|
|
工業(yè)以太網(wǎng)是基于IEEE 802.3(Ethernet)的強(qiáng)大的區(qū)域和單元網(wǎng)絡(luò)。利用工業(yè)以太網(wǎng)����,SIMATIC NET 提供了一個無縫集成到新的多媒體世界的途徑。 企業(yè)內(nèi)部互聯(lián)網(wǎng)(Intranet)����,外部互聯(lián)網(wǎng)(Extranet),以及國際互聯(lián)網(wǎng)(Internet) 提供的廣泛應(yīng)用不但已經(jīng)進(jìn)入今天的辦公室領(lǐng)域����,而且還可以應(yīng)用于生產(chǎn)和過程自動化����。繼10M波特率以太網(wǎng)成功運(yùn)行之后,具有交換功能����,全雙工和自適應(yīng)的100M波特率快速以太網(wǎng)(Fast Ethernet��,符合IEEE 802.3u的標(biāo)準(zhǔn))也已成功運(yùn)行多年�����。采用何種性能的以太網(wǎng)取決于用戶的需要���。通用的兼容性允許用戶無縫升級到新技術(shù)。
----市場占有率高達(dá)80%���,以太網(wǎng)毫無疑問是當(dāng)今LAN(局域網(wǎng))領(lǐng)域中首屈一指的網(wǎng)絡(luò)����。以太網(wǎng)優(yōu)越的性能�,為您的應(yīng)用帶來巨大的利益:
通過簡單的連接方式快速裝配。
通過不斷的開發(fā)提供了持續(xù)的兼容性���,因而保證了投資的安全����。
通過交換技術(shù)提供實(shí)際上沒有限制的通訊性能����。
各種各樣聯(lián)網(wǎng)應(yīng)用���,例如辦公室環(huán)境和生產(chǎn)應(yīng)用環(huán)境的聯(lián)網(wǎng)。
公司之間的通訊 通過接入WAN(廣域網(wǎng))可實(shí)現(xiàn)公司之間的通訊�,例如,ISDN 或Internet 的接入��。
----SIMATIC NET基于經(jīng)過現(xiàn)場應(yīng)用驗(yàn)證的技術(shù),SIMATIC NET已供應(yīng)多于400,000個節(jié)點(diǎn)�����,遍布世界各地����,用于嚴(yán)酷的工業(yè)環(huán)境,包括有高強(qiáng)度電磁干擾的區(qū)域��。
工業(yè)以太網(wǎng)絡(luò)的構(gòu)成 ----一個典型的工業(yè)以太網(wǎng)絡(luò)環(huán)境��,有以下三類網(wǎng)絡(luò)器件:
網(wǎng)絡(luò)部件
連接部件:
FC 快速連接插座
ELS(工業(yè)以太網(wǎng)電氣交換機(jī))
ESM(工業(yè)以太網(wǎng)電氣交換機(jī))
SM(工業(yè)以太網(wǎng)光纖交換機(jī))
MC TP11(工業(yè)以太網(wǎng)光纖電氣轉(zhuǎn)換模塊)
通信介質(zhì):
普通雙絞線����,工業(yè)屏蔽雙絞線和光纖
SIMATIC PLC控制器上的工業(yè)以太網(wǎng)通訊處理器���。用于將SIMATIC PLC連接到工業(yè)以太網(wǎng)�����。
PG/PC 上的工業(yè)以太網(wǎng)通訊處理器���。用于將PG/PC連接到工業(yè)以太網(wǎng)����。
工業(yè)以太網(wǎng)重要性能 ----為了應(yīng)用于嚴(yán)酷的工業(yè)環(huán)境����,確保工業(yè)應(yīng)用的安全可靠,SIMATIC NET 為以太網(wǎng)技術(shù)補(bǔ)充了不少重要的性能:
工業(yè)以太網(wǎng)技術(shù)上與IEEE802.3/802.3u兼容����,使用ISO和TCP/IP 通訊協(xié)議
10/100M 自適應(yīng)傳輸速率
冗余24VDC 供電
簡單的機(jī)柜導(dǎo)軌安裝
方便的構(gòu)成星型、線型和環(huán)型拓?fù)浣Y(jié)構(gòu)
高速冗余的安全網(wǎng)絡(luò)��,最大網(wǎng)絡(luò)重構(gòu)時間為0.3 秒
用于嚴(yán)酷環(huán)境的網(wǎng)絡(luò)元件�,通過EMC 測試
通過帶有RJ45 技術(shù)、工業(yè)級的Sub-D 連接技術(shù)和安裝專用屏蔽電纜的Fast Connect連接技術(shù)����,確保現(xiàn)場電纜安裝工作的快速進(jìn)行
