随着工业物联网(IoT) 需求的持续增长,封闭的工业网络正面临着与公共互联网连接的挑战。 然而,虽然工业物联网提高了营运效率,但也同时带来了更多的网络安全威胁, 政府和企业必须注意与关心潜在的网络安全损害。
IEC 62443 标准除了包含最新的安全指南和各种不同的最佳演练表,还包括各种在网络上的信息,以防止已知的安全漏洞和未知的攻击。 该标准的最终目标是协助提高网络的安全性,并且提高工业自动化的控制设置的安全性。
目前,许多系统集成商,如西门子和 ABB,都要求组件供货商遵守 IEC 62443-4-2提及的终端设备安全性规范。 本小节定义了四个安全威胁级别:
• 等级1是为了防止偶发的未经授权的访问
• 等级2是自动化产业的基本要求。 它涉及黑客构成的网络威胁。这也是系统集成商最常遇到的攻击
• 等级3和等级4为避免黑客利用特定技能和工具进行恶意访问
从网络安全专家的角度来看,影响内部网络的主要安全威胁,包括了未经授权的访问、不安全的数据传输、未加密的密钥数据、不完整的事件日志与操作错误。?
中波动光提供软件 & 硬件(ASIC) 集成保护机制,采用先进专用集成电路 (ASIC) 的安全技术 (L2-L7 数据包分类)、多层认证、安全数据传输、加密密钥数据、完整的事件日志/报告、操作错误预防,并且高于 IEC62443-4-2 2 级要求,可为工业应用构建安全的系统。
基于端口的访问控制
IEEE802.1x MAB (MAC旁路认证)
MAB 协议透过将 MAC 地址送到 TACACS+ / Radius 服务器认证来启用基于端口的访问控制。在 MAB 认证之前,端口 (例如PLC) 的身份是未知的,并且所有通信是被阻断的。交换机检查单个数据包来学习和验证来源的MAC 地址,MAB 认?证成功后,端口的身份已知,并允许来自该端口的所有流量。交换机会执行来源 MAC 地址过滤,以确保只有通过 MAB 认证的端口才能发送流量。
除了透过 MAB 认证外,也可以通过交换机中预先配置的静态 MAC 地址表,或自动学习 MAC 地址表来完成认证
• MAC 地址自动学习功能可以对交换机进行编程,支持预先配置在安全端口上遇到的第一个来源 MAC 地址的学习(与授权)数量。 这些MAC 地址会自动加入到静态 MAC 地址表中,并保留在那里,直到用户删除。
• 粘性 MAC 设置可进一步增强端口的安全性。如果 Sticky MAC 地址被激活,则在该端口被授权的 MACs/设备,会被"粘"在该端口,交换机将不允许它们移动到不同的端口。
• 如果发生安全违规事件,用户可以透过端口关闭时间功能,指定自动关闭端口的时间区段。
• MAC 地址自动学习功能可以对交换机进行编程,支持预先配置在安全端口上遇到的第一个来源 MAC 地址的学习(与授权)数量。 这些MAC 地址会自动加入到静态 MAC 地址表中,并保留在那里,直到用户删除。
• 粘性 MAC 设置可进一步增强端口的安全性。如果 Sticky MAC 地址被激活,则在该端口被授权的 MACs/设备,会被"粘"在该端口,交换机将不允许它们移动到不同的端口。
• 如果发生安全违规事件,用户可以透过端口关闭时间功能,指定自动关闭端口的时间区段。
DHCP 监听
DHCP 监听就像是未受信的主机和已受信的 DHCP 服务器之间的防火墙。 它执行以下活动:
• 验证从未受信的来源接收到的 DHCP 消息,并过滤出无效的消息
• 限制已受信和未受信来源的 DHCP 流量速度
• 构建和维护 DHCP 监听绑定数据库,包含了未受信主机的租用IP地址信息
• 使用 DHCP 监听绑定数据库,以验证来自未受信主机的后续请求
DHCP 监听是基于 VLAN 启用的。默认情况下,该功能于所有 VLAN 是处于非激活状态。 您可以在单个 VLAN 或一定范围的 VLAN 上启用该功能。
DAI 验证网络中的 ARP 数据包。DAI 拦截、记录并丢弃无效的 IP-to-MAC 地址绑定的 ARP 数据包,此功能可以保护网络免受中间人攻击。
DAI 确保只有有效的 ARP 请求和回应会被转发。交换机执行以下这些行为:
• 截取所有未受信的端口上的 ARP 请求和回应
