本發(fā)明屬于工業(yè)控制系統(tǒng)信息安全
技術(shù)領(lǐng)域:
:,更為具體地講�,涉及一種無IP防火墻的安全規(guī)則配置方法。
背景技術(shù):
::隨著工業(yè)化與信息化進(jìn)程不斷交叉融合���,信息�,網(wǎng)絡(luò)�����,互聯(lián)網(wǎng)技術(shù)逐漸應(yīng)用于工業(yè)控制領(lǐng)域����,工業(yè)控制系統(tǒng)正逐步打破曾經(jīng)的封閉性�。目前的工業(yè)網(wǎng)絡(luò)主要使用傳統(tǒng)的防火墻進(jìn)行防護(hù)����,此類防火墻通常具有IP地址,才能進(jìn)行精確地探測(cè)及規(guī)則配置��,然而有IP地址防火墻在局域網(wǎng)內(nèi)是可以被掃描工具探測(cè)到���,防火墻本身可能作為被攻擊對(duì)象�����,進(jìn)而攻擊整個(gè)控制網(wǎng)絡(luò)��;并且有IP的防火墻在接入網(wǎng)絡(luò)中會(huì)改變整個(gè)控制網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)��,在安裝與管理上有著缺陷����。為了更好地防護(hù)效果����,通常會(huì)將它設(shè)置為無IP的模式�,此時(shí)該防火墻的管理配置依靠傳統(tǒng)技術(shù)很難實(shí)現(xiàn)�。在工業(yè)控制網(wǎng)絡(luò)中,對(duì)這種無IP的防火墻進(jìn)行統(tǒng)一管理及安全規(guī)則配置成為了必須���。技術(shù)實(shí)現(xiàn)要素:本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種無IP防火墻的安全規(guī)則配置方法����,實(shí)現(xiàn)了工業(yè)控制網(wǎng)絡(luò)內(nèi)所有無IP防火墻的探測(cè)、管理���、安全規(guī)則配置�����。為實(shí)現(xiàn)上述發(fā)明目的���,本發(fā)明一種無IP防火墻的安全規(guī)則配置方法,其特征在于��,包括以下步驟:(1)��、部署無IP防火墻將防火墻直接串聯(lián)在被保護(hù)設(shè)備前方���,使所有發(fā)送到被保護(hù)設(shè)備的數(shù)據(jù)包都通過無IP防火墻�;(2)、使用防火墻管理系統(tǒng)探測(cè)網(wǎng)絡(luò)中的所有無IP防火墻防火墻管理系統(tǒng)可以向網(wǎng)絡(luò)中已知的被保護(hù)設(shè)備發(fā)送特殊的探測(cè)數(shù)據(jù)包�����,探測(cè)數(shù)據(jù)包會(huì)經(jīng)過被保護(hù)設(shè)備前方的無IP防火墻��,探測(cè)數(shù)據(jù)包在經(jīng)過防火墻時(shí)會(huì)被截獲�����、識(shí)別�����、處理���;(2.1)�����、防火墻管理系統(tǒng)發(fā)送探測(cè)數(shù)據(jù)包防火墻管理系統(tǒng)向網(wǎng)絡(luò)中已知其IP地址的被保護(hù)設(shè)備發(fā)送探測(cè)數(shù)據(jù)包�����,若被保護(hù)設(shè)備前部署了無IP防火墻�,那該探測(cè)數(shù)據(jù)包通過無IP防火墻,無IP防火墻產(chǎn)生響應(yīng)并回復(fù)防火墻管理系統(tǒng)����;否則探測(cè)數(shù)據(jù)包失效;(2.2)�、無IP防火墻識(shí)別探測(cè)數(shù)據(jù)包探測(cè)數(shù)據(jù)包經(jīng)過無IP防火墻時(shí)���,無IP防火墻先檢測(cè)該探測(cè)數(shù)據(jù)包的目的端口�����,若目的端口符合規(guī)則��,再繼續(xù)檢測(cè)應(yīng)用層協(xié)議頭���,若無IP防火墻檢測(cè)到