1.3. 工控防火墙的体系架构
那么工控防火墙是如何设计来支撑其部署到工业生产环境中的?这就需要我们了解工控防火墙的架构,这包括两个方面:软件和硬件两部分。也就是防火墙运行在什么软件系统上以及防火墙安装的硬件平台。
软件和硬件架构是防火墙的骨骼,它决定了防火墙整体的工作水平和性能。一般而言,我们可以把常见的防火墙分为基于硬件防火墙、基于虚拟化架构的防火墙和基于软件的防火墙三类。
l 基于硬件的防火墙在硬件方面一般采用了主流的三种架构:X86、ASIC和NP。ASIC和NP是专门设计的实现防火墙必要功能的量身定制的硬件,由于操作系统需要兼容这些定制的硬件,因此其操作系统往往也是专门设计的。除此之外,还有采用MIPS和ARM架构的硬件防火墙。
l 基于虚拟化的防火墙是将防火墙操作系统抽象出来,将其定制安装到虚拟机里面实现的虚拟防火墙设备。其一般基于虚拟化架构实现,因此防火墙的软件运行在虚拟硬件之上,为了兼容虚拟硬件一般都需要开发设计相对应的兼容虚拟驱动程序等。这类的防火墙是随着ICT架构的虚拟化颠覆性变化而出现的,比如基于Xen或VMware虚拟机、Docker以及SDN或NFV等实现的虚拟防火墙。
l 基于软件的防火墙硬件方面一般是运行在通用架构的硬件上,操作系统也因此采用的多是基于Linux系列或者Windows NT系列的通用操作系统。
上述的这些防火墙体系架构,其基本上基于传统防火墙的发展历史演变而来。工控防火墙和传统防火墙在这些硬件上架构有所差异。
1.3.1.工控防火墙的硬件架构设计
1)、满足工业环境对硬件的要求
工控防火墙的硬件架构选择首先需要满足工业环境对硬件的要求。具体来说:
l 无风扇
l 宽温(-40-70℃)
l 湿度(5%-95%无凝结)
l 防护等级IP40(防尘不防水)
满足这些硬件要求的一般都是无风扇嵌入式工控机或专门定制的计算机。对于嵌入式的系统,其是计算机技术、半导体技术、电子技术和工业行业具体应用相结合的产物,和我们通常使用的通用计算机相比,他们体积小、低功耗、集成度和可靠性高,电磁兼容性好,抗干扰能力比较强,能在恶劣的环境下使用,即使死机也能在很短的时间重新启动。因此根据工业环境的硬件需求,工控防火墙的硬件一般采用无风扇嵌入式工控机来作为承载平台,然后再设计的时候通过调研提出相应的硬件组合需求,一般地,这种无风扇嵌入式工控机都是采用一个工业主板外加一个壳体组装起来的。图1展示了嵌入式工业主板的一个典型架构:
图1,工业主板典型架构
工业主板从规格尺寸、设计,用料,生产,制造,市场规模都是针对工业市场而生,保证工业系统的正常,高可靠性。目前工业主板为了适应多种应用环境,采用了多种尺寸规格的主板。包括ATX、Micro-ATX、LPX、POS、PICMG、ETX、CPCI、PC104等各种规格。在设计工控防火墙的时候,根据产品设计的需要合理选择不同规格的工业主板,并且搭配具有工业以太网口以及各种工业总线接口转换模块进行合理布局。工业主板选料会选用经过长时间,高要求验证元器件,用以保证产品在恶劣条件下高可靠性要求。比如一些如在服务器,以及高端商业主板才出现的固态电容,封闭电感等。因此工业主板可以达到一个长达5年甚至10年的生命周期。图2展示了一个工业级的实体主板图。
图2,工业主板实体
整个工业主板由核心板和底板组成,核心板主要包括:CPU、内存、Flash、标准的SODIMM接口、电源监控及复位电路、时钟驱动电路以及与底板相连的连接器。底板主要包括:100M./1000M网络接口电路、数据串口电路、BDM调试接口电路、系统供电电路、实现控制和监控功能的RS232接口电路和与核心板相连的连接器。还可以选择添加组合一些譬如远程连接管理模块、远程无人值守的自动开关机功能以及通过内嵌的IPMB,SMNP模块,实现系统实时运行信息的管理、记录、发送功能等等。最后做一些安全性设计,比如所有电阻选择晶圆电阻,电源入口用本安的安全全删进行隔离,PCB表面图三防漆,硬件电路板放尘、防潮、防静电等。目前这些主板可以选择自己开发,也可以选择第三方定制,比如台湾的研华科技,深圳的研祥智能等。
这个工业主板经过选型定制,就变成了一个用于工控防火墙设计的主板,然后再加上外面的壳体就完成了工控防火墙硬件载体的搭建和配置。壳体选择隔爆壳子,内部灌胶。图3展示了威努特的一个工控防火墙硬件,其内部就是一个嵌入式的工业防火墙主板加外面的壳体组成。
图3,威努特工控防火墙硬件外观
对于不采用嵌入式的硬件架构来承载工控防火墙的硬件体系架构,其往往需要特别定制,当前,市面上的针对工控防火墙主板的定制以及设计方案不胜枚举。例如,有款高性能工控防火墙主板,采用专用多网应用方案而设计,基于Intel的ICHlOR芯片组,ICHlOR能够提供6个PCI -Elx高端千兆网卡通道,具有优异的网络性能。但是这种设计往往需要牺牲很多东西,比如能耗、成本等。