簡單高效的信號裝置不斷地監(jiān)視網(wǎng)絡(luò)元件
符合SNMP(簡單的網(wǎng)絡(luò)管理協(xié)議)
可使用基于web 的網(wǎng)絡(luò)管理
使用VB/VC 或組態(tài)軟件即可監(jiān)控管理網(wǎng)絡(luò)
工業(yè)以太網(wǎng)聯(lián)網(wǎng)設(shè)備基本知識 今天的控制系統(tǒng)和工廠自動化系統(tǒng),以太網(wǎng)的應(yīng)用幾乎已經(jīng)和PLC一樣普及�。但現(xiàn)場工程師們對以太網(wǎng)的了解,大多來自他們對傳統(tǒng)商業(yè)以太網(wǎng)的認(rèn)識�����。很多控制系統(tǒng)工程的實(shí)施甚至是直接讓IT部門的技術(shù)人員來實(shí)施���。但是���,IT工程師們對于以太網(wǎng)的了解,往往局限于辦公自動化商業(yè)以太網(wǎng)的實(shí)施經(jīng)驗(yàn)�,可能導(dǎo)致工業(yè)以太網(wǎng)在工業(yè)控制系統(tǒng)中實(shí)施的簡單化和商業(yè)化,不能真正理解工業(yè)以太網(wǎng)在工業(yè)現(xiàn)場的意義�����,也無法真正利用工業(yè)以太網(wǎng)內(nèi)在的特殊功能����,常常造成工業(yè)以太網(wǎng)現(xiàn)場實(shí)施的不徹底,給整個控制系統(tǒng)留下不穩(wěn)定因素�。
那么選擇正確的工業(yè)以太網(wǎng)要考慮哪些因素?簡單的來說����,要從以太網(wǎng)通訊協(xié)議、電源���、通信速率��、工業(yè)環(huán)境認(rèn)證考慮����、安裝方式��、外殼對散熱的影響��、簡單通信功能和通信管理功能����、電口或光口的考慮。這些都是最基本需要了解的產(chǎn)品選擇因素��。如果對工業(yè)以太網(wǎng)的網(wǎng)絡(luò)管理有更高要求���,則需要考慮所選擇產(chǎn)品的高級功能如:信號強(qiáng)弱���、端口設(shè)置����、出錯報(bào)警�����、串口使用���、主干(TrunkingTM)冗余�、環(huán)網(wǎng)冗余�、服務(wù)質(zhì)量(QoS)、虛擬局域網(wǎng)(VLAN)�、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)、端口鏡像等等其他工業(yè)以太網(wǎng)管理交換機(jī)中可以提供的功能�。不同的控制系統(tǒng)對網(wǎng)絡(luò)的管理功能要求不同,自然對管理型交換機(jī)的使用也有不同要求�����?刂乒こ處焸儜(yīng)該根據(jù)其系統(tǒng)的設(shè)計(jì)要求���,挑選適合自己系統(tǒng)的工業(yè)以太網(wǎng)產(chǎn)品。
由于工業(yè)環(huán)境對工業(yè)控制網(wǎng)絡(luò)可靠性能的超高要求����,工業(yè)以太網(wǎng)的冗余功能應(yīng)運(yùn)而生���。從快速生成樹冗余(RSTP)、環(huán)網(wǎng)冗余(RapidRingTM)到主干冗余(TrunkingTM)���,都有各自不同的優(yōu)勢和特點(diǎn),控制工程師們可以根據(jù)自己的要求進(jìn)行選擇����。為了更好地幫助大家了解和學(xué)習(xí)工業(yè)以太網(wǎng)冗余技術(shù)的特點(diǎn),讓我們首先回顧以下以太網(wǎng)設(shè)備的發(fā)展過程��。
工業(yè)以太網(wǎng)的優(yōu)勢 工業(yè)以太網(wǎng)是應(yīng)用于工業(yè)控制領(lǐng)域的以太網(wǎng)技術(shù)�,在技術(shù)上與商用以太網(wǎng)(即IEEE 802.3標(biāo)準(zhǔn))兼容,但是實(shí)際產(chǎn)品和應(yīng)用卻又完全不同���。這主要表現(xiàn)普通商用以太網(wǎng)的產(chǎn)品設(shè)計(jì)時����,在材質(zhì)的選用�、產(chǎn)品的強(qiáng)度、適用性以及實(shí)時性����、可互操作性�����、可靠性����、抗干擾性���、本質(zhì)安全性等方面不能滿足工業(yè)現(xiàn)場的需要����。故在工業(yè)現(xiàn)場控制應(yīng)用的是與商用以太網(wǎng)不同的工業(yè)以太網(wǎng)���。然而工業(yè)以太網(wǎng)的優(yōu)勢在哪里呢��?
