一种无IP防火墙的安全规则配置方法技术

技术编号:15727067 阅读:73 留言:0更新日期:2017-06-29 23:24
本发明专利技术公开了一种无IP防火墙的安全规则配置方法,通过将无IP防火墙部署在被保护设备前端,防火墙管理系统在发送的探测数据包以及配置数据包时,并不是直接发送到无IP防火墙,而是通过向被保护设备发送数据,由防火墙截获,识别以及处理来完成安全规则配置。为了对数据包进行准确识别,该发明专利技术首先使用特殊端口号作为第一个特征,接着使用自定义应用层协议包头作为第二个特征,最后再针对识别的数据包类型进行相应的处理。

【技术实现步骤摘要】
一种无IP防火墙的安全规则配置方法
本专利技术属于工业控制系统信息安全
,更为具体地讲,涉及一种无IP防火墙的安全规则配置方法。
技术介绍
随着工业化与信息化进程不断交叉融合,信息,网络,互联网技术逐渐应用于工业控制领域,工业控制系统正逐步打破曾经的封闭性。目前的工业网络主要使用传统的防火墙进行防护,此类防火墙通常具有IP地址,才能进行精确地探测及规则配置,然而有IP地址防火墙在局域网内是可以被扫描工具探测到,防火墙本身可能作为被攻击对象,进而攻击整个控制网络;并且有IP的防火墙在接入网络中会改变整个控制网络的拓扑结构,在安装与管理上有着缺陷。为了更好地防护效果,通常会将它设置为无IP的模式,此时该防火墙的管理配置依靠传统技术很难实现。在工业控制网络中,对这种无IP的防火墙进行统一管理及安全规则配置成为了必须。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提供一种无IP防火墙的安全规则配置方法,实现了工业控制网络内所有无IP防火墙的探测、管理、安全规则配置。为实现上述专利技术目的,本专利技术一种无IP防火墙的安全规则配置方法,其特征在于,包括以下步骤:(1)、部署无IP防火墙将防火墙直接串联在被保护设备前方,使所有发送到被保护设备的数据包都通过无IP防火墙;(2)、使用防火墙管理系统探测网络中的所有无IP防火墙防火墙管理系统可以向网络中已知的被保护设备发送特殊的探测数据包,探测数据包会经过被保护设备前方的无IP防火墙,探测数据包在经过防火墙时会被截获、识别、处理;(2.1)、防火墙管理系统发送探测数据包防火墙管理系统向网络中已知其IP地址的被保护设备发送探测数据包,若被保护设备前部署了无IP防火墙,那该探测数据包通过无IP防火墙,无IP防火墙产生响应并回复防火墙管理系统;否则探测数据包失效;(2.2)、无IP防火墙识别探测数据包探测数据包经过无IP防火墙时,无IP防火墙先检测该探测数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(2.3)(2.3)、无IP防火墙处理探测数据包首先解析收到的探测数据包,提取探测数据包中防火墙管理系统的IP地址和MAC地址并保存到无IP防火墙本地;再将防火墙MAC地址与被保护设备IP地址作为探测结果;(2.4)、无IP防火墙上传探测结果信息至防火墙管理系统无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将探测结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为探测结果数据包再上传至防火墙管理系统,进入步骤(2.5);(2.5)、防火墙管理系统处理探测结果数据包防火墙管理系统解析探测结果数据包,读取探测结果数据包中的无IP防火墙MAC地址与被保护设备的IP地址,确定出无IP防火墙具体保护设备,并将该信息保存在防火墙管理系统;(3)防火墙管理系统对网络中的无IP防火墙进行规则配置(3.1)防火墙管理系统发送配置包防火墙管理系统找到所有可以保护的设备IP,接着在防火墙管理系统中编辑规则配置信息,再将目的IP地址设置为被保护设备的IP地址,增加自定义应用层协议头,并连同规则配置信息一起封装成规则配置数据包;(3.2)、无IP防火墙识别规则配置数据