تقسیم‌بندی شبکه OT با استفاده از مناطق و کانال‌های ISA-99: راهنمای عملی اشنایدر M580 و باخمن M1

Bachmann M1, EtherNet/IP, firewall rules, IDMZ, IEC 62443, industrial DMZ, ISA-99, Modbus TCP, OT network segmentation, Schneider M580
آوریل 13، 2026

OT Network Segmentation Using ISA-99 Zones and Conduits: Schneider M580 and Bachmann M1 Practical Guide

مشکل واقعی شبکه‌های OT تخت

اکثر کارخانه‌های صنعتی ساخته شده قبل از سال ۲۰۱۵ از شبکه اترنت تخت استفاده می‌کنند که در آن PLC مودیکون M580 اشنایدر الکتریک، کنترلر اتوماسیون باخمن M1، تاریخچه‌نگار SCADA و سیستم ERP شرکتی در یک دامنه پخش لایه ۲ مشترک قرار دارند. اولاً، این بدان معناست که حمله باج‌افزاری که از طریق شبکه شرکتی وارد می‌شود، بدون عبور از هیچ نقطه کنترل دسترسی به CPU M580 می‌رسد. دوم، یک ایستگاه کاری با پیکربندی نادرست که طوفان‌های ARP پخش می‌کند، می‌تواند پورت اترنت CPU M580 BM•P 58•2020 را اشباع کند — پورت اترنت CPU M580 پردازش ARP را در سطح نرم‌افزار با سقف ۵۰۰ بسته در ثانیه انجام می‌دهد. سوم، بهره‌برداری‌های پروتکلی که به پورت Modbus TCP شماره ۵۰۲ یا EtherNet/IP شماره ۴۴۸۱۸ هدف می‌گیرند، آزادانه در سراسر شبکه تخت حرکت می‌کنند. بنابراین، معماری منطقه و کانال ISA-99 / IEC 62443 اختیاری نیست — این تنها چارچوب اثبات شده است که حفاظت در سطح شبکه را بدون اختلال در استراتژی کنترل اضافه می‌کند.

معماری منطقه و کانال ISA-99: تعریف ساختار

ISA-99 (IEC 62443-3-3) شبکه صنعتی را به سطوح امنیتی (SL) تقسیم می‌کند و دارایی‌ها را بر اساس پیامدهای نفوذ به مناطق اختصاص می‌دهد. اول، قبل از دست زدن به هر پیکربندی سوئیچ، مناطق خود را تعریف کنید. دوم، هر دستگاه در شبکه کارخانه را شناسایی کرده و آن را به یکی از چهار منطقه اختصاص دهید:

منطقه ۱ — ایمنی (SIL): فقط PLCهای ایمنی. برای اکثر کارخانه‌ها این شامل سیستم‌های ICS Triplex یا Triconex TMR است. هیچ ترافیک عمومی وارد این منطقه نمی‌شود. کانال به منطقه ۲ فقط اجازه Modbus TCP فقط خواندنی برای نمایش SCADA را می‌دهد.
منطقه ۲ — کنترل (SL-2): CPUهای اشنایدر M580، کنترلرهای باخمن M1، شبکه‌های I/O، مدیریت دستگاه‌های میدانی. ترافیک EtherNet/IP و Modbus TCP در داخل این منطقه باقی می‌ماند. دسترسی خارجی فقط از طریق کانال IDMZ امکان‌پذیر است.
منطقه ۳ — نظارتی (SL-1): سرورهای SCADA، تاریخچه‌نگار DCS، ایستگاه‌های کاری اپراتور. این منطقه از طریق کانال تعریف شده و فایروال حالت‌دار به منطقه ۲ دسترسی دارد — نه اتصال تخت.
منطقه ۴ — سازمانی (SL-0): ERP شرکتی، Active Directory، سرورهای ایمیل. هیچ دسترسی مستقیم به منطقه ۲ یا ۱ ندارد. تمام تبادل داده فقط از طریق IDMZ انجام می‌شود.

علاوه بر این، DMZ صنعتی (IDMZ) بین منطقه ۳ و منطقه ۴ قرار دارد. IDMZ شامل سرورهای تکرار داده — OSIsoft PI، Wonderware Historian یا دروازه OPC DA/UA است. هیچ ترافیکی به صورت انتها به انتها از IDMZ عبور نمی‌کند — هر دو منطقه ۳ و ۴ به سرورهای IDMZ متصل می‌شوند اما هرگز مستقیماً به یکدیگر متصل نیستند. این اصل کنترل مرز اصلی ISA-99 است.

