産業用ファイアウォールのアーキテクチャおよびテクノロジにおけるハードウェア アーキテクチャとは何ですか?

1)、産業環境の安定性要件を満たす

産業環境の安定性要件を満たすという観点から見ると、産業用ファイアウォールの必要性ハードウェアとソフトウェアのレベルから検討する必要があり、それ自体の安定性が産業ネットワークに与える影響を考慮してください。この観点から、産業用ファイアウォールにはソフトウェアとハ​​ードウェアの両方のバイパス機能が必要です。産業用ファイアウォールに障害が発生した場合でも、バイパス機能が自動的に起動してネットワークが正常に動作するようになるため、産業用ネットワークが切断されることを心配する必要はありません。バイパスは、その名前が示すように、バイパス保護システムです。これは、特定のトリガー状態 (停電またはクラッシュ) によって、産業用ファイアウォール システムを通過せずに 2 つのネットワークを物理的に直接接続できることを意味します。現時点では、産業用ファイアウォールはネットワーク内のデータ パケットを処理しません。この設計に基づくと、セキュリティ攻撃の観点からは、バイパス自体が脆弱性であり、攻撃者が産業用ファイアウォールにバイパス機能をトリガーさせる方法を見つけている限り、バイパス機能をトリガーする産業用ファイアウォールは安全に隔離され、制御機能はその効果を失い、攻撃者は内部の保護されたリソースに直接アクセスできます。では、このアイデアは実現可能でしょうか？ Bypass機能にそのような脆弱性はあるのでしょうか？バイパス機能がどのように設計され、実装されるかを見てみましょう。

ここでは、バイパスのアーキテクチャと動作原理を説明するために最も単純なモデルを使用します。産業用ファイアウォールでは、バイパス機能の設計が産業用イーサネット環境に基づいている場合、それは産業用マザーボードに関連します。このバイパス機能は、マザーボードとネットワーク カードの設計アーキテクチャによって異なります。

最も単純な ByPass モデルから、このモデルには「バイパス コントローラー」と「実行回路基板」の 2 つの部分が含まれています。バイパス コントローラはシステム全体の制御およびスケジューリング コアであり、実行回路サブボードは特定のエグゼキュータであり、さまざまなネットワーク伝送メディア (電気ポート、光ポート、シリアル ポートなど) 上で動作します。次の図に示すように:

#このエグゼキュータはさまざまなネットワーク伝送メディア上でどのように動作しますか?これには、基盤となるネットワーク伝送メディア間のコンポーネントとそれらの関係を理解する必要があり、この伝送メディアの例としてネットワーク カードのアーキテクチャを使用します。

#これはネットワーク カードの物理的な図であり、ネットワーク カードのすべてのコンポーネントが含まれています:

①RJ-45 インターフェイス

②トランス(絶縁トランス)

##③PHYチップ

#### #⑧ 水晶発振器######⑨電圧変換チップ######⑩LEDインジケータ#######これまであまり知らなかった部品や機器がたくさん見られます。以下に各コンポーネントの機能を簡単に紹介します。 ######RJ-45はソケットモジュールで、簡単に言うと送信機または受信機です。 RJ-45 には 8 つのピンがあります。ネットワーク カードが通常 RJ-45 ソケットを使用する場合、10M ネットワーク カードの RJ-45 ソケットは 4 つのピン 1、2、3、6 のみを使用しますが、100M または 1000M ネットワーク カードは 4 つのピンを使用します。 8 ピンすべてが使用されています。その各ピンはデータの送受信を担当し、他の目的には使用されません。これは主に、ネットワーク ケーブルの両端とさまざまなネットワーク イーサネット デバイス上に存在します。これはロジック制御インテリジェンスを持たない単なるソケットであるため、後方に接続するのは PHY チップです。 ######PHY は物理インターフェイス トランシーバーであり、物理層を実装するためにネットワーク カードによって使用されるコンポーネントです。 IEEE-802.3 標準は、MII/GMII (メディア独立インターフェイス) サブレイヤ、PCS (物理コーディング サブレイヤ)、PMA (物理メディア アタッチメント) サブレイヤ、PMD (物理メディア依存) サブレイヤ、MDI サブレイヤを含むイーサネット PHY を定義します。その内部も非常に複雑な構造を持つ精密部品です。 PHY がデータを送信すると、MAC からデータを受信します（PHY にはフレームの概念がありません。PHY にとって、アドレスに関係なくすべてのデータです。データは依然として CRC です。100BaseTX の場合、4B/ であるため） 5B エンコーディングが使用されます。4 ビットごとに 1 ビットのエラー検出コードを追加し、パラレル データをシリアル ストリーム データに変換し、物理層のエンコーディング ルールに従ってデータをエンコードして、アナログ信号に変換します。データを送信するときは、データを受信するときのプロセスが逆になります。 PHY のもう 1 つの重要な機能は、CSMA/CD のいくつかの機能を実装することです。ネットワーク上でデータが送信されているかどうかを検出できます。データが送信されている場合は待機し、ネットワークがアイドル状態であることを検出すると、データを送信する前にランダムな時間待機します。両者が同時にデータを送信すると、間違いなく競合が発生しますが、このとき、競合検出メカニズムによって競合が検出され、それぞれがランダムな時間を待ってデータを再送信します。このランダムな時間は非常に特殊です。一定ではありません。異なる時間で計算されるランダムな時間は異なり、発生確率が非常に低い同じ 2 つのホスト間での 2 回目の競合に対処するためのアルゴリズムが複数あります。 ###

