산업용 방화벽 아키텍처 및 기술의 하드웨어 아키텍처는 무엇입니까?

1), 산업 환경의 안정성 요구 사항을 충족합니다

산업 환경의 안정성 요구 사항을 충족한다는 관점에서 산업용 방화벽은 자체 안정성이 하드웨어와 산업 네트워크에 미치는 영향을 고려해야 합니다. 소프트웨어 수준. 이러한 관점에서 산업용 방화벽은 소프트웨어와 하드웨어 우회 기능을 모두 갖추어야 합니다. 산업용 방화벽에 장애가 발생하더라도 바이패스 기능이 자동으로 시작되어 네트워크의 정상적인 작동을 보장하므로 산업용 네트워크 연결이 끊어질까 걱정할 필요가 없습니다. Bypass는 이름에서 알 수 있듯이 우회 보호 시스템으로, 특정 트리거 상태(정전 또는 충돌)를 통해 산업용 방화벽 시스템을 통과하지 않고 두 네트워크를 물리적으로 직접 연결할 수 있음을 의미합니다. 이때 산업용 방화벽은 더 이상 네트워크의 데이터 패킷을 처리하지 않습니다. 이러한 설계에 따르면, 보안 공격 관점에서 보면 Bypass 자체도 취약점입니다. 공격자가 산업용 방화벽이 Bypass 기능을 작동하도록 하는 방법을 찾는다면 Bypass 기능을 작동시키는 산업용 방화벽은 안전하게 격리될 것입니다. 제어 기능은 효과를 상실하며, 공격자는 내부 보호 자원에 직접 접근할 수 있다. 그렇다면 이 아이디어가 실현 가능한가? Bypass 기능에도 이런 취약점이 있나요? Bypass 기능이 어떻게 설계되고 구현되는지 살펴보겠습니다.

여기서는 Bypass의 아키텍처와 작동 원리를 설명하기 위해 가장 간단한 모델을 사용합니다. 산업용 방화벽에서 Bypass 기능의 설계가 산업용 이더넷 환경을 기반으로 한다면 이는 산업용 마더보드 및 네트워크 카드와 관련이 있습니다. 이 Bypass 기능은 마더보드 및 네트워크 카드의 설계 아키텍처에 따라 다릅니다. Y 가장 단순한 바이패스 모델에서 이 모델은 "바이패스 컨트롤러"와 "실행 회로 기판"의 두 부분으로 구성됩니다. 바이패스 컨트롤러는 전체 시스템의 제어 및 스케줄링 핵심이며 실행 회로 하위 보드는 특정 실행기입니다. 이 실행기는 다양한 네트워크 전송 미디어(예: 전기 포트, 광 포트, 직렬 포트 등)에서 작동합니다. 아래 그림과 같이:

이 실행자는 다른 네트워크 전송 미디어에서 어떻게 작동합니까? 이를 위해서는 기본 네트워크 전송 미디어 간의 구성 요소와 관계를 이해해야 합니다. 우리는 이 전송 미디어의 예시로 네트워크 카드의 아키텍처를 사용합니다.

이것은 네트워크 카드의 모든 구성 요소가 포함된 네트워크 카드의 실제 사진입니다.

1RJ-45 인터페이스

2Transformer(절연 변압기)

3PHY 칩

4MAC 칩

⑤EEPROM

⑥BOOTROM 플러그 슬롯

7WOL 커넥터

⑧수정 발진기

9전압 변환 칩

⑩LED 표시기

우리가 이전에 잘 몰랐던 많은 구성 요소와 장비를 볼 수 있습니다. 다음은 각 구성 요소의 기능에 대한 간략한 소개입니다.

RJ-45는 소켓 모듈입니다. 간단히 말하면 송신기 또는 수신기입니다. RJ-45에는 일반적으로 네트워크 카드가 RJ-45 소켓을 사용하는 경우 10M 네트워크 카드의 RJ-45 소켓은 핀 1, 2, 3, 6만 사용하는 반면, 100M 또는 1000M 네트워크 카드는 핀을 사용합니다. 8개의 핀이 모두 사용됩니다. 각 핀은 데이터 전송 및 수신을 담당하며 다른 목적으로 사용되지 않습니다. 주로 네트워크 케이블의 양쪽 끝과 다양한 네트워크 이더넷 장치에 존재합니다. 이는 논리 제어 인텔리전스가 없는 소켓일 뿐이므로 뒤로 연결되는 것은 PHY 칩입니다.

