Rumah >Operasi dan penyelenggaraan >Keselamatan >Apakah seni bina perkakasan dalam seni bina dan teknologi tembok api industri?
1), memenuhi keperluan kestabilan persekitaran industri
Dari perspektif memenuhi keperluan kestabilan persekitaran industri, keperluan untuk tembok api industri terbahagi kepada tahap perkakasan dan perisian Pertimbangkan kesan kestabilannya sendiri pada rangkaian industri. Dari perspektif ini, tembok api industri perlu mempunyai fungsi pintasan perisian dan perkakasan. Jika tembok api industri gagal, anda tidak perlu risau tentang rangkaian perindustrian terputus, kerana fungsi Bypass akan mula secara automatik untuk memastikan operasi normal rangkaian. Bypass, seperti namanya, ialah sistem perlindungan pintasan, yang bermaksud bahawa dua rangkaian boleh disambungkan secara fizikal secara langsung tanpa melalui sistem tembok api industri melalui keadaan pencetus tertentu (kegagalan kuasa atau ranap). Pada masa ini, tembok api industri tidak lagi akan memproses paket data dalam rangkaian. Berdasarkan reka bentuk ini, Bypass juga merupakan kelemahan itu sendiri dari perspektif serangan keselamatan Selagi penyerang mencari cara untuk membuat tembok api industri mencetuskan fungsi Bypass, maka tembok api industri yang mencetuskan fungsi Bypass akan diasingkan dengan selamat. dan Fungsi kawalan kehilangan kesannya, dan penyerang boleh terus mengakses sumber dalaman yang dilindungi. Jadi adakah idea ini boleh dilaksanakan? Adakah terdapat kelemahan sedemikian dalam fungsi Bypass? Mari kita lihat bagaimana fungsi Bypass direka dan dilaksanakan.
Di sini saya menggunakan model paling mudah untuk menerangkan seni bina dan prinsip kerja Bypass Dalam tembok api industri, jika reka bentuk fungsi Bypass adalah berdasarkan persekitaran Ethernet industri, maka ia berkaitan dengan papan induk industri. dan kad rangkaian. Fungsi Bypass ini berbeza-beza bergantung pada seni bina reka bentuk papan induk dan kad rangkaian.
Melihat model Bypass yang paling ringkas, model ini terdiri daripada dua bahagian: "Pengawal Bypass" dan "papan anak litar pelaksanaan". Pengawal pintasan ialah teras kawalan dan penjadualan keseluruhan sistem, dan sub-papan litar pelaksanaan ialah pelaksana khusus Pelaksana ini bertindak pada media penghantaran rangkaian yang berbeza (seperti port elektrik, port optik, port bersiri, dll.). Seperti yang ditunjukkan dalam rajah di bawah:
Bagaimanakah pelaksana ini bertindak pada media penghantaran rangkaian yang berbeza? Ini memerlukan kami memahami komponen dan hubungannya antara media penghantaran rangkaian yang mendasari Kami menggunakan seni bina kad rangkaian sebagai penjelasan tentang medium penghantaran ini.
Ini ialah gambar fizikal kad rangkaian, yang mengandungi semua komponen kad rangkaian:
①RJ-45 antara muka
②Pengubah( Transformer pengasingan)
③Cip PHY
④Cip MAC
⑤EEPROM
⑥Slot BOOTROM
④Cip MAC
⑤EEPROM
⑥Slot BOOTROM
>⑧ Pengayun kristal
⑨Cip penukaran voltan
⑩Lampu penunjuk LED
Anda boleh melihat banyak komponen dan peralatan yang tidak kami ketahui sebelum ini. Berikut adalah pengenalan ringkas kepada fungsi setiap komponen.