應(yīng)用層協(xié)議頭,則進(jìn)入步驟(2.3)(2.3)���、無IP防火墻處理探測(cè)數(shù)據(jù)包首先解析收到的探測(cè)數(shù)據(jù)包�����,提取探測(cè)數(shù)據(jù)包中防火墻管理系統(tǒng)的IP地址和MAC地址并保存到無IP防火墻本地���;再將防火墻MAC地址與被保護(hù)設(shè)備IP地址作為探測(cè)結(jié)果�����;(2.4)��、無IP防火墻上傳探測(cè)結(jié)果信息至防火墻管理系統(tǒng)無IP防火墻讀取步驟(2.3)提取的防火墻管理系統(tǒng)IP地址與MAC地址���,并作為目的IP地址與目的MAC地址,同時(shí)將探測(cè)結(jié)果作為數(shù)據(jù)包內(nèi)容����,并加上自定義應(yīng)用層協(xié)議頭,進(jìn)行數(shù)據(jù)包封裝�,標(biāo)記為探測(cè)結(jié)果數(shù)據(jù)包再上傳至防火墻管理系統(tǒng),進(jìn)入步驟(2.5)����;(2.5)、防火墻管理系統(tǒng)處理探測(cè)結(jié)果數(shù)據(jù)包防火墻管理系統(tǒng)解析探測(cè)結(jié)果數(shù)據(jù)包�����,讀取探測(cè)結(jié)果數(shù)據(jù)包中的無IP防火墻MAC地址與被保護(hù)設(shè)備的IP地址,確定出無IP防火墻具體保護(hù)設(shè)備����,并將該信息保存在防火墻管理系統(tǒng);(3)防火墻管理系統(tǒng)對(duì)網(wǎng)絡(luò)中的無IP防火墻進(jìn)行規(guī)則配置(3.1)防火墻管理系統(tǒng)發(fā)送配置包防火墻管理系統(tǒng)找到所有可以保護(hù)的設(shè)備IP�,接著在防火墻管理系統(tǒng)中編輯規(guī)則配置信息,再將目的IP地址設(shè)置為被保護(hù)設(shè)備的IP地址�,增加自定義應(yīng)用層協(xié)議頭,并連同規(guī)則配置信息一起封裝成規(guī)則配置數(shù)據(jù)包����;(3.2)����、無IP防火墻識(shí)別規(guī)則配置數(shù)據(jù)包當(dāng)規(guī)則配置數(shù)據(jù)包經(jīng)過無IP防火墻時(shí),無IP防火墻檢測(cè)規(guī)則配置數(shù)據(jù)包的目的端口����,若目的端口符合規(guī)則,再繼續(xù)檢測(cè)應(yīng)用層協(xié)議頭��,若無IP防火墻檢測(cè)到應(yīng)用層協(xié)議頭��,則進(jìn)入步驟(3.3)(3.3)、無IP防火墻處理規(guī)則配置數(shù)據(jù)包無IP防火墻對(duì)規(guī)則配置數(shù)據(jù)包進(jìn)行解析�,讀取出規(guī)則配置信息,再根據(jù)規(guī)則配置信息生成防火墻安全規(guī)則�,最后將安全規(guī)則的日志信息作為配置結(jié)果;(3.4)�����、無IP防火墻上傳配置結(jié)果信息至防火墻管理系統(tǒng)無IP防火墻讀取步驟(2.3)提取的防火墻管理系統(tǒng)IP地址與MAC地址���,并作為目的IP地址與目的MAC地址��,同時(shí)將配置結(jié)果作為數(shù)據(jù)包內(nèi)容�,并加上自定義應(yīng)用層協(xié)議頭����,進(jìn)行數(shù)據(jù)包封裝,標(biāo)記為配置結(jié)果數(shù)據(jù)包再上傳至防火墻管理系統(tǒng)�,進(jìn)入步驟(3.5);(3.5)�、防火墻管理系統(tǒng)處理配置結(jié)果數(shù)據(jù)包防火墻管理系統(tǒng)收到配置結(jié)果數(shù)據(jù)包后,確認(rèn)安全規(guī)則配置成功��,并解析配置結(jié)果信息保存到數(shù)據(jù)庫(kù)��。本發(fā)明的
