工业防火墙架构与技术【第二节:硬件架构③】

书接上文

3)、满足工业环境稳定性要求

从满足工业环境稳定性要求的角度,工业防火墙的需要从硬件和软件层次去考虑本身的稳定性对工业网络的影响。从这个角度说,工业防火墙需要同时具备软硬件Bypass功能。一旦设备异常或者重启,会启动Bypass功能,而无须担心因为工业防火墙本身出现问题而导致工业网络断网。Bypass顾名思义,就是旁路保护系统,也就是说可以通过特定的触发状态(断电或死机)让两个网络不通过工业防火墙的系统,而直接物理上导通。而这个时候工业防火墙也就不会再对网络中的数据包做处理了。基于这样的设计,Bypass从安全攻击的角度,也本身是一个漏洞,只要黑客找到方法能够使得工业防火墙触发Bypass功能的状态,那么在其触发了Bypass功能的工业防火墙上安全隔离和控制功能就失去了作用,黑客就可以直接访问内部受保护的资源。那么这种想法到底可不可行?Bypass功能是否存在这样的被攻击的漏洞呢?下面让我们来看看Bypass功能是如何设计实现的。

在这里我以最简单的模型来说明Bypass的架构以及工作原理,在工业防火墙中,如果是基于工业以太网环境的Bypass功能的设计,那么就跟工业主板以及网卡有关,这个Bypass功能就随着主板以及网卡的设计架构不同而有所差异了。

从最简单的Bypass模型来看,这个模型包含了“Bypass控制器”和“执行电路子板”两个部分。Bypass控制器是整个系统的控制调度核心,而执行电路子板就是具体的执行者,这个执行者作用于不同的网络传输介质上(比如电口、光口、串口等)。如下图所示:

这个执行者是如何作用于不同的网络传输介质上的?这就需要我们明白底层的网络传输介质之间的组件以及他们的关系,这个传输介质我们以网卡的架构作为说明。

这是一张网卡的实物图,里面包含了网卡的所有组件:

①RJ-45接口

②Transformer(隔离变压器)

③PHY芯片

④MAC芯片

⑤EEPROM

⑥BOOTROM插槽

⑦WOL接头

⑧晶振

⑨电压转换芯片

⑩LED指示灯

可以看到很多我们以前都不太知道的组件和设备。下面简要介绍下各个组件的作用。

RJ-45是一个插口模块,简单来说它是一个发送器或接收器。RJ-45有8根针脚,网卡一般用RJ-45插口时,10M网卡的RJ-45插口只用了1,2,3,6四根针,而100M或1000M网卡的则是八根针都是全部使用的。它的每个针脚指承担数据的收发工作,不用于其他目的。其主要存在于网线的两端以及各个网络以太网设备上。它只是一个插口,没有任何逻辑控制的智能在里面,因此其向后连接的就是PHY芯片。

PHY是物理接口收发器,是网卡用于实现物理层的组件。IEEE-802.3标准定义了以太网PHY,包括MII/GMII(介质独立接口)子层,PCS(物理编码子层),PMA(物理介质附加)子层,PMD(物理介质相关)子层,MDI子层。其内部也是一个构造十分复杂的精密的部件。PHY在发送数据的时候,收到MAC过来的数据(对PHY来说,没有帧的概念。对它来说,都是数据而不管什么地址,数据还是CRC。对于100BaseTX因为使用4B/5B编码,每4bit就增加1bit的检错码),然后把并行数据转化为串行流数据,再按照物理层的编码规则把数据编码,再变为模拟信号把数据送出去,收数据时的流程反之。PHY还有个重要的功能就是实现CSMA/CD的部分功能。它可以检测到网络上是否有数据在传送,如果有数据在传送中就等待,一旦检测到网络空闲,再等待一个随机时间后将送数据出去。如果两个碰巧同时送出了数据,那样必将造成冲突,这时候,冲突检测机制就可以检测到冲突,然后各等待一个随机的时间重新发送数据。这个随机时间很有讲究的,并不是一个常数,在不同的时刻计算出来的随机时间都是不同的,而且有多重算法来应付出现概率很低的同两台主机之间的第二次冲突。

比较关键的是,RJ45和PHY之间并不在一起。也就是说,我们通常看到的网线,其头部的RJ45都不包括PHY芯片。因此,在主板的设计上,RJ45PHY之间是有一段传输距离的。就是设计Bypass的关键。

隔离变压器的作用是把PHY送出来的差分信号用差模耦合的线圈耦合滤波以增强信号,并且通过电磁场的转换耦合到连接网线的另外一端。这样不但使网线和PHY之间没有物理上的连接而换传递了信号,隔断了信号中的直流分量,还可以在不同0V电平的设备中传送数据。隔离变压器本身就是设计为2KV~3KV的电压,也起到了防雷感应保护的作用。有些朋友的网络设备在雷雨天气时容易被烧坏,大都是PCB设计不合理造成的,而且大都烧毁了设备的接口,很少有芯片被烧毁的,就是隔离变压器起到了保护芯片作用。

