最新新闻

安全远程访问BACnet系统

互联网使得系统集成商能够轻松地从家中或办公室管理建筑物成为可能。初始配置、远程诊断和解决建筑物问题提供了建筑物整个生命周期内的额外节省。远程访问可以通过多种方法实现——有些方法比其他方法更安全。幸运的是，建筑自动化行业主要由BACnet协议主导，其IP版本BACnet/IP非常适合在信息技术（IT）领域部署的所有增强和技巧。远程访问的常见技术涉及通过防火墙进行端口转发、设置BBMD和使用VPN。但是，BACnet系统提供的安全性和其设置的简便性各不相同。防火墙和VPN的IP路由增加了BMS系统的安全性。IP协议和TLS构成了新BACnet/SC的基础，允许进行安全通信。

典型设置通过端口转发和BBMD连接两座建筑。

远程访问与BACnet/IP

BACnet/IP使用广播消息来最初发现其他设备。跨子网的BACnet通信需要额外的配置，因为IP路由器不会路由广播消息。BACnet通过利用BACnet/IP广播管理设备（BBMD）来解决这个问题。BBMD将接收到的BACnet广播消息作为定向消息通过IP路由器发送给其合作伙伴BBMD设备。接收的BBMD设备将其作为广播消息重新发送到其本地网络。您可以为每个BBMD配置所有其他BBMD的IP地址，或者让所有BBMD将广播消息发送到一个中央BBMD，但是，所有客户端设备必须使用中央BBMD。这些条目会进入BBMD的广播分发表（BDT）。在一个子网上可以有多个BBMD设备，并且在配置BDT条目时需要小心。BBMD设备中的重复条目会导致广播循环。

许多BACnet/IP设备或应用也支持一个名为外设注册（FDR）的功能。FDR允许BACnet/IP设备或应用将其消息发送给BBMD，然后BBMD将广播消息转发给所有其他BBMD和所有其他FDR设备。如果子网仅包含支持FDR的设备，则不需要本地BBMD。这些设备可以与另一个子网上的BBMD进行注册。

BBMD和FDR允许BACnet设备和应用PC在不同子网之间通信，即互联网。这种设置用于连接建筑物或将数据从多个建筑物集中收集到一个中心位置。

增强BACnet/IP通信的安全性

存在一些工具可以通过检查标准的BACnetUDP端口47808来检测通过互联网的BACnet通信。如果通过互联网进行通信，将此端口更改为非标准端口是一个良好的实践。IP路由器/防火墙还提供了应利用的额外功能。可以在面向互联网的防火墙上指定可以通过防火墙的IP地址列表。一些BACnet路由器也提供了这个允许列表功能。BACnet/IP通信通过UDP进行，且未加密。使用VPN可以提供额外的安全性，通过加密互联网上的流量并限制通信仅限于授权的VPN端点。在使用VPN时，并不需要使用非标准的BACnet UDP端口。设置防火墙规则或VPN需要IT部门的帮助，而BMS专业人员可以自行配置非标准的BACnet UDP端口。

安全与BACnet/SC数据链

BACnet/SC与BACnet/IP的益处。非标准端口、防火墙访问控制列表和VPN提供额外的安全性。

开放的BACnet/IP和广播流量的性质在IT部门中引发了一些反对。为了解决这些担忧，引入了BACnet Secure Connect（BACnet/SC），它整合了广泛使用的IT安全实践。BACnet/SC使用面向连接的TCP而不是UDP，并使用TLS1.3进行安全通信，确保了加密通信。每个设备都必须被授权才能接入网络，并分配证书和密钥。广播发现协议和BBMD已被取消。BACnet/SC使用中心和节点模型。设备/节点主要通过BACnet/SC中心进行通信，同时提供节点对节点通信的标准规定。SC中心可以位于互联网上，节点在不同位置只需发起不需要防火墙更改的出站连接。如果中心位于防火墙后面，则需要为从互联网访问的入口创建端口转发条目。但是，对于远程节点或应用程序要成功连接到中心，它必须已经提供了凭据（证书和密钥）并被批准成为该网络的一部分。可以创建一个有效期较短的证书来临时授权访问。使用BACnet/SC固有地提供了安全性。BACnet/IP和BACnetMS/TP设备可以通过支持所有三种数据链路的BACnet路由器与BACnet/SC集成，从而允许当前和未来的BACnet系统安全地互连。

BACnet路由器

我们的BAS路由器是用于在BACnet/IP、BACnet以太网和BACnetMS/TP网络之间路由消息的多网络路由器。有三个版本可供选择——两个用于固定安装的DIN导轨安装单元和一个用于调试和故障排除的便携式单元。访问BAS路由器系列网页以了解更多信息。

上一个故事下一个故事