具有应用包分类器的防火墙制造技术

本申请涉及具有应用包分类器的防火墙。公开了一种用于建立针对工业网络的防火墙(104)的规则的改进的系统。规则建立在应用级，该规则识别例如在两个装置(100，108)之间要发生的动作。动作可以为例如读取数据表或获取属性，并且为了完成动作，每个动作可能需要在两个装置(100，108)之间传送多个消息包。执行防火墙(104)的网络装置(60)被配置成接收来自发送装置的消息包并且检查消息包，以确定发送装置正在请求执行哪个动作。如果动作与数据库(82)中的规则对应，则网络装置(60)管理两个装置(100，108)之间的通信，直到已经传送了所有的消息包为止。因此，可以在规则数据库(82)中限定单个动作或应用，以容许在装置(100，108)之间传送多个数据包。

【技术实现步骤摘要】

本文中所公开的主题总体上涉及针对工业网络的防火墙，并且更具体地，涉及可以按照应用级指定规则的防火墙。
技术介绍
工业控制器为用于例如在工厂环境中控制工业处理或机器的专用计算机系统。通常，工业控制器执行所存储的控制程序，所存储的控制程序从与受控的处理或机器关联的各种传感器读取输入。感测处理或机器的状况以及基于这些输入和所存储的控制程序，工业控制器确定用于控制针对处理或机器的执行器的一组输出。工业控制器与传统计算机在许多方面具有不同。物理上，与传统计算机相比，工业控制器被创建成基本上更能抵抗撞击和损坏，并且更好地承受极端环境状况。处理器和操作系统被优化用于实时控制并且使用被设计成容许控制程序的快速开发的语言进行编程，其中，控制程序的开发根据机器控制应用或处理控制应用的不断变化的设置来调整。通常，工业控制器具有使得能够例如使用不同数目和不同类型的输入模块和输出模块来将控制器连接至要控制的处理或机器的高度模块化架构。该模块化通过使用适于高度依赖和可用实时通信的专用“控制网络”来促进。这样的控制网络(例如，ControlNet、EtherNet/IP或者DeviceNet)与标准通信网络(例如，以太网)的不同之处在于，通过预先规划网络的通信能力和/或提供针对高可用性的冗余通信能力来保证最大通信延迟。此外，根据针对特定网络限定的协议例如通用工业协议(CIP)来对控制网络上传送的包进行格式化。随着时间推移，由工业控制器控制的机器或处理的复杂性和/或尺寸已经增大。例如，处理流水线可以跨越工业区的隔间的整个长度或者自动存储系统可以分布至整个仓库。因此，已经变得期望提供对控制网络的访问以用于监测机器、处理和/或在受控的机器或处理中执行的单独的元件的性能。类似地，可以期望提供对控制网络的访问以改变在受控的机器或处理中执行的元件的配置或程序。历史上，已经例如经由位于受控的机器或处理附近的专用终端来对机器操作员提供访问。然而，在某些时候，例如在工作期间或解决故障期间，可能期望对处于远程建筑中的用户例如系统程序员或设计者提供访问。控制系统然后可以接口至私用内联网，以允许设计者监测系统。然而，有时候，还可能期望允许经由因特网对远程站点例如现场安装进行访问。可以例如经由需要用户身份和认证的虚拟专用网络(VPN)来建立访问。然而，对受控机器或处理的未授权或不经意地访问可能导致机器或处理的损坏并且引起停机。因此，必须限制对控制网络的访问。通常，可以由在网络装置例如交换机或路由器中建立的规则来限制对网络的访问。规则还被称为防火墙，并且规则确定是否允许将由网络装置接收的包传送至控制网络上。某些协议例如CIP对装置制造商提供了显著的灵活性。协议包括使得不同的装置集成在开放网络中的对象和层的框架。