發(fā)明內(nèi)容是這樣實(shí)現(xiàn)的:本發(fā)明一種無IP防火墻的安全規(guī)則配置方法,通過將無IP防火墻部署在被保護(hù)設(shè)備前端����,防火墻管理系統(tǒng)在發(fā)送的探測(cè)數(shù)據(jù)包以及配置數(shù)據(jù)包時(shí),并不是直接發(fā)送到無IP防火墻�����,而是通過向被保護(hù)設(shè)備發(fā)送數(shù)據(jù)����,由防火墻截獲,識(shí)別以及處理來完成安全規(guī)則配置�。為了對(duì)數(shù)據(jù)包進(jìn)行準(zhǔn)確識(shí)別,該發(fā)明首先使用特殊端口號(hào)作為第一個(gè)特征��,接著使用自定義應(yīng)用層協(xié)議包頭作為第二個(gè)特征���,最后再針對(duì)識(shí)別的數(shù)據(jù)包類型進(jìn)行相應(yīng)的的處理。同時(shí)�����,本發(fā)明一種無IP防火墻的安全規(guī)則配置方法還具有以下有益效果:(1)�����、無IP防火墻安裝在被保護(hù)設(shè)備上層,無需提前配置網(wǎng)絡(luò)信息��,即可隨時(shí)接入工業(yè)控制網(wǎng)絡(luò)�����,不會(huì)改變工業(yè)控制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����;(2)����、集中管理配置控制網(wǎng)絡(luò)中的所有無IP防火墻,簡(jiǎn)化防火墻安裝�,管理以及配置的工作,操作簡(jiǎn)單���,流程清晰���,易于上手;(3)�、無IP防火墻針對(duì)工業(yè)控制網(wǎng)絡(luò)實(shí)時(shí)性要求高的特點(diǎn)���,設(shè)計(jì)為放置在工業(yè)網(wǎng)絡(luò)邊緣,主要用于保護(hù)工業(yè)控制網(wǎng)絡(luò)中的關(guān)鍵設(shè)備��,處理流量少����,網(wǎng)絡(luò)延時(shí)小,實(shí)時(shí)性良好�����;(4)�、無IP防火墻可防止IP掃描,防止基于IP地址的攻擊���,因此�����,無IP防火墻更加安全穩(wěn)定有效。附圖說明圖1是無IP防火墻的部署原理圖��;圖2是無IP防火墻防功能模塊圖����;圖3是數(shù)據(jù)包識(shí)別模塊邏輯結(jié)構(gòu)圖�����;圖4是探測(cè)包處理模塊邏輯結(jié)構(gòu)圖����;圖5是安全規(guī)則配置模塊邏輯結(jié)構(gòu)圖���;圖6是無IP通信模塊邏輯結(jié)構(gòu)圖���。具體實(shí)施方式下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行描述,以便本領(lǐng)域的技術(shù)人員更好地理解本發(fā)明���。需要特別提醒注意的是��,在以下的描述中����,當(dāng)已知功能和設(shè)計(jì)的詳細(xì)描述也許會(huì)淡化本發(fā)明的主要內(nèi)容時(shí)��,這些描述在這里將被忽略�����。實(shí)施例圖1是無IP防火墻的部署原理圖。在本實(shí)施例中���,提供了一種全新的工業(yè)防火墻管理及安全規(guī)則配置方法�,所有的工業(yè)防火墻不再擁有IP地址��,這些無IP的防火墻設(shè)備通過對(duì)數(shù)據(jù)包識(shí)別�����、探測(cè)包處理�、配置包的處理、無IP通信模塊與防火墻管理配置系統(tǒng)相互配合作用�����,形成一套完整的基于無IP工業(yè)防火墻的安全規(guī)則配置方式��。