RJ-45 ialah modul bicu Ringkasnya, ia adalah pemancar atau penerima. RJ-45 mempunyai 8 pin Apabila kad rangkaian biasanya menggunakan soket RJ-45, soket RJ-45 kad rangkaian 10M hanya menggunakan empat pin 1, 2, 3, dan 6, manakala kad rangkaian 100M atau 1000M menggunakan. semua lapan pin semuanya digunakan. Setiap pinnya bertanggungjawab untuk menghantar dan menerima data dan tidak digunakan untuk tujuan lain. Ia wujud terutamanya pada kedua-dua hujung kabel rangkaian dan pada pelbagai peranti Ethernet rangkaian. Ia hanyalah soket tanpa sebarang perisikan kawalan logik di dalamnya, jadi apa yang ia sambungkan ke belakang ialah cip PHY. PHY ialah transceiver antara muka fizikal dan komponen yang digunakan oleh kad rangkaian untuk melaksanakan lapisan fizikal. Piawaian IEEE-802.3 mentakrifkan Ethernet PHY, termasuk sublapis MII/GMII (Media Independent Interface), PCS (Physical Coding Sublayer), PMA (Physical Medium Attachment), sublayer PMD (Physical Medium Dependent), lapisan sublayer MDI. Bahagian dalamannya juga merupakan komponen ketepatan dengan struktur yang sangat kompleks. Apabila PHY menghantar data, ia menerima data daripada MAC (untuk PHY, tiada konsep bingkai. Untuk itu, semuanya adalah data tanpa mengira alamat, data masih CRC. Untuk 100BaseTX, kerana 4B/ Pengekodan 5B digunakan, Tambah 1 bit kod pengesanan ralat untuk setiap 4 bit), kemudian tukar data selari kepada data aliran bersiri, kemudian kodkan data mengikut peraturan pengekodan lapisan fizikal, dan kemudian tukarkannya menjadi isyarat analog untuk menghantar data keluar Proses apabila menerima data diterbalikkan. Satu lagi fungsi penting PHY adalah untuk melaksanakan beberapa fungsi CSMA/CD. Ia boleh mengesan sama ada terdapat data yang dihantar pada rangkaian Jika terdapat data yang dihantar, ia akan menunggu Setelah ia mengesan bahawa rangkaian melahu, ia akan menunggu secara rawak sebelum menghantar data keluar. Jika kedua-duanya berlaku untuk menghantar data pada masa yang sama, ia pasti akan menyebabkan konflik Pada masa ini, mekanisme pengesanan konflik boleh mengesan konflik, dan kemudian masing-masing menunggu masa rawak untuk menghantar semula data. Masa rawak ini sangat khusus Ia bukan pemalar Masa rawak yang dikira pada masa yang berbeza adalah berbeza, dan terdapat berbilang algoritma untuk menangani konflik kedua antara dua hos yang sama dengan kebarangkalian kejadian yang sangat rendah.Perkara yang lebih penting ialah RJ45 dan PHY tidak bersama. Dengan kata lain, RJ45 pada kepala kabel rangkaian yang biasa kita lihat tidak termasuk cip PHY. Oleh itu, dalam reka bentuk papan induk, terdapat jarak penghantaran antara RJ45 dan PHY. Ini adalah kunci untuk mereka bentuk Pintas.
Fungsi pengubah pengasingan adalah untuk menapis isyarat pembezaan yang dihantar oleh PHY dengan gandingan gegelung gandingan mod pembezaan untuk meningkatkan isyarat, dan menggabungkannya ke hujung kabel rangkaian penyambung yang lain melalui penukaran medan elektromagnet. Ini bukan sahaja membenarkan isyarat dihantar tanpa sambungan fizikal antara kabel rangkaian dan PHY, tetapi juga memotong komponen DC dalam isyarat Ia juga boleh menghantar data dalam peranti dengan tahap 0V yang berbeza. Transformer pengasingan direka untuk voltan 2KV~3KV dan juga mempunyai fungsi perlindungan aruhan kilat. Beberapa peralatan rangkaian rakan mudah terbakar semasa ribut petir Kebanyakan daripadanya disebabkan oleh reka bentuk PCB yang tidak munasabah, dan kebanyakan antara muka peralatan terbakar habis kerana pengubah pengasingan memainkan peranan dalam melindungi cip .
Cip MAC dipanggil pengawal capaian media, iaitu pengawal cip yang digunakan untuk melaksanakan MAC, atau Kawalan Akses Media, protokol sublapisan kawalan capaian media. Protokol ini terletak di bahagian bawah lapisan pautan data bagi protokol tujuh lapisan OSI dan bertanggungjawab terutamanya untuk mengawal dan menyambungkan media fizikal lapisan fizikal. Protokol lapisan ini ialah MAC Ethernet yang ditakrifkan oleh standard Ethernet IEEE-802.3. Lapisan pautan data Ethernet sebenarnya termasuk sublapisan MAC (Kawalan Akses Media) dan sublapisan LLC (Kawalan Pautan Logik). Peranan cip MAC kad Ethernet bukan sahaja untuk merealisasikan fungsi sublayer MAC dan sublayer LLC, tetapi juga untuk menyediakan antara muka PCI atau PCIE yang memenuhi spesifikasi untuk merealisasikan pertukaran data dengan hos. Seperti yang ditunjukkan dalam rajah di bawah:
Cip PHY dan MAC disambungkan melalui bas MII untuk mencapai komunikasi. Komponen kad rangkaian seterusnya tiada kaitan dengan pelaksanaan fungsi Bypass kami. Kad rangkaian semasa telah melaksanakan cip PHY dan cip MAC pada cip yang sama. Dalam erti kata lain, cip yang disambungkan ke antara muka Ethernet pada papan induk mungkin merupakan pengawal rangkaian dengan kedua-dua cip PHY dan fungsi cip MAC. Selepas memahami konsep di atas, kita boleh meneroka cara Bypass menggunakan laluan penghantaran antara PHY dan antara muka Ethernet.
