在工业物联网（IIoT）的部署和实施过程中，红狮控制的协议转换FlexEdge边缘智能自动化平台扮演着至关重要的角色——即IIoT连接必须在处理多节点网络连接的同时提供安全功能。

首先，在使用 FlexEdge IoT 设备实施物联网解决方案时，在网络结构上可以选择4种不同的网络拓扑结构如下图所示：

上述拓扑结构按照从安全到较不安全的顺序，排序如下：

l 工厂网络通过DMZ隔离区连接至FlexEdge 设备，再连接至工厂 SCADA

l 工厂网络不通过DMZ直接连接到FlexEdge 设备，并与工厂SCADA连接

l 工厂蜂窝网络连接至FlexEdge设备，但通过DMZ隔离连接至工厂SCADA

l 通过蜂窝互联网连接到FlexEdge设备，并直接LAN通过连接到工厂SCADA

在这4种拓扑结构中，存在差异的主要方面在于：一是与 FlexEdge 设备的互联网连接来源不同，二是与工厂 SCADA 的系统连接模式的安全性差异。

FlexEdge 协议转换设备的互联网连接来源

FlexEdge协议转换设备的互联网连接可能来自以下任一来源：工厂广域网（WAN）或本地互联网服务提供商 ISP的蜂窝信号。

对此，基于安全考虑建议选择工厂WAN，以便FlexEdge协议转换连接工厂WAN之前采取额外的安全措施——部署完整的防火墙，并满足一些基本的网络要求例如：

l 通过A、B或C级专用网络访问公共互联网

l 允许通过TCP/IP1194等端口传输VPN流量

l 允许通过 TCP/IP 端口 1883 传输 MQTT-over-TLS/SSL 流量减少能耗

l DNS解析以及通向VPN和数据采集服务器的免费流量允许加密流量

如果不能满足这些基本网络要求，则可能导致部分或全部的物联网应用功能受到影响。

另一方面，当 FlexEdge协议转换设备通过本地 ISP 的蜂窝信号进行互联网连接时，建议工厂所有者与运营商签订管理蜂窝服务合同，从而能更好地管理控制工厂范围内的蜂窝互联网连接，并考虑实施以下安全措施：

l 禁用/屏蔽语音服务

l 禁用/阻止 P2P 短信服务

l 利用数据上限来控制/监控数据传输量

l 使用具有实时监控和异常检测功能的蜂窝

l 网络服务商或设备

通常情况下，以物联网为重点的蜂窝连接提供商会提供网络防火墙，限制设备（或 SIM 卡）访问数据服务。例如，只允许向特定 IP 地址或范围传输流量。

与工厂 SCADA 的系统连接模式

与工厂 SCADA 的连接模式包括：通过DMZ隔离连接或直接局域网（LAN）连接。基于安全考虑，建议选择DMZ隔离的方式，因为它可以在系统和 SCADA 之间实施额外的安全措施和灵活性。

如果系统通过一个单独的 "非军事区"（DMZ）与工厂的 SCADA 网络连接，则可采用状态防火墙路由、网络地址转换（NAT）、完全禁用广域网和 DMZ 之间的路由等安全手段。而直接从局域网 (LAN) 连接到工厂 SCADA 网络的情况下，通过实施有状态路由规则。这样可以更好地对工厂域内的数据流量监控进行管理控制。

考虑采用以下安全措施：

l 数据包过滤：IP 地址、数据包类型等。

l 应用层级过滤：TCP 握手、端口号和协议监控等。

l 状态防火墙路由选择：策略路由、负载均衡、行为管理和有效载荷的整个会话监控等

网络数据传输的功能性应用

在安全性较高的第1种拓扑中，涉及 FlexEdge 协议转换设备、互联网、工厂和系统的数据传输可分为三种不同的功能应用：互联网与系统之间的 VPN 数据传输、系统与互联网之间的 MQTT 数据传输、系统与工厂之间的 SCADA 集成协议。

互联网与系统之间的 VPN 数据传输

FlexEdge协议转换提供了实现 VPN 连接的强大方法，用户可以使用物理开关来启用/禁用 VPN 访问工业应用。

系统与互联网之间的 MQTT 数据传输

这种连接可实现 IIoT 应用程序的数据传输。过程变量（如流量、压力、温度、组件状态、报警历史记录等）等选定的系统数据标签可以提取并发送至所选择的 MQTT 代理，以便进行数据分析、报告和仪表板可视化。FlexEdge协议转换能够创建多个标签组，可根据要求实现不同的数据传输间隔和条件。

系统与工厂之间的 SCADA 集成协议

该连接有助于数据传输，以便使用基于 IP 的通信协议，如 OPC-UA、ModbusTCP 和 ProfiNet 等，将系统与工厂的 SCADA 集成。

如果朋友们还想了解红狮控制的其他产品或者是解决方案，可以去关注其官方网站或者是微信公众号哟！