2、网络架构安全:网络分层模型、边界防护策略、VLAN划分与隔离
聊到楼宇自控系统的网络架构,我脑子里第一个蹦出来的词就是「分层」。
很多人觉得,不就是把传感器、控制器、服务器连起来嘛,能有多复杂?
嗯,这么想就危险了。我在一个大型商业综合体项目里,就见过因为网络扁平化,导致一台被感染的DDC(直接数字控制器)把整个楼控网络都拖垮的情况。那叫一个惨。
所以,咱们得把网络架构安全这件事,掰开揉碎了讲清楚。
2.1 网络分层模型:把鸡蛋放在不同的篮子里
楼宇自控系统,说白了就是三层架构:管理层、控制层、现场层。
我个人习惯,把这比作一个公司的组织架构。
- 管理层(IT层):这是老板和经理们待的地方。服务器、工作站、Web客户端都在这里。数据量大,但实时性要求相对低。
- 控制层(自动化层):这是中层干部。DDC、PLC、网络控制器。它们负责逻辑运算和策略下发。实时性要求高,是系统的核心大脑。
- 现场层(I/O层):这是一线员工。传感器、执行器、变频器。它们只管干活,把物理信号变成电信号。
为什么要分这么清楚?
你想想看,如果管理层的一个病毒,能直接跑到现场层去控制风机,那后果是什么?
我在一个数据中心项目里就遇到过,运维人员为了方便,把管理层的交换机和控制层的交换机直接级联,没有做任何隔离。结果一次ARP攻击,导致所有空调控制器离线,机房温度飙升。从那以后,我再也不敢省这个分层的钱。
核心原则:不同层级之间,必须通过路由设备(三层交换机或防火墙)进行逻辑隔离。严禁直接二层互通。
2.2 边界防护策略:把好大门,看好小门
边界防护,不是只装个防火墙就完事了。你得想清楚,哪些门是开的,哪些门是关的。
楼宇自控系统常见的边界,有这么几个:
- IT网络与OT网络的边界:这是最重要的边界。企业办公网和楼控网之间,必须用防火墙隔开。我建议,只开放必要的端口,比如BACnet/IP的UDP 47808端口,或者Modbus TCP的502端口。其他的,一律拒绝。
- 互联网接入边界:现在很多楼控系统支持远程运维。这个入口非常危险。我曾经见过一个项目,远程桌面(RDP)直接暴露在公网上,密码还是admin/123456。结果被勒索病毒盯上,整个系统瘫痪了三天。
- 不同子系统之间的边界:比如冷源群控系统和照明系统之间。虽然都在控制层,但最好也做访问控制。防止一个子系统出问题,横向扩散到其他系统。
我的一个小技巧:在防火墙上做策略时,遵循「白名单」原则。只允许明确授权的IP和端口通过。不要图省事用「允许所有」。
2.3 VLAN划分与隔离:让广播风暴无处可逃
VLAN,虚拟局域网。说白了,就是把一个物理交换机,切成几个逻辑上独立的「小房间」。
为什么要切?
因为楼控网络里,设备太多了。几百个DDC,几千个传感器。如果不做VLAN划分,一个设备发个广播包,整个网络都能收到。这就是广播风暴的根源。
我记得有一次,一个工厂的楼控系统,一到上班时间就卡顿。查了半天,发现是某个品牌的传感器,上电时会发送大量的广播包。因为没有VLAN隔离,这些包淹没了整个控制层网络,导致DDC之间的通信延迟飙升。
VLAN划分,我一般这么干:
| VLAN ID | 用途 | 包含设备 |
|---|---|---|
| VLAN 10 | 管理层网络 | 服务器、工作站、工程师站 |
| VLAN 20 | 冷源系统控制层 | 冷机、水泵、冷却塔的DDC |
| VLAN 30 | 暖通空调系统控制层 | 空调机组、新风机的DDC |
| VLAN 40 | 照明系统控制层 | 照明控制器、调光模块 |
| VLAN 50 | 现场I/O设备层 | 各类传感器、执行器 |
你看,这样一划分,冷源系统的广播包,就不会影响到照明系统。即使某个VLAN出了问题,其他VLAN也能正常工作。
注意:VLAN划分后,不同VLAN之间默认是不能通信的。你需要通过三层交换机或路由器,配置路由规则,让必要的流量(比如管理层访问控制层)能够通过。但一定要严格控制,只放行必要的协议和端口。
另外,我建议在接入层交换机上,启用端口安全功能。比如,限制每个端口只允许一个MAC地址通过。这样,如果有人私自接入一个集线器或者路由器,交换机就会自动阻断,防止网络拓扑被破坏。
嗯,网络架构安全这块,其实还有很多细节。比如STP(生成树协议)的配置,防止环路;DHCP Snooping,防止私设DHCP服务器。但今天咱们先把分层、边界和VLAN这三个核心点吃透。
说白了,网络架构安全,就是「隔离」二字。把不同安全等级的设备隔开,把不同功能的网络隔开。隔离做好了,90%的安全问题就解决了。