本發明公開了一種無IP防火墻的安全規則配置方法，通過將無IP防火墻部署在被保護設備前端，防火墻管理系統在發送的探測數據包以及配置數據包時，并不是直接發送到無IP防火墻，而是通過向被保護設備發送數據，由防火墻截獲，識別以及處理來完成安全規則配置。為了對數據包進行準確識別，該發明首先使用特殊端口號作為第一個特征，接著使用自定義應用層協議包頭作為第二個特征，最后再針對識別的數據包類型進行相應的的處理。

技術領域

本發明屬于工業控制系統信息安全技術領域，更為具體地講，涉及一種無IP防火墻的安全規則配置方法。

背景技術

隨著工業化與信息化進程不斷交叉融合，信息，網絡，互聯網技術逐漸應用于工業控制領域，工業控制系統正逐步打破曾經的封閉性。目前的工業網絡主要使用傳統的防火墻進行防護，此類防火墻通常具有IP地址，才能進行精確地探測及規則配置，然而有IP地址防火墻在局域網內是可以被掃描工具探測到，防火墻本身可能作為被攻擊對象，進而攻擊整個控制網絡；并且有IP的防火墻在接入網絡中會改變整個控制網絡的拓撲結構，在安裝與管理上有著缺陷。為了更好地防護效果，通常會將它設置為無IP的模式，此時該防火墻的管理配置依靠傳統技術很難實現。在工業控制網絡中，對這種無IP的防火墻進行統一管理及安全規則配置成為了必須。

發明內容

本發明的目的在于克服現有技術的不足，提供一種無IP防火墻的安全規則配置方法，實現了工業控制網絡內所有無IP防火墻的探測、管理、安全規則配置。

為實現上述發明目的，本發明一種無IP防火墻的安全規則配置方法，其特征在于，包括以下步驟：

(1)、部署無IP防火墻

將防火墻直接串聯在被保護設備前方，使所有發送到被保護設備的數據包都通過無IP防火墻；

(2)、使用防火墻管理系統探測網絡中的所有無IP防火墻

防火墻管理系統可以向網絡中已知的被保護設備發送特殊的探測數據包，探測數據包會經過被保護設備前方的無IP防火墻，探測數據包在經過防火墻時會被截獲、識別、處理；

(2.1)、防火墻管理系統發送探測數據包

防火墻管理系統向網絡中已知其IP地址的被保護設備發送探測數據包，若被保護設備前部署了無IP防火墻，那該探測數據包通過無IP防火墻，無IP防火墻產生響應并回復防火墻管理系統；否則探測數據包失效；

(2.2)、無IP防火墻識別探測數據包

探測數據包經過無IP防火墻時，無IP防火墻先檢測該探測數據包的目的端口，若目的端口符合規則，再繼續檢測應用層協議頭，若無IP防火墻檢測到應用層協議頭，則進入步驟(2.3)

(2.3)、無IP防火墻處理探測數據包

首先解析收到的探測數據包，提取探測數據包中防火墻管理系統的IP地址和MAC地址并保存到無IP防火墻本地；再將防火墻MAC地址與被保護設備IP地址作為探測結果；

(2.4)、無IP防火墻上傳探測結果信息至防火墻管理系統

無IP防火墻讀取步驟(2.3)提取的防火墻管理系統IP地址與MAC地址，并作為目的IP地址與目的MAC地址，同時將探測結果作為數據包內容，并加上自定義應用層協議頭，進行數據包封裝，標記為探測結果數據包再上傳至防火墻管理系統，進入步驟(2.5)；

(2.5)、防火墻管理系統處理探測結果數據包

防火墻管理系統解析探測結果數據包，讀取探測結果數據包中的無IP防火墻MAC地址與被保護設備的IP地址，確定出無IP防火墻具體保護設備，并將該信息保存在防火墻管理系統；

(3)防火墻管理系統對網絡中的無IP防火墻進行規則配置