远程访问本地可编程逻辑控制器 (PLC)、人机界面 (HMI) 和其他自动化系统组件已成为许多机器制造商、工厂和设施的要求。 虽然许多工业网络以前都配置了路由器,但没有虚拟专用网络 (VPN),由于存在安全风险,新安装的网络不应该这样做。
尽管 VPN 是纵深防御战略的关键要素,但实施与本地组件的远程安全连接在技术、成本和资源分配方面都存在挑战。 本文介绍的两种方案以不同的方式解决了这些问题。 每种方法都有其优势和设计考虑因素(汇总于表中)。 方案 1 是托管 VPN,方案 2 是传统 VPN。
决定使用托管 VPN 还是传统 VPN 主要取决于四个因素:
#@#3317921#@#
如决策树(图 1)所示,如果其中任何一个问题的答案是 "否",那么托管 VPN 解决方案可能是最佳选择。 如果这四个问题的答案都是 "是",那么传统 VPN 可能是首选。
#@#3317921#@#
#@#3317921#@#
#@#3317921#@#
#@#3317921#@#
#@#3317921#@#
#@#3317921#@#
托管 VPN 通过简单的设置和网络配置提供安全连接。 典型的托管 VPN 解决方案包括 VPN 路由器、托管 VPN 服务器、VPN 客户端和连接的自动化系统组件(图 2)。
VPN 客户端和路由器之间的安全连接是在路由器和 VPN 客户端分别与云托管 VPN 服务器建立连接后建立的。 路由器会在启动时立即建立连接,但 VPN 客户端只有在远程用户的请求得到验证后才会连接。 一旦建立了这两个连接,所有通过 VPN 隧道的数据都是安全的。
大多数托管 VPN 解决方案都为基本操作提供每月免费带宽分配,然后提供额外带宽的高级计划。 正常的故障排除和编程需求通常属于免费计划的数据要求范围,但广泛的数据监控或视频监控可能需要额外的带宽,这取决于通过 VPN 传输的数据量。
路由器通过通常开放的标准端口(如 HTTPS)与服务器进行通信。 这通常不需要更改企业 IT 防火墙,就能满足 IT 安全方面的要求。 相比之下,传统 VPN 需要打开入站防火墙端口,这就需要 IT 部门的参与和监督。
托管 VPN 的另一个优势是路由器配置极其简单。 由于安全路由器(图 3)连接到预定义的云服务器,因此路由器是预先配置好的,用户只需提供最基本的网络信息即可。 路由器的内部防火墙带有默认设置,可将车间网络与公司网络分开。
#@#3317921#@#
#@#3317921#@#
#@#3317921#@#
平台和托管服务器在幕后完成复杂的 VPN 联网,因此非 IT 人员也能轻松配置。 工作人员只需知道连接到局域网的自动化组件的 IP 地址,以及其 ISP 或公司范围的局域网路由器(而非托管 VPN 路由器)是动态还是静态提供 IP 地址。
除了有线局域网 (LAN) 选项外,托管 VPN 还应有 Wi-Fi 和 4G LTE 连接选项。 Wi-Fi 提供简单的接入点或客户端连接,允许工厂人员无线访问路由器的 LAN 网络,而不是打开面板访问物理 LAN 连接端口。 通过 4G LTE 连接,用户可以从没有互联网接入的远程地点或无法访问企业网络的地点进行访问。
none
none
托管 VPN 解决方案不需要 IT 团队的支持,因为它的实施和维护都很简单,而且大多数公司都认为它是安全的。 那些出于安全原因不接受托管 VPN 解决方案的公司很可能也不会接受传统 VPN,因为它需要更改防火墙。
none
其他设计考虑因素取决于路由器供应商提供的具体功能。 包含这些关键功能可以解决问题,而排除这些功能可能会带来问题。 这些关键功能包括数据记录、用于配置远程访问屏幕的小部件、基于网络的路由器配置平台,以及用于启用或禁用远程访问的数字输入。 传统的 VPN 解决方案需要第三方人机界面(基于 PC 或嵌入式)(图 4),以提供数据记录和用于配置远程访问屏幕的部件。
#@#3317921#@#
#@#3317921#@#
#@#3317921#@#
数据记录可通过云平台收集、存储和显示数据。 用户可以存储和访问几乎无限量的数据,而只需为所需的容量付费。 用户可以从少量存储开始,然后根据需要进行扩展。 基于云的数据记录通常需要路由器供应商提供额外的许可证或订阅,以便在云中收集和存储数据,因此必须考虑到这一成本,特别是因为传统的 VPN 方案不需要这笔费用。
一些基于云的数据存储和监控解决方案允许用户使用小部件配置仪表板,以便在个人电脑或移动设备上进行远程访问查看。 当参数超出预定义范围时,可以配置警报和通知来通知用户。 如果不提供此功能,设计远程访问查看屏幕可能会很麻烦。
基于网络的平台可让用户快速、轻松地配置 VPN 路由器,通常只需注册一个账户、配置和下载路由器设置以及在 PC 上安装一个安全客户端。 与基于 PC 的配置相比,基于 Web 的平台的主要优势在于可以进行平台更新,用户无需重新安装新版本。 这在定期添加新功能时尤其有用。
