当前位置:主页 > 资料下载 > 如何利用网络实现安全的工业远程访问
如何利用网络实现安全的工业远程访问
时间:2018/11/3 点击次数:428

利用AIR-GATE 3G路由器和VPN基础设施

实现安全的工业远程访问

 

    在工业和其他相关领域远程访问世界各地的电子设备和机器设备正在迅速获得重视。专家们指出远程控制和监控是提高生产率和降低成本,并在执行过程中实现企业获利的重要机制。工业机器对这方面信息的需求是重要的,公司管理者能够了解工厂的当前运行情况并可迅速采取行动。通过网络远程访问已安装的设备将大大降低了维护成本,优化了监测过程并消除需要远距离现场问题确认,从而对工业工厂不受地域限制的远程控制。

    过程变量-网关-VPN和PC之间的集成构成了智能环境概念的技术基础,其中生成的信息可以在多个平台和应用程序之间共享,从而允许对某些设备实现安全控制和远程监控。智能环境的概念包括不同的技术,例如传感器网络和嵌入式系统,它们一起工作以跟踪设备状态,例如位置、温度和运动。

    关于这种类型远程连接的一个重要因素是信息和连接的安全性。任何远程访问都意味着数据通过公共网络传输,确保现场收集的信息的完整性和机密性对于可靠的远程操作至关重要。在主要安全工具中,我们有防火墙,它是公共网络和私有网络之间进入的重要屏障,通过限制网络上的可用端口、可以通过网络设置分组类型、允许的协议等。关于信息安全的另一个要点是加密,其目的是创建不属于VPN(虚拟专用网)的那些人不能理解的数据序列,也就是说只有真正的接收者才能理解原始数据。有一些协议负责为VPN连接提供安全性和加密,其中常用的是IPSec(IP安全协议),它是IP扩展旨在为网络中携带的分组提供更大的安全性和隐私,能够以两种模式使用,传输模式和隧道模式。在传输模式中,只有消息被加密,IP报头没有被修改。在隧道模式中,IP分组被完全加密,因此有必要封装一个新的IP分组来分发它。

    工业机器集成大量的嵌入式系统,有的连接到通信网络或有的没有。这些机器可以具有传感器和执行器,以实现监测和控制操作。在本文中,我们将介绍AirGate-3G路由器作为网关,通过Modbus TCP,使用移动数据连接,在网络架构中充当VPN客户端来读取FieldLogger的应用和配置。在这种类型的解决方案中我们有以下拓扑结构:

所提出的体系结构规定FieldLogger将通过其以太网端口物理地连接到AirGate3G,并使用移动数据连接,调制解调器作为客户机连接到公司的VPN服务器,执行认证过程并接收内部网络IP,使它可以通过监控软件看到PC端,下面将详细说明这个连接的细节。

    由于要读取的设备将连接到AirGate-3G的网络端口,所以具有设备的网络板的物理地址很重要,因为当我们配置DHCP服务器调制解调器端口时,必须具有静态租约,使得AirGate-3G总是打开,它分配相同的IP地址到它的物理连接设备。这个过滤器使用连接设备的网络板的MAC地址,因为这总是相同的。需要重点指出的是,为租约保留的地址必须超出为该端口的DHCP保留的IP的范围。使用称为网络地址转换(NAT)的路由器特性读取网络末端的设备,NAT是一种协议,顾名思义,它将IP地址和TCP/UDP端口从本地网络转换到因特网。也就是说,IP关系将被阐述:请求者的端口与目的地端口IP地址的连接。
AirGate-3G的作用是执行这个“翻译”并重定向连接。

     在图2,以太网端口3G路由器的DHCP服务器被激活并且静态租约配置区域数据记录器MAC地址:00:26:A4:00:00:9E:IP地址:192.168.0.2,超出DHCP保留的IP范围。这将确保在进行NAT调制解调器配置服务,你可以有固定的目标IP地址。

 


    在该图中, 配置PC-Server指的是负责此访问的计算机,其IP固定为10.51.11.195,并且无论连接上请求的端口如何,它终都将访问设备。第二Modbus连接指示任何试图通过计算机VPN ModBus TCP端口(端口502)访问3G路由器的计算机(地址0.0.0.0允许任何IP请求者包括在此规则中)也将访问ModBus TCP端口(502)上的数据寄存器。第三个连接也一样,从哪里请求连接到文件传输服务器(FTP:PATH 21)

    由于该解决方案中的互联网连接提供商是移动数据载体,因此为SIM卡提供的IP是私有的,并且用于运营商的*访问。为了能够通过其IP地址访问3G路由器,它必须与请求连接的机器在同一网络上。使这种连接可行的解决方案是在调制解调器上使用VPN隧道,将使用其外部IP,再加上VPN服务器上经过身份验证的用户和密码,从而可以在公司的专用网络上查看。路由器支持目前市场上使用的主要VPN协议,主要是IPvsec上的OpenVPN、PPTP和L2TP。

    另外是在3G路由器中设置OpenVPN客户端的示例。有必要输入VPN服务器提供的信息(EX: 服务器IP地址、端口、压缩、加密等)。若要将路由器验证到VPN,可以使用以下选项:

Pre-shared 预共享

User/Password 用户/密码

X.509 certificate X.509证书

X.509 certificate + User / password  X.509证书+用户/密码

 

    X.509证书,它指定数字证书的格式,通常以这样的方式使用,一个名称可以安全地连接到一个公钥,允许强大的身份验证。本地IP地址将是SCADA软件可以查看3G路由器的地址,并且在访问该地址时,NAT调制解调器功能将生效,以便重新定向连接以读取数据记录器中寄存器信息。

 

    因此使用具有移动数据连接的3G路由器和基于OpenVPN协议的VPN对设备的远程访问的应用基于以下支柱:

使用数据记录器的MAC地址的静态IP租约;

VPN客户端配置(在这种情况下,OpenVPN客户端);

地址转换和重定向规则(NAT)的配置;

在不放弃数据安全性的情况下实现对机器和设备的远程访问的技术与工业自动化市场的技术趋势并驾齐驱。借助于市场上可用的解决方案,可以部署几个不同大小的应用程序,从而降低维护成本,提高生产率。

文件下载    图片下载    

版权所有 © 2019 上海榕蒽智能科技有限公司 沪ICP备18015374号-2 技术支持:制药网 管理登陆 GoogleSitemap

在线客服 联系方式 二维码

服务热线

021-5483 2726

扫一扫,关注我们