协议提供了例如被配置用于不同的网络——例如EtherNet/IP、DeviceNet或ControlNet——的装置之间的通信。CIP协议还能够被高度扩展以使得未来的装置或网络能够集成。然而，协议的结构使其难以限定防火墙可以操作的规则。CIP协议例如包括许多不同类型的消息。两种主要类型的消息为显式消息和隐式消息。显式消息遵循预定义格式。显式消息可以用于在发送器与接收器之间建立连接并且被配置成请求-答复格式，即，第一装置向第二装置发送第一消息包例如命令或针对数据的请求，并且第二装置发送第二消息包例如对命令或所请求的数据的确认以对第一消息包做出答复。隐式消息基于在发送器与接收器之间所建立的连接而被配置。因为建立了连接，所以不需要使用请求-答复格式。隐式消息还可以以广播格式被发送，即，装置发送消息包并且不预期并且因此不等待答复。隐式消息可以通过外部触发器、以周期间隔或一些其他预定义的触发器机制来发起。显式消息通常用于传送对时间不敏感和/或可以频繁地被发送的配置数据或其他信息数据。隐式消息通常用于传送必须以固定间隔更新和/或需要频繁更新的数据例如输入/输出(I/O)数据。隐式消息几乎不包括与其配置、结构有关的数据或者与消息本身有关的其他数据，以使得传输装置可以有效地生成消息并且接收装置可以以相似的方式有效地处理消息，其中，大量的消息包括根据预定义的格式布置的数据。另外，单个装置可以被配置成与另一装置传送多种类型的消息或者甚至消息序列。电动机驱动例如可以与处理器模块进行通信。电动机驱动可以经由显式消息接收来自处理器模块的配置信息，并且可以经由显式消息将数据例如电动机配置或操作时间传送至处理器模块。电动机驱动还可能需要使用以固定间隔重复的隐式消息从处理器模块传送命令消息例如速度或扭矩命令，并且可以使用以固定间隔的隐式消息以类似的方式将操作数据例如电动机电流或电动机速度传送回处理器模块。取决于处理器模块和电动机驱动在控制系统中的位置，两个装置之间的通信可以通过防火墙。传统的防火墙规则利用例如源地址和/或目的地地址来确定是否允许消息通过防火墙。更复杂的规则还可以检查消息包以确定消息意在进行什么操作(例如，读/写)并且还可以基于消息意在要进行的操作来允许消息包。针对上述与处理器模块通信的电动机驱动的示例，显式消息和隐式消息采用不同的格式、包含不同的消息字段或者以防止单个规则允许电动机驱动与处理器模块之间进行通信的其他方式进行变化。另外，包括在隐式消息中的与消息包自身有关的受限信息可能难以或不能够配置传统防火墙中的用于允许隐式消息通过的规则。系统设计者可能需要扩展CIP协议的知识并且期望对其创建规则集的每个装置容许装置之间的所有的期望通信。另外，某些消息例如故障消息可以不频繁地被发送并且可以具有另外的格式。因此，建立用于允许装置之间的期望通信的有效的防火墙可能需要扩展设置并且可能难以建立所有必要的规则。因此，将期望提供用于建立针对工业网络的防火墙中的规则的改进的系统。
技术实现思路
本文中所公开的主题描述了一种用于建立针对工业网络的防火墙中的规则的改进的系统。该规则建立在应用级，该规则用于识别例如两个装置之间要发生的动作。动作可以为例如读取数据表或者更新固件，并且为了完成，每个动作可能需要在两个装置之间传送多个消息包。执行防火墙的网络装置被配置成接收来自发送装置的消息包并且检查消息包以确定发送装置正在请求执行哪个动作。如果动作与数据库中的规则对应，则网络装置允许消息包通过防火墙并且在两个装置之间通信，直到已经传送了所本文档来自技高网...

