1)、滿足工業環境穩定性要求
從滿足工業環境穩定性要求的角度,工業防火墻的需要從硬件和軟件層次去考慮本身的穩定性對工業網絡的影響。從這個角度說,工業防火墻需要同時具備軟硬件Bypass功能。工業防火墻出現故障不必擔心會導致工業網絡斷網,因為Bypass功能會自動啟動,確保網絡正常運行。Bypass顧名思義,就是旁路保護系統,也就是說可以通過特定的觸發狀態(斷電或死機)讓兩個網絡不通過工業防火墻的系統,而直接物理上導通。而這個時候工業防火墻也就不會再對網絡中的數據包做處理了。基于這樣的設計,Bypass從安全***的角度,也本身是一個漏洞,只要***找到方法能夠使得工業防火墻觸發Bypass功能的狀態,那么在其觸發了Bypass功能的工業防火墻上安全隔離和控制功能就失去了作用,***就可以直接訪問內部受保護的資源。那么這種想法到底可不可行?Bypass功能是否存在這樣的被***的漏洞呢?下面讓我們來看看Bypass功能是如何設計實現的。
在這里我以最簡單的模型來說明Bypass的架構以及工作原理,在工業防火墻中,如果是基于工業以太網環境的Bypass功能的設計,那么就跟工業主板以及網卡有關,這個Bypass功能就隨著主板以及網卡的設計架構不同而有所差異了。
? ? ? ? ? 從最簡單的Bypass模型來看,這個模型包含了“Bypass控制器”和“執行電路子板”兩個部分。Bypass控制器是整個系統的控制調度核心,而執行電路子板就是具體的執行者,這個執行者作用于不同的網絡傳輸介質上(比如電口、光口、串口等)。如下圖所示:
這個執行者是如何作用于不同的網絡傳輸介質上的?這就需要我們明白底層的網絡傳輸介質之間的組件以及他們的關系,這個傳輸介質我們以網卡的架構作為說明。
這是一張網卡的實物圖,里面包含了網卡的所有組件:
①RJ-45接口
②Transformer(隔離變壓器)
③PHY芯片
④MAC芯片
⑤EEPROM
⑥BOOTROM插槽
⑦WOL接頭
⑧晶振
⑨電壓轉換芯片
⑩LED指示燈
可以看到很多我們以前都不太知道的組件和設備。下面簡要介紹下各個組件的作用。
RJ-45是一個插口模塊,簡單來說它是一個發送器或接收器。RJ-45有8根針腳,網卡一般用RJ-45插口時,10M網卡的RJ-45插口只用了1,2,3,6四根針,而100M或1000M網卡的則是八根針都是全部使用的。它的每個針腳指承擔數據的收發工作,不用于其他目的。其主要存在于網線的兩端以及各個網絡以太網設備上。它只是一個插口,沒有任何邏輯控制的智能在里面,因此其向后連接的就是PHY芯片。
PHY是物理接口收發器,是網卡用于實現物理層的組件。IEEE-802.3標準定義了以太網PHY,包括MII/GMII(介質獨立接口)子層,PCS(物理編碼子層),PMA(物理介質附加)子層,PMD(物理介質相關)子層,MDI子層。其內部也是一個構造十分復雜的精密的部件。PHY在發送數據的時候,收到MAC過來的數據(對PHY來說,沒有幀的概念。對它來說,都是數據而不管什么地址,數據還是CRC。對于100BaseTX因為使用4B/5B編碼,每4bit就增加1bit的檢錯碼),然后把并行數據轉化為串行流數據,再按照物理層的編碼規則把數據編碼,再變為模擬信號把數據送出去,收數據時的流程反之。PHY還有個重要的功能就是實現CSMA/CD的部分功能。它可以檢測到網絡上是否有數據在傳送,如果有數據在傳送中就等待,一旦檢測到網絡空閑,再等待一個隨機時間后將送數據出去。如果兩個碰巧同時送出了數據,那樣必將造成沖突,這時候,沖突檢測機制就可以檢測到沖突,然后各等待一個隨機的時間重新發送數據。這個隨機時間很有講究的,并不是一個常數,在不同的時刻計算出來的隨機時間都是不同的,而且有多重算法來應付出現概率很低的同兩臺主機之間的第二次沖突。