��。ㄒ唬⿷(yīng)用廣泛
以太網(wǎng)是應(yīng)用最廣泛的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)�����,幾乎所有的編程語言如Visual C++����、Java、VisualBasic等都支持以太網(wǎng)的應(yīng)用開發(fā)���。
�����。ǘ┩ㄐ潘俾矢
目前,10�����、100 Mb/s的快速以太網(wǎng)已開始廣泛應(yīng)用�����,1Gb/s以太網(wǎng)技術(shù)也逐漸成熟�,而傳統(tǒng)的現(xiàn)場總線最高速率只有12Mb/s(如西門子Profibus-DP)。顯然�,以太網(wǎng)的速率要比傳統(tǒng)現(xiàn)場總線要快的多,完全可以滿足工業(yè)控制網(wǎng)絡(luò)不斷增長的帶寬要求���。
�����。ㄈ┵Y源共享能力強(qiáng)
隨著Internet/ Intranet的發(fā)展�,以太網(wǎng)已滲透到各個角落,網(wǎng)絡(luò)上的用戶已解除了資源地理位置上的束縛����,在聯(lián)人互聯(lián)網(wǎng)的任何一臺計(jì)算機(jī)上就能瀏覽工業(yè)控制現(xiàn)場的數(shù)據(jù),實(shí)現(xiàn)“控管一體化”��,這是其他任何一種現(xiàn)場總線都無法比擬的�����。
��。ㄋ模┛沙掷m(xù)發(fā)展?jié)摿Υ?
以太網(wǎng)的引人將為控制系統(tǒng)的后續(xù)發(fā)展提供可能性���,用戶在技術(shù)升級方面無需獨(dú)自的研究投人��,對于這一點(diǎn)��,任何現(xiàn)有的現(xiàn)場總線技術(shù)都是無法比擬的��。同時�����,機(jī)器人技術(shù)�����、智能技術(shù)的發(fā)展都要求通信網(wǎng)絡(luò)具有更高的帶寬和性能���,通信協(xié)議有更高的靈活性�����,這些要求以太網(wǎng)都能很好地滿足。
集線器 (Hub) 相信絕大多數(shù)人都熟悉集線器�。很多人使用這種簡易設(shè)備去連接各種基于以太網(wǎng)的設(shè)備,如個人計(jì)算機(jī)�,可編程控制器等。集線器接收到來自某一端口的消息����,再將消息廣播到其它所有的端口。對來自任一端口的每一條消息�,集線器都會把它傳遞到其它的各個端口。在消息傳遞方面,集線器是低速低效的��,可能會出現(xiàn)消息沖突���。然而�,集線器的使用非常簡單-實(shí)際上可以即插即用�����。集線器沒有任何華而不實(shí)的功能����,也沒有冗余功能。
非管理型交換機(jī) (Unmanaged Switch) 集線器的發(fā)展產(chǎn)生了一種叫非管理型交換機(jī)的設(shè)備���。它能實(shí)現(xiàn)消息從一個端口到另一個端口的路由功能����,相對集線器更加智能化��。非管理型交換機(jī)能自動探測每臺網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)速度�����。另外,它具有一種稱為“MAC地址表”的功能�����,能識別和記憶網(wǎng)絡(luò)中的設(shè)備����。換言之,如果端口2收到一條帶有特定識別碼的消息�,此后交換機(jī)就會將所有具有那種特定識別碼的消息發(fā)送到端口2。這種智能避免了消息沖突��,提高了傳輸性能�����,相對集線器是一次巨大的改進(jìn)�����。然而�����,非管理型交換機(jī)不能實(shí)現(xiàn)任何形式的通信檢測和冗余配置功能���。