如圖1所示����,無IP防火墻的部署時(shí),無IP防火墻應(yīng)設(shè)置在工業(yè)網(wǎng)絡(luò)與被保護(hù)設(shè)備之間,在被保護(hù)設(shè)備上游必須有一臺(tái)無IP工業(yè)防火墻�����,因?yàn)榉阑饓κ菬oIP的模式��,防火墻管理系統(tǒng)無法直接向它發(fā)送數(shù)據(jù)包�����,防火墻管理系統(tǒng)是以被保護(hù)設(shè)備IP地址為目的地址發(fā)送數(shù)據(jù)包��,此時(shí)必然會(huì)通過被保護(hù)設(shè)備上游的防火墻�����,無IP防火墻根據(jù)數(shù)據(jù)包特征進(jìn)行識(shí)別�����,識(shí)別完成后�����,交給防火墻不同模塊進(jìn)行處理�����,探測(cè)包與配置包由自定義應(yīng)用層協(xié)議頭封裝�����,具有不同的特征���。在管理系統(tǒng)進(jìn)行設(shè)備探測(cè)時(shí)��,可以通過掃描自定義的IP范圍來探測(cè)哪個(gè)設(shè)備上游部署了無IP防火墻��。例如:在某個(gè)局域網(wǎng)內(nèi)�����,IP地址范圍為172.16.10.1/24~172.16.10.254/24�����,可以自定義IP地址范圍進(jìn)行探測(cè)�,例如只掃描IP地址172.16.10.20/24~172.16.10.30/24之間的設(shè)備前是否有防火墻設(shè)備����。探測(cè)完畢后才能進(jìn)行相應(yīng)的規(guī)則配置�����。管理系統(tǒng)可以對(duì)工業(yè)控制網(wǎng)絡(luò)中所有無IP防火墻進(jìn)行管理�����、安全規(guī)則配置,實(shí)現(xiàn)工業(yè)防火墻的集中管理與配置��,所示防火墻被部署在工業(yè)網(wǎng)絡(luò)邊緣�����,有針對(duì)性的保護(hù)多個(gè)工業(yè)設(shè)備�。圖2是無IP防火墻的功能模塊圖。在本實(shí)施例中��,如圖2所示�����,無IP防火墻至少包含兩個(gè)網(wǎng)口�,一個(gè)網(wǎng)口連接防火墻配置軟件系統(tǒng),其他網(wǎng)口連接被保護(hù)設(shè)備���。防火墻配置系統(tǒng)負(fù)責(zé)集中管理與配置���。當(dāng)無IP防火墻接收到數(shù)據(jù)時(shí)���,首先進(jìn)行數(shù)據(jù)包的識(shí)別,若是探測(cè)包就交給探測(cè)包處理模塊��,若是配置規(guī)則包�,就交給安全規(guī)則配置模塊處理。當(dāng)探測(cè)包處理模塊�����,處理完成后���,返回的數(shù)據(jù)將通過無IP通信模塊上傳給客戶端配置系統(tǒng)�。同理��,當(dāng)安全規(guī)則配置模塊處理完成后�,返回的數(shù)據(jù)也將通過無IP通信模塊上傳給客戶端配置系統(tǒng)。由于防火墻是無IP設(shè)備�,所有通過防火墻傳遞給配置系統(tǒng)的數(shù)據(jù),都必須通過無IP通信模塊���,否則無法通信���。下面結(jié)合圖1���、2對(duì)本發(fā)明進(jìn)行詳細(xì)說明,具體包括以下步驟:(1)��、部署無IP防火墻如圖1所示部署防火墻����,將防火墻直接串聯(lián)在被保護(hù)設(shè)備前方�����,使所有發(fā)送到被保護(hù)設(shè)備的數(shù)據(jù)包都通過無IP防火墻�����;(2)���、使用防火墻管理系統(tǒng)探測(cè)網(wǎng)絡(luò)中的所有無IP防火墻防火墻管理系統(tǒng)可以向網(wǎng)絡(luò)中已知的被保護(hù)設(shè)備發(fā)送特殊的探測(cè)數(shù)據(jù)包���,探測(cè)數(shù)據(jù)包會(huì)經(jīng)過被保護(hù)設(shè)備前方的無IP防火墻�,探測(cè)數(shù)據(jù)包在經(jīng)過防火墻時(shí)會(huì)被截獲����、識(shí)別、處理�����;(2.1)�����、防火墻管理系統(tǒng)發(fā)送探測(cè)數(shù)據(jù)包首先防火墻管理系統(tǒng)向網(wǎng)絡(luò)中已知其IP地址的被保護(hù