防火墙示例_手把手教您用OPC UA数据平台跨越防火墙安全连接OPC UA

于 2021-01-14 03:33:30 发布
阅读量970 收藏
点赞数
文章标签: 防火墙示例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35004618/article/details/112676678
版权

16ae4149b6da9d50fdd229735ae37ee9.png

实际意义

一般的OPC UA连接,会占用一个端口进行通讯,若要同时使用防火墙的话,只能在防火墙中设置白名单,给该通讯端口放行。而FLEX Dispatch的防火墙穿越功能(FireBridge),则允许用户为OPC UA服务器设置指定的OPC UA客户端进行反向连接,该连接可无视防火墙的入站封锁规则——即使在入站规则中禁用了该端口,仍能和指定的客户端进行通信,除此以外其他客户端或其他软件经过该端口的入站流量会全部被防火墙拦截。换句话说,FLEX Dispatch允许用户在使用防火墙的更安全环境下进行OPC UA连接。

008417e7781e6050bb5fc3fa28293d6f.png

举个例子

有一个封闭式管理的小区,整个小区的地盘都用围墙围起来了,只有业主才能凭卡出入(服务端主机开着防火墙),这个时候准备部署一个快递柜(OPC UA服务端程序),一般的做法是把小区围墙往内改一个凹位,并把快递柜放在这个凹位(为OPC UA程序打开端口),好让快递员(OPC UA客户端)能从外部对快递柜进行取件投件等操作。但与此同时其他路过的人也能对快递柜进行破坏(发起攻击)或者乱输取件码试图取件(穷举攻击试图获取操作权限)。

而FLEX Dispatch的做法是在小区内部安装快递柜,旁边设个保安岗和门口,然后小区物业(管理员用户)主动找负责这个小区的快递员联系,并把快递员的身份证号(Client Endpoint Url)告诉保安登记,允许这位快递员凭身份证进入小区操作快递柜。除此以外其他人依然无法进入小区,也无法对快递柜进行操作。

78879e9600c0b3d447d55750802899f1.png

如何使用

1.实操准备

硬件:两台x86主机(本文以win10为例,建议选用win10 64位专业版或企业版,软件支持Linux,可用虚拟机代替物理主机)

软件(所有软件均可联系广州虹科或者通过Matrikon官网进行下载获得一个月试用):

  • 虹科Matrikon OPC UA Explorer
  • 虹科Matrikon FLEX Dispatch for Windows

注意:

    1. 初次下载和安装Matrikon软件的时候选择默认安装所有组件,里面会包括实现OPC UA通信所需要的环境,避免出现意料外的错误。
    2. Windows系统中需要打开组策略设置一个能作为服务登录的用户。

请谨记FLEX Dispatch安装时设置的实例名以及端口号(默认端口号为55000)。

2.实操步骤

防火墙部分:

为模拟防火墙关上的情形,我们可以先到服务端主机的Windows控制面板,防火墙高级设置中将FLEX Dispatch安装时自动设置的放行规则禁用,然后新增一个禁止入站的规则。在本文的演示示例中,服务端FLEX Dispatch的所在端口为55000,而FireBridge通讯端口将要设为55003,防火墙禁止入站端口范围为55000-55005,同时包括了FLEX Dispatch服务器以及FireBridge通讯的端口。

服务端部分:

先连上位于本机的FLEX Dispatch服务器,配置好数据源内容。

06af5c1c9aa97901f7457e6526caad85.png

在Dispatch Configuration视图的Dispatch FireBridge Reverse Connections选项卡中,点击加号添加新的FireBridge反向连接,然后在Client Endpoint Url一栏中填入客户端的Url,该Url的格式为

opc.tcp://< 客户端IP地址 >:< FireBridge通讯端口号 >

然后,把Enable选项框勾选上,点击Apply,至此,服务端准备就绪。

ed6a218734e45c6943284c961d578b8b.png

客户端部分:

同样,先连上位于本机的FLEX Dispatch服务器,在Dispatch Configuration视图的Dispatch Federator Data Sources选项卡中添加真实OPC UA数据源,在设置中选择Reverse Connect Data Source with Remote UA Server类型,在Server Url中填入服务端FLEX Dispatch的Url(本例中端口号为55000),而在Listening TCP Port中填入FireBridge通讯端口(本例中端口号为55003)。然后选择匹配的安全策略,输入账号密码,勾选Enable之后点Apply,此时客户端已经配置完毕,等待软件自动配置即可。

首次连接可能会提示证书不被信任,此时需要将

C:ProgramDataMatrikonFLEXDispatch< 你的FLEX Dispatch实例名 >

pkiDefaultApplicationGrouprejectedcerts

中的证书全部剪切到

C:ProgramDataMatrikonFLEXDispatch< 你的FLEX Dispatch实例名 >

pkiDefaultApplicationGroup trusted certs

文件夹当中。

24b19942c066b2e1ecffa9786aaa20bf.png

回到数据视图中,即可在文件树Root > Objects > DispatchConfiguration > DataSources > FireBridge Demo > Data > Objects > DispatchConfiguration > DataSources文件夹中找到服务端的数据源。

dd3e63556b3c18f0680d8095153c8b31.png

此时,客户端主机所在局域网内其他电脑,或客户端主机上其他OPC UA客户端连接FLEX Dispatch服务器,亦可访问到相同的结果。

结语

借助FLEX Dispatch的防火墙穿越功能(FireBridge),我们可以使得OPC UA拥有穿透防火墙的连接能力,无需再为OPC UA软件设置防火墙白名单或是在防火墙上留出开放端口。

这样一来,可保留防火墙的完整性,有助于提高整个通讯系统的安全性,而安全性和稳定性,正是工业物联网各种应用得以建立的基础。

rearlight
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值