管理型交換機(jī) (Managed Switch) 以太網(wǎng)連接設(shè)備發(fā)展的下一代產(chǎn)品是管理型交換機(jī)��。相對集線器和非管理型交換機(jī)����,管理型交換機(jī)擁有更多更復(fù)雜的功能�,價格也高出許多-通常是一臺非管理型交換機(jī)的3~4倍。管理型交換機(jī)提供了更多的功能��,通�����?梢酝ㄟ^基于網(wǎng)絡(luò)的接口實(shí)現(xiàn)完全配置�����。它可以自動與網(wǎng)絡(luò)設(shè)備交互��,用戶也可以手動配置每個端口的網(wǎng)速和流量控制�����。一些老設(shè)備可能無法使用自動交互功能��,因此手動配置功能是必不可缺的。
絕大多數(shù)管理型交換機(jī)通常也提供一些高級功能�����,如用于遠(yuǎn)程監(jiān)視和配置的SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)�����,用于診斷的端口映射��,用于網(wǎng)絡(luò)設(shè)備成組的VLAN(虛擬局域網(wǎng))�,用于確保優(yōu)先級消息通過的優(yōu)先級排列功能等。利用管理型交換機(jī)���,可以組建冗余網(wǎng)絡(luò)��。使用環(huán)形拓?fù)浣Y(jié)構(gòu)��,管理型交換機(jī)可以組成環(huán)形網(wǎng)絡(luò)�。每臺管理型交換機(jī)能自動判斷最優(yōu)傳輸路徑和備用路徑�����,當(dāng)優(yōu)先路徑中斷時自動阻斷(block)備用路徑����。
工業(yè)以太網(wǎng)應(yīng)用安全的研究 工業(yè)以太網(wǎng)是當(dāng)前工業(yè)控制領(lǐng)域的研究熱點(diǎn)。工業(yè)以太網(wǎng)重點(diǎn)在于利用交換式以太網(wǎng)技術(shù)為控制器和操作站��,各種工作站之間的相互協(xié)調(diào)合作提供一種交互機(jī)制并和上層信息網(wǎng)絡(luò)無縫集成����。目前工業(yè)以太網(wǎng)開始在監(jiān)控層網(wǎng)絡(luò)上逐漸占據(jù)主流位置,正在向現(xiàn)場設(shè)備層網(wǎng)絡(luò)滲透����。工業(yè)以太網(wǎng)相對于以往自動化技術(shù)有很多優(yōu)勢,然而事物是相對的��,在我們享受開放互聯(lián)技術(shù)進(jìn)步的成果同時應(yīng)該對它們存在的隱患和可能帶來的嚴(yán)重后果要有深刻認(rèn)識�。
1 工業(yè)以太網(wǎng)的特點(diǎn)及安全要求 雖然脫胎于Intranet、Internet等類型的信息網(wǎng)絡(luò)��,但是工業(yè)以太網(wǎng)是面向生產(chǎn)過程,對實(shí)時性���、可靠性��、安全性和數(shù)據(jù)完整性有很高的要求�����。既有與信息網(wǎng)絡(luò)相同的特點(diǎn)和安全要求�,也有自己不同于信息網(wǎng)絡(luò)的顯著特點(diǎn)和安全要求:
(1)工業(yè)以太網(wǎng)是一個網(wǎng)絡(luò)控制系統(tǒng)��,實(shí)時性要求高��,網(wǎng)絡(luò)傳輸要有確定性�����。
�。2)整個企業(yè)網(wǎng)絡(luò)按功能可分為處于管理層的通用以太網(wǎng)和處于監(jiān)控層的工業(yè)以太網(wǎng)以及現(xiàn)場設(shè)備層(如現(xiàn)場總線)。管理層通用以太網(wǎng)可以與控制層的工業(yè)以太網(wǎng)交換數(shù)據(jù)���,上下網(wǎng)段采用相同協(xié)議自由通信���。
