通信 第42期- 2019 学习资源 在线博客 产品

传统vpn和托管vpn的区别是什么?

乔纳森·格里菲斯,AutomationDirect的工业通信和电源产品经理,写了一篇文章机械设计2018年4月《传统vpn和托管vpn的区别是什么

Griffith指出,将可编程逻辑控制器(plc)、人机接口(HMIs)和其他自动化系统组件连接到工业物联网(IIoT)进行远程访问对于许多制造工厂以及为这些工厂提供设备和服务的机器制造商来说都非常重要。在过去,远程访问通常是通过路由器实现的,没有虚拟专用网(VPN),但这些仅通过路由器连接到Internet的连接,由于安全风险,今天不应实现。

相反,应该使用VPN,因为它是纵深防御策略的关键元素之一。然而,通过VPN实现安全的工业物联网连接到自动化系统组件通常会带来成本、技术和资源分配问题。

他文章中提出的两种解决方案以不同的方式解决了这些挑战。如表中所述,每个解决方案都有自己的优点和设计注意事项。这两个选项分别是托管VPN和传统VPN。

表:工业物联网连接考虑,路由器与vpn

主持VPN 传统的VPN
外部成本
最初的 媒介
维持 带宽的依赖
内部支持成本
所需的专业技术
现有防火墙的更改 不是必需的 要求
安全风险
数据仪表盘 可以通过订阅 通常不可用
数据存储与访问 可以通过订阅 通常不可用

主持VPN解决方案

托管VPN解决方案通过简单的设置和网络配置提供安全的IIoT连接。这些解决方案通常包括本地VPN路由器、云托管VPN服务器和远程VPN客户端。自动化系统组件在本地连接到VPN路由器,VPN路由器连接到云服务器。VPN客户端通过笔记本电脑或PC连接到云,并最终连接到本地自动化系统组件。

为了实现这一点,本地VPN路由器在启动时立即与云服务器建立VPN连接,但VPN客户端只在来自远程用户的验证请求时才连接。一旦两个连接都建立起来,所有通过这个VPN隧道的数据都是安全的。

Griffith说托管VPN解决方案只需要简单的路由器配置,因为路由器连接到一个预定义的云服务器。

vpn

这样,主机VPN厂商就可以提供预先配置好的路由器,用户只需要添加基本的网络信息。路由器的默认防火墙设置使工厂网络与公司网络分开。

通过只提供工业物联网连接所需的功能,AutomationDirect StrideLinx VPN路由器安装在DIN导轨的最右侧并连接到PLC,简化了实现和使用。

这种解决方案的安全风险很小,因为到云服务器的远程客户端连接使用健壮的加密标准SSL/TLS。此外,格里菲斯说,典型的托管VPN解决方案为基本操作提供每月免费的带宽分配,然后提供额外带宽的付费计划。

传统的VPN解决方案

传统的VPN解决方案需要一个基于pc或嵌入式的第三方HMI,以提供数据日志和小部件,用于配置远程访问屏幕。

通过托管VPN解决方案,用户可以使用小部件配置仪表板,以便通过PC或移动设备进行远程访问。用户还可以配置警报和通知,以指示参数何时超出预定义范围。

如果不提供此功能,创建远程访问查看屏幕会很麻烦,所以在评估托管VPN解决方案时必须考虑到这一点。

托管式VPN解决方案使用本地VPN路由器通过互联网连接,通过安全VPN隧道连接到第二个远程VPN路由器,或连接到通常安装在PC上的软件客户端。

vpn

在2012年左右通过托管VPN引入基于云的远程访问解决方案之前,这个解决方案是唯一安全的双向访问方法,因此被广泛使用。但是IT团队必须有能力并愿意为每个安装在本地和远程站点支持此解决方案。

在实现工业物联网远程接入解决方案时,需要通过VPN来提供所需的安全性。没有VPN的旧解决方案根本无法提供所需级别的入侵保护。

格里菲思总结道:

一旦决定使用VPN进行远程工业物联网访问,两种主要类型的解决方案是托管VPN和传统VPN。托管VPN是一种更现代的解决方案,在大多数情况下工作得很好。传统VPN为需要非常高带宽的实现提供了最大的性能,但在设计、安装和支持方面更加复杂。

想要阅读更多关于交流的文章,点击这里