)設(shè)備發(fā)送探測(cè)數(shù)據(jù)包�,若被保護(hù)設(shè)備前部署了無IP防火墻,那該探測(cè)數(shù)據(jù)包通過無IP防火墻�,無IP防火墻產(chǎn)生響應(yīng)并回復(fù)防火墻管理系統(tǒng);否則探測(cè)數(shù)據(jù)包失效�;(2.2)、無IP防火墻識(shí)別探測(cè)數(shù)據(jù)包如圖3所示��,當(dāng)防火墻接收到數(shù)據(jù)包時(shí)���,數(shù)據(jù)包識(shí)別模塊會(huì)根據(jù)數(shù)據(jù)包特征進(jìn)行處理��。數(shù)據(jù)包識(shí)別是基于Linux系統(tǒng)中的iptables軟件防火墻及netfilter框架實(shí)現(xiàn)��,防火墻管理系統(tǒng)在發(fā)送數(shù)據(jù)包時(shí)��,會(huì)指定特殊的目的端口���,作為探測(cè)包和配置包的一個(gè)特征��。例如�,該發(fā)明以20000端口作為防火墻識(shí)別特殊包的第一個(gè)特征����。當(dāng)防火墻看到目的端口為20000的數(shù)據(jù),就將這個(gè)數(shù)據(jù)包攔截下來���,交給數(shù)據(jù)包識(shí)別模塊進(jìn)行識(shí)別,通過數(shù)據(jù)包識(shí)別模塊���,對(duì)數(shù)據(jù)包進(jìn)行解包����,和應(yīng)用層協(xié)議解析��,來識(shí)別該數(shù)據(jù)包是探測(cè)包�、配置包還是其他包�����。探測(cè)包以及配置包是有自定義的應(yīng)用層協(xié)議包頭進(jìn)行封裝����。該發(fā)明中�,探測(cè)包中應(yīng)用層協(xié)議頭是自定義的協(xié)議,該協(xié)議頭由4個(gè)字節(jié)組成���,第1個(gè)字節(jié)用來標(biāo)識(shí)包類型�����,用0x0F表示探測(cè)包��,0xF0表示配置包���,它們擁有不同的協(xié)議特征。若檢測(cè)是探測(cè)包���,就交給探測(cè)包處理模塊�����,若是配置包就交給配置包處理模塊����。若是其他包,就不處理��。此時(shí)數(shù)據(jù)包識(shí)別為探測(cè)包�,則進(jìn)入步驟(2.3)(2.3)、無IP防火墻處理探測(cè)數(shù)據(jù)包當(dāng)接收到探測(cè)包時(shí)�,就會(huì)進(jìn)行如圖4所示的探測(cè)包處理,該模塊利用探測(cè)包內(nèi)容提取防火墻管理系統(tǒng)的IP地址����,MAC地址并保存在防火墻本地,以便無IP通信模塊提取管理系統(tǒng)的信息�����。當(dāng)信息提取完畢后�����,將防火墻MAC地址與被保護(hù)設(shè)備IP地址作為探測(cè)結(jié)果信息封裝成數(shù)據(jù)包����,提交給如圖6的無IP通信模塊,上傳至防火墻管理系統(tǒng)�����。(2.4)�、無IP防火墻上傳探測(cè)結(jié)果信息至防火墻管理系統(tǒng)如圖6所示,無IP通信模塊�����,無IP防火墻讀取步驟(2.3)提取的防火墻管理系統(tǒng)IP地址與MAC地址��,并作為目的IP地址與目的MAC地址���,同時(shí)將探測(cè)結(jié)果作為數(shù)據(jù)包內(nèi)容����,并加上自定義應(yīng)用層協(xié)議頭����,進(jìn)行數(shù)據(jù)包封裝,標(biāo)記為探測(cè)結(jié)果數(shù)據(jù)包再上傳至防火墻管理系統(tǒng)��,進(jìn)入步驟(2.5);由于防火墻是無IP的���,從防火墻端發(fā)送數(shù)據(jù)到防火墻配置系統(tǒng)端�,不僅需要配置系統(tǒng)端的IP地址��,還需要它的MAC地址��。