本发明专利技术公开一种网络防火墙系统及对应的方法及非暂时性计算机可读介质。由网络防火墙接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙保护的内部网络内的目的地。所述网络防火墙被配置成基于一套网络策略限制对所述内部网络的接入。由所述网络防火墙将所述网络防火墙处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果。所述网络防火墙基于所述比较结果确定所述网络防火墙处的所述当前流入流量速率大于阈值流入流量速率,且将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
【技术实现步骤摘要】
网络防火墙系统及对应的方法及非暂时性计算机可读介质
本专利技术大体上涉及促进网络安全性的专用机器的
,包括此类专用机器的计算机化变型和对此类变型的改进,以及涉及与促进网络安全性的其它专用机器相比变得改进的此类专用机器的技术。具体地说,本专利技术解决用于包括具有旁路(bypass)的网络分流器(networkshunt)的网络防火墙(networkfirewall)的系统和方法。
技术介绍
大多数人熟悉术语信息技术(IT),其涵盖用于信息处理的技术范围,包括软件、硬件、通信技术和相关服务。操作技术(OperationTechnology;简称OT)是相对更时新的术语,其是指通过直接监视和/或控制企业中的物理装置、过程和事件以检测或致使改变的硬件和软件。举例来说,OT网络连接工业控制系统,例如可编程逻辑控制器(PLC)、监控与数据采集系统(SCADA)、分布式控制系统(DCS)、过程控制域、安全仪表系统和建筑物管理和自动化系统。传统上,OT网络已与IT网络分离地操作。举例来说,OT网络利用针对所需功能优化的专有协议(proprietaryprotocols),其中一些专有协议已被采纳为‘标准’工业通信协议(例如,DNP3、Modbus、Profibus)。近年来,IT标准网络协议在OT装置和系统中实施以降低复杂度且增加与更加传统的IT硬件的相容性(例如,TCP/IP)。这已导致OT系统的安全性的明显降低以及网络流量(networktraffic)负载的显著潜在增加。适合于IT网络的安全性方法可能不适合于OT网络。而且,用于OT网络的现有安全性方法未能响应于流量负载而绕过对流量的基于安全性策略(securitypolicy-based)的检验。
技术实现思路
本专利技术的实施例提供技术方案1:一种方法,包括:由网络防火墙接收第一传入数据包(afirstincomingdatapacket),所述第一传入数据包从外部网络传输到由所述网络防火墙保护的内部网络内的目的地,所述网络防火墙被配置成基于一套网络策略(asetofnetworkpolicies)限制对所述内部网络的接入;由所述网络防火墙将所述网络防火墙处的当前流入流量速率(currentinboundtrafficrate)与阈值流入流量速率进行比较,从而得到比较结果;基于所述比较结果确定所述网络防火墙处的所述当前流入流量速率大于阈值流入流量速率;和当所述网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,由所述网络防火墙将所述第一传入数据包转发(forwarding)到所述内部网络内的所述目的地而没有(without)基于所述一套网络策略检验所述第一传入数据包。本专利技术的实施例提供技术方案2:根据技术方案1所述的方法,进一步包括:在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;确定所述网络防火墙处的所述当前流入流量速率不大于所述阈值流入流量速率;和当所述网络防火墙处的所述当前流入流量速率不大于所述阈值流入流量速率时,由所述网络防火墙根据所述一套网络策略检验所述第二传入数据包,从而得到检验结果。本专利技术的实施例提供技术方案3:根据技术方案2所述的方法,进一步包括:基于所述检验结果确定所述第二传入数据包满足所述一套网络策略;和将所述第二传入数据包转发到所述内部网络内的所述第二目的地。本专利技术的实施例提供技术方案4:根据技术方案2所述的方法,进一步包括:基于所述检验结果确定所述第二传入数据包不满足(notsatisfy)所述一套网络策略;和阻止(blocking)所述第二传入数据包进入所述内部网络。本专利技术的实施例提供技术方案5:根据技术方案1所述的方法,进一步包括:确定与所述第一传入数据包相关联的可接受网络延时水平(acceptablenetworklatencylevel);和基于与所述第一传入数据包相关联的所述可接受网络延时水平确定将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。本专利技术的实施例提供技术方案6:根据技术方案5所述的方法,进一步包括:当网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;确定与所述第二传入数据包相关联的可接受延时水平,与所述第二传入数据包相关联的所述可接受延时水平高于与所述第一传入数据包相关联的所述可接受延时水平;和基于与所述第二传入数据包相关联的所述可接受延时水平确定基于所述一套网络策略检验第二流入数据包。本专利技术的实施例提供技术方案7:根据技术方案1所述的方法,进一步包括:确定所述第一传入数据包的消息传递协议(messagingprotocol);和基于所述第一传入数据包的所述消息传递协议确定将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。