【技术保护点】
一种用于提供连接至工业网络的内部装置与至少一个外部装置之间的安全通信的网络装置，所述网络装置包括：包处理模块，所述包处理模块被配置成接收来自所述至少一个外部装置的第一消息包，以及从所述第一消息包中提取多个片段；应用分类器，所述应用分类器被配置成基于从所述第一消息包中提取的所述多个片段来识别至少一个应用功能，其中，每个应用功能包括第一消息包和至少一个附加消息包；存储器装置，所述存储器装置存储包括多个规则的规则数据库，其中，每个规则限定应用功能是否被允许；以及规则引擎，所述规则引擎被配置成将由所述应用分类器识别的至少一个应用功能与所述规则数据库中的每个应用功能进行比较，其中，当所识别的应用功能被所述规则中的一个允许时，所述网络装置在所述外部装置与所述内部装置之间建立连接并且将所述第一消息包传送至所述内部装置。

【技术特征摘要】
2014.11.26 US 14/554,6211.一种用于提供连接至工业网络的内部装置与至少一个外部装置之
间的安全通信的网络装置，所述网络装置包括：
包处理模块，所述包处理模块被配置成接收来自所述至少一个外部装
置的第一消息包，以及从所述第一消息包中提取多个片段；
应用分类器，所述应用分类器被配置成基于从所述第一消息包中提取
的所述多个片段来识别至少一个应用功能，其中，每个应用功能包括第一
消息包和至少一个附加消息包；
存储器装置，所述存储器装置存储包括多个规则的规则数据库，其中，
每个规则限定应用功能是否被允许；以及
规则引擎，所述规则引擎被配置成将由所述应用分类器识别的至少一
个应用功能与所述规则数据库中的每个应用功能进行比较，其中，当所识
别的应用功能被所述规则中的一个允许时，所述网络装置在所述外部装置
与所述内部装置之间建立连接并且将所述第一消息包传送至所述内部装
置。
2.根据权利要求1所述的网络装置，其中，当所识别的与所述附加
消息包对应的应用功能被所述规则中的一个允许时，所述规则引擎容许将
所述附加消息包中的每个附加消息包传送至所述内部装置。
3.根据权利要求1所述的网络装置，其中，所述应用分类器读取所
述多个片段并且确定所接收的每个包是所述第一消息包还是所述附加消
息包中的一个。
4.根据权利要求3所述的网络装置，其中：
所述存储器装置存储限定多个应用功能的应用数据库，所述多个应用
功能识别属于所述应用功能中的每个应用功能的所述第一消息包和每个
附加消息包，
所述规则引擎包括第一状态，在所述第一状态下，将与所述第一数据
包中的一个对应的每个应用功能与所述数据库中的所述多个规则进行比
较，以确定所述应用功能是被允许还是被拒绝，以及确定是否传送所述第
一消息包，以及
所述规则引擎包括第二状态，在所述第二状态下，传送与每个被允许
的应用功能对应的所述附加消息包。
5.根据权利要求4所述的网络装置，其中，所述应用数据库针对每
个应用功能限定多个状态。
6.根据权利要求4所述的网络装置，其中，多个外部装置连接至多
个内部装置，以及其中，所述网络装置在所述外部装置与所述内部装置之
间建立多个连接，所述网络装置还包括连接管理器，所述连接管理器被配
置成保持每个连接的记录和每个连接的当前状态。
7.根据权利要求4所述的网络装置，其中，所述应用数据库针对每
个应用功能限定多个包签名。
8.根据权利要求7所述的网络装置，其中：
所述多个规则能够从用户界面配置，
每个规则包括与所述第一消息包和所述附加消息包中的一个对应的
应用功能，以及
所述多个包签名中的每个包签名在显示在所述用户界面上之前被加
密。
9.根据权利要求1所述的...

【专利技术属性】
技术研发人员：布赖恩·A·巴特克，西瓦拉姆·巴拉苏布拉马尼安，彼得·普塔切克，塔里尔·贾斯珀，
申请(专利权)人：洛克威尔自动控制技术股份有限公司，
类型：发明
国别省市：美国;US