网络报文过滤方法、电子设备及存储介质技术

本发明专利技术公开一种网络报文过滤方法，应用工控防火墙，该方法包括：启动工控防火墙的核心代理层的核心代理程序，并初始化所加载的工业协议插件；根据用户通过规则管理层的配置策略启动对应工业协议监听进程；当监听到网络报文，且工控防火墙工作在网桥模式下时通过网桥模式socket查找匹配；若查找到匹配则将网络报文重定向到所述核心代理程序，并将网络报文转入核心代理程序；核心代理程序根据配置策略对网络报文进行转发或阻断处理。本发明专利技术核心代理层以netfilter框架提供的透明代理为基础，并在此基础上增加对网桥模式功能的支持，基于透明代理的工业协议分析引擎能够有效抵御syn flood攻击。

【技术实现步骤摘要】
网络报文过滤方法、电子设备及存储介质
本专利技术涉及工业控制
，尤其涉及一种网络报文过滤方法、电子设备及存储介质。
技术介绍
工业控制系统中，为保护工业生产环境网络安全，越来越多的引入了工业防火墙。工业防火墙需要对网络报文进行深度协议解析，并能够对非法协议数据进行拦截，如果通过简单地丢弃报文策略进行控制可能导致某些工控软件产生异常。此外，防火墙支持不同接入网络工作模式(例如，路由模式和网桥模式)，路由模式下可能又会开启NAT功能，对于基于透明代理实现的协议分析引擎来说，不同的工作模式可能导致代理程序无法正常工作。同时对于使用动态端口的协议(如opc/ftp等)来说，也会影响代理程序的正常工作。
技术实现思路
本专利技术实施例提供一种网络报文过滤方法、电子设备及存储介质，用于至少解决上述技术问题之一。第一方面，本专利技术实施例提供一种网络报文过滤方法，应用工控防火墙，所述工控防火墙配置有工业协议分析引擎，所述工业协议分析引擎包括核心代理层、协议分析层和规则管理层，所述方法包括：启动所述核心代理层的核心代理程序，并初始化所加载的工业协议插件；根据用户通过规则管理层的配置策略启动对应工业协议监听进程；当监听到网络报文，且所述工控防火墙工作在网桥模式下时通过网桥模式socket查找匹配；若查找到匹配则将所述网络报文重定向到所述核心代理程序，并将所述网络报文转入所述核心代理程序；所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理。第二方面，本专利技术实施例提供一种存储介质，所述存储介质中存储有一个或多个包括执行指令的程序，所述执行指令能够被电子设备(包括但不限于计算机，服务器，或者网络设备等)读取并执行，以用于执行本专利技术上述任一项网络报文过滤方法。第三方面，提供一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本专利技术上述任一项网络报文过滤方法。第四方面，本专利技术实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任一项网络报文过滤方法。本专利技术实施例的有益效果在于：本专利技术核心代理层以netfilter框架提供的透明代理为基础，并在此基础上增加对网桥模式功能的支持，基于透明代理的工业协议分析引擎能够有效抵御synflood攻击。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为采用工业协议分析引擎的工控防火墙用于客户端和服务器间通信的示意图；图2为本专利技术的网络报文过滤方法的一实施例的流程图；图3为本专利技术的网络报文过滤方法的另一实施例的流程图；图4为本专利技术的网络报文过滤方法的一实施例的流程图；图5为本专利技术的网络报文过滤方法的另一实施例的流程图；图6为本专利技术的网络报文过滤方法的一实施例的流程图；图7为本专利技术的网络报文过滤方法的另一实施例的流程图；图8为本专利技术的网络报文过滤方法的一实施例的流程图；图9为本专利技术的网络报文过滤方法的另一实施例的流程图；图10为本专利技术的电子设备的一实施例的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”，不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。为解决现有技术中所存在的问题，本专利技术提出一种基于透明代理实现的工业协议分析引擎，该工业协议分析引擎分为三个模块：核心代理层、协议分析层和规则管理层，其用于工控防火墙。如图1所示为采用工业协议分析引擎的工控防火墙用于客户端和服务器间通信的示意图。客户端到服务器的通信，从客户端或服务器上看只有一条通信链路，客户端到服务器直接通信；从防火墙上看，有两条通信链路：客户端和核心代理层通信链路，核心代理层和服务器通信链路。核心代理层采用应用层透明代理实现，利用内核网络协议栈代理传输层协议(tcp/udp)，维护通信会话，向客户端和服务器转发数据，并能够自适应防火墙不同的工作模式(例如，网桥模式、路由模式)。协议分析层集成各种工业协议解析插件，负责深度分析工控协议并控制协议数据，支持opc、modbus、s7等常用工控协议。规则管理层用于管理用户配置规则集，负责工控协议策略匹配。核心代理层以netfilter框架提供的透明代理为基础，并在此基础上增加对网桥模式、SNAT、动态端口等功能的支持。基于透明代理的工业协议分析引擎能够有效抵御synflood攻击。如图2所示，本专利技术的实施例提供一种网络报文过滤方法，应用工控防火墙，所述工控防火墙配置有工业协议分析引擎，所述工业协议分析引擎包括核心代理层、协议分析层和规则管理层，所述方法包括：S11、启动所述核心代理层的核心代理程序，并初始化所加载的工业协议插件。示例性地，核心代理程序是用户态进程，监听某个固定端口并等待连接到达。S12、根据用户通过规则管理层的配置策略启动对应工业协议监听进程。S13、当监听到网络报文，且所述工控防火墙工作在网桥模式下时通过网桥模式socket查找匹配。S14、若查找到匹配则将所述网络报文重定向到所述核心代理程序，并将所述网络报文转入所述核心代理程序；所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理。示例性地，基于iptables-tproxy模块提供的功能将非本机网络报文送入核心代理程序。以网络报文的五元组信息为匹配规则，将匹配的网络报文送入核心代理程序。如modbus协议(502端口)，将源或目的端口为502的网络报文送入核心代理程序。本实施例中，核心代理层以netfilter框架提供的透明代理为基础，并在此基础上增加对网桥模式本文档来自技高网...