本专利技术的实施例提供技术方案8:根据技术方案7所述的方法,进一步包括:当网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;确定所述第二传入数据包的消息传递协议,所述第二传入数据包的所述消息传递协议不同于所述第一传入数据包的所述消息传递协议;和基于所述第二传入数据包的所述消息传递协议确定基于所述一套网络策略检验第二流入数据包。本专利技术的实施例提供技术方案9:根据技术方案8所述的方法,所述第一传入数据包的所述消息传递协议是信息技术协议且所述第二传入数据包的所述消息传递协议是操作技术协议。本专利技术的实施例提供技术方案10:根据技术方案1所述的方法,所述网络防火墙是虚拟(virtual)网络防火墙。本专利技术的实施例提供技术方案11.一种网络防火墙系统,包括:一个或多个计算机处理器;和存储指令的一个或多个计算机可读介质(computer-readablemediums),所述指令在由所述一个或多个计算机处理器执行时致使所述网络防火墙系统进行以下操作,包括:接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙系统保护的内部网络内的目的地,所述网络防火墙系统被配置成基于一套策略限制对所述内部网络的接入;将所述网络防火墙系统处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果;基于所述比较结果确定所述网络防火墙系统处的所述当前流入流量速率大于阈值流入流量速率;和当所述网络防火墙系统处的所述当前流入流量速率大于所述阈值流入流量速率时,将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于一套网络策略检验所述第一传入数据包。本专利技术的实施例提供技术方案12:根据技术方案11所述的网络防火墙系统,所述操作进一步包括:接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;确定所述网络防火墙系统处的所述当前流入流量速率不大于所述阈值流入流量速率;和当所述网络防火墙系统处的所述当前流入流量速率不大于所述阈值流入流量速率时,根据所述一套网络策略检验所述第二传入数据包本文档来自技高网...
【技术保护点】
1.一种方法,包括:由网络防火墙接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙保护的内部网络内的目的地,所述网络防火墙被配置成基于一套网络策略限制对所述内部网络的接入;由所述网络防火墙将所述网络防火墙处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果;基于所述比较结果确定所述网络防火墙处的所述当前流入流量速率大于阈值流入流量速率;和当所述网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,由所述网络防火墙将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
【技术特征摘要】
2017.05.17 US 62/507623;2017.08.14 US 15/6767741.一种方法,包括:由网络防火墙接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙保护的内部网络内的目的地,所述网络防火墙被配置成基于一套网络策略限制对所述内部网络的接入;由所述网络防火墙将所述网络防火墙处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果;基于所述比较结果确定所述网络防火墙处的所述当前流入流量速率大于阈值流入流量速率;和当所述网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,由所述网络防火墙将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。2.根据权利要求1所述的方法,进一步包括:在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;确定所述网络防火墙处的所述当前流入流量速率不大于所述阈值流入流量速率;和当所述网络防火墙处的所述当前流入流量速率不大于所述阈值流入流量速率时,由所述网络防火墙根据所述一套网络策略检验所述第二传入数据包,从而得到检验结果。3.根据权利要求2所述的方法,进一步包括:基于所述检验结果确定所述第二传入数据包满足所述一套网络策略;和将所述第二传入数据包转发到所述内部网络内的所述第二目的地。4.根据权利要求2所述的方法,进一步包括:基于所述检验结果确定所述第二传入数据包不满足所述一套网络策略;和阻止所述第二传入数据包进入所述内部网络。5.根据权利要求1所述的方法,进一步包括:确定与所述第一传入数据包相关联的可接受网络延时水平;和基于与所述第一传入数据包相关联的所述可接受网络延时水平确定将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。6.根据权利要求5所述的方法,进一步包括:当网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;确定与所述第二传入数据包相关联的可接受延时水平,与所述第二传入数据包相关联的所述可接受延时水平高于与所述第一传入数据包相关联的所述可接受延时水平;和基于与所...
【专利技术属性】
技术研发人员:杨潇恒,
申请(专利权)人:通用电气公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。