VPN 路由器的一个重要安全功能是一个数字输入开关,用于在本地启用或禁用通信,以防止在维护期间对机器进行远程控制。 如果没有提供这一选项,则应增加,这将增加成本和设计时间。
该方案要求本地 VPN 路由器通过互联网以安全 VPN 通道连接到第二个远程 VPN 路由器或软件客户端(图 5)。 连接后,远程用户可通过 VPN 通道访问连接到本地路由器的自动化组件。
与方案 1 不同的是,这两种连接方式的两台设备之间都没有云服务器: VPN 路由器到 VPN 路由器,或 VPN 路由器到 VPN 软件客户端。 如果需要在本地和远程站点之间持续交换大量数据,如远程观看本地视频,则首选此方案。
#@#3317921#@#
#@#3317921#@#
#@#3317921#@#
这种解决方案被广泛使用,在基于云的远程访问解决方案推出之前,它是安全双向访问的唯一方法。 就本地和远程站点支持所需的内部资源而言,这种方法可能比较复杂,而且成本高昂。
该方案的主要设计考虑因素是 IT 团队是否有能力和意愿在本地和远程站点为每次安装提供支持。 例如,原始设备制造商(OEM)机器制造商必须考虑到每个客户站点,并确保所有客户都愿意提供 IT 支持。 否则,原始设备制造商就必须为每个客户定制远程访问解决方案。
由于硬件成本增加以及配置连接所需的 IT 资源,这种解决方案的前期费用通常比托管 VPN 更贵。 有些公司有专门的 IT 人员提供这种支持,但许多小公司没有。 由于无需支付云服务月费,因此持续的外部成本较低,但由于需要 IT 支持,内部成本较高。
IT 部门必须在防火墙上打开一个入站 VPN 端口。 这可以提供全面的远程控制和监控,因为它有效地创建了一个连接本地和远程用户的网络,但也带来了安全问题。 必须始终保护该端口,防止意外访问。 需要持续保持安全警惕,确保路由器和 VPN 协议保持最新,还必须解决其他技术问题,包括: 1:
尽管有一些缺点,但如果 IT 人员可以并愿意更改防火墙,如果应用程序需要较高的数据带宽,或者如果公司不想依赖托管供应商,那么这种方法就是首选的 VPN 解决方案。
考虑两种 OEM 机器制造商。 第一种原始设备制造商销售的是大型复杂印刷机,其自动化系统 I/O 点数以千计,客户要求原始设备制造商为机器提供支持,包括正常运行时间和吞吐量保证。 OEM 需要在全球范围内远程监控和支持其印刷机,以确保满足对客户的保证。 OEM 拥有丰富的 IT 专业知识,有能力实施传统的 VPN,而且每个客户都愿意允许所需的防火墙修改。
每台印刷机还安装了多台摄像机,用于远程查看,这是解决一些较为复杂的故障排除问题所必需的。 每台印刷机都安装了一个功能齐全的基于 PC 的人机界面,用于本地查看和数据存储,并需要随时对人机界面及其存储的数据进行高速远程访问。 因此,大量的操作数据必须不断传输到远程公司控制中心。
在这种应用中,传统 VPN 是正确的解决方案,因为需要进行大量的数据交换,而托管 VPN 的成本可能过高,而且控制中心和每个站点都有合适的 IT 资源来支持该解决方案。
第二家原始设备制造商销售的机器不需要视频监控。 本地操作界面由嵌入式人机界面提供,数据记录和存储功能有限。 OEM 机器制造商需要两种远程访问。 第一种是 VPN 访问,以便远程对机器的 PLC 和 HMI 进行故障诊断、调试和编程。 其次,原始设备制造商及其客户希望通过智能手机和平板电脑等远程设备在仪表盘屏幕上监控机器最重要的运行参数。
OEM 机器制造商没有 IT 部门,只有一个兼职人员负责建立内部网络。 自动化人员包括一到两名控制系统专业人员,他们在为 PLC 和人机界面编程以实现机器自动化方面是专家,但对 IT、VPN 和路由器技术并不十分熟悉。 大多数原始设备制造商的客户不愿意也没有能力重新配置他们的防火墙,因此无法选择传统的 VPN。 在这种情况下,托管 VPN 是最佳选择,因为它能满足 OEM 及其客户的所有要求,而且无需 IT 人员即可实施。
数据记录在云中提供,因此本地 HMI 有限的数据存储能力不成问题。 机器制造商可以使用小部件来创建仪表盘屏幕,供许多不同用户在远程设备上查看。 需要全面控制和监控时,只需在个人电脑上安装一个轻量级软件客户端,就可以从全球任何地方连接到云端。
在设计使用 VPN 的远程访问解决方案时,影响最终实施的因素有很多:初始成本和 持续成本、安装和持续运行期间的专业技术知识、站点控制、安全风险和数据存储能 力。
终端用户可以利用本文中的信息,根据自己的需求、预算和内部专业知识对每种方案进行评估,然后选择最适合自己应用的方案。
本文的另一个版本还发表在InTech 杂志.