。现在,还是那个管理员,他希望从家中连接另外五到十个站点。他并不需要针对每一个站点建立相应的VPN连接,他可以连接一个已经建立的、与每一个远程站点VPN连接的中心模块,然后就可以连接上述站点了。
这对于每天奔波于各地的服务工程师来说,绝对是一个好消息。通过与中心站点的单独连接,它们现在可以简单并且安全地接入其他需要的站点,节约了连接时间。
还有一些工具可以保证基于以太网的自动化环境像现场总线环境一样安全。尽管防火墙和VPN都是安全解决方案的重要组成部分,对于远程用户的安全访问至关重要,我们还需要纵深防御的安全模型以确保在工业环境下达到真正的深度安全。要时刻牢记:安全是生命不是儿戏。