さらに重要なことは、RJ45 と PHY が一緒になっていないということです。言い換えれば、私たちが通常目にするネットワーク ケーブルの先端にある RJ45 には PHY チップが含まれていません。 したがって、マザーボードの設計では、RJ45 と PHY の間に伝送距離があります。これが Bypass を設計するための鍵です。

絶縁トランスの機能は、PHY から送信された差動信号を差動モード結合コイル結合でフィルタリングして信号を強化し、それを接続ネットワーク ケーブルのもう一方の端に結合することです。電磁界変換。これにより、ネットワーク ケーブルと PHY の間の物理的な接続なしで信号を送信できるだけでなく、信号の DC 成分をカットするだけでなく、異なる 0V レベルのデバイスでデータを送信することもできます。絶縁トランスは2KV〜3KVの電圧に設計されており、雷誘導保護機能も備えています。友人のネットワーク機器は、雷雨の際に簡単に焼き切れてしまうことがあります。そのほとんどは、PCB 設計の不合理が原因で、機器のインターフェースのほとんどが焼き切れています。絶縁トランスがチップを保護する役割を果たしているため、焼き切れるチップはほとんどありません。 。

MAC チップはメディア アクセス コントローラーと呼ばれ、メディア アクセス コントロール サブレイヤ プロトコルである MAC (メディア アクセス コントロール) を実装するために使用されるチップ コントローラーです。このプロトコルは、OSI 7 層プロトコルのデータリンク層の下半分に位置し、主に物理層の物理メディアの制御と接続を担当します。この層プロトコルは、IEEE-802.3 イーサネット規格で定義されたイーサネット MAC です。イーサネット データ リンク層には、実際には MAC (メディア アクセス コントロール) サブレイヤと LLC (論理リンク コントロール) サブレイヤが含まれます。イーサネット カードの MAC チップの役割は、MAC サブレイヤおよび LLC サブレイヤの機能を実現するだけでなく、仕様を満たす PCI または PCIE インターフェイスを提供してホストとのデータ交換を実現することです。次の図に示すように:

#PHY チップと MAC チップは MII バスを介して接続され、通信を実現します。後続のネットワーク カード コンポーネントは、バイパス機能の実装とは何の関係もありません。現在のネットワーク カードは、PHY チップと MAC チップを同じチップ上に実装しています。換言すれば、マザーボード上のイーサネットインターフェースに接続されるチップは、ＰＨＹチップとＭＡＣチップの両方の機能を備えたネットワークコントローラであってもよい。上記の概念を理解した後、バイパスが PHY とイーサネット インターフェイス間の伝送パスをどのように利用するかを検討できます。

写真の中央にイーサネット ポート回路ドーター ボードを挿入し、そのドーター ボードをバイパス コントローラーに接続してスイッチの制御信号を受信します。

イーサネット ポート回路ドーター ボードには、リレー (電子スイッチ) と変圧器という 2 つのコンポーネントが含まれています。

したがって、より詳細なアーキテクチャは、次の図に示されている構造です。は各 PHY チップとイーサネット インターフェイス間のトランスとリレーであり、これら 2 つのデバイスはバイパスの特定の実行者です。このうち、リレーは電子スイッチなどの単純な電子回路スイッチコントローラーでよい。バイパス コントローラはリレーに制御信号を提供し、2 つのリレーは制御回路を介して制御信号によって制御されます。当社の産業用ファイアウォールが正常に動作している場合、ソフトウェアは制御信号を有効にし、2 つのリレーのスイッチは正常な状態にあります。つまり、スイッチのバルブは上向きに閉じられており、変圧器と変圧器の間の接続は閉じられています。 RJ45 (イーサネットインターフェース) が実現されます。

当社の産業用ファイアウォールに障害が発生するか電源が失われると、2 つのリレーのスイッチが 2 つのリレーを接続するスイッチにジャンプし、RJ45 と産業用ファイアウォールが切断されます。 2 つのリレーが接続されると、2 つの RJ45 が接続されます。これにより、産業用ファイアウォールの内部および外部ネットワーク インターフェイスを物理的に直接接続できるようになります。

下位レベルの動作方法を理解した後、バイパス トリガの仕組みを見てみましょう。現在のバイパス トリガ方法は、バイパス コントローラを通じて制御命令を発行することです。バイパス機能を実装します。 。バイパス コントローラーは、次の 3 つの状況を受信し、制御命令を発行します。

(1) 電源によってトリガーされます。このように、バイパス機能は通常、デバイスの電源が入っていないときにオンになりますが、デバイスの電源がオンになると、バイパスはすぐに通常の動作状態に調整されます。

(2) は GPIO (汎用入出力ポート) によって制御されます。オペレーティング システムに入った後、GPIO を介して特定のポートを操作してバイパス スイッチを制御できます。

(3) ウォッチドッグによって制御されます。この状況は、実際には方法 2 の拡張です。ウォッチドッグを使用して GPIO バイパス プログラムの有効化と終了を制御し、それによってバイパス ステータスを制御できます。この方法を使用すると、システムがダウンしたときにウォッチドッグはバイパスをオンにすることができます。

現在、バイパス機能の実装では、通常、1 番目と 2 番目のタイプが同時にデバイスに実装されますが、場合によっては 3 つのタイプが同時に同じデバイスに実装されることもあります。デバイスの電源が入っていない場合、バイパス機能を実装するには、ネットワーク カードとリレーに同時に電源を入れる必要があります。

これに基づいて、バイパス対応のイーサネット、フィールドバス、および 485 バス (存在する場合) にはすべて、主電源から絶縁された追加の電源が必要です。

以上が産業用ファイアウォールのアーキテクチャおよびテクノロジにおけるハードウェア アーキテクチャとは何ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。