• 确认在刷新本地 ARP 缓存之前,以及在将数据包转发到适当的目的地之前,每个拦截的数据包都具有有效的 IP-to-MAC 地址绑定
• 丢弃无效的 ARP 数据包
DAI 确保只有有效的 ARP 请求和回应会被转发。交换机执行以下这些行为:
• 截取所有未受信的端口上的 ARP 请求和回应
• 确认在刷新本地 ARP 缓存之前,以及在将数据包转发到适当的目的地之前,每个拦截的数据包都具有有效的 IP-to-MAC 地址绑定
• 丢弃无效的 ARP 数据包
DAI 根据储存在受信数据库 (DHCP 监听绑定数据库) 中的有效 IP-to-MAC 地址绑定,来确定 ARP 数据包的有效性。如果在 VLAN 和交换机上启用 DHCP 监听,则此数据库将由 DHCP 监听来构建。如果在受信接口上收到 ARP 报文,则交换机不做任何检查;然而,在不信任的接口上,交换机只有在该 APP 报文有效的情况下才会转发。
IP来源保护
IP 来保护源在二层端口上提供 IP 来源地址过滤功能,以防止恶意主机假冒合法主机的 IP 地址来冒充合法主机。该功能使用动态 DHCP 侦听和静态IP来源绑定,以确认 IP 地址与在未受信的二层接入端口上的主机是匹配的。
一开始,除了 DHCP 数据包,受保护端口上的所有 IP 通信将会被阻断,当用户端从 DHCP 服务器收到 IP 地址后,或者管理员配置静态 IP 来源绑定后,所有具有 IP 来源地址的用户的通信才会被允许通行,至于来自其他主机的流量将会被拒绝。 此过滤机制限制了主机攻击邻近网络IP地址的能力
数据包过滤限制了网络流量,并局限了某些用户或设备的网络使用。ACL 对通过交换机的流量进行过滤,并允许或拒绝通过指定接口的数据包。 ACL 为数据包的允许与拒绝条件的有序集合。当接口接收到数据包时,交换机会将数据包内容与所有已设定的ACL 进行比较,并根据访问列表中指定的条件,验证该数据包是否具有转发的所需权限。
中波动光支持二层至七层 ACL,最多可解析 128 bytes 长度的数据包和二层至七层数据包分类与过滤 IPv4 / IPv6 流量,包含TCP、UDP、IGMP、ICMP。
中波动光支持二层至七层 ACL,最多可解析 128 bytes 长度的数据包和二层至七层数据包分类与过滤 IPv4 / IPv6 流量,包含TCP、UDP、IGMP、ICMP。
多层用户密码
RADIUS 和 TACACS+ 支持不同的集中式认证服务器。使用集中式认证服务器可以简化账户管理,特别是在网络中有多台交换机时。认证链也是其中之一。认证链是验证方法的有序列表,用来处理更进阶认证方案。 例如,您可以创建一个连接 RADIUS 服务器的认证链,然后在 RADIUS 服务器没有回应的情况下查找本地数据库。
网络管理软件
NetMaster 是中波动光设备的网络管理软件。它可以自动找寻网络设备,并画出链路设置拓扑图。批量配置和升级更可帮助系统集成商更轻松地安装系统。NetMaster 也可以为网络安全事件提供警报和提醒。
ERPS (Ethernet Ring Protection Switching) 是第一个工业标准的以太环网冗余协议 (ITU-T G.8032)。ERPS 整合了操作、管理和维护 (Operations、Administration and Maintenance,OAM) 与简单的自动保护交换(Automatic Protection Switching,APS) 两种协议来进行环网冗余保护。
ERPS (Ethernet Ring Protection Switching,以太环保护切换协议) 是国际电信联盟标准化局 (ITU-T) 制定的运行在数据链路层的环保护协议,协议标准号是TU-T G.8032,因此ERPS也称为G.8032。通常,网络冗余链路用于链路备份和提高网络的可靠性,但是,冗余链路可能形成环路,导致广播风暴和 MAC 地址表震荡。影响网络通信质量,以致通信中断。