比較關鍵的是,RJ45和PHY之間并不在一起。也就是說,我們通常看到的網線,其頭部的RJ45都不包括PHY芯片。因此,在主板的設計上,RJ45和PHY之間是有一段傳輸距離的。就是設計Bypass的關鍵。
隔離變壓器的作用是把PHY送出來的差分信號用差模耦合的線圈耦合濾波以增強信號,并且通過電磁場的轉換耦合到連接網線的另外一端。這樣不但使網線和PHY之間沒有物理上的連接而換傳遞了信號,隔斷了信號中的直流分量,還可以在不同0V電平的設備中傳送數據。隔離變壓器旨在設計為2KV~3KV電壓,同時也具有防雷感應保護功能。有些朋友的網絡設備在雷雨天氣時容易被燒壞,大都是PCB設計不合理造成的,而且大都燒毀了設備的接口,很少有芯片被燒毀的,就是隔離變壓器起到了保護芯片作用。
而MAC芯片稱為媒體接入控制器,用于實現MAC即Media Access Control,媒體訪問控制子層協議的芯片控制器。該協議位于OSI七層協議的數據鏈路層的下半部分,主要承擔控制和連接物理層的物理介質的任務。該層協議是以太網MAC由IEEE-802.3以太網標準定義。以太網數據鏈路層其實包含MAC(介質訪問控制)子層和LLC(邏輯鏈路控制)子層。一塊以太網卡MAC芯片的作用不但要實現MAC子層和LLC子層的功能,還要提供符合規范的PCI或PCIE界面以實現和主機的數據交換。如下圖所示:
而PHY和MAC芯片之間通過MII總線連起來實現通信。后面的網卡組件就跟我們實現Bypass功能沒任何關系了。現在的網卡已經實現了將PHY芯片和MAC芯片在同一塊芯片上實現。換句話說,在主板上連接以太網接口的芯片,可能是同時具備PHY芯片和MAC芯片功能的網絡控制器。我們可以在了解了上述概念后,探討一下Bypass是如何利用PHY和以太網接口之間的傳輸路徑的。
在圖中間插入一個以太網口電路子板,然后將該子板連接到Bypass控制器,可以接收開關的控制信號。
以太網口電路子板內部包含兩個組件:繼電器(電子開關)和變壓器。
因此更細節一點的架構就是下圖所示的結構:
我們可以看到,在每個PHY芯片和以太網接口之間,都存在一個變壓器和一個繼電器,這兩個設備就是Bypass的具體執行者。其中,繼電器可以只是簡單的電子電路開關控制器,比如電子開關。Bypass控制器向繼電器提供控制信號,兩個繼電器經由控制電路受控制信號的控制。當我們的工業防火墻工作正常時,軟件使控制信號有效,兩個繼電器的開關處于處于正常狀態,即開關的閥門是向上閉合的,即實現了變壓器與RJ45(以太網接口)的導通。
當我們的工業防火墻出現故障 時或掉電時,兩個繼電器的開關均跳撥到連個繼電器互聯的那個開關上,使RJ45與工業防火墻斷開,但是兩個繼電器之間連通,以使得兩個RJ45之間連通。這樣就使得工業防火墻上的內外網接口在物理上直連。
明白了下層的操作方式之后,我們再來看Bypass如何來進行觸發,現目前的Bypass觸發方式,都是通過Bypass控制器下發控制指令而實現Bypass功能。Bypass控制器收到以下3種情況而下發控制指令:
(1)通過電源觸發。這種方式下,一般是在設備沒有通電的情況下,Bypass功能打開,設備一旦通電,Bypass立即調整為正常工作狀態。
(2)由GPIO (通用輸入/輸出端口)來控制。在進入操作系統后,可以通過GPIO對特定的端口操作,從而實現對Bypass開關的控制。
(3)由Watchdog? (看門狗)來控制。這種情況實際是對方式2的一種延伸應用,可以通過Watchdog來控制GPIOBypass程序的啟用與關閉,從而實現對Bypass狀態的控制。使用這種方式,當系統宕機時可以由Watchdog來打開Bypass。
現目前,Bypass功能的實現一般同時在設備上實現第一種和第二種,有時候三種也同時在同一設備上實現。如果設備未通電,要想實現Bypass功能,則需要給網卡和繼電器同時供電。
基于此,在啟用Bypass的以太網、現場總線及485總線(如果有的話)都需要有與主電源隔離的額外電源。
