将以太网引入到车间层有很多好处，其中一个重要的好处就是创建了更加开放的架构，可以大量连接各种工厂设备和管理工具。但是这种开放性也为工厂网络的操作人员带来了一个必须要解决的问题：安全。

　　一旦自动化系统加入到以太网之中，就同把计算机连入互联网差不多。在工厂的某个角落，或者是企业网络当中，总会有互联网连接存在。因此，企业必须要采取行动保护工厂环境免受来自连入互联网计算机的威胁。这些威胁可能是黑客、病毒、木马以及各种其他形式的有毒程序。

　　这就意味着工厂网络管理员需要和IT部门同事一样的安全防护工具，而且最好是专为工厂环境设计的工具。这些工具在设施内部的其他区域或者是其他远程地点必须经过授权才能连接到工厂当中。这样，远程管理员就能够完成诸如配置和诊断、节点初始化、从设备连接机载网络和FTP服务器获取信息这些任务。

　　这个工具集需要包含各种硬件、软件和使用工具，比如防火墙、虚拟专用网(VPN)、网络地址翻译(NAT)技术和相应的政策。一旦自动化环境开放，它就要发挥效用，同时它还需要同其他网络进行通讯，并能够从不同地点进行管理，保证工厂安全免受互联网威胁。

　　防火墙：第一道屏障

　　防火墙是一种最古老的安全工具，现今仍然是安防组件的重要组成部分。防火墙位于网络之间，主要是控制内部和外部网络之间的信息流。它的主要目的是帮助确保只有合法的信息在特定的方向上流动。

　　在工业环境下，防火墙能够保护可能包括多个连入互联网的自动化设备单元，比如工业PC或者是PLC。在这种情况下，企业可以安装一台安全模块，即一端接收自动化网络的以太网接入、一端连接更大网络的简单设备。任何两个网络之间的交互都需要取决于设备上安装的防火墙所设定的规则。

　　防火墙运行有很多策略，工业网络一般因地制宜地使用信息包检测技术，让设备可以连接当前的信息流。只有确定来自内网的要求得到合法反馈的时候，才允许信息进入。如果有外部源发送不需要的信息，就会被屏蔽。

　　为了保证所有的信息流都合法，专门的信息包检测防火墙根据事先确定的过滤规则控制信息流。举例来说，如果有内部节点向外部目标设备发送数据，防火墙将会在一个特定的时间内允许响应包。在这段时间过后，防火墙将会再次屏蔽信息流。

　　NAT和NAPT

　　另外一项能够为自动化环境提供安全功能的技术是NAT，它应用在设备层面上。NAT一般是在外部公众的视野内隐藏内部网络中设备的实际IP地址。它向外部节点显示公共IP地址，但是却对网络内部使用的IP地址进行了变换。

　　网络地址和端口编译(NAPT)技术利用了NAT的概念，并且加入了端口编号，将技术又向前发展了一步。通过NAPT技术，内网在公众面前只显示一个IP地址。而在后台，通过添加端口号将信息包分配给指定的设备。NAPT工作表通常部署在路由器上，将私人IP地址端口映射到公共IP地址端口上。

　　如果来自外部网络的设备希望向一台内部设备发送信息包，它需要使用带有特定端口的安全设备公共地址作为目标地址。这个目标IP地址会被路由器翻译成带有端口地址的私人IP地址。

　　数据包IP标头中的源地址保持不变。但是，因为发送地址是在接收地址的不同子网当中，反馈必须要经过路由，然后再转发给外部设备，同时保护内部设备的实际IP地址不被外部公众看到。

　　使用VPN的安全通道

　　另外一种在本质上不安全的网络上进行安全连接的方法，就是使用虚拟私人网络(VPN)。VPN基本上是由安全设备在连接的每一个端点形成的加密通道，它必须要产生数字认证。这种认证一般就是一个数字ID，受信任的伙伴可以用来进行识别。认证还保证设备在一端对数据进行加密，以加密的形式将其在互联网上发送，然后在传输给终端设备之前在另一端解密。