پیکربندی VLAN و فایروال برای شبکه‌های اشنایدر M580

مودیکون اشنایدر M580 از EtherNet/IP روی پورت اترنت پشت‌برد CPU (سری BMEP58•020) و یک پورت اترنت شبکه I/O اختصاصی برای اتصالات Ethernet RIO استفاده می‌کند. اول، پورت مدیریت CPU را به VLAN 20 (منطقه کنترل) روی سوئیچ مدیریت شده خود اختصاص دهید. دوم، تمام I/Oهای راه دور (قطعات BMECRA31210 RIO) را به VLAN 21 (زیرمنطقه I/O) اختصاص دهید. سوم، یک ACL (فهرست کنترل دسترسی) روی سوئیچ ایجاد کنید تا تمام ترافیک بین VLAN 21 و هر منطقه بالاتر از سطح ۲ را مسدود کند.

روی سوئیچ مدیریت شده Cisco IE4000 یا Cisco IE3400، مسیریابی بین VLANها را با قوانین فایروال زیر پیکربندی کنید:

گام ۱: VLAN 20 (کنترل) و VLAN 21 (RIO) را ایجاد کنید. پورت CPU M580 را به حالت دسترسی VLAN 20 اختصاص دهید. تمام پورت‌های قطعات BMECRA31210 RIO را به حالت دسترسی VLAN 21 اختصاص دهید.
گام ۲: ACL را روی SVI VLAN 20 اعمال کنید: اجازه TCP از هر مبدا به 192.168.20.0/24 با پورت 44818 (EtherNet/IP CIP). اجازه TCP از هر مبدا به 192.168.20.0/24 با پورت 502 (Modbus TCP). رد کردن هر ترافیک IP دیگر با ثبت لاگ. این فقط پروتکل‌های مورد نیاز را به M580 می‌رساند.
گام ۳: تمام دسترسی خارجی به VLAN 21 را در سوئیچ لایه ۳ مسدود کنید — رد کردن IP از هر مبدا به 192.168.21.0/24. ترافیک RIO نباید هرگز از منطقه ۳ یا ۴ قابل دسترسی باشد.
گام ۴: فایروال حالت‌دار بین منطقه ۲ و ۳ را طوری پیکربندی کنید که فقط پورت OPC UA شماره ۴۸۴۰ از سرور SCADA به دروازه OPC UA منطقه ۳ اجازه عبور داشته باشد. پورت Modbus TCP شماره ۵۰۲ بین منطقه ۳ و ۲ مسدود شود — SCADA فقط از دروازه OPC UA می‌خواند، نه مستقیماً از M580.
گام ۵: امنیت پورت را روی تمام پورت‌های سوئیچ M580 و BMECRA فعال کنید — قفل به آدرس MAC فرستنده. حالت نقض امنیت پورت را روی "محدود کردن" (نه "خاموش کردن") تنظیم کنید تا هشدار تولید شود بدون اینکه شبکه I/O قطع شود.

با این حال، پورت اترنت CPU M580 به طور بومی از برچسب‌گذاری VLAN 802.1Q پشتیبانی نمی‌کند — فقط به عنوان پورت دسترسی VLAN عمل می‌کند. بنابراین، سوئیچ باید تمام برچسب‌گذاری VLAN را انجام دهد. این یک محدودیت رایج در طراحی شبکه M580 است که مهندسان هنگام طراحی بخش‌بندی آن را نادیده می‌گیرند.

بخش‌بندی کنترلر باخمن M1 و کنترل مرز OPC UA

کنترلرهای باخمن M1 از شبکه اترنت MIO (Modular I/O) اختصاصی خود روی یک رابط جداگانه از پورت برنامه‌نویسی استفاده می‌کنند. اول، شبکه MIO باخمن M1 را به VLAN 22 اختصاص دهید — جدا از VLAN کنترل اشنایدر M580 شماره ۲۰. این از طوفان‌های پخش متقابل پروتکل جلوگیری می‌کند. دوم، باخمن M1 به طور بومی عملکرد سرور OPC UA را در محیط برنامه‌نویسی SolutionCenter خود پشتیبانی می‌کند. سرور OPC UA را طوری پیکربندی کنید که فقط تگ‌های مورد نیاز را به منطقه ۳ نمایش دهد — فضای نام متغیر کامل M1 را نمایش ندهید.

در Bachmann SolutionCenter، حالت امنیتی OPC UA را روی "SignAndEncrypt" و سیاست امنیتی را روی "Basic256Sha256" تنظیم کنید. تمام اتصالات ناشناس را رد کنید — احراز هویت مبتنی بر گواهی را الزامی کنید. این با الزامات سطح امنیتی ۲ IEC 62443-3-3 برای منطقه کنترل هم‌راستا است. علاوه بر این، فضای آدرس سرور OPC UA M1 را طوری تنظیم کنید که فقط تگ‌های فهرست شده در لیست تگ‌های تایید شده SCADA را منتشر کند — از پیکربندی Bachmann OPC UA NodeManager برای لیست سفید کردن گره‌های متغیر خاص استفاده کنید. تمام گره‌های دیگر را در سطح سرور OPC UA مسدود کنید، نه فقط در فایروال.

