动人机界面 (HMI) 访问是许多工业自动化应用的必需品,有两种典型方法可以实现与路由器和虚拟专用网络 (VPN) 的这种连接:
第一个是标准路由器,虽然它不安全,但仍然在许多现有的移动 HMI 应用程序中使用,甚至在一些较新的应用程序中。一个主要的吸引力是它的低成本,但不鼓励这种方法,因为当在防火墙中启用端口转发时,它会带来重大的网络安全风险,因为这会将网络暴露给外部威
云托管 VPN 路由器通过互联网创建从本地 VPN 路由器到云托管 VPN 路由器的加密连接,从而简化了信息技术 (IT) 的复杂性。远程用户可以通过云托管的 VPN 路由器安全地访问本地组件和系统。此选项提供高度的网络安全性以及更简单的配置和维护。
由于部署此类连接的复杂性,此处不考虑与传统 VPN 路由器实现的第三种路由器连接。它涉及打开入站连接并产生类似于标准路由器实现的复杂性和风险。
要评估从笔记本电脑、智能手机或平板电脑访问的移动 HMI 的两种远程访问类型中的每一种,请参阅总结差异的表格。
远程访问HMI连接表比较
HMI 的标准路由器
在许多工业应用中,标准路由器和防火墙用于保护公司和工业工厂网络(图 1),需要用户手动配置和管理所有路由和防火墙设置。这种类型的路由器通常没有 VPN 来加密数据,但它会在防火墙中创建端口转发“漏洞”,供远程用户访问工厂网络中的特定应用程序和组件。
大多数 HMI 用户都希望远程或本地的访问级别相同。笔记本电脑通常连接到 HMI 网络服务器以监控数据并更改设定点和其他参数,或者它们通过编程软件连接到 HMI 以进行故障排除或更改程序。
要使用标准路由器进行远程连接,端口转发通常配置为允许访问 HMI 或运行远程访问软件的本地 PC。本地 PC 为远程用户提供了运行 HMI 编程软件的能力。
HMI 移动应用程序还需要端口转发,以便远程用户可以访问本地 HMI 进行控制或查看数据。这些应用程序通常提供与基于浏览器的远程访问相同的功能,但通过应用程序而不是浏览器。
这种方法的主要问题是与移动和基于 PC 的应用程序中的端口转发相关的安全风险。黑客很容易确定防火墙上打开了哪些端口,从而通过路由器进入公司或工厂网络。
虽然在公司或工厂网络中进行端口转发可能非常有效和有用,但在互联网公司接口上使用此功能是极其危险的。组织应避免在新安装中使用这种路由器方法,并应将现有的标准路由器安装转换为更安全的连接,例如云托管 VPN 路由器。
云托管 VPN 路由器
云托管 VPN 通过简单的设置和网络配置提供安全连接。典型的云托管 VPN 选项包括本地 VPN 路由器、云托管 VPN 服务器、VPN 客户端和连接的自动化组件(图 2)。
在本地路由器(在工厂/控制网络上)和 VPN 客户端(安装在用户的笔记本电脑或移动设备上的软件)分别与云托管的 VPN 服务器建立连接后,就会建立安全连接。本地路由器在启动时立即建立此连接,但 VPN 客户端仅在来自远程用户的验证请求时才连接。一旦建立了两个连接,通过此 VPN 隧道的所有数据都是安全的。
大多数云托管 VPN 为基本操作提供免费的每月带宽分配,然后在达到此分配后限制数据访问,并且还提供额外带宽的高级计划。
例如,一款产品每月提供 5GB 的免费 VPN 数据交换,足以满足大多数故障排除、监控和编程需求。当本地路由器通过标准开放端口(例如 HTTPS)通过出站连接启动与服务器的通信时,会降低安全风险。这通常不需要更改企业 IT 防火墙并满足 IT 安全问题。为了增加安全信心,用户应该寻找具有行业认证信息安全管理系统(例如 ISO/IEC 27001:2013)的云托管 VPN。这表明供应商已实施全面的安全计划和控制。
更简单的路由器配置
云托管 VPN 的另一个优点是简单的路由器配置。由于安全本地路由器(图 3)将连接到预定义的云服务器,路由器预先配置了复杂的 VPN 网络设置,允许非 IT 人员进行安装。所需要的只是了解连接到局域网的自动化组件的 IP 地址,以及 Internet 服务提供商 (ISP) 或企业广域网路由器(不是云托管 VPN 路由器)是动态还是静态提供 IP 地址。
其他高级选项可能包括云数据记录和警报通知,它提供了 HMI 功能的一个子集,并且比自定义编程更易于使用。这些服务允许用户在他们的移动设备或笔记本电脑上记录系统数据并接收定制的严重警报,在需要时提供方便的、基于网络的系统性能历史记录。
基于移动应用程序的远程访问
移动应用程序越来越多地支持工业 HMI 和可编程逻辑控制器 (PLC) 组件。这为用户提供了随时随地的远程访问,具有监视和控制功能。为了安全地访问工业设备,移动设备还必须采用 VPN 技术来加密从移动设备到工厂网络的数据。如果没有移动 VPN,则需要打开工厂的防火墙端口,从而创建与标准路由器类似的场景,并使工厂网络容易受到网络攻击。
使用托管 VPN 可为笔记本电脑和移动设备提供安全的 VPN 连接;后者是通过带有 VPN 的完全支持的移动应用程序实现的。一旦通过移动 VPN 应用安全连接到工厂网络,第三方 HMI 或 PLC 应用就可以打开并连接到本地 HMI 和 PLC 组件,就像移动用户在现场一样,因为用户实际上就在那里.
一些路由器提供托管 VPN,用于连接笔记本电脑和移动设备。提供 Apple iOS 和 Google Android 移动设备应用程序,为用户提供与工厂网络的安全连接。
基于应用程序的访问在行动
一些云托管 VPN 供应商还提供对在云中运行的数据记录软件的基于应用程序的访问,以及用于配置要远程查看的自定义仪表板的小部件(图 4)。
对于在全球数百个地点安装了数千台机器的原始设备制造 (OEM) 机器制造商而言,这种内置的云日志记录可能特别有效,每个机器都有多个用户。OEM 将为每台机器提供一个 VPN 路由器,预先配置为记录数据并包括用于在移动应用程序上远程查看的定制仪表板。除了在智能手机或平板电脑上安装应用程序之外,OEM 的客户无需付出任何努力来配置、安装或维护远程访问软件。
对于仪表板以外的更全面访问,远程用户可以使用托管 VPN 供应商提供的移动 VPN 通过应用程序访问本地 HMI 和 PLC。例如,某些移动 HMI 软件与供应商特定的 VPN 路由器结合使用时可以安全地工作。本地设备也可以通过 PC 安全地远程访问,以进行编程、监控或故障排除。
基于云的 VPN 安全
许多 OEM 和其他公司都需要通过移动设备和笔记本电脑访问本地 HMI 和自动化系统。使用云托管 VPN 来提供这种访问,可以构建一个安装、配置和维护简单的安全系统。