【技术保护点】
1.一种网络报文过滤方法，应用工控防火墙，所述工控防火墙配置有工业协议分析引擎，所述工业协议分析引擎包括核心代理层、协议分析层和规则管理层，所述方法包括：/n启动所述核心代理层的核心代理程序，并初始化所加载的工业协议插件；/n根据用户通过规则管理层的配置策略启动对应工业协议监听进程；/n当监听到网络报文，且所述工控防火墙工作在网桥模式下时通过网桥模式socket查找匹配；/n若查找到匹配则将所述网络报文重定向到所述核心代理程序，并将所述网络报文转入所述核心代理程序；所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理。/n

【技术特征摘要】
1.一种网络报文过滤方法，应用工控防火墙，所述工控防火墙配置有工业协议分析引擎，所述工业协议分析引擎包括核心代理层、协议分析层和规则管理层，所述方法包括：
启动所述核心代理层的核心代理程序，并初始化所加载的工业协议插件；
根据用户通过规则管理层的配置策略启动对应工业协议监听进程；
当监听到网络报文，且所述工控防火墙工作在网桥模式下时通过网桥模式socket查找匹配；
若查找到匹配则将所述网络报文重定向到所述核心代理程序，并将所述网络报文转入所述核心代理程序；所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理。


2.根据权利要求1所述的方法，其特征在于，还包括：
若未查找到匹配，则进行网桥模式五元组匹配；
如果匹配成功，则将所述网络报文重定向到所述核心代理程序，并将所述网络报文转入所述核心代理程序；所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理；
如果未匹配成功，则按网桥模式的其他策略进行报文过滤。


3.根据权利要求1所述的方法，其特征在于，还包括：
当监听到网络报文，且所述工控防火墙工作在路由模式下时，确定所述网络报文的第一会话方向；
如果确定所述第一会话方向为客户端和核心代理层之间，则将所述网络报文与第一域ID的会话关联；
如果确定所述第一会话方向为核心代理层和服务器之间，则将所述网络报文与第二域ID的会话关联。


4.根据权利要求3所述的方法，其特征在于，还包括：对与所述第二域ID的会话关联后的网络报文执行SNAT规则。


5.根据权利要求4所述的方法，其特征在于，还包括：
通过路由模式报文socket...

【专利技术属性】
技术研发人员：李新波，焦颖，
申请(专利权)人：英赛克科技北京有限公司，
类型：发明
国别省市：北京;11