(3)工業(yè)以太網(wǎng)中周期與非周期信息同時存在��,各自有不同的要求���。周期信息的傳輸通常具有順序性要求�,而非周期信息有優(yōu)先級要求,如報(bào)警信息是需要立即響應(yīng)的�。
(4)工業(yè)以太網(wǎng)要為緊要任務(wù)提供最低限度的性能保證服務(wù)�����,同時也要為非緊要任務(wù)提供盡力服務(wù)���,所以工業(yè)以太網(wǎng)同時具有實(shí)時協(xié)議也具有非實(shí)時協(xié)議。
基于以上特點(diǎn)�����,有如下安全應(yīng)用要求: �����。1)工業(yè)以太網(wǎng)應(yīng)該保證實(shí)時性不會被破壞���,在商業(yè)應(yīng)用中�,對實(shí)時性的要求基本不涉及安全����,而過程控制對實(shí)時性的要求是硬性的,常常涉及生產(chǎn)設(shè)備和人員安全��。
(2)當(dāng)今世界舞臺�����,各種競爭異常激烈�。對于很多企業(yè)尤其是掌握領(lǐng)先技術(shù)的企業(yè),作為其技術(shù)實(shí)際體現(xiàn)的生產(chǎn)工藝往往是企業(yè)的根本利益�����。一些關(guān)鍵生產(chǎn)過程的流程工藝乃至運(yùn)行參數(shù)都有可能成為對手竊取的目標(biāo)����。所以在工業(yè)以太網(wǎng)的數(shù)據(jù)傳輸中要防止數(shù)據(jù)被竊取。
���。3)開放互聯(lián)是工業(yè)以太網(wǎng)的優(yōu)勢��,遠(yuǎn)程的監(jiān)視��、控制��、調(diào)試���、診斷等極大的增強(qiáng)了控制的分布性��、靈活性����,打破了時空的限制���,但是對于這些應(yīng)用必須保證經(jīng)過授權(quán)的合法性和可審查性。
2 工業(yè)以太網(wǎng)的應(yīng)用安全問題分析 �。1)在傳統(tǒng)工業(yè)工業(yè)以太網(wǎng)中上下網(wǎng)段使用不同的協(xié)議無法互操作,所以使用一層防火墻防止來自外部的非法訪問��,但工業(yè)以太網(wǎng)將控制層和管理層連接起來��,上下網(wǎng)段使用相同的協(xié)議��,具有互操作性����,所以使用兩級防火墻,第二級的防火墻用于屏蔽內(nèi)部網(wǎng)絡(luò)的非法訪問和分配不同權(quán)限合法用戶的不同授權(quán)��。另外還可用根據(jù)日志記錄調(diào)整過濾和登錄策略���。
要采取嚴(yán)格的權(quán)限管理措施�,可以根據(jù)部門分配權(quán)限,也可以根據(jù)操作分配權(quán)限�。由于工廠應(yīng)用專業(yè)性很強(qiáng),進(jìn)行權(quán)限管理能有效避免非授權(quán)操作����。同時要對關(guān)鍵性工作站的操作系統(tǒng)的訪問加以限制,采用內(nèi)置的設(shè)備管理系統(tǒng)必須擁有記錄審查功能���,數(shù)據(jù)庫自動記錄設(shè)備參數(shù)修改事件:誰修改���,修改的理由,修改之前和之后的參數(shù)��,從而可以有據(jù)可查����。
(2)在工業(yè)以太網(wǎng)的應(yīng)用中可以采用加密的方式來防止關(guān)鍵信息竊取��。目前主要存在兩種密碼體制:對稱密碼體制和非對稱密碼體制����。對稱密碼體制中加密解密雙方使用相同的密鑰且密鑰保密����,由于在通信之前必須完成密鑰的分發(fā)�,該體制中這一環(huán)節(jié)是不安全的。所以采用非對稱密碼體制�,由于工業(yè)以太網(wǎng)發(fā)送的多為周期性的短信息,所以采用這種加密方式還是比較迅速的�����。對于工業(yè)以太網(wǎng)來說是可行的��。還要對外部節(jié)點(diǎn)的接入加以防范��。
