技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體涉及一種基于工業(yè)協(xié)議OPC?Classic的無(wú)IP分布式工業(yè)防火墻深度檢查算法。?

背景技術(shù)

隨著工業(yè)設(shè)備IP化的發(fā)展，網(wǎng)絡(luò)安全的重要性在工業(yè)網(wǎng)絡(luò)中日益凸顯，目前的工業(yè)網(wǎng)絡(luò)主要使用傳統(tǒng)的IT防火墻進(jìn)行保護(hù)，此類(lèi)IT防火墻一般部署在網(wǎng)絡(luò)入口，譬如說(shuō)交換機(jī)之間，用于集中過(guò)濾所有網(wǎng)絡(luò)流量，很難精確控制帶來(lái)的時(shí)延。同時(shí)，在工業(yè)網(wǎng)絡(luò)中，OPC，Modbus等通信協(xié)議已廣泛使用，這些協(xié)議處于ISO網(wǎng)絡(luò)體系結(jié)構(gòu)的應(yīng)用層，為了達(dá)到工業(yè)安全的要求，需要對(duì)網(wǎng)絡(luò)包進(jìn)行連接跟蹤，格式檢查等操作，但是，傳統(tǒng)IT防火墻并沒(méi)有針對(duì)工業(yè)通信協(xié)議的特點(diǎn)進(jìn)行深度安全檢測(cè)及防護(hù)，無(wú)法對(duì)工業(yè)設(shè)備進(jìn)行有效保護(hù)，而且安裝時(shí)需要考慮現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，配置IP、路由等信息，大大增加了部署配置管理的復(fù)雜度，傳統(tǒng)IT防火墻無(wú)法滿足工業(yè)網(wǎng)絡(luò)安全需要，無(wú)法實(shí)現(xiàn)工業(yè)協(xié)議深度檢查。?

發(fā)明內(nèi)容

本發(fā)明克服了現(xiàn)有技術(shù)的不足，提出了基于工業(yè)協(xié)議OPC?Classic的無(wú)IP分布式工業(yè)防火墻深度檢查算法，所述工業(yè)防火墻安裝在被保護(hù)設(shè)備的上游，無(wú)需提前配置網(wǎng)絡(luò)信息；簡(jiǎn)化防火墻的安裝、管理、配置工作；同時(shí)無(wú)IP工業(yè)防火墻設(shè)計(jì)為放置在工業(yè)網(wǎng)絡(luò)邊緣，處理流量較少，網(wǎng)絡(luò)延時(shí)小，實(shí)時(shí)性好。?

本發(fā)明的技術(shù)方案為：基于工業(yè)協(xié)議OPC?Classic的無(wú)IP分布式工業(yè)防火墻深度檢查算法，所述算法利用工業(yè)防火墻和管理服務(wù)器進(jìn)行工作，所述工業(yè)?防火墻設(shè)置在工業(yè)網(wǎng)絡(luò)和被保護(hù)設(shè)備網(wǎng)段之間，管理服務(wù)器通過(guò)向被保護(hù)設(shè)備發(fā)送特殊的網(wǎng)絡(luò)包，網(wǎng)絡(luò)包被工業(yè)防火墻截獲，嵌入在防火墻設(shè)備內(nèi)的深度檢查算法處理所述網(wǎng)絡(luò)包并且回送響應(yīng)給管理服務(wù)器，實(shí)現(xiàn)工業(yè)防火墻的集中管理與配置，深度檢查算法包括了防火墻無(wú)IP集中管理模塊算法、防火墻自動(dòng)配置算法、基于配置的深度檢查算法；防火墻無(wú)IP集中管理模塊算法為：?

第1步，啟動(dòng)防火墻捕獲每一個(gè)經(jīng)過(guò)它的網(wǎng)絡(luò)包；?

第2步，根據(jù)網(wǎng)絡(luò)包端口號(hào)，網(wǎng)絡(luò)包格式符合一定條件，過(guò)濾出管理包；?

第3步，檢查此管理包是否是針對(duì)自身的；?

第4步，針對(duì)管理包的內(nèi)容，進(jìn)行防火墻自動(dòng)配置；防火墻自動(dòng)配置算法為：?

