動人機界面 (HMI) 訪問是許多工業(yè)自動化應用的必需品��,有兩種典型方法可以實現(xiàn)與路由器和虛擬專用網(wǎng)絡 (VPN) 的這種連接:
第一個是標準路由器,雖然它不安全�����,但仍然在許多現(xiàn)有的移動 HMI 應用程序中使用�����,甚至在一些較新的應用程序中。一個主要的吸引力是它的低成本��,但不鼓勵這種方法��,因為當在防火墻中啟用端口轉(zhuǎn)發(fā)時���,它會帶來重大的網(wǎng)絡安全風險��,因為這會將網(wǎng)絡暴露給外部威
云托管 VPN 路由器通過互聯(lián)網(wǎng)創(chuàng)建從本地 VPN 路由器到云托管 VPN 路由器的加密連接�,從而簡化了信息技術(shù) (IT) 的復雜性��。遠程用戶可以通過云托管的 VPN 路由器安全地訪問本地組件和系統(tǒng)��。此選項提供高度的網(wǎng)絡安全性以及更簡單的配置和維護�。
由于部署此類連接的復雜性,此處不考慮與傳統(tǒng) VPN 路由器實現(xiàn)的第三種路由器連接���。它涉及打開入站連接并產(chǎn)生類似于標準路由器實現(xiàn)的復雜性和風險��。
要評估從筆記本電腦����、智能手機或平板電腦訪問的移動 HMI 的兩種遠程訪問類型中的每一種,請參閱總結(jié)差異的表格�。
遠程訪問HMI連接表比較
HMI 的標準路由器
在許多工業(yè)應用中��,標準路由器和防火墻用于保護公司和工業(yè)工廠網(wǎng)絡(圖 1)�,需要用戶手動配置和管理所有路由和防火墻設(shè)置����。這種類型的路由器通常沒有 VPN 來加密數(shù)據(jù),但它會在防火墻中創(chuàng)建端口轉(zhuǎn)發(fā)“漏洞”����,供遠程用戶訪問工廠網(wǎng)絡中的特定應用程序和組件。
大多數(shù) HMI 用戶都希望遠程或本地的訪問級別相同�。筆記本電腦通常連接到 HMI 網(wǎng)絡服務器以監(jiān)控數(shù)據(jù)并更改設(shè)定點和其他參數(shù),或者它們通過編程軟件連接到 HMI 以進行故障排除或更改程序��。
要使用標準路由器進行遠程連接�,端口轉(zhuǎn)發(fā)通常配置為允許訪問 HMI 或運行遠程訪問軟件的本地 PC。本地 PC 為遠程用戶提供了運行 HMI 編程軟件的能力���。
HMI 移動應用程序還需要端口轉(zhuǎn)發(fā)��,以便遠程用戶可以訪問本地 HMI 進行控制或查看數(shù)據(jù)��。這些應用程序通常提供與基于瀏覽器的遠程訪問相同的功能�����,但通過應用程序而不是瀏覽器����。
這種方法的主要問題是與移動和基于 PC 的應用程序中的端口轉(zhuǎn)發(fā)相關(guān)的安全風險。黑客很容易確定防火墻上打開了哪些端口��,從而通過路由器進入公司或工廠網(wǎng)絡��。
雖然在公司或工廠網(wǎng)絡中進行端口轉(zhuǎn)發(fā)可能非常有效和有用����,但在互聯(lián)網(wǎng)公司接口上使用此功能是極其危險的。組織應避免在新安裝中使用這種路由器方法���,并應將現(xiàn)有的標準路由器安裝轉(zhuǎn)換為更安全的連接���,例如云托管 VPN 路由器。
云托管 VPN 路由器
云托管 VPN 通過簡單的設(shè)置和網(wǎng)絡配置提供安全連接�。典型的云托管 VPN 選項包括本地 VPN 路由器�、云托管 VPN 服務器�����、VPN 客戶端和連接的自動化組件(圖 2)�����。
在本地路由器(在工廠/控制網(wǎng)絡上)和 VPN 客戶端(安裝在用戶的筆記本電腦或移動設(shè)備上的軟件)分別與云托管的 VPN 服務器建立連接后���,就會建立安全連接。本地路由器在啟動時立即建立此連接�����,但 VPN 客戶端僅在來自遠程用戶的驗證請求時才連接�����。一旦建立了兩個連接���,通過此 VPN 隧道的所有數(shù)據(jù)都是安全的�。
大多數(shù)云托管 VPN 為基本操作提供免費的每月帶寬分配�����,然后在達到此分配后限制數(shù)據(jù)訪問,并且還提供額外帶寬的高級計劃��。