��。3)工業(yè)以太網(wǎng)的實(shí)時性目前主要是由以下幾點(diǎn)保證:限制工業(yè)以太網(wǎng)的通信負(fù)荷�,采用100M的快速以太網(wǎng)技術(shù)提高帶寬�,采用交換式以太網(wǎng)技術(shù)和全雙工通信方式屏蔽固有的CSMA/CD機(jī)制。隨著網(wǎng)絡(luò)的開放互連和自動化系統(tǒng)大量IT技術(shù)的引入�����,加上TCP/IP協(xié)議本身的開放性和層出不窮的網(wǎng)絡(luò)病毒和攻擊手段�,網(wǎng)絡(luò)安全可以成為影響工業(yè)以太網(wǎng)實(shí)時性的一個突出問題��。
1)病毒攻擊���。 在互聯(lián)網(wǎng)上充斥著類似Slammer、“沖擊波”等蠕蟲病毒和其它網(wǎng)絡(luò)病毒的襲擊����。以蠕蟲病毒為例,這些蠕蟲病毒攻擊的直接目標(biāo)雖然通常是信息層網(wǎng)絡(luò)的PC機(jī)和服務(wù)器���,但是攻擊是通過網(wǎng)絡(luò)進(jìn)行的�����,因此當(dāng)這些蠕蟲病毒大規(guī)模爆發(fā)時�,交換機(jī)�、路由器會首先受到牽連。用戶只有通過重啟交換路由設(shè)備�、重新配置訪問控制列表才能消除蠕蟲病毒對網(wǎng)絡(luò)設(shè)備造成的影響。蠕蟲病毒攻擊能夠?qū)е抡麄網(wǎng)絡(luò)的路由震蕩�,這樣可能使上層的信息層網(wǎng)絡(luò)部分流量流入工業(yè)以太網(wǎng),加大了它的通信負(fù)荷��,影響其實(shí)時性�����。在控制層也存在不少計(jì)算機(jī)終端連接在工業(yè)以太網(wǎng)交換機(jī),一旦終端感染病毒�����,病毒發(fā)作即使不能造成網(wǎng)絡(luò)癱瘓���,也可能會消耗帶寬和交換機(jī)資源�。
2) MAC攻擊����。 工業(yè)以太網(wǎng)交換機(jī)通常是二層交換機(jī),而MAC地址是二層交換機(jī)工作的基礎(chǔ)�,網(wǎng)絡(luò)依賴MAC地址保證數(shù)據(jù)的正常轉(zhuǎn)發(fā)��。動態(tài)的二層地址表在一定時間以后(AGE TIME)會發(fā)生更新����。如果某端口一直沒有收到源地址為某一MAC地址的數(shù)據(jù)包,那么該MAC地址和該端口的映射關(guān)系就會失效��。這時�����,交換機(jī)收到目的地址為該MAC地址的數(shù)據(jù)包就會進(jìn)行泛洪處理,對交換機(jī)的整體性能造成影響��,能導(dǎo)致交換機(jī)的查表速度下降�。而且,假如攻擊者生成大量數(shù)據(jù)包��,數(shù)據(jù)包的源MAC地址都不相同��,就會充滿交換機(jī)的MAC地址表空間��,導(dǎo)致真正的數(shù)據(jù)流到達(dá)交換機(jī)時被泛洪出去�。這種通過復(fù)雜攻擊和欺騙交換機(jī)入侵網(wǎng)絡(luò)方式,近來已有不少實(shí)例�。一旦表中MAC地址與網(wǎng)絡(luò)段之間的映射信息被破壞,迫使交換機(jī)轉(zhuǎn)儲自己的MAC地址表����,開始失效恢復(fù),交換機(jī)就會停止網(wǎng)絡(luò)傳輸過濾����,它的作用就類似共享介質(zhì)設(shè)備或集線器,CSMA/CD機(jī)制將重新作用從而影響工業(yè)以太網(wǎng)的實(shí)時性���。
