本發(fā)明所提出的Ethernet/Ip應(yīng)用層會話動態(tài)跟蹤方法，基于Ethernet/Ip協(xié)議中SessionHandle字段的使用，該字段實(shí)現(xiàn)復(fù)雜度高，可精準(zhǔn)控制應(yīng)用層會話，方法主要步驟分兩步：首先，是SessionHandle的獲取。在監(jiān)控會話通信的過程中，對通信數(shù)據(jù)包進(jìn)行過濾篩選，一旦檢測到協(xié)商SessionHandle客戶端的請求數(shù)據(jù)包以及響應(yīng)數(shù)據(jù)包之后，將響應(yīng)包的的SessionHandle截取出來，添加到以該數(shù)據(jù)包元組信息計(jì)算的HASH值為鏈表節(jié)點(diǎn)的鏈表中。根據(jù)是否為SessionHandle取消包，將SessionHandle從鏈表中移除。其次，是SessionHandle的使用。在獲取到SessionHandle后，對接下來所有的數(shù)據(jù)包除了正常的防護(hù)之外，進(jìn)行SessionHandle跟蹤，根據(jù)鏈表中存儲的SessionHandle值，對所有的協(xié)議通信數(shù)據(jù)包繼續(xù)匹配，實(shí)現(xiàn)動態(tài)跟蹤。該方法能解決Ethernet/Ip協(xié)議防護(hù)力度差，防護(hù)覆蓋小的問題。

技術(shù)領(lǐng)域

本發(fā)明屬于工業(yè)防火墻深度防護(hù)技術(shù)領(lǐng)域，尤其涉及的是一種實(shí)現(xiàn)Ethernet/Ip協(xié)議動態(tài)跟蹤的工業(yè)防火墻的方法。

背景技術(shù)

目前工業(yè)防護(hù)墻中對Ethernet/Ip的防護(hù)主要是字段防護(hù)以及Tcp/Ip的會話跟蹤防護(hù)，字段防護(hù)主要分為兩部分，字段合理性檢查和字段具體數(shù)值匹配。一種方式為整個防護(hù)過程主要是基于防火墻配置CMP管理端下發(fā)的規(guī)則以及防火墻系統(tǒng)中實(shí)現(xiàn)的Tcp/Ip會話連接跟蹤。

SA防火墻基于無IP通信方式，接收來自防火墻配置CMP的管理數(shù)據(jù)包，將數(shù)據(jù)包中的規(guī)則解析到防護(hù)墻中，對經(jīng)過防火墻的數(shù)據(jù)進(jìn)行過濾檢測。利用系統(tǒng)本身支持的連接跟蹤功能對TCP/Ip會話進(jìn)行跟蹤。另一種方式，是現(xiàn)有方案中防護(hù)墻防護(hù)Ethernet/Ip需要進(jìn)行如下操作:

步驟一、防火墻接入防護(hù)網(wǎng)絡(luò)：防火墻根據(jù)現(xiàn)場需求，按照設(shè)計(jì)使用說明，接入工業(yè)網(wǎng)絡(luò)。

步驟二、管理端配置規(guī)則：根據(jù)Ethernet/Ip規(guī)范配置下發(fā)規(guī)則，包括是否開啟合理性檢測、字段值匹配以及過濾行為控制

步驟三、下發(fā)管理規(guī)則：管理端將規(guī)則下發(fā)至防火墻，防火墻解析并加載至防火墻中；

步驟四、開啟Tcp/Ip會話跟蹤：運(yùn)用現(xiàn)有連接跟蹤技術(shù)，開啟Tcp/Ip會話跟蹤；

步驟五、防火墻解析匹配：Ethernet/Ip協(xié)議通信開始，防護(hù)墻根據(jù)防火墻配置CMP管理端下發(fā)的規(guī)則，對Ethernet/Ip通信包進(jìn)行解析、檢測以及匹配；

步驟六、防護(hù)結(jié)果反饋：根據(jù)管理端的下發(fā)的防護(hù)行為配置，將防護(hù)結(jié)果反饋到管理股進(jìn)行動態(tài)展示。

以上現(xiàn)有技術(shù)存在明顯缺點(diǎn)：Ethernet/Ip通信過程中僅僅進(jìn)行了最基本的防護(hù)，防護(hù)的信息是可以被攻擊者輕松的獲得非常基本的數(shù)據(jù)，服務(wù)器甚至整個工業(yè)網(wǎng)絡(luò)仍然極易遭受攻擊。

因此，現(xiàn)有技術(shù)存在缺陷，需要改進(jìn)。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是針對現(xiàn)有技術(shù)的不足，提供一種實(shí)現(xiàn)Ethernet/Ip協(xié)議動態(tài)跟蹤的工業(yè)防火墻的方法。

本發(fā)明的技術(shù)方案如下：

一種實(shí)現(xiàn)Ethernet/Ip協(xié)議動態(tài)跟蹤的工業(yè)防火墻的方法，其中，包括以下步驟：

步驟102：確定數(shù)據(jù)包是否為Ethernet/Ip協(xié)議數(shù)據(jù)包；

步驟104：判斷是否符合TCP/IP連接跟蹤會話記錄，符合則進(jìn)行步驟106，不符合直接丟棄該數(shù)據(jù)包；

步驟106：進(jìn)行配置的字段數(shù)值是否合法，若匹配通過則進(jìn)行步驟108，匹配未通過則根據(jù)下發(fā)的規(guī)則中的行為方式進(jìn)行丟棄或放行，并上報日志至防火墻配置CMP管理端；