包当规则配置数据包经过无IP防火墙时,无IP防火墙检测规则配置数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(3.3)(3.3)、无IP防火墙处理规则配置数据包无IP防火墙对规则配置数据包进行解析,读取出规则配置信息,再根据规则配置信息生成防火墙安全规则,最后将安全规则的日志信息作为配置结果;(3.4)、无IP防火墙上传配置结果信息至防火墙管理系统无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将配置结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为配置结果数据包再上传至防火墙管理系统,进入步骤(3.5);(3.5)、防火墙管理系统处理配置结果数据包防火墙管理系统收到配置结果数据包后,确认安全规则配置成功,并解析配置结果信息保存到数据库。本专利技术的
技术实现思路
是这样实现的:本专利技术一种无IP防火墙的安全规则配置方法,通过将无IP防火墙部署在被保护设备前端,防火墙管理系统在发送的探测数据包以及配置数据包时,并不是直接发送到无IP防火墙,而是通过向被保护设备发送数据,由防火墙截获,识别以及处理来完成安全规则配置。为了对数据包进行准确识别,该专利技术首先使用特殊端口号作为第一个特征,接着使用自定义应用层协议包头作为第二个特征,最后再针对识别的数据包类型进行相应的的处理。同时,本专利技术一种无IP防火墙的安全规则配置方法还具有以下有益效果:(1)、无IP防火墙安装在被保护设备上层,无需提前配置网络信息,即可随时接入工业控制网络,不会改变工业控制网络拓扑结构;(2)、集中管理配置控制网络中的所有无IP防火墙,简化防火墙安装,管理以及配置的工作,操作简单,流程清晰,易于上手;(3)、无IP防火墙针对工业控制网络实时性要求高的特点,设计为放置在工业网络边缘,主要用于保护工业控制网络中的关键设备,处理流量少,网络延时小,实时性良好;(4)、无IP防火墙可防止IP扫描,防止基于IP地址的攻击,因此,无IP防火墙更加安全稳定有效。附图说明图1是无IP防火墙的部署原理图;图2是无IP防火墙防功能模块图;图3是数据包识别模块逻辑结构图;图4是探测包处理模块逻辑结构图;图5是安全规则配置模块逻辑结构图;图6是无IP通信模块逻辑结构图。具体实施方式下面结合附图对本专利技术的具体实施方式进行描述,以便本领域的技术人员更好地理解本专利技术。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本专利技术的主要内容时,这些描述在这里将被忽略。实施例图1是无IP防火墙的部署原理图。在本实施例中,提供了一种全新的工业防火墙管理及安全规则配置方法,所有的工业防火墙不再拥有IP地址,这些无IP的防火墙设备通过对数据包识别、探测包处理、配置包的处理、无IP通信模块与防火墙管理配置系统相互配合作用,形成一套完整的基于无IP工业防火墙的安全规则配置方式。如图1所示,无IP防火墙的部署时,无IP防火墙应设置在工业网络与被保护设备之间,在被保护设备上游必须有一台无IP工业防火墙,因为防火墙是无IP的模式,防火墙管理系统无法直接向它发送数据包,防火墙管理系统是以被保护设备IP地址为目的地址发送数据包,此时必然会通过被保护设备上游的防火墙,无IP防火墙根据数据包特征进行识别,识别完成后,交给防火墙不同模块进行处理,探测包与配置包由自定义应用层协议头封装,具有不同的特征。在管理系统进行设备探测时,可以通过扫描自定义的IP范围来探测哪个设备上游部署了无IP防火墙。例如:在某个局域网内,IP地址范围为172.16.10.1/24~172.16.10.254/24,可以自定义IP地址范围进行探测,例如只扫描IP地址172.16.10.20/24~172.16.10.30/24之间的设备前是否有防火墙设备。探测完毕后才能进行相本文档来自技高网
...
一种无IP防火墙的安全规则配置方法