而MAC芯片称为媒体接入控制器,用于实现MAC即Media Access Control,媒体访问控制子层协议的芯片控制器。该协议位于OSI七层协议中数据链路层的下半部分,主要负责控制与连接物理层的物理介质。该层协议是以太网MAC由IEEE-802.3以太网标准定义。以太网数据链路层其实包含MAC(介质访问控制)子层和LLC(逻辑链路控制)子层。一块以太网卡MAC芯片的作用不但要实现MAC子层和LLC子层的功能,还要提供符合规范的PCI或PCIE界面以实现和主机的数据交换。如下图所示:

而PHY和MAC芯片之间通过MII总线连起来实现通信。后面的网卡组件就跟我们实现Bypass功能没任何关系了。现在的网卡已经实现了将PHY芯片和MAC芯片在同一块芯片上实现。也就是说,在主板上,和以太网接口连接的芯片,有可能就是同时具有PHY芯片和MAC芯片功能的网络控制器。有了以上概念之后,我们就来看看,Bypass是如何利用PHY和以太网接口之间的传输路径做文章的。

如下图,中间设置一个以太网口电路子板,以太网口电路子板再和Bypass控制器连接,接收开关的控制指令。

以太网口电路子板内部包含两个组件:继电器(电子开关)和变压器。

因此更细节一点的架构就是下图所示的结构:

我们可以看到,在每个PHY芯片和以太网接口之间,都存在一个变压器和一个继电器,这两个设备就是Bypass的具体执行者。其中,继电器可以只是简单的电子电路开关控制器,比如电子开关。Bypass控制器向继电器提供控制信号,两个继电器经由控制电路受控制信号的控制。当我们的工业防火墙工作正常时,软件使控制信号有效,两个继电器的开关处于处于正常状态,即开关的阀门是向上闭合的,即实现了变压器与RJ45(以太网接口)的导通。

当我们的工业防火墙出现故障 时或掉电时,两个继电器的开关均跳拨到连个继电器互联的那个开关上,使RJ45与工业防火墙断开,但是两个继电器之间连通,以使得两个RJ45之间连通。这样就使得工业防火墙上的内外网接口在物理上直连。

以上就是Bypass的工作原理。有时候为了节省成本和嵌入式主板的空间,还可以只是有一个继电器,然后另一个继电器或其他继电器使用电子开关来实现,电子开关就是一个简单电子电路开关闭合的阀门,受控制电路的操作而进行开关闭合操作。

明白了下层的操作方式之后,我们再来看Bypass如何来进行触发,现目前的Bypass触发方式,都是通过Bypass控制器下发控制指令而实现Bypass功能。Bypass控制器收到以下3种情况而下发控制指令:

(1)通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,设备一旦通电,Bypass立即调整为正常工作状态。

(2)由GPIO (通用输入/输出端口)来控制。在进入操作系统后,可以通过GPIO对特定的端口操作,从而实现对Bypass开关的控制。

(3)由Watchdog  (看门狗)来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIOBypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式,当系统宕机时可以由Watchdog来打开Bypass。

现目前,Bypass功能的实现一般同时在设备上实现第一种和第二种,有时候三种也同时在同一设备上实现。第一种情况下,在设备没有通电的情况下,Bypass功能要实现打开,网卡就必须有电,继电器也必须要有电。因此还需要继续做供电上做文章!

基于此,在启用Bypass的以太网、现场总线及485总线(如果有的话)都需要有与主电源隔离的额外电源。

时间: 2024-10-03 15:16:11

工业防火墙架构与技术【第二节:硬件架构③】的相关文章

亿级商品详情页架构演进技术解密 | 高可用架构系列

亿级商品详情页架构演进技术解密 | 高可用架构系列 --http://mp.weixin.qq.com/s?__biz=MzAwMDU1MTE1OQ==&mid=210272034&idx=1&sn=3be9d2b53c7fec88716ee8affd2515f8&scene=1&srcid=UfXZNNOVZZyZjQmp0VOh&from=groupmessage&isappinstalled=0#rd 此文是开涛在[三体高可用架构群]之分享内容

工业防火墙架构与技术【第二节:硬件架构②】

2).满足对数据包的处理性能的高速度要求 任何防火墙的基本技术功能都是过滤报文.防火墙检查其接收的每个数据包,以确定数据包是否对应于流量模式的所需模板.防火墙然后过滤(丢弃)或转发与这些模板匹配的数据包.这些模板以规则的形式进行建模.在工控防火墙中,有针对已知协议提前建模好的规则模板,也有后期自动学习进行建模的规则模板.由于工控防火墙处理数据包是一个一个处理,包括数据包的校验,数据包每一层包头的处理,所以数据包越小,到达时间就越短,服务器处理数据包要求就越高.比如64B的小包,如果处理数据包要达