STP (Spanning Tree Protocol,生成树协议) 、RSTP (Rapid Spanning Tree Protocol ,快速生成树协议) 、MSTP (Multiple Spanning Tree Protocol,多生成树协议) 通常用于防止环路。STP 虽然可以满足网络的可靠性需求,但是收敛速度慢。即使RSTP 和 MSTP 提高了其收敛速度,但是收敛时间依然是在秒级。
ERPS (Ethernet Ring Protection Switching,以太环保护切换协议) 是国际电信联盟标准化局 (ITU-T) 制定的运行在数据链路层的环保护协议,协议标准号是TU-T G.8032,因此ERPS也称为G.8032。通常,网络冗余链路用于链路备份和提高网络的可靠性,但是,冗余链路可能形成环路,导致广播风暴和 MAC 地址表震荡。影响网络通信质量,以致通信中断。
STP (Spanning Tree Protocol,生成树协议) 、RSTP (Rapid Spanning Tree Protocol ,快速生成树协议) 、MSTP (Multiple Spanning Tree Protocol,多生成树协议) 通常用于防止环路。STP 虽然可以满足网络的可靠性需求,但是收敛速度慢。即使RSTP 和 MSTP 提高了其收敛速度,但是收敛时间依然是在秒级。
与STP、RSTP、MSTP相比,ERPS有以下优点:
■ 收敛时间快
ERPS 与传统环网技术 (例如STP/RSTP/MSTP) 相比,优化检测机制,收敛时间更快。例如,支持ERPS的交换机收敛时间可小于50ms。
■ 兼容性好
ERPS 是 ITU-T 制定的防止环路的标准二层协议,可应用于中波动光和其他厂家设备互联的环网中。
ERPS 与传统环网技术 (例如STP/RSTP/MSTP) 相比,优化检测机制,收敛时间更快。例如,支持ERPS的交换机收敛时间可小于50ms。
■ 兼容性好
ERPS 是 ITU-T 制定的防止环路的标准二层协议,可应用于中波动光和其他厂家设备互联的环网中。
✔ERPS 环的基本概念
◎ 环保护链路 (Ring Protection Link,RPL) – 该链路在环网正常状态时,是阻塞的。
◎ RPL 拥有节点–该节点连接 RPL 链路,在以太环正常状态时,负责阻塞RPL链路;在以太环保护状态时,负责打开 RP L链路。
◎ RPL 邻居节点–该节点连接 RPL 链路,在以太环正常状态时,负责阻塞RPL链路;在以太环保护状态时,负责打开 RPL 链路。(在 V2 版本中定义) 。
◎ 链路监控–环上的链路采用标准的以太网连接控制操作管理维护消息进行监控。◎ 信号故障消息(SF) – 当检测到信号故障时发送。
◎ 恢复请求消息 (NR) – 在节点上检测不到信号故障条件时发送。
◎ 环自动保护切换消息 (R-APS) – 该协议消息由 Y.1731 和 G.8032 定义。
◎ 自动保护切换 (APS) 通道 – 采用专门的 VLAN 传递 OAM 消息 (包括 R-APS 消息)。
✔G.8032 或者 ERPS 采用不同的定时器,避免竞态条件和不必要的切换操作
◎ 延迟定时器 – 该定时器用于 RPL 拥有节点在阻塞 RPL 链路前,确认网络已经稳定。
◎ 等待-恢复 (WTR) 定时器 – 该定时器用于在信号恢复后,确认信号恢复是否是暂时的。
◎ 等待-阻塞 (WTB) 定时器 – 该定时器应用在强制倒换 / 手工倒换命令后,确认背景条件是否存在。
◎ WTB 定时器可能比 WTR 定时器短。
◎ 保护定时器 – 该定时器用于所有节点,当其状态变化时,用于阻止接收潜在的过时消息,以导致节点不必要的状态改变。
◎ 保持定时器 – 该定时器用于防止网络的间歇性故障,导致 ERPS 的不断切换。故障只有当该定时器超时后,才会报告给环保护机制。
✎为更好的理解 ERPS,就要先理解什么是环。在环上,以太网数据帧会沿着网络环路不断转发,永不停止。
▼ 下图是一个简单的环形网络
交换机上还没有启用环路避免协议时,以太网数据帧能够从一台交换机转发个下一台交换机时,循环转发和占用链路带宽。
甚至,循环转发的数据帧将会给 MAC 地址表带来麻烦。
甚至,循环转发的数据帧将会给 MAC 地址表带来麻烦。
