既简单亦安全

既简单亦安全 —— 由WALL IE连接的网络机器设备

    作为一家活跃于全球的机械工程公司，德国MS超声技术股份有限公司（MS Ultraschall Technologie GmbH）每天都需要将机器设备控制网络安全地集成到更高级别的生产管控网络中，借助于Helmholz制造的工业 NAT路由（网关）WALL IE防火墙，驻巴登-符腾堡州施派欣根（Spaichingen）的MS技术专家已经找到了方便可靠的解决方案。

    快速、安全、精确：超声波通过高频振动毫不费力地融化热塑性塑料，从而确保两个连接构件在短时间内建立非常牢固的连接。因此，许多汽车零部件供应商以及全球其他塑料加工企业都充分利用这一方法从事生产加工。在这一领域的技术领先者是德国MS超声技术股份有限公司。

    MS每年约有350台特种机器和系列设备在斯瓦比亚（Swabia）的施派欣根工厂停止生产，进行整体设备升级，以适应工业以太网网络的发展，或者更具体地说从Profibus到Profinet的变化。

 

    MS Ultraschall Technologie GmbH在不断的更新技术设备。正如电气设计部的Mr. Maucher所解释的：“近年来，越来越多的客户要求我们将我们的机器或是机器网络集成到更高水准的生产控制网络中。”

首先关注的是网络安全

    这在技术上最初似乎是可行的：机器网络，即一个自动化单元与一台或多台机器设备的网络，这被视为LAN（局域网），生产或公司网络被视为WAN（广域网）。 然而，考虑到不可或缺的网络安全因素，情况则变得更加复杂。为了有效地保护控制系统和自动化网络免受外部攻击，必须将机器网络安全地集成到更高级别的生产网络之中并与之隔离。

    直到数年之前，网络工程师还只有通过复杂的防火墙解决方案才能实现这种安全的网络对接。然而这一切在本质上，对于这种简单特种工业网络用途而言过于夸张，因此在操作处理方面也非常昂贵和繁杂。“所以，这是显而易见的，我们需要一个切实可行的解决方案。” MS公司的Maucher先生及其同事解释当时的状况。它是在2015年纽伦堡的“SPS IPC Drives”展览会上发现的，当时Helmholz GmbH公司在此次展会首次展示了NAT网关即 WALL IE防火墙。 Maucher先生记得：“真是幸运的发现！”

 

 

小巧的WALL IE网关高性能助手

    功能强大而结构简单的工业以太网组件，使机器控制网络可以轻松集成到更高级别的生产管控网络中。具体而言，WALL IE网关保护器通过精确地调节哪些网络参与者可以与哪个网络设备进行通信以及交换数据来保护网络。

    通过对web界面的个性化配置，WALL IE网关可以适应现有机器网络的各自需求。因此，对被授权人的访问权限制是保护自动化网络的基础。 在此过程中，WALL IE后面的控制网络或IP地址保持隐藏状态，并且从外部不可见。如果现在由于外部黑客攻击或内部员工的疏忽，而使公司网络受到病毒或恶意软件的威胁，则WALL IE背后的自动化网络将保持不受影响并具有相应的安全性。

 

   

（Basic NAT 也称 “1:1 NAT”或“静态NAT”，是单个IP地址或完整地址范围的转换。）

（网桥模式WALL IE就像一个在自动化单元和生产网络之间带有包过滤器的交换机。）

数据包过滤器调节数据传输

    实现这一点的先决条件是使用数据包过滤器功能：使用数据包过滤器，可以将安全性提高到仅进行“所需”通信的程度。 不必要的数据传输将被阻止，如广播、其他协议和其他端口，这样的结果将净化工厂网络与机器网络之间的访问。 IPv4地址、协议（TCP / UDP）、端口和MAC地址可用作为第3层和第4层上的过滤条件。

    作为另一个特殊功能，WALL IE既可以在NAT操作模式下使用，也可以作为网桥模式使用。在网桥操作模式下，WALL IE充当第2层交换机。与普通交换机不同，在此操作模式下也可以进行数据包过滤。即可以实现对网络各个区域的访问限制，而不必为此目的使用其他网络。

 

    WALL IE支持传输速率高达100 Mbps的工业以太网，基于Linux-based的工作软件完全由Helmholz自主开发，工业兼容的通用硬件坚固耐用，可以安装于标准DIN导轨。WALL IE的配置可通过响应式Web界面方便快速进行，Helmholz的产品开发人员制作了TB20 ToolBox工具箱软件，使用TB20 ToolBox工具箱软件用户可以看到结构清晰的用户提示。在线访问受严格的密码保护，并通过编码的HTTPS连接运行。

NAT工作模式

    使用网络地址转换（NAT）时，WALL IE可以保留机器设备的IP地址不变，并且可以使用车间生产网络中的IP地址与机器设备网络进行通信。在NAT工作模式下，WALL IE在各种IPv4网络（第3层）之间转发数据流量，并使用数据包过滤器来限制对其后部自动化网络的访问。在这个过程中，支持通过NAT（网络地址转换）进行地址转换，因此避免了在整个网络中，由地址明确可能导致的冲突。静态路由用于与其他自动化单元通信，为了实现此目的，路由器的网络和地址（下一跳IP）必须配置。

    WALL IE在路由器操作模式下支持两种NAT功能：Basic NAT和NAPT。Basic NAT（也称为“ 1：1 NAT”或“静态NAT”） 是单个IP地址或完整地址范围的转换。此转换仅在IP层级进行，这意味着所有端口都可以在不进行直接转发的情况下寻址。另一方面，在NAPT（网络地址和端口转换，也称为“ 1：N NAT”或“地址伪装”）的情况下，不仅IP地址，端口号也被重写。自动化单元的所有IP地址都转换为生产网络的单个IP地址，来自自动化单元数据包的发件人地址被这个地址取代了。

    在WAN广域网，DHCP协议（动态主机配置协议）允许在LAN和DHCP客户端上为每个DHCP服务器自动分配地址和DNS名称。此外，不再需要为每个独立端口的特定规则，因为整个端口范围都是通过通配符的形式绑定的。

SNAT-简单集成

    通过“ SNAT（Source NAT）”功能，WALL IE将WAN端上的传入数据流量公开地转发到LAN网络。在此过程中，WALL IE所有传出的数据包都提供了发件人的IP地址，因此，所有LAN参与者的定义参数保持不变，而且进入一个“网关”也不再是必要的。这对于设备网络集成到现有网络结构中来说是一个很大的优势。

    WALL IE所有的规格模式都可以由用户来具体定义和配置。Helmholz还通过个性化服务为客户提供增值服务，自定义配置的防火墙已交付使用，并且必须连接电源。

 

    MS Ultraschall Technologie GmbH公司已经提供了一半的以WALL IE为标准的特殊机器设备，目前平均每周都有一台设备。选用Helmholz的WALL IE产品早已为工厂获得了回报，Maucher先生认为：“这确实是一个很棒的产品。” 这位电气设计师总结道，“这不仅是因为可靠的硬件和简单的菜单提示。客户或用户只看到一个IP地址，而不是我们放在WALL IE后面的端口，这样对他们来说真的很方便！”