將工業(yè)以太網(wǎng)引入到車間層有許多優(yōu)點，其間一個重要的優(yōu)點便是創(chuàng)立了愈加敞開的架構(gòu)，能夠許多銜接各種工廠設(shè)備和辦理東西?？墒沁@種敞開性也為工廠網(wǎng)絡(luò)的操作人員帶來了一個必需求處理的問題：安全。

一旦自動化系統(tǒng)加入到以太網(wǎng)之中，就同把計算機連入互聯(lián)網(wǎng)差不多。在工廠的某個旮旯，或許是企業(yè)網(wǎng)絡(luò)傍邊，總會有互聯(lián)網(wǎng)銜接存在。因而，企業(yè)必需求采納行動維護工廠環(huán)境免受來自連入互聯(lián)網(wǎng)計算機的要挾。這些要挾可能是黑客、病毒、木馬以及各種其他方法的有毒程序。

這就意味著工廠網(wǎng)絡(luò)辦理員需求和IT部分同事一樣的安全防護東西，而且最好是專為工廠環(huán)境設(shè)計的東西。這些東西在設(shè)備內(nèi)部的其他區(qū)域或許是其他長途地址必須經(jīng)過授權(quán)才能銜接到工廠傍邊。這樣，長途辦理員就能夠完成諸如裝備和確診、節(jié)點初始化、從設(shè)備銜接機載網(wǎng)絡(luò)和FTP服務(wù)器獲取信息這些使命。

這個東西集需求包含各種硬件、軟件和運用東西，比方防火墻、虛擬專用網(wǎng)（VPN）、網(wǎng)絡(luò)地址翻譯（NAT）技能和相應(yīng)的政策。一旦自動化環(huán)境敞開，它就要發(fā)揮效用，同時它還需求同其他網(wǎng)絡(luò)進行通訊，并能夠從不同地址進行辦理，保證工廠安全免受互聯(lián)網(wǎng)要挾。

防火墻：第一道屏障

防火墻是一種最陳舊的安全東西，如今仍然是安防組件的重要組成部分。防火墻坐落網(wǎng)絡(luò)之間，首要是操控內(nèi)部和外部網(wǎng)絡(luò)之間的信息流。它的首要目的是協(xié)助保證只要合法的信息在特定的方向上活動。

在工業(yè)環(huán)境下，防火墻能夠維護可能包含多個連入互聯(lián)網(wǎng)的自動化設(shè)備單元，比方工業(yè)PC或許是PLC。在這種情況下，企業(yè)能夠裝置一臺安全模塊，即一端接 收自動化網(wǎng)絡(luò)的以太網(wǎng)接入、一端銜接更大網(wǎng)絡(luò)的簡略設(shè)備。任何兩個網(wǎng)絡(luò)之間的交互都需求取決于設(shè)備上裝置的防火墻所設(shè)定的規(guī)矩。

防火墻運轉(zhuǎn)有許多戰(zhàn)略，工業(yè)網(wǎng)絡(luò)一般因地制宜地運用信息包檢測技能，讓設(shè)備能夠銜接當時的信息流。只要確認來自內(nèi)網(wǎng)的要求得到合法反應(yīng)的時候，才答應(yīng)信息進入。假如有外部源發(fā)送不需求的信息，就會被屏蔽。

為了保證一切的信息流都合法，專門的信息包檢測防火墻依據(jù)事先確認的過濾規(guī)矩操控信息流。舉例來說，假如有內(nèi)部節(jié)點向外部方針設(shè)備發(fā)送數(shù)據(jù)，防火墻將會在一個特定的時刻內(nèi)答應(yīng)呼應(yīng)包。在這段時刻過后，防火墻將會再次屏蔽信息流。

NAT和NAPT

別的一項能夠為自動化環(huán)境供給安全功用的技能是NAT，它應(yīng)用在設(shè)備層面上。NAT一般是在外部大眾的視野內(nèi)隱藏內(nèi)部網(wǎng)絡(luò)中設(shè)備的實踐IP地址。它向外部節(jié)點顯示公共IP地址，可是卻對網(wǎng)絡(luò)內(nèi)部運用的IP地址進行了變換。

網(wǎng)絡(luò)地址和端口編譯（NAPT）技能利用了NAT的概念，而且加入了端口編號，將技能又向前開展了一步。經(jīng)過NAPT技能，內(nèi)網(wǎng)在大眾面前只顯示一個 IP地址。而在后臺，經(jīng)過添加端口號將信息包分配給指定的設(shè)備。NAPT工作表一般布置在路由器上，將私家IP地址端口映射到公共IP地址端口上。

假如來自外部網(wǎng)絡(luò)的設(shè)備希望向一臺內(nèi)部設(shè)備發(fā)送信息包，它需求運用帶有特定端口的安全設(shè)備公共地址作為方針地址。這個方針I(yè)P地址會被路由器翻譯成帶有端口地址的私家IP地址。

數(shù)據(jù)包IP標頭中的源地址堅持不變?？墒?，由于發(fā)送地址是在接收地址的不同子網(wǎng)傍邊，反應(yīng)必需求經(jīng)過路由，然后再轉(zhuǎn)發(fā)給外部設(shè)備，同時維護內(nèi)部設(shè)備的實踐IP地址不被外部大眾看到。

