一、简述

本文章内容融合创作者在平常工作上亲身经历,最先详细介绍了目前扫描连接网络工控设备技术性存有的缺点,根据目前技术性明确提出了一种防跟踪追溯扫描工控设备的解决方案，并在工控安全入侵检测系统软件、工业自动化紧急风险评价和远程控制渗入具体情景中运用。次之在解决方法中得出了实际的执行流程和全过程，最终根据多种多样计划方案较为，选中国外选购的VPS上，自身构建一套平稳、靠谱和高效率的vpn代理服务项目运用，并开展了防跟踪追溯技术性的认证。

二、目前技术性缺点

随着我国智能制造系统2025、两化融合及其工业物联网等情况下，愈来愈多的工业生产自动控制系统曝露在网络环境里，为了更好地把握互联网技术上有多少工控设备，及其这种工控设备的型号规格和存有的风险性，目前市面上大多数选用工业自动化入侵检测系统软件、nmap及其plcscan等专用工具对联网的工控设备开展连续扫描检测。这种系统软件或专用工具的总流量出入口大多数历经企业內部主机房或是中国云主机上，目前技术性存有以下缺点和难题。

1）布署在企业內部主机房，一旦开启扫描总体目标的入侵防御系统网络检测到进行扫描的源IP,则能够依据该IP开展ro反渗透或是反进攻，造成企业內部其他网络服务器遭到危害；

2）布署在中国云主机上，一旦扫描总体目标的监测系统检验到进行扫描的源IP，则能够依据选购云主机办理备案的顾客信息开展追溯，并追责造成安全生产事故的责任者；

3）现阶段市面上扫描检测连接网络工控设备(入侵检测系统软件、nmap专用工具和plcscan等专用工具)均选用TCP或是UDP方法开展工控设备检测，扫描检测指纹识别未历经数据加密维护，非常容易被第三方提取并剖析出选用的核心技术方式。

4）现阶段流行的代理服务器如shadowsocks只有对http或https运用开展代理，不可以对ICMP、Telnet、原生态tcp、udp socket 服务项目开展代理传送，做到隐秘扫描的实际效果；

5)中国的VPN或是完全免费的VPN不稳定、已断线，易被中国防火墙封禁。

三、解决方法

本文章内容明确提出了一种根据防跟踪追溯技术性鉴别连接网络工控设备的运用方式，解决了传统式技术性中出現的未对扫描服务器虚拟机跟踪追溯的维护、未对扫描检测技术性方式开展维护等难题。此方式关键分成扫描代理客户端、代理服务器和扫描总体目标构成。方式完成关键包括下列流程：

流程1：布署代理服务器，海外vultr官方网站选购一台VPS网络服务器,在布署上linux电脑操作系统后，并布署OPENVPN代理服务器运用，并运行代理服务项目，监视代理客户端的要求。

流程2：当地布署扫描网络服务器(如入侵检测系统软件、nmap专用工具和plcscan扫描专用工具等)，并在扫描服务器上安装布署OPENVPN代理客户端，设定代理客户端的代理环境变量，主要是配备代理服务器的IP地址、端口号、通信方式及资格证书等信息。

流程3：根据扫描网络服务器实行有关的工业自动化扫描每日任务对联网工控设备开展扫描鉴别。全部的扫描个人行为均会根据VPN代理服务器分享到扫描总体目标机器设备。总体目标机器设备回到信息到VPN代理服务器，代理服务项目再将信息发送给扫描客户端，扫描客户端依据回到的报文格式与工业自动化指纹识别库开展搭配，来开展工业自动化财产鉴别。 根据防跟踪追溯鉴别连接网络工控设备的业务模型如下图所显示：

扫描代理客户端：扫描客户端最先对代理服务器有关信息开展配备，关键配备代理服务项目的IP、端口号及验证信息。并逐渐对总体目标IP机器设备开展扫描，这时因为配备了代理客户端，全部扫描要求数据信息不容易立即发送至总体目标IP机器设备，而会根据VPN独享安全通道数据加密发送至VPN代理服务器上。

代理服务器：代理服务器获得的扫描客户端的扫描，会将数据信息无缝拼接发送给真正的总体目标IP机器设备。

总体目标工控设备：总体目标工控设备接到来源于VPN代理服务器扫描要求，会对VPN代理服务器开展回应，代理服务器会将此回应数据加密发送给初始扫描客户端。

数据信息加解密全过程：扫描客户端会对扫描数据信息开展数据加密并传送给VPN代理服务器，代理服务器也会对回应扫描客户端的数据信息开展数据加密，扫描客户端接到数据信息会开展破译。

四、执行全过程与认证方法

执行全过程：构建openvpn自然环境

1）租用服务器

因为中国如阿里云服务器租用服务器均要实名验证，海外租用服务器价格比较贵等特性，因此 决策选用在vultr.com选购VPS网络服务器，服务项目平稳、质优价廉、网络服务器地理区域可随意转换，选购的VPS如下图所显示：

2）运用docker在VPS上迅速构建openvpn代理运用

最先在linux上安裝docker运用，安裝取得成功后安裝下列流程开展openvpn代理服务器安裝布署：

1.开启terminal终端设备，配备环境变量，键入以下指令：

export OVPN_DATA=openvpn_data

2.建立一个数据信息卷存储配置文档和资格证书等文档,键入以下指令：

docker volume create --name $OVPN_DATA

3.复位环境变量到数据信息卷中,键入以下指令：

docker run -v $OVPN_DATA:/etc/openvpn --rm kylemanna/openvpn ovpn_genconfig -u

140.82.*.* 需更换为选购vps虚似服务主机IP地址

4.复位配备，并储存受权登陆密码,键入以下指令：

docker run -v $OVPN_DATA:/etc/openvpn --rm -it kylemanna/openvpn ovpn_initpki

5.打开openvpn器皿，键入以下指令:

docker run -v $OVPN_DATA:/etc/openvpn -d -p 1194:1194/udp --cap-add=NET_ADMIN --name=openvpn kylemanna/openvpn

6. 形成客户资格证书，假如必须形成好几个客户资格证书能够实行数次该指令，键入以下指令：

docker run -v $OVPN_DATA:/etc/openvpn --rm -it kylemanna/openvpn easyrsa build-client-full tencent nopass

7. 将客户资格证书导出来到本地文件，键入以下指令：

docker run -v $OVPN_DATA:/etc/openvpn --rm kylemanna/openvpn ovpn_getclient tencent > tencent.ovpn

远程登陆代理服务器如下图所显示：