1)防火墻判斷下游設(shè)備類(lèi)型；?

2)根據(jù)設(shè)備類(lèi)型向管理服務(wù)器發(fā)送配置請(qǐng)求，其中配置請(qǐng)求包括被保護(hù)設(shè)備的IP和被保護(hù)設(shè)備的類(lèi)型；?

3)管理服務(wù)器處理此消息，將配置下載到防火墻中；?

第5步，基于配置的深度檢查算法根據(jù)控制端口連接請(qǐng)求動(dòng)態(tài)打開(kāi)數(shù)據(jù)端口，并對(duì)控制端口的各種通信進(jìn)行深度檢查，拒絕所有不符合OPC協(xié)議的包，具體算法為：?

1)是否符合DCE/RPC協(xié)議格式，如果否，拒絕此包；?

2)是否進(jìn)行了分片，如果是，拒絕此包；?

3)是否是未請(qǐng)求的響應(yīng)，如果是，拒絕此包；?

4)是否為響應(yīng)包，如果是，到5步，如果否，結(jié)束；?

5)將此端口作為通信目的端口，建立一條防火墻規(guī)則，允許目的端口數(shù)據(jù)通過(guò)，啟動(dòng)超時(shí)定時(shí)器；?

6)是否有超時(shí)發(fā)生，如果是，刪掉對(duì)應(yīng)的那條動(dòng)態(tài)規(guī)則，如果否，返回。?

工業(yè)防火墻的設(shè)備接口連接設(shè)備網(wǎng)絡(luò)，網(wǎng)絡(luò)接口連接上游工業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)包處理模塊負(fù)責(zé)截獲數(shù)據(jù)包，并針對(duì)網(wǎng)絡(luò)流量類(lèi)型分別將流量發(fā)送給管理模塊，防火墻模塊和工業(yè)協(xié)議檢查模塊。?

管理服務(wù)器的通信模塊負(fù)責(zé)與多個(gè)防火墻設(shè)備通信，管理配置模塊根據(jù)防火墻規(guī)則數(shù)據(jù)庫(kù)，工業(yè)協(xié)議檢查數(shù)據(jù)庫(kù)對(duì)每個(gè)防火墻進(jìn)行配置，生成的配置放在防火墻設(shè)備配置數(shù)據(jù)庫(kù)中。?

本發(fā)明具有如下有益效果：?

本發(fā)明安裝工業(yè)防火墻上，工業(yè)防火墻在被保護(hù)設(shè)備的上游，無(wú)需提前配置網(wǎng)絡(luò)信息；集中發(fā)現(xiàn)管理配置防火墻，簡(jiǎn)化防火墻的安裝、管理、配置工作；同時(shí)無(wú)IP工業(yè)防火墻針對(duì)工業(yè)網(wǎng)絡(luò)實(shí)時(shí)性要求高的特點(diǎn)，設(shè)計(jì)為放置在工業(yè)網(wǎng)絡(luò)邊緣，主要用于保護(hù)工業(yè)網(wǎng)絡(luò)的關(guān)鍵設(shè)備，處理流量較少，網(wǎng)絡(luò)延時(shí)小，實(shí)時(shí)性好；該防火墻針對(duì)工業(yè)通信協(xié)議的特點(diǎn)，進(jìn)行深度檢查和狀態(tài)跟蹤，對(duì)設(shè)備的防護(hù)更加的精確嚴(yán)密，使得工業(yè)網(wǎng)絡(luò)更加的安全；同時(shí)，該防火墻無(wú)IP的特點(diǎn)可天然的防止任何基于IP的攻擊，使防火墻更加的穩(wěn)定。

附圖說(shuō)明：

以下結(jié)合附圖和具體實(shí)施方式進(jìn)一步說(shuō)明本發(fā)明。?

圖1為本發(fā)明工業(yè)防火墻方案部署示意圖；?

圖2為本發(fā)明防火墻設(shè)備框圖；?

圖3為本發(fā)明管理服務(wù)器框圖；?

圖4為本發(fā)明防火墻對(duì)管理包的處理流程圖；?