將以太網引入到車間層有很多好處，其中一個重要的好處就是創建了更加開放的架構，可以大量連接各種工廠設備和管理工具。但是這種開放性也為工廠網絡的操作人員帶來了一個必須要解決的問題：安全。

　　一旦自動化系統加入到以太網之中，就同把計算機連入互聯網差不多。在工廠的某個角落，或者是企業網絡當中，總會有互聯網連接存在。因此，企業必須要采取行動保護工廠環境免受來自連入互聯網計算機的威脅。這些威脅可能是黑客、病毒、木馬以及各種其他形式的有毒程序。

　　這就意味著工廠網絡管理員需要和IT部門同事一樣的安全防護工具，而且最好是專為工廠環境設計的工具。這些工具在設施內部的其他區域或者是其他遠程地點必須經過授權才能連接到工廠當中。這樣，遠程管理員就能夠完成諸如配置和診斷、節點初始化、從設備連接機載網絡和FTP服務器獲取信息這些任務。

　　這個工具集需要包含各種硬件、軟件和使用工具，比如防火墻、虛擬專用網(VPN)、網絡地址翻譯(NAT)技術和相應的政策。一旦自動化環境開放，它就要發揮效用，同時它還需要同其他網絡進行通訊，并能夠從不同地點進行管理，保證工廠安全免受互聯網威脅。

　　防火墻：第一道屏障

　　防火墻是一種最古老的安全工具，現今仍然是安防組件的重要組成部分。防火墻位于網絡之間，主要是控制內部和外部網絡之間的信息流。它的主要目的是幫助確保只有合法的信息在特定的方向上流動。

　　在工業環境下，防火墻能夠保護可能包括多個連入互聯網的自動化設備單元，比如工業PC或者是PLC。在這種情況下，企業可以安裝一臺安全模塊，即一端接收自動化網絡的以太網接入、一端連接更大網絡的簡單設備。任何兩個網絡之間的交互都需要取決于設備上安裝的防火墻所設定的規則。

　　防火墻運行有很多策略，工業網絡一般因地制宜地使用信息包檢測技術，讓設備可以連接當前的信息流。只有確定來自內網的要求得到合法反饋的時候，才允許信息進入。如果有外部源發送不需要的信息，就會被屏蔽。

　　為了保證所有的信息流都合法，專門的信息包檢測防火墻根據事先確定的過濾規則控制信息流。舉例來說，如果有內部節點向外部目標設備發送數據，防火墻將會在一個特定的時間內允許響應包。在這段時間過后，防火墻將會再次屏蔽信息流。

　　NAT和NAPT

　　另外一項能夠為自動化環境提供安全功能的技術是NAT，它應用在設備層面上。NAT一般是在外部公眾的視野內隱藏內部網絡中設備的實際IP地址。它向外部節點顯示公共IP地址，但是卻對網絡內部使用的IP地址進行了變換。

　　網絡地址和端口編譯(NAPT)技術利用了NAT的概念，并且加入了端口編號，將技術又向前發展了一步。通過NAPT技術，內網在公眾面前只顯示一個IP地址。而在后臺，通過添加端口號將信息包分配給指定的設備。NAPT工作表通常部署在路由器上，將私人IP地址端口映射到公共IP地址端口上。

　　如果來自外部網絡的設備希望向一臺內部設備發送信息包，它需要使用帶有特定端口的安全設備公共地址作為目標地址。這個目標IP地址會被路由器翻譯成帶有端口地址的私人IP地址。

　　數據包IP標頭中的源地址保持不變。但是，因為發送地址是在接收地址的不同子網當中，反饋必須要經過路由，然后再轉發給外部設備，同時保護內部設備的實際IP地址不被外部公眾看到。

　　使用VPN的安全通道

　　另外一種在本質上不安全的網絡上進行安全連接的方法，就是使用虛擬私人網絡(VPN)。VPN基本上是由安全設備在連接的每一個端點形成的加密通道，它必須要產生數字認證。這種認證一般就是一個數字ID，受信任的伙伴可以用來進行識別。認證還保證設備在一端對數據進行加密，以加密的形式將其在互聯網上發送，然后在傳輸給終端設備之前在另一端解密。