例如�����,一款產(chǎn)品每月提供 5GB 的免費 VPN 數(shù)據(jù)交換�,足以滿足大多數(shù)故障排除、監(jiān)控和編程需求���。當本地路由器通過標準開放端口(例如 HTTPS)通過出站連接啟動與服務器的通信時�,會降低安全風險����。這通常不需要更改企業(yè) IT 防火墻并滿足 IT 安全問題。為了增加安全信心��,用戶應該尋找具有行業(yè)認證信息安全管理系統(tǒng)(例如 ISO/IEC 27001:2013)的云托管 VPN���。這表明供應商已實施全面的安全計劃和控制��。
更簡單的路由器配置
云托管 VPN 的另一個優(yōu)點是簡單的路由器配置����。由于安全本地路由器(圖 3)將連接到預定義的云服務器,路由器預先配置了復雜的 VPN 網(wǎng)絡設(shè)置�,允許非 IT 人員進行安裝。所需要的只是了解連接到局域網(wǎng)的自動化組件的 IP 地址��,以及 Internet 服務提供商 (ISP) 或企業(yè)廣域網(wǎng)路由器(不是云托管 VPN 路由器)是動態(tài)還是靜態(tài)提供 IP 地址���。
其他高級選項可能包括云數(shù)據(jù)記錄和警報通知�,它提供了 HMI 功能的一個子集�����,并且比自定義編程更易于使用����。這些服務允許用戶在他們的移動設(shè)備或筆記本電腦上記錄系統(tǒng)數(shù)據(jù)并接收定制的嚴重警報�����,在需要時提供方便的��、基于網(wǎng)絡的系統(tǒng)性能歷史記錄��。
基于移動應用程序的遠程訪問
移動應用程序越來越多地支持工業(yè) HMI 和可編程邏輯控制器 (PLC) 組件。這為用戶提供了隨時隨地的遠程訪問��,具有監(jiān)視和控制功能���。為了安全地訪問工業(yè)設(shè)備��,移動設(shè)備還必須采用 VPN 技術(shù)來加密從移動設(shè)備到工廠網(wǎng)絡的數(shù)據(jù)��。如果沒有移動 VPN����,則需要打開工廠的防火墻端口����,從而創(chuàng)建與標準路由器類似的場景,并使工廠網(wǎng)絡容易受到網(wǎng)絡攻擊�。
使用托管 VPN 可為筆記本電腦和移動設(shè)備提供安全的 VPN 連接;后者是通過帶有 VPN 的完全支持的移動應用程序?qū)崿F(xiàn)的�。一旦通過移動 VPN 應用安全連接到工廠網(wǎng)絡,第三方 HMI 或 PLC 應用就可以打開并連接到本地 HMI 和 PLC 組件�,就像移動用戶在現(xiàn)場一樣,因為用戶實際上就在那里.
一些路由器提供托管 VPN����,用于連接筆記本電腦和移動設(shè)備���。提供 Apple iOS 和 Google Android 移動設(shè)備應用程序,為用戶提供與工廠網(wǎng)絡的安全連接�����。
基于應用程序的訪問在行動
一些云托管 VPN 供應商還提供對在云中運行的數(shù)據(jù)記錄軟件的基于應用程序的訪問�,以及用于配置要遠程查看的自定義儀表板的小部件(圖 4)。
對于在全球數(shù)百個地點安裝了數(shù)千臺機器的原始設(shè)備制造 (OEM) 機器制造商而言���,這種內(nèi)置的云日志記錄可能特別有效�����,每個機器都有多個用戶�。OEM 將為每臺機器提供一個 VPN 路由器�,預先配置為記錄數(shù)據(jù)并包括用于在移動應用程序上遠程查看的定制儀表板����。除了在智能手機或平板電腦上安裝應用程序之外,OEM 的客戶無需付出任何努力來配置���、安裝或維護遠程訪問軟件���。
對于儀表板以外的更全面訪問���,遠程用戶可以使用托管 VPN 供應商提供的移動 VPN 通過應用程序訪問本地 HMI 和 PLC。例如�����,某些移動 HMI 軟件與供應商特定的 VPN 路由器結(jié)合使用時可以安全地工作���。本地設(shè)備也可以通過 PC 安全地遠程訪問�����,以進行編程�����、監(jiān)控或故障排除�����。
基于云的 VPN 安全
許多 OEM 和其他公司都需要通過移動設(shè)備和筆記本電腦訪問本地 HMI 和自動化系統(tǒng)��。使用云托管 VPN 來提供這種訪問����,可以構(gòu)建一個安裝、配置和維護簡單的安全系統(tǒng)��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