交換機(jī)安全技術(shù) 目前信息層網(wǎng)絡(luò)采用的交換機(jī)安全技術(shù)主要包括以下幾種��。
流量控制技術(shù) �,把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。訪問控制列表(ACL)技術(shù) ���,ACL通過對網(wǎng)絡(luò)資源進(jìn)行訪問輸入和輸出控制����,確保網(wǎng)絡(luò)設(shè)備不被非法訪問或被用作攻擊跳板���。安全套接層(SSL) 為所有 HTTP流量加密��,允許訪問交換機(jī)上基于瀏覽器的管理 GUI�。802.1x和RADIUS 網(wǎng)絡(luò)登錄 控制基于端口的訪問����,以進(jìn)行驗(yàn)證和責(zé)任明晰。源端口過濾只允許指定端口進(jìn)行相互通信���。Secure Shell (SSHv1/SSHv2) 加密傳輸所有的數(shù)據(jù),確保IP網(wǎng)絡(luò)上安全的CLI遠(yuǎn)程訪問���。安全FTP 實(shí)現(xiàn)與交換機(jī)之間安全的文件傳輸���,避免不需要的文件下載或未授權(quán)的交換機(jī)配置文件復(fù)制��。不過��,應(yīng)用這些安全功能仍然存在很多實(shí)際問題�����,例如交換機(jī)的流量控制功能只能對經(jīng)過端口的各類流量進(jìn)行簡單的速率限制����,將廣播��、組播的異常流量限制在一定的范圍內(nèi)��,而無法區(qū)分哪些是正常流量����,哪些是異常流量。同時����,如何設(shè)定一個合適的閾值也比較困難�����。一些交換機(jī)具有ACL���,但如果ASIC支持的ACL少仍舊沒有用。一般交換機(jī)還不能對非法的ARP(源目的MAC為廣播地址)進(jìn)行特殊處理����。網(wǎng)絡(luò)中是否會出現(xiàn)路由欺詐、生成樹欺詐的攻擊��、802.1x的DoS攻擊��、對交換機(jī)網(wǎng)管系統(tǒng)的DoS攻擊等�����,都是交換機(jī)面臨的潛在威脅��。
在控制層�,工業(yè)以太網(wǎng)交換機(jī),一方面可以借鑒這些安全技術(shù)��,但是也必須意識到工業(yè)以太網(wǎng)交換機(jī)主要用于數(shù)據(jù)包的快速轉(zhuǎn)發(fā)����,強(qiáng)調(diào)轉(zhuǎn)發(fā)性能以提高實(shí)時性。應(yīng)用這些安全技術(shù)時將面臨實(shí)時性和成本的很大困難����,目前工業(yè)以太網(wǎng)的應(yīng)用和設(shè)計(jì)主要是基于工程實(shí)踐和經(jīng)驗(yàn),網(wǎng)絡(luò)上主要是控制系統(tǒng)與操作站����、優(yōu)化系統(tǒng)工作站、先進(jìn)控制工作站�、數(shù)據(jù)庫服務(wù)器等設(shè)備之間的數(shù)據(jù)傳輸,網(wǎng)絡(luò)負(fù)荷平穩(wěn)��,具有一定的周期性�。但是,隨著系統(tǒng)集成和擴(kuò)展的需要�、IT技術(shù)在自動化系統(tǒng)組件的大力應(yīng)用、B/S監(jiān)控方式的普及等等�,對網(wǎng)絡(luò)安全因素下的可用性研究已經(jīng)十分必要,例如猝發(fā)流量下的工業(yè)以太網(wǎng)交換機(jī)的緩沖區(qū)容量問題以及從全雙工交換方式轉(zhuǎn)變成共享方式對已有網(wǎng)絡(luò)性能的影響���。所以����,另一方面,工業(yè)以太網(wǎng)必須從自身體系結(jié)構(gòu)入手�,加以應(yīng)對。
|
|
QQ好友和群
QQ空間
騰訊微博
騰訊朋友
收藏
淘帖
頂
踩
