【技术实现步骤摘要】
本文中所公开的主题总体上涉及针对工业网络的防火墙,并且更具体地,涉及可以按照应用级指定规则的防火墙。
技术介绍
工业控制器为用于例如在工厂环境中控制工业处理或机器的专用计算机系统。通常,工业控制器执行所存储的控制程序,所存储的控制程序从与受控的处理或机器关联的各种传感器读取输入。感测处理或机器的状况以及基于这些输入和所存储的控制程序,工业控制器确定用于控制针对处理或机器的执行器的一组输出。工业控制器与传统计算机在许多方面具有不同。物理上,与传统计算机相比,工业控制器被创建成基本上更能抵抗撞击和损坏,并且更好地承受极端环境状况。处理器和操作系统被优化用于实时控制并且使用被设计成容许控制程序的快速开发的语言进行编程,其中,控制程序的开发根据机器控制应用或处理控制应用的不断变化的设置来调整。通常,工业控制器具有使得能够例如使用不同数目和不同类型的输入模块和输出模块来将控制器连接至要控制的处理或机器的高度模块化架构。该模块化通过使用适于高度依赖和可用实时通信的专用“控制网络”来促进。这样的控制网络(例如,ControlNet、EtherNet/IP或者DeviceNet)与标准通信网络(例如,以太网)的不同之处在于,通过预先规划网络的通信能力和/或提供针对高可用性的冗余通信能力来保证最大通信延迟。此外,根据针对特定网络限定的协议例如通用工业协议(CIP)来对控制网络上传送的包进行格式化。随 ...
【技术保护点】
一种用于提供连接至工业网络的内部装置与至少一个外部装置之间的安全通信的网络装置,所述网络装置包括:包处理模块,所述包处理模块被配置成接收来自所述至少一个外部装置的第一消息包,以及从所述第一消息包中提取多个片段;应用分类器,所述应用分类器被配置成基于从所述第一消息包中提取的所述多个片段来识别至少一个应用功能,其中,每个应用功能包括第一消息包和至少一个附加消息包;存储器装置,所述存储器装置存储包括多个规则的规则数据库,其中,每个规则限定应用功能是否被允许;以及规则引擎,所述规则引擎被配置成将由所述应用分类器识别的至少一个应用功能与所述规则数据库中的每个应用功能进行比较,其中,当所识别的应用功能被所述规则中的一个允许时,所述网络装置在所述外部装置与所述内部装置之间建立连接并且将所述第一消息包传送至所述内部装置。
【技术特征摘要】
2014.11.26 US 14/554,6211.一种用于提供连接至工业网络的内部装置与至少一个外部装置之
间的安全通信的网络装置,所述网络装置包括:
包处理模块,所述包处理模块被配置成接收来自所述至少一个外部装
置的第一消息包,以及从所述第一消息包中提取多个片段;
应用分类器,所述应用分类器被配置成基于从所述第一消息包中提取
的所述多个片段来识别至少一个应用功能,其中,每个应用功能包括第一
消息包和至少一个附加消息包;
存储器装置,所述存储器装置存储包括多个规则的规则数据库,其中,
每个规则限定应用功能是否被允许;以及
规则引擎,所述规则引擎被配置成将由所述应用分类器识别的至少一
个应用功能与所述规则数据库中的每个应用功能进行比较,其中,当所识
别的应用功能被所述规则中的一个允许时,所述网络装置在所述外部装置
与所述内部装置之间建立连接并且将所述第一消息包传送至所述内部装
置。
2.根据权利要求1所述的网络装置,其中,当所识别的与所述附加
消息包对应的应用功能被所述规则中的一个允许时,所述规则引擎容许将
所述附加消息包中的每个附加消息包传送至所述内部装置。
3.根据权利要求1所述的网络装置,其中,所述应用分类器读取所
述多个片段并且确定所接收的每个包是所述第一消息包还是所述附加消
息包中的一个。
4.根据权利要求3所述的网络装置,其中:
所述存储器装置存储限定多个应用功能的应用数据库,所述多个应用
功能识别属于所述应用功能中的每个应用功能的所述第一消息包和每个
附加消息包,
所述规则引擎包括第一状态,在所述第一状态下,将与所述第一数据
包中的一个对应的每个应用功能与所述数据库中的所述多个规则进行比
较,以确定所述应用功能是被允许还是被拒绝,以及确定是否传送所述第
一消息包,以及
所述规则引擎包括第二状态,在所述第二状态下,传送与每个被允许
的应用功能对应的所述附加消息包。
5.根据权利要求4所述的网络装置,其中,所述应用数据库针对每
个应用功能限定多个状态。
6.根据权利要求4所述的网络装置,其中,多个外部装置连接至多
个内部装置,以及其中,所述网络装置在所述外部装置与所述内部装置之
间建立多个连接,所述网络装置还包括连接管理器,所述连接管理器被配
置成保持每个连接的记录和每个连接的当前状态。
7.根据权利要求4所述的网络装置,其中,所述应用数据库针对每
个应用功能限定多个包签名。
8.根据权利要求7所述的网络装置,其中:
所述多个规则能够从用户界面配置,
每个规则包括与所述第一消息包和所述附加消息包中的一个对应的
应用功能,以及
所述多个包签名中的每个包签名在显示在所述用户界面上之前被加
密。
9.根据权利要求1所述的...
【专利技术属性】
技术研发人员:布赖恩·A·巴特克,西瓦拉姆·巴拉苏布拉马尼安,彼得·普塔切克,塔里尔·贾斯珀,
申请(专利权)人:洛克威尔自动控制技术股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。