【技术保护点】
一种无IP防火墙的安全规则配置方法,其特征在于,包括以下步骤:(1)、部署无IP防火墙将防火墙直接串联在被保护设备前方,使所有发送到被保护设备的数据包都通过无IP防火墙;(2)、使用防火墙管理系统探测网络中的所有无IP防火墙防火墙管理系统可以向网络中已知的被保护备发送特殊的探测数据包,探测数据包会经过被保护设备前方的无IP防火墙,探测数据包在经过防火墙时会被截获、识别、处理;(2.1)、防火墙管理系统发送探测数据包防火墙管理系统向网络中已知其IP地址的被保护设备发送探测数据包,若被保护设备前部署了无IP防火墙,那该探测数据包通过无IP防火墙,无IP防火墙产生响应并回复防火墙管理系统;否则探测数据包失效;(2.2)、无IP防火墙识别探测数据包探测数据包经过无IP防火墙时,无IP防火墙先检测该探测数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(2.3)(2.3)、无IP防火墙处理探测数据包首先解析收到的探测数据包,提取探测数据包中防火墙管理系统的IP地址和MAC地址并保存到无IP防火墙本地;再将防火墙MAC地址与被保护设备IP地址作为探测结果;(2.4)、无IP防火墙上传探测结果信息至防火墙管理系统无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将探测结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为探测结果数据包再上传至防火墙管理系统,进入步骤(2.5);(2.5)、防火墙管理系统处理探测结果数据包防火墙管理系统解析探测结果数据包,读取探测结果数据包中的无IP防火墙MAC地址与被保护设备的IP地址,确定出无IP防火墙具体保护设备,并将该信息保存在防火墙管理系统;(3)防火墙管理系统对网络中的无IP防火墙进行规则配置(3.1)防火墙管理系统发送配置包防火墙管理系统找到所有可以保护的设备IP,接着在防火墙管理系统中编辑规则配置信息,再将目的IP地址设置为被保护设备的IP地址,增加自定义应用层协议头,并连同规则配置信息一起封装成规则配置配置数据包;(3.2)、无IP防火墙识别规则配置数据包当规则配置数据包经过无IP防火墙时,无IP防火墙检测规则配置数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(3.3)(3.3)、无IP防火墙处理规则配置数据包无IP防火墙对规则配置数据包进行解析,读取出规则配置信息,再根据规则配置信息生成防火墙安全规则,最后将安全规则的日志信息作为配置结果;(3.4)、无IP防火墙上传配置结果信息至防火墙管理系统无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将配置结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为配置结果数据包再上传至防火墙管理系统,进入步骤(3.5);(3.5)、防火墙管理系统处理配置结果数据包防火墙管理系统收到配置结果数据包后,确认安全规则配置成功,并解析配置结果信息保存到数据库。...

【技术特征摘要】
1.一种无IP防火墙的安全规则配置方法,其特征在于,包括以下步骤:(1)、部署无IP防火墙将防火墙直接串联在被保护设备前方,使所有发送到被保护设备的数据包都通过无IP防火墙;(2)、使用防火墙管理系统探测网络中的所有无IP防火墙防火墙管理系统可以向网络中已知的被保护备发送特殊的探测数据包,探测数据包会经过被保护设备前方的无IP防火墙,探测数据包在经过防火墙时会被截获、识别、处理;(2.1)、防火墙管理系统发送探测数据包防火墙管理系统向网络中已知其IP地址的被保护设备发送探测数据包,若被保护设备前部署了无IP防火墙,那该探测数据包通过无IP防火墙,无IP防火墙产生响应并回复防火墙管理系统;否则探测数据包失效;(2.2)、无IP防火墙识别探测数据包探测数据包经过无IP防火墙时,无IP防火墙先检测该探测数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(2.3)(2.3)、无IP防火墙处理探测数据包首先解析收到的探测数据包,提取探测数据包中防火墙管理系统的IP地址和MAC地址并保存到无IP防火墙本地;再将防火墙MAC地址与被保护设备IP地址作为探测结果;(2.4)、无IP防火墙上传探测结果信息至防火墙管理系统无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将探测结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为探测结果数据包再上传至防火墙管理系统,进入步骤(2.5);(2.5)、防火墙管理系统处理探测结果数据包防火墙管理系统解析探测结果数据...

【专利技术属性】
技术研发人员:辛晓帅邹见效郑宏何建
申请(专利权)人:四川电科智造科技有限公司
类型:发明
国别省市:四川,51

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1