PHY는 물리적 인터페이스 트랜시버이며 네트워크 카드에서 물리적 계층을 구현하는 데 사용되는 구성 요소입니다. IEEE-802.3 표준은 MII/GMII(미디어 독립 인터페이스) 하위 계층, PCS(물리적 코딩 하위 계층), PMA(물리적 매체 연결) 하위 계층, PMD(물리적 매체 종속) 하위 계층, MDI 하위 계층을 포함하는 이더넷 PHY를 정의합니다. 그 내부 역시 매우 복잡한 구조를 지닌 정밀한 부품이다. PHY는 데이터를 보낼 때 MAC으로부터 데이터를 받습니다. (PHY의 경우 프레임의 개념이 없습니다. 주소에 관계없이 모두 데이터이므로 데이터는 여전히 CRC입니다. 100BaseTX의 경우 4B/이기 때문입니다. 5B 인코딩을 사용하며, 4비트마다 오류 감지 코드 1비트를 추가한 후 병렬 데이터를 직렬 스트림 데이터로 변환한 다음 물리 계층의 인코딩 규칙에 따라 데이터를 인코딩한 다음 아날로그 신호로 변환합니다. 데이터를 보내는 과정은 반대입니다. PHY의 또 다른 중요한 기능은 CSMA/CD의 일부 기능을 구현하는 것입니다. 네트워크에 전송 중인 데이터가 있는지 감지할 수 있습니다. 전송 중인 데이터가 있으면 대기합니다. 네트워크가 유휴 상태임을 감지하면 데이터를 전송하기 전에 임의의 시간 동안 기다립니다. 두 사람이 동시에 데이터를 보내면 분명히 충돌이 발생합니다. 이 때 충돌 감지 메커니즘은 충돌을 감지한 다음 데이터를 다시 보내기 위해 임의의 시간을 기다립니다. 이 무작위 시간은 매우 구체적이지 않습니다. 이는 서로 다른 시간에 계산된 무작위 시간이 다르며 동일한 두 호스트 간의 두 번째 충돌을 매우 낮은 확률로 처리하는 여러 알고리즘이 있습니다.

가장 중요한 것은 RJ45와 PHY가 함께 있지 않다는 것입니다. 즉, 우리가 흔히 보는 네트워크 케이블 헤드에 있는 RJ45에는 PHY 칩이 포함되어 있지 않습니다. 따라서 마더보드 설계상 RJ45과 PHY 사이에 일정한 전송 거리가 있습니다. 이것이 Bypass 디자인의 핵심입니다.

절연 변압기의 기능은 차동 모드 결합 코일 결합을 사용하여 PHY에서 전송된 차동 신호를 필터링하여 신호를 강화하고 전자기장 변환을 통해 연결 네트워크 케이블의 다른 쪽 끝에 결합하는 것입니다. 이를 통해 네트워크 케이블과 PHY를 물리적으로 연결하지 않고도 신호를 전송할 수 있을 뿐만 아니라 신호의 DC 구성 요소를 차단하여 서로 다른 0V 레벨의 장치에서 데이터를 전송할 수도 있습니다. 절연 변압기는 2KV~3KV 전압용으로 설계되었으며 낙뢰 유도 보호 기능도 갖추고 있습니다. 일부 친구의 네트워크 장비는 뇌우 중에 쉽게 소손됩니다. 대부분은 불합리한 PCB 설계로 인해 발생하며, 절연 변압기가 칩을 보호하는 역할을 하기 때문에 대부분의 장비 인터페이스가 소손됩니다. .

MAC 칩은 미디어 액세스 컨트롤러(Media Access Controller)라고 하며, 미디어 액세스 제어 하위 계층 프로토콜인 MAC 또는 미디어 액세스 제어(Media Access Control)를 구현하는 데 사용되는 칩 컨트롤러입니다. 이 프로토콜은 OSI 7계층 프로토콜 중 데이터링크 계층 하반부에 위치하며 주로 물리계층의 물리미디어를 제어하고 연결하는 역할을 담당한다. 이 계층 프로토콜은 IEEE-802.3 이더넷 표준에서 정의한 이더넷 MAC입니다. 이더넷 데이터 링크 계층에는 실제로 MAC(Media Access Control) 하위 계층과 LLC(Logical Link Control) 하위 계층이 포함됩니다. 이더넷 카드 MAC 칩의 역할은 MAC 하위 계층과 LLC 하위 계층의 기능을 구현하는 것뿐만 아니라 사양을 충족하는 PCI 또는 PCIE 인터페이스를 제공하여 호스트와의 데이터 교환을 실현하는 것입니다. 아래 그림과 같이:

