(1)传统的工业以太网中,上下网段使用不同的协议,不能互通,所以需要一层防火墙来防止外部的非法访问,而工业以太网连接的是控制层和管理层, 并且上下网段使用相同的协议互操作,所以使用了两级防火墙。 二级防火墙用于屏蔽对内部网络的非法访问,对具有不同权限的合法用户进行不同的授权。 此外,可以根据日志记录调整过滤和日志记录策略。
采取严格的权限管理措施,可按部门或业务分配权限。 由于工厂应用的专业性强,权限管理可以有效避免越权操作。 同时,必须限制对关键工作站操作系统的访问。 内置的设备管理系统必须具有记录查看功能。 数据库自动记录设备参数修改事件:修改者、修改原因、修改前后的参数。 有据可查。
(2)在工业以太网的应用中,可以采用加密的方式来防止关键信息被窃取。 目前主要有两种密码体制:对称密码体制和非对称密码体制。 在对称密码体制中,加解密双方使用同一个密钥,密钥是保密的。 由于密钥的分发必须在通信之前完成,所以系统中的这个环节是不安全的。 因此,采用非对称加密系统。 由于工业以太网大多发送周期性的短消息,采用这种加密方式相对较快。 对于工业以太网是可行的。 还要防范外部节点的访问。
(3)工业以太网的实时性主要通过以下几点来保证:限制工业以太网的通信负载,采用100M快速以太网技术提高带宽,采用交换式以太网技术和全双工通信方式屏蔽 固有的CSMA/CD机制。 随着网络的开放互联和大量IT技术在自动化系统中的引入,加之TCP/IP协议本身的开放性以及层出不穷的网络病毒和攻击手段,网络安全成为影响自动化系统的突出问题。 工业以太网的实时性能。
1)病毒攻击。 Internet 充满了蠕虫的攻击,例如 Slammer、“Shock Wave”和其他网络病毒。 以蠕虫为例。 虽然这些蠕虫的直接攻击目标通常是信息层网络中的PC和服务器,但攻击是通过网络进行的。 因此,当这些蠕虫病毒大规模爆发时,交换机和路由器将最先受到牵连。 . 用户只有重启交换路由设备,重新配置访问控制列表,才能消除蠕虫病毒对网络设备的影响。 蠕虫攻击会导致整个网络的路由发生波动,从而可能导致上层信息层网络的部分流量流入工业以太网主题”
2)MAC攻击。 工业以太网交换机通常是二层交换机,MAC地址是二层交换机工作的基础。 网络依靠MAC地址来保证数据的正常转发。 动态二级地址表会在一定时间(AGE TIME)后更新。 如果一个端口从未接收到源地址为某个MAC地址的数据包,则该MAC地址与端口的映射关系将失效。 此时,当交换机收到目的地址为MAC地址的数据包时,会进行泛洪处理,影响交换机的整体性能,会导致交换机的查表速度下降。 而且,如果攻击者生成大量不同源MAC地址的数据包,交换机的MAC地址表空间就会被填满,导致真正的数据流到达交换机时被淹没。 这种通过复杂的攻击和欺骗交换机的方式入侵网络的例子已经有很多了。 一旦表中MAC地址与网段的映射信息被破坏,交换机将被迫转储自己的MAC地址表并开始故障恢复,交换机将停止网络传输过滤,其作用类似于共享 媒体设备或集线器,CSMA/CD机制会再次作用,影响工业以太网的实时性。
目前,信息层网络采用的交换机安全技术主要有以下几种。 流量控制技术,将流经端口的异常流量限制在一定范围内。 访问控制列表(ACL)技术,ACL控制对网络资源访问的输入输出,保证网络设备不被非法访问或作为攻击的跳板。 安全套接字层 (SSL) 加密所有 HTTP 流量,允许访问交换机上基于浏览器的管理 GUI。 802.1x 和 RADIUS 网络登录控制基于端口的访问以进行身份验证和问责。 源端口过滤只允许指定的端口相互通信。 Secure Shell (SSHv1/SSHv2) 加密传输中的所有数据,确保通过 IP 网络进行安全的 CLI 远程访问。 安全 FTP 支持与交换机之间的安全文件传输,防止不必要的文件下载或未经授权的交换机配置文件复制。 但是,这些安全功能在应用中还存在很多实际问题。 例如,交换机的流控功能只能简单地对通过端口的各类流量进行限速,将广播、组播等异常流量限制在一定范围内。 区分哪些是正常流量,哪些是异常流量。 同时,如何设置一个合适的门槛也是难点。 有些交换机有ACL,但是如果ASIC支持的ACL少的话还是没用。 普通交换机无法对非法ARP(源MAC和目的MAC为广播地址)进行特殊处理。 网络中是否会存在路由欺诈、生成树欺诈攻击、802.1x DoS攻击、对交换机网管系统的DoS攻击等,都是交换机面临的潜在威胁。
在控制层,工业以太网交换机一方面可以借鉴这些安全技术,但也必须认识到,工业以太网交换机主要用于数据包的快速转发,强调转发性能以提高实时性。 在应用这些安全技术时,你将面临实时性和成本上的巨大困难。 目前,工业以太网的应用和设计主要基于工程实践和经验。 网络上主要有控制系统和操作站、优化系统工作站、高级控制工作站、数据库服务器和其他设备之间的数据传输,网络负载稳定,具有一定的周期性。 但随着系统集成和扩展的需要,IT技术在自动化系统组件中的大力应用,B/S监控方式的普及等,有必要研究工业以太网等网络安全因素的可用性 在突发流量下。 网络交换机的缓冲能力问题以及从全双工切换模式到共享模式对现有网络性能的影响。 所以,另一方面,工业以太网必须从自身的架构入手,去应对。
