虹科方案 | 手把手教您用OPC UA数据平台跨越防火墙安全连接OPC UA

虹科提供的软件工具–FLEX Dispatch，整合了OPC UA数据聚合、仿真模拟、防火墙穿越等功能的强大工具，可以大大减少您对设备、数据的管理和运维成本！

实际意义

一般的OPC UA连接，会占用一个端口进行通讯，若要同时使用防火墙的话，只能在防火墙中设置白名单，给该通讯端口放行。

而FLEX的防火墙穿越功能（FireBridge），则允许用户为OPC UA服务器设置指定的OPC UA客户端进行反向连接，该连接可无视防火墙的入站封锁规则——即使在入站规则中禁用了该端口，仍能和指定的客户端进行通信，除此以外其他客户端或其他软件经过该端口的入站流量会全部被防火墙拦截。换句话说，FLEX Dispatch允许用户在使用防火墙的更安全环境下进行OPC UA连接。

举个例子

上面的解释可能在有些朋友看来还是难理解，所以我们举一个生活实例来跟大家说明：

在一个封闭式管理的小区中，业主只能凭业主卡从小区正门出入（服务端主机开着防火墙）。这时，物业准备部署一个快递柜（OPC UA服务端程序），一般的做法是把小区围墙往内改一个凹位，并把快递柜放在这个凹位（为OPC UA程序打开端口），好让快递员（OPC UA客户端）能从外部对快递柜进行取件投件等操作。

但此时会出现风险：其他路过的人也能对快递柜进行破坏（发起攻击）或者乱输取件码试图取件（穷举攻击试图获取操作权限）。

而有一种更好的方法（FLEX Dispatch应对防火墙的解决方法）：把快递柜安装在小区内部，然后小区物业（管理员用户）主动联系负责这个快递柜的快递员，取得他的身份证号（Client Endpoint Url）并让小区大门处的保安登记，允许这位快递员凭身份证进入小区操作快递柜。这样一来，其他人依然无法进入小区，自然也无法对快递柜进行恶意操作。

如何操作

实操准备

硬件：
一台x86主机（本文以win10为例，建议选用win10 64位专业版或企业版，软件支持Linux，可用虚拟机代替物理主机）

软件：
✔ 虹科Matrikon OPC UA Explorer
✔ 虹科Matrikon FLEX Dispatch for Windows
（所有软件均可联系广州虹科获得一个月试用）

注意：
a)初次下载和安装Matrikon软件的时候选择默认安装所有组件，里面会包括实现OPC UA通信所需要的环境，避免出现意料外的错误。
b)Windows系统中需要打开组策略设置一个能作为服务登录的用户。
c)请谨记FLEX Dispatch安装时设置的实例名以及端口号（默认端口号为55000）。

实操步骤

a) 防火墙部分：

为模拟防火墙关上的情形，我们可以先到服务端主机的Windows控制面板，防火墙高级设置中将FLEX Dispatch安装时自动设置的放行规则禁用，然后新增一个禁止入站的规则。

在本文的演示示例中，服务端FLEX Dispatch的所在端口为55000，而FireBridge通讯端口将要设为55003，防火墙禁止入站端口范围为55000-55005，同时包括了FLEX Dispatch服务器以及FireBridge通讯的端口。

b) 服务端部分：

先连上位于本机的FLEX Dispatch服务器，配置好数据源内容。

在Dispatch Configuration视图的Dispatch FireBridge Reverse Connections选项卡中，点击加号添加新的FireBridge反向连接，然后在Client Endpoint Url一栏中填入客户端的Url，该Url的格式为：
opc.tcp://< 客户端IP地址 >:< FireBridge通讯端口号 >

然后，把Enable选项框勾选上，点击Apply，至此，服务端准备就绪。

c)客户端部分：

同样，先连上位于本机的FLEX Dispatch服务器，在Dispatch Configuration视图的Dispatch Federator Data Sources选项卡中添加真实的OPC UA数据源，在设置中选择Reverse Connect Data Source with Remote UA Server类型，在Server Url中填入服务端FLEX Dispatch的Url（本例中端口号为55000），而在Listening TCP Port中填入FireBridge通讯端口（本例中端口号为55003）。然后选择匹配的安全策略，输入账号密码，勾选Enable之后点Apply，此时客户端已经配置完毕，等待软件自动配置即可。

✔ 首次连接可能会提示证书不被信任，此时需要将:
C:\ProgramData\Matrikon\FLEXDispatch< 你的FLEX Dispatch实例名 >
\pki\DefaultApplicationGroup\rejected\certs
中的证书全部剪切到
C:\ProgramData\Matrikon\FLEXDispatch< 你的FLEX Dispatch实例名 >
\pki\DefaultApplicationGroup\trusted \certs
文件夹当中。

回到数据视图中，即可在文件树Root>Objects >DispatchConfiguration>DataSources> FireBridge Demo>Data> Objects>DispatchConfiguration>DataSources文件夹中找到服务端的数据源。

此时，客户端主机所在局域网内其他电脑，或客户端主机上其他OPC UA客户端连接FLEX Dispatch服务器，亦可访问到相同的结果。

结语

借助FLEX Dispatch的防火墙穿越功能（FireBridge），我们可以使得OPC UA拥有穿透防火墙的连接能力，无需再为OPC UA软件设置防火墙白名单或是在防火墙上留出开放端口。

这样一来，可保留防火墙的完整性，有助于提高整个通讯系统的安全性，而安全性和稳定性，正是工业物联网各种应用得以建立的基础。