工厂里那台老PLC突然连不上监控系统,车间大屏数据断断续续;或者某天IT部门发现,产线MES服务器被扫到了一个陌生IP——这背后,很可能不是设备坏了,而是网络边界松动了。
别把工控网当内网来用
很多企业习惯把工业控制网络和办公网混在一个VLAN里,甚至共用一台防火墙策略。结果是:财务部同事点开一封钓鱼邮件,恶意代码顺着内网横移,最后卡在DCS工程师站上弹出勒索提示。工控系统不像Windows能随时打补丁,西门子S7-300、AB ControlLogix这些设备,停机1小时可能损失几十万。边界不是摆设,是第一道闸口。
用对软件,比堆硬件更管用
光买下一代防火墙不够,关键得配得上工控协议。比如用Suricata做流量检测时,得加载专门适配Modbus TCP、OPC UA的规则集:
alert tcp any any -> any 502 (msg:"MODBUS Read Coils request"; content:"|00 01 00 00 00 06|"; depth:6; offset:0; sid:1000001; rev:1;)modbus.func_code == 1 || modbus.func_code == 5,比翻日志快得多。三个落地小技巧
① 给OPC服务器加个“软隔离”:不用改物理线路,用Windows自带的高级防火墙,在OPC DA服务器上新建入站规则,只允许特定IP段(比如HMI工作站)访问TCP 135/139/445端口,其余全拒。实测某汽车焊装线用这招后,非法扫描尝试下降92%。
② 把PLC通信日志导出来看:像Codesys Runtime或博途TIA Portal,都支持导出通信连接日志为CSV。用Excel筛选“Remote IP”列,一眼揪出非授权IP。有次发现一台注塑机PLC每天凌晨3点连向境外IP,查下去是嵌入式HMI固件带了挖矿模块。
③ 用Python写个简易心跳监测脚本,部署在DMZ区服务器上,每分钟向关键PLC发一次Modbus读取指令(比如读保持寄存器0x0000),超时或返回异常码就发企业微信告警:
from pymodbus.client import ModbusTcpClient
import requests
client = ModbusTcpClient('192.168.10.5', port=502)
if not client.connect():
requests.post("https://qyapi.weixin.qq.com/...", json={"text":"PLC 192.168.10.5 通信中断"})边界安全不是贴标签,是让每个连接可查、每条指令可溯、每次异常可感。软件工具就在手边,关键看你愿不愿意花15分钟配一条防火墙规则,或者改三行Python脚本。