PHY 및 MAC 칩은 MII 버스를 통해 연결되어 통신을 수행합니다. 후속 네트워크 카드 구성요소는 바이패스 기능 구현과 아무 관련이 없습니다. 현재 네트워크 카드는 PHY 칩과 MAC 칩을 동일한 칩에 구현했습니다. 즉, 마더보드의 이더넷 인터페이스에 연결되는 칩은 PHY 칩과 MAC 칩 기능을 모두 갖춘 네트워크 컨트롤러일 수 있습니다. 위의 개념을 이해한 후에는 Bypass가 PHY와 이더넷 인터페이스 간의 전송 경로를 어떻게 활용하는지 알아볼 수 있습니다.

사진 중앙에 이더넷 포트 회로 도터보드를 삽입한 후, 도터보드를 바이패스 컨트롤러에 연결하여 스위치의 제어 신호를 받습니다.

이더넷 포트 회로 도터 보드 내부에는 릴레이(전자 스위치)와 변압기라는 두 가지 구성 요소가 포함되어 있습니다.

따라서 더 자세한 아키텍처는 아래 그림에 표시된 것입니다.

각 PHY 칩과 이더넷 인터페이스 사이에 변압기와 릴레이가 있다는 것을 알 수 있습니다. 두 장치는 Bypass의 특정 실행자. 그 중 계전기는 전자스위치와 같은 단순한 전자회로 스위치 제어기일 수도 있다. 바이패스 컨트롤러는 릴레이에 제어 신호를 제공하고 두 릴레이는 제어 회로를 통해 제어 신호에 의해 제어됩니다. 산업용 방화벽이 정상적으로 작동하면 소프트웨어가 제어 신호를 유효하게 만들고 두 릴레이의 스위치가 정상 상태에 있습니다. 즉, 스위치의 밸브가 위쪽으로 닫혀 있습니다. 즉 변압기와 RJ45(이더넷 인터페이스)가 구현됩니다.

저희 산업용 방화벽이 고장나거나 전원이 꺼지면 두 릴레이의 스위치가 두 릴레이를 연결하는 스위치로 점프하여 RJ45가 산업용 방화벽에서 연결이 끊어지지만 두 릴레이 사이의 연결이 연결됩니다. 두 개의 RJ45. 이를 통해 산업용 방화벽의 내부 및 외부 네트워크 인터페이스를 물리적으로 직접 연결할 수 있습니다.

하위 레이어의 동작 방식을 이해한 후, Bypass가 어떻게 트리거되는지 살펴보겠습니다. 현재 Bypass 트리거링 방식은 모두 Bypass 컨트롤러를 통해 제어 명령을 내려 Bypass 기능을 구현합니다. 바이패스 컨트롤러는 다음 3가지 상황을 수신하고 제어 지침을 발행합니다.

(1) 전원 공급 장치에 의해 트리거됩니다. 이 방법에서는 일반적으로 장치의 전원이 켜지지 않을 때 Bypass 기능이 켜집니다. 장치의 전원이 켜지면 Bypass는 즉시 정상 작동 상태로 조정됩니다.

(2)는 GPIO(범용 입력/출력 포트)에 의해 제어됩니다. 운영체제 진입 후 GPIO를 통해 특정 포트를 동작시켜 Bypass 스위치를 제어할 수 있습니다.

(3) Watchdog에 의해 제어됩니다. 이 상황은 실제로 방법 2의 확장입니다. Watchdog을 사용하면 GPIO Bypass 프로그램의 활성화 및 종료를 제어하여 Bypass 상태를 제어할 수 있습니다. 이 방법을 사용하면 Watchdog은 시스템이 다운될 때 Bypass를 켤 수 있습니다.

현재 Bypass 기능의 구현은 일반적으로 첫 번째와 두 번째 유형을 기기에 동시에 구현하며 때로는 세 가지 유형도 동일한 기기에 동시에 구현되는 경우가 있습니다. 장치의 전원이 켜지지 않은 경우 Bypass 기능을 구현하려면 네트워크 카드와 릴레이에 동시에 전원을 공급해야 합니다.

이를 기반으로 바이패스 지원 이더넷, 필드버스 및 485 버스(있는 경우)에는 모두 주 전원 공급 장치와 격리된 추가 전원 공급 장치가 필요합니다.

위 내용은 산업용 방화벽 아키텍처 및 기술의 하드웨어 아키텍처는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!