Masukkan papan anak litar port Ethernet di tengah-tengah gambar, dan kemudian sambungkan papan anak perempuan ke pengawal Pintasan untuk menerima isyarat kawalan suis.
Papan anak litar port Ethernet mengandungi dua komponen: geganti (suis elektronik) dan pengubah.
Jadi seni bina yang lebih terperinci ialah struktur yang ditunjukkan dalam rajah di bawah:
Kita boleh lihat di sana ialah pengubah dan geganti antara setiap cip PHY dan antara muka Ethernet Kedua-dua peranti ini adalah pelaksana khusus bagi Bypass. Antaranya, geganti boleh menjadi hanya pengawal suis litar elektronik mudah, seperti suis elektronik. Pengawal pintasan menyediakan isyarat kawalan kepada geganti, dan dua geganti dikawal oleh isyarat kawalan melalui litar kawalan. Apabila tembok api industri kami berfungsi secara normal, perisian menjadikan isyarat kawalan sah, dan suis kedua-dua geganti berada dalam keadaan normal, iaitu, injap suis ditutup ke atas, iaitu sambungan antara pengubah dan RJ45 (antara muka Ethernet) dicapai.
Apabila firewall industri kita gagal atau kehilangan kuasa, suis kedua-dua geganti melompat ke suis yang menyambungkan dua geganti, menjadikan RJ45 dan industrial Firewall diputuskan sambungan, tetapi kedua-dua geganti disambungkan, supaya kedua-dua RJ45 disambungkan. Ini membolehkan antara muka rangkaian dalaman dan luaran pada tembok api industri disambungkan secara langsung secara fizikal.
Setelah memahami kaedah operasi peringkat bawah, mari kita lihat cara Pintasan mencetuskan Kaedah Pencetusan Pintasan semasa adalah untuk mengeluarkan arahan kawalan melalui pengawal Pintasan . Pengawal Bypass menerima tiga situasi berikut dan mengeluarkan arahan kawalan:
(1) Dicetuskan oleh bekalan kuasa. Dengan cara ini, fungsi Pintasan biasanya dihidupkan apabila peranti tidak dihidupkan Setelah peranti dihidupkan, Pintasan segera dilaraskan kepada status kerja biasa.
(2) dikawal oleh GPIO (Port Input/Output Tujuan Umum). Selepas memasuki sistem pengendalian, anda boleh mengendalikan port tertentu melalui GPIO untuk mengawal suis Bypass.
(3) Dikawal oleh Anjing Pengawas. Keadaan ini sebenarnya adalah lanjutan daripada kaedah 2. Pengawas boleh digunakan untuk mengawal pembolehan dan penutupan program GPIO Bypass, dengan itu mengawal status Bypass. Menggunakan kaedah ini, Watchdog boleh menghidupkan Bypass apabila sistem rosak.
Pada masa ini, pelaksanaan fungsi Bypass secara amnya melaksanakan jenis pertama dan kedua pada peranti pada masa yang sama, dan kadangkala ketiga-tiga jenis itu juga dilaksanakan pada peranti yang sama pada masa yang sama. Jika peranti tidak dihidupkan, jika anda ingin melaksanakan fungsi Pintasan, anda perlu membekalkan kuasa ke kad rangkaian dan geganti pada masa yang sama.
Berdasarkan ini, Ethernet, bas medan dan bas 485 yang didayakan pintasan (jika ada) memerlukan bekalan kuasa tambahan yang diasingkan daripada bekalan kuasa utama.
Atas ialah kandungan terperinci Apakah seni bina perkakasan dalam seni bina dan teknologi tembok api industri?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!