工业防火墙架构与技术【第二节:硬件架构①】

1.3.   工控防火墙的体系架构 那么工控防火墙是如何设计来支撑其部署到工业生产环境中的?这就需要我们了解工控防火墙的架构,这包括两个方面:软件和硬件两部分.也就是防火墙运行在什么软件系统上以及防火墙安装的硬件平台. 软件和硬件架构是防火墙的骨骼,它决定了防火墙整体的工作水平和性能.一般而言,我们可以把常见的防火墙分为基于硬件防火墙.基于虚拟化架构的防火墙和基于软件的防火墙三类. l  基于硬件的防火墙在硬件方面一般采用了主流的三种架构:X86.ASIC和NP.ASIC和NP是专门设计的实现防

工业防火墙架构与技术【第二节:硬件架构④】

下图展示了主板的主电源供电电路设计图: 下图展示了基于主供电电源的以太网.现场总线.以及485总线需要的电源隔离电路设计图. 除此之外,既然断电也是一种可能存在的单点故障,那么在硬件架构设计的时候,本身工业主板的供电还应该考虑的是双备电源电路设计!也就是冗余电源.下图展示了工业主板针对的双备电源电路设计设计图: 因此工业防火墙在硬件架构设计上需要考虑冗余电源供电,当其中一路电源出现故障时,另外一路电源仍然能够保障防火墙的正常工作,同时需要设计中很短的时间之内将电源的故障进行报警,以使得维修人员及

工业防火墙架构与技术【第一节:概述】

1.1.   工控防火墙概述 我们将应用于工业控制网络环境中的防火墙称为工业控制防火墙(ICF,Industrial Control Firewall).工业防火墙(IFW,IndustrialFirewalls)或工控防火墙(在本文中主要称为工控防火墙).和ICT环境的防火墙作用类似,其是一个具体设备(物理或虚拟),用于两个网络之间的隔离控制.在ICT环境中,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为.因其隔离.防守的属性,灵活应用于网络边界.子网隔离等位置,

【软件构造】第五章第二节 设计可复用的软件

第五章第二节  设计可复用的软件 5-1节学习了可复用的层次.形态.表现:本节从类.API.框架三个层面学习如何设计可复用软件实体的具体技术. Outline 设计可复用的类--LSP 行为子结构 Liskov替换原则(LSP) 各种应用中的LSP 数组是协变的 泛型中的LSP 为了解决类型擦除的问题-----Wildcards(通配符) 设计可复用的类--委派与组合 设计可复用库与框架 Notes ## 设计可复用的类--LSP 在OOP之中设计可复用的类 封装和信息隐藏 继承和重写 多态.子

【软件构造】第七章第二节 错误与异常处理

第七章第二节 错误与异常处理 本节关注:Java中错误和异常处理的典 型技术--把原理落实到代码上! Outline: Java中的错误和异常(java.lang.throwable) 异常 Runtime异常与其他异常(Exception) Checked异常和unchecked异常 checked异常的处理机制 自定义异常 Notes: ## Java中的错误和异常 [Throwable] Java.lang.throwable Throwable 类是 Java 语言中所有错误或异常的超类

[转帖]今天我们来聊聊机框式核心交换机硬件架构演进

今天我们来聊聊机框式核心交换机硬件架构演进 2018-12-17 14:46 出处:其他 作者:佚名 [PConline 干货铺]随着互联网业务的高速发展,对构建互联网基础架构的网络设备提出了更高要求,例如容量.性能.扩展性以及QoS等诸多关键特性,而这往往是由其所采用的硬件架构决定的. 我们以框式核心交换机为例,先后出现了多种硬件架构,而现在最为常用的有三种:Full-Mesh交换架构.Crossbar矩阵交换架构和基于Cell的CLOS交换架构.本文将通过对这三种硬件架构.报文转发流程等原理

全球最低功耗蓝牙单芯片DA14580的硬件架构和低功耗

号称全球最低功耗蓝牙单芯片DA14580在可穿戴市场.健康医疗.ibeacon定位等市场得到广泛的应用,但是因为其较为封闭的技术/资料支持导致开发人员有较高的技术门槛,网络上也极少看到有关DA14580的开发技术分享,因此一般企业和一般技术团队都不敢贸然采用该平台,但一旦精通该芯片平台的开发,即可在蓝牙方案应用开发中获得较大的技术优势. 作者在集成电路领域有较为深厚的积累,在DA14580平台也有丰富的开发经验,接下来将以一个系列文章对DA14580的硬件架构和软件体系进行分析.如需技术咨询,请