運用VPN的安全通道

別的一種在本質(zhì)上不安全的網(wǎng)絡(luò)上進行安全銜接的方法，便是運用虛擬私家網(wǎng)絡(luò)（VPN）。VPN基本上是由安全設(shè)備在銜接的每一個端點構(gòu)成的加密通道，它 必需求發(fā)生數(shù)字認證。這種認證一般便是一個數(shù)字ID，受信任的同伴能夠用來進行辨認。認證還保證設(shè)備在一端對數(shù)據(jù)進行加密，以加密的方法將其在互聯(lián)網(wǎng)上發(fā) 送，然后在傳輸給終端設(shè)備之前在另一端解密。

安全模塊運用數(shù)字認證進行工作，并選用兩種基本裝備方法創(chuàng)立VPN，它們分別是橋接和路由形式：

橋接形式能夠用來完成設(shè)備在虛擬“平面”網(wǎng)絡(luò)上進行安全通訊，而這些設(shè)備的地理方位可能相隔很遠，或許它們之間的通訊需求跨越網(wǎng)絡(luò)中不安全的部分。它還能夠用于無法進行路由、或許處于同一子網(wǎng)的通訊。

路由形式能夠用來創(chuàng)立坐落分離子網(wǎng)上設(shè)備之間的VPN。路由器在OSI模型的第三層級工作，有必定的智能性，能夠辨認出周圍網(wǎng)絡(luò)需求將數(shù)據(jù)發(fā)送給適宜的目 標地址。數(shù)據(jù)包是在一條安全加密的VPN通道中傳輸，因而這種通訊要比在類似互聯(lián)網(wǎng)這樣的公共網(wǎng)絡(luò)上愈加安全。

安全東西

工廠環(huán)境有許多的安全東西，能夠依據(jù)你詳細的需求按照不同的方法進行裝備。下面便是一些比如：

特定用戶的防火墻。假定你的承包商正在調(diào)試你工廠中的一些自動化設(shè)備。當他不在工廠里時，假如他能夠登錄工廠網(wǎng)絡(luò)，比方進行故障確診，關(guān)于處理突發(fā)問題 就很有益處。在這種情況下，你能夠在防火墻傍邊創(chuàng)立一套特定用戶的規(guī)矩，保證這個長途用戶能夠接入網(wǎng)絡(luò)。你還能夠創(chuàng)立不同等級的授權(quán)，保證不同的長途客戶 只能銜接到他們得到授權(quán)的相應(yīng)設(shè)備。

為長途用戶創(chuàng)立用戶名和密碼是份簡略的工作，然后他就能夠銜接到模塊的IP地址，運用這些隱秘信息登錄。裝置默許的設(shè)置，他能夠銜接一段特定的時刻，這段時刻之后，他就會自動登出，避免他從計算機前脫離卻堅持銜接了過長時刻。假如承包商需求更多的時刻，他能夠在時刻結(jié)束之前運用一個根據(jù)網(wǎng)絡(luò)的表格從頭登錄。

站對站VPN。有時候公司有一個中心站，還可能有兩座衛(wèi)星設(shè)備。這種情況站對站VPN便是愈加適宜的方案。站對站VPN在兩站之間一般選用加密銜接，依據(jù)裝備的情況，答應(yīng)每個站上的用戶銜接其他站上的任何資源，當然這是在假定他們都有適宜權(quán)限的前提下。

這種方法需求每個方位上的模塊都創(chuàng)立加密VPN通道，防火墻也能夠用來供給愈加精密的接入操控，比方答應(yīng)特定的用戶接觸到一部分資源，而不能檢查其它。

點對點VPN。點對點VPN保證用戶能夠從有互聯(lián)網(wǎng)銜接的任何地址銜接其他任何地址上的設(shè)備。這關(guān)于下班之后在家工作需求從長途方位登陸進行設(shè)備故障確診的辦理員來說，非常重要。

這種方法需求在方針方位上的模塊裝有適宜的安全客戶端軟件，在辦理員的筆記本或許平板電腦上運轉(zhuǎn)。軟件協(xié)助辦理員樹立一個與任何具有該模塊的站點的加密VPN銜接。無論他身處何處，經(jīng)過適宜的答應(yīng)，他能夠登錄任何需求的設(shè)備。

多點VPN銜接?，F(xiàn)在，還是那個辦理員，他希望從家中銜接別的五到十個站點。他并不需求針對每一個站點樹立相應(yīng)的VPN銜接，他能夠銜接一個現(xiàn)已樹立的、與每一個長途站點VPN銜接的中心模塊，然后就能夠銜接上述站點了。

這關(guān)于每天奔波于各地的服務(wù)工程師來說，肯定是一個好消息。經(jīng)過與中心站點的單獨銜接，它們現(xiàn)在能夠簡略而且安全地接入其他需求的站點，節(jié)省了銜接時刻。

還有一些東西能夠保證根據(jù)以太網(wǎng)的自動化環(huán)境像現(xiàn)場總線環(huán)境一樣安全。盡管防火墻和VPN都是安全處理方案的重要組成部分，關(guān)于長途用戶的安全訪問至關(guān)重要，我們還需求縱深防護的安全模型以保證在工業(yè)環(huán)境下達到真正的深度安全。