無IP通信模塊��,是從數(shù)據(jù)鏈路層開始封裝數(shù)據(jù)協(xié)議包頭�,需要指定目的IP,目的MAC地址等信息���。(2.5)����、防火墻管理系統(tǒng)處理探測(cè)結(jié)果數(shù)據(jù)包防火墻管理系統(tǒng)解析探測(cè)結(jié)果數(shù)據(jù)包�,讀取探測(cè)結(jié)果數(shù)據(jù)包中的無IP防火墻MAC地址與被保護(hù)設(shè)備的IP地址,確定出無IP防火墻具體保護(hù)設(shè)備��,并將該信息保存在防火墻管理系統(tǒng)�����;(3)防火墻管理系統(tǒng)對(duì)網(wǎng)絡(luò)中的無IP防火墻進(jìn)行規(guī)則配置(3.1)防火墻管理系統(tǒng)發(fā)送配置包防火墻管理系統(tǒng)找到所有可以保護(hù)的設(shè)備IP�����,接著在防火墻管理系統(tǒng)中編輯規(guī)則配置信息���,再將目的IP地址設(shè)置為被保護(hù)設(shè)備的IP地址��,增加自定義應(yīng)用層協(xié)議頭����,并連同規(guī)則配置信息一起封裝成規(guī)則配置數(shù)據(jù)包�;(3.2)、無IP防火墻識(shí)別規(guī)則配置數(shù)據(jù)包當(dāng)規(guī)則配置數(shù)據(jù)包經(jīng)過無IP防火墻時(shí)���,無IP防火墻檢測(cè)規(guī)則配置數(shù)據(jù)包的目的端口��,若目的端口符合規(guī)則���,再繼續(xù)檢測(cè)應(yīng)用層協(xié)議頭,若無IP防火墻檢測(cè)到應(yīng)用層協(xié)議頭���,則進(jìn)入步驟(3.3)(3.3)��、無IP防火墻處理規(guī)則配置數(shù)據(jù)包如圖5所示�,安全規(guī)則配置,當(dāng)接收到配置包時(shí)����,首先進(jìn)行配置包檢測(cè),然后對(duì)不同的規(guī)則配置指令進(jìn)行解析����,根據(jù)規(guī)則指令生成符合防火墻系統(tǒng)的命令,然后執(zhí)行命令進(jìn)行安全規(guī)則配置�����,配置完成后����,將安全規(guī)則的日志信息作為配置結(jié)果封裝成數(shù)據(jù)包,通過如圖6的無IP通信模塊上傳至管理系統(tǒng)保存�����。(3.4)��、無IP防火墻上傳配置結(jié)果信息至防火墻管理系統(tǒng)無IP防火墻讀取步驟(2.3)提取的防火墻管理系統(tǒng)IP地址與MAC地址�,并作為目的IP地址與目的MAC地址��,同時(shí)將配置結(jié)果作為數(shù)據(jù)包內(nèi)容����,并加上自定義應(yīng)用層協(xié)議頭����,進(jìn)行數(shù)據(jù)包封裝�����,標(biāo)記為配置結(jié)果數(shù)據(jù)包再上傳至防火墻管理系統(tǒng)���,進(jìn)入步驟(3.5)�����;(3.5)��、防火墻管理系統(tǒng)處理配置結(jié)果數(shù)據(jù)包防火墻管理系統(tǒng)收到配置結(jié)果數(shù)據(jù)包后�,確認(rèn)安全規(guī)則配置成功�����,并解析配置結(jié)果信息保存到數(shù)據(jù)庫(kù)。盡管上面對(duì)本發(fā)明說明性的具體實(shí)施方式進(jìn)行了描述����,以便于本
技術(shù)領(lǐng)域:
:的技術(shù)人員理解本發(fā)明,但應(yīng)該清楚��,本發(fā)明不限于具體實(shí)施方式的范圍����,對(duì)本
技術(shù)領(lǐng)域:
:的普通技術(shù)人員來講,只要各種變化在所附的權(quán)利要求限定和確定的本發(fā)明的精神和范圍內(nèi)��,這些變化是顯而易見的�,一切利用本發(fā)明構(gòu)思的發(fā)明創(chuàng)造均在保護(hù)之列。當(dāng)前第1頁(yè)1 2 3 當(dāng)前第1頁(yè)1 2 3