在理解了环之后,也要了解对于我们的网络来说,环不是有利的。但是,我们依然需要环提供的冗余链路。ERPS 是实现这一目标的一种方式。一个以太网环由多台交换机组成,形成封闭的物理环路。环上的每一台交换机都会和它相邻的两台交换机连接。这是对于环的简单解释。我们必须在早期就要避免环路的形成,但是自从在环上启用 ERPS 后,网络运行的更好了。
✔ERPS原理
■ 正常状态
1. 所有节点在物理拓扑上以环的方式连接。
2. ERPS 通过阻塞 RPL 链路,确保不会形成环路。在上图中,节点 1 和节点 4 之间的链路为 RPL 链路。
3. 对相邻节点之间的每一条链路进行故障检测。
■ 链路故障
1. 与故障链路相邻的节点对故障链路进行阻塞,并发送 R-APS(SF) 消息通知环上的其它节点链路故障。在上图中,节点 2 和节点 3 之间的链路故障。
2. 在保持定时器超时后,节点 2 和节点 3 阻塞故障链路并发送 R-APS(SF) 消息给环上的其它节点。
3. R-APS(SF) 消息触发 RPL 拥有节点打开 RPL 端口。所有节点更新它们的 MAC 地址表和 ARP/ND 表,环进入到保护状态。
■ 链路恢复
1. 当故障链路恢复时,与链路相邻的节点仍保持阻塞状态,并发送 R-APS(NR) 消息,表示没有本地故障存在。
2. 当保护定时器超时和 RPL 拥有节点收到第一个 R-APS(NR) 消息后,RPL 拥有节点开始启动 WTR 定时器。
3. 当 WTR 定时器超时后,RPL 拥有节点阻塞 RPL 链路,并发送 R-APS(NR, RB) 消息。在等待 WTR 定时器超时期间,环的状态是待定的。
4. 其它节点收到 R-APS(NR, RB) 消息后,更新各自的 MAC 地址表和 ARP/ND 表,发送 R-APS(NR, RB) 消息的节点停止周期性发送此消息,并打开阻塞端口。此时环网恢复到正常状态,这个状态就是空闲状态。
2. 当保护定时器超时和 RPL 拥有节点收到第一个 R-APS(NR) 消息后,RPL 拥有节点开始启动 WTR 定时器。
3. 当 WTR 定时器超时后,RPL 拥有节点阻塞 RPL 链路,并发送 R-APS(NR, RB) 消息。在等待 WTR 定时器超时期间,环的状态是待定的。
4. 其它节点收到 R-APS(NR, RB) 消息后,更新各自的 MAC 地址表和 ARP/ND 表,发送 R-APS(NR, RB) 消息的节点停止周期性发送此消息,并打开阻塞端口。此时环网恢复到正常状态,这个状态就是空闲状态。
✔G.8032 v2 ERPS的优勢
◎ G.8032 v.2 ERPS 逐渐取代专有环和标准的以太环切换技术,因为它对任何回路的以太环提供了稳定的保护。随着网络规模的扩大,环路形成的计算和响应时间势必会增加,可能会从 2~120 秒增加至 5 分钟。这对于不间断通信网络是完全不可接受的。环对于网络运行和服务的可用性是致命的,因此,部署的网络设备支持恢复时间小于 50ms 的 ITU-T G.8032 v2 ERPS 协议将会大幅提高网络的可靠性。
◎ G.8032 v1 标准只支持单环拓扑,G.8032 v2 标准还另外支持多环拓扑,能够对多环上的以太网流量提供恢复切换。通过数量较少的链路实现广域多点连接,节约部署成本。
◎ 特别重要的是,部署支持 G.8032 v2 ERPS 的交换机能构建经济的和高弹性的以太网基础网络。同时,它们能够与第三方的交换机进行互操作,依然保持快速网络恢复时间并且不丢失任何数据包。
◎ G.8032 v1 标准只支持单环拓扑,G.8032 v2 标准还另外支持多环拓扑,能够对多环上的以太网流量提供恢复切换。通过数量较少的链路实现广域多点连接,节约部署成本。
◎ 特别重要的是,部署支持 G.8032 v2 ERPS 的交换机能构建经济的和高弹性的以太网基础网络。同时,它们能够与第三方的交换机进行互操作,依然保持快速网络恢复时间并且不丢失任何数据包。
ERPS环是适合每一种应用场景的理想技术,是现在能够提供的最佳选择。如果你想了解更多有关 ERPS 的内容,请联系我们:sales@womtek.cn