گام ۱: در Bachmann SolutionCenter به پیکربندی سرور OPC UA در ماژول "ارتباطات" بروید.
گام ۲: حالت امنیتی را روی "SignAndEncrypt" و سیاست امنیتی را روی "Basic256Sha256" تنظیم کنید. سیاست‌های "None" و "Sign" را غیرفعال کنید.
گام ۳: گواهی سرور SCADA را به فروشگاه گواهی‌های مورد اعتماد Bachmann M1 وارد کنید. فقط کلاینت‌های SCADA دارای گواهی متصل می‌شوند.
گام ۴: عملکرد فایروال باخمن M1 را فعال کنید — فقط TCP 4840 (OPC UA) از آدرس IP سرور SCADA 192.168.30.10 اجازه داده شود. تمام اتصالات ورودی دیگر روی پورت OPC UA مسدود شود.
گام ۵: زمان‌بندی پایان جلسه را روی ۳۰ ثانیه تنظیم کنید. هر جلسه SCADA که به مدت ۳۰ ثانیه غیرفعال باشد به طور خودکار بسته می‌شود — از تجمع جلسات قدیمی در جدول جلسات M1 جلوگیری می‌کند.
گام ۶: تمام رویدادهای اتصال OPC UA را به syslog باخمن M1 ثبت کنید — ارسال syslog را به سرور SIEM در IDMZ برای نظارت امنیتی پیکربندی کنید.

طراحی IDMZ: تکرار داده بدون عبور مستقیم بین مناطق

IDMZ دقیقاً دو نوع سرور دارد: سرور تکرار تاریخچه داده و سرور پرش دسترسی از راه دور. اول، OSIsoft PI Relay یا Honeywell Uniformance PHD در IDMZ اجرا می‌شود. تاریخچه‌نگار در منطقه ۳ داده‌ها را با استفاده از پورت TCP شماره ۵۴۵۰ (رابط PI-to-PI) به رله IDMZ ارسال می‌کند. تاریخچه‌نگار شرکتی در منطقه ۴ داده‌ها را از رله IDMZ با همان پورت دریافت می‌کند. هیچ داده فرایندی مستقیماً بین منطقه ۳ و ۴ منتقل نمی‌شود. دوم، سرور پرش دسترسی از راه دور در IDMZ دسترسی RDP برای مهندسان نگهداری فراهم می‌کند. سرور پرش را طوری پیکربندی کنید که فقط اتصالات RDP از نقطه انتهایی VPN محافظت شده با MFA تایید شده اجازه داشته باشد — هرگز اجازه RDP مستقیم از منطقه ۴ به منطقه ۲ یا ۱ داده نشود.

علاوه بر این، قوانین فایروال زیر را بین منطقه ۴ و IDMZ اعمال کنید: اجازه TCP 5450 (PI) فقط از تاریخچه‌نگار منطقه ۴ به رله IDMZ. تمام ترافیک دیگر از منطقه ۴ به IDMZ مسدود شود. بین IDMZ و منطقه ۳: اجازه TCP 5450 از رله IDMZ به تاریخچه‌نگار منطقه ۳. اجازه RDP (TCP 3389) فقط از سرور پرش IDMZ به ایستگاه‌های کاری SCADA منطقه ۳ — با اجرای MFA در دروازه سرور پرش.

نتیجه‌گیری و توصیه‌های عملی

بخش‌بندی منطقه و کانال ISA-99 برای شبکه‌های اشنایدر M580 و باخمن M1 یک وظیفه مهندسی است، نه پروژه امنیت فناوری اطلاعات. اول، چهار منطقه خود را تعریف کرده و نمودار کانال را قبل از دست زدن به هر سوئیچ ترسیم کنید. دوم، شبکه‌های CPU M580 و MIO M1 را به VLANهای اختصاصی با ACLهایی که تمام پروتکل‌های غیرضروری را مسدود می‌کنند، اختصاص دهید. سوم، OPC UA SignAndEncrypt را روی باخمن M1 اجرا کرده و از روز اول احراز هویت مبتنی بر گواهی را اعمال کنید. چهارم، IDMZ را به عنوان یک رله داده واقعی بسازید — هیچ مسیر مستقیمی بین منطقه ۳ و ۴ وجود نداشته باشد. پنجم، امنیت پورت را روی تمام پورت‌های سوئیچ VLAN کنترل فعال کنید تا از اتصال دستگاه‌های غیرمجاز جلوگیری شود. در نهایت، بخش‌بندی خود را با تلاش برای اسکن پورت از یک ایستگاه کاری منطقه ۴ به آدرس‌های منطقه ۲ آزمایش کنید — اگر هر پورتی روی M580 یا M1 از منطقه ۴ باز بود، قوانین کانال شما ناقص است. هر پورت باز را قبل از اعلام تکمیل بخش‌بندی اصلاح کنید.