老张在城郊开了家自动化配件厂,去年车间里的PLC突然频繁掉线,工程师查了半天,发现是有人从公网扫到了他那台没改默认密码的工控网关——好在还没造成停机。这事不是个例,很多中小型工厂的“上网技巧”,其实就卡在边界这道门上。
边界不是墙上贴张纸
很多人以为工控系统离互联网远,就等于安全。错。现在远程调试、设备上云、手机APP看产线,都得开个口子。这个口子,就是网络边界。它不是物理隔断,而是靠防火墙、网闸、单向光闸这些设备+策略组合起来的一道“智能门禁”。
三招让边界真正管用
第一,别让工控网直接连路由器。常见错误是把HMI电脑和办公电脑插在同一台家用路由器上。正确做法是加一道工业防火墙(比如华为USG6000F-DC或国产启明星辰天清汉马),在策略里只放行特定IP对特定端口(如192.168.10.5:502)的Modbus TCP访问,其余全拒。
第二,远程访问必须“翻墙不越界”。想用手机看实时温度?别直接把OPC服务器映射到公网。改用零信任方案,比如用Tailscale建个虚拟内网,只允许你本人的设备接入,且每次登录要二次验证。
第三,给老旧设备套个“软壳”。有些西门子S7-300 PLC不支持TLS加密,又不能升级固件。可以在它前面加一台轻量级网关(如树莓派+OPC UA Proxy),由网关对外提供加密接口,对内仍走原协议——相当于给老爷车装了个带ABS的副驾。
一个真实配置片段(防火墙ACL)
rule 10 deny tcp source 0.0.0.0 0.0.0.0 destination 192.168.20.0 0.0.0.255 destination-port eq 102
rule 20 permit tcp source 192.168.1.100 0.0.0.0 destination 192.168.20.10 0.0.0.0 destination-port eq 502
rule 30 deny ip source any destination 192.168.20.0 0.0.0.255这段规则的意思很直白:禁止所有设备访问整个工控网段的S7通信端口(102),只准许IT运维电脑(192.168.1.100)连PLC(192.168.20.10)的Modbus口(502),其他一概不通。
边界安全不是买设备就完事,而是每天看看防火墙日志里有没有异常扫描记录,定期换一次网闸管理密码,把U盘病毒拦截日志导出来扫一眼——这些动作,比背一百条等保条款更实在。