本发明专利技术公开一种用于工业防火墙的防护方法及装置、电子设备、存储介质,防护方法包括:接收第一通讯报文,第一通讯报文基于工业控制通信协议生成;对第一通讯报文进行解析,以得到第一报文参数;通过比较第一报文参数与第一预设参数生成第一判断结果,以及根据工业防火墙的历史报文访问信息生成第二判断结果;第一预设参数为预先配置的报文参数;根据第一判断结果和第二判断结果,确定是否允许第一通讯报文通过工业防火墙。本发明专利技术实现了其他通讯报文满足条件后再允许当前的第一通讯报文通过工业防火墙,提升了防火墙的防护效果,扩大了防火墙防护的范围。火墙防护的范围。火墙防护的范围。
【技术实现步骤摘要】
用于工业防火墙的防护方法及装置、电子设备、存储介质
[0001]本专利技术涉及工业防火墙
,具体涉及用于工业防火墙的防护方法及装置、电子设备、存储介质。
技术介绍
[0002]目前,用于工业防火墙的防护流程往往对某一个功能码,某一个寄存器地址或者某一个寄存器值大小进行防护。但是,在实际工业场景中大多是当一种或者几种操作条件达成后,才能进行某一种特定操作。比如,在工业应用中,需要利用带有控制放水指令的通讯报文实现注水开关关断多次后出水开关才能进行放水操作,目前的防火墙防护方案只能是利用通讯报文允许注水和允许放水的防护配置,这样在完成多次注水操作前,放水的操作本应该是禁止的,但是目前的工业防火墙却难以防护,由此,当前用于工业防火墙的防护方法存在防护效果不佳等问题。
技术实现思路
[0003]有鉴于此,本专利技术提供一种用于工业防火墙的防护方法及装置、电子设备、存储介质,以避免目前方法中防护效果不佳的问题。
[0004]本专利技术提出的技术方案如下:
[0005]本专利技术实施例第一方面提供一种用于工业防火墙的防护方法,包括:接收第一通讯报文,所述第一通讯报文基于工业控制通信协议生成;对所述第一通讯报文进行解析,以得到第一报文参数;通过比较所述第一报文参数与第一预设参数生成第一判断结果,以及根据工业防火墙的历史报文访问信息生成第二判断结果;所述第一预设参数为预先配置的报文参数;根据所述第一判断结果和第二判断结果,确定是否允许所述第一通讯报文通过所述工业防火墙。
[0006]本专利技术实施例的用于工业防火墙的防护方法根据比较第一报文参数与第一预设参数生成的第一判断结果,以及根据工业防火墙的历史报文访问信息生成的第二判断结果,确定是否允许第一通讯报文通过工业防火墙,避免了仅依据当前的报文参数进行防护的问题,实现了其他通讯报文满足条件后再允许当前的第一通讯报文通过工业防火墙,提升了防火墙的防护效果,扩大了防火墙防护的范围,提高了防火墙的防护灵活性。
[0007]结合第一方面,在第一方面的第一实施例中,所述第一报文参数包括工业网络协议、寄存器功能码、寄存器地址和寄存器值;所述第一预设参数包括预设网络协议、预设功能码、预设地址和预设值。
[0008]本实施例选择第一报文参数为工业网络协议、寄存器功能码、寄存器地址和寄存器值,第一预设参数包括预设网络协议、预设功能码、预设地址和预设值,实现防火墙的多层防护,提高了防火墙的防护强度。
[0009]结合第一方面的第一实施例,在第一方面的第二实施例中,所述通过比较所述第一报文参数与第一预设参数生成第一判断结果,包括:依次判断所述工业网络协议、寄存器
功能码、寄存器地址及寄存器值是否一一对应匹配所述预设网络协议、预设功能码、预设地址和预设值;若所述工业网络协议、寄存器功能码、寄存器地址及寄存器值均匹配成功,所述第一判断结果为匹配成功;若所述工业网络协议、寄存器功能码、寄存器地址及寄存器值中任一项匹配失败,所述第一判断结果为匹配失败。
[0010]本实施例通过设置工业网络协议、寄存器功能码、寄存器地址及寄存器值依次匹配成功,第一判断结果为匹配成功,其余结果均为匹配失败,提高了防护墙的防护强度。
[0011]结合第一方面及第一方面的第一实施例、第一方面的第二实施例中任一项实施方式,在第一方面的第三实施例中,所述根据工业防火墙的历史报文访问信息生成第二判断结果,包括:判断所述历史报文访问信息是否匹配第二预设参数;若所述历史报文访问信息匹配第二预设参数,所述第二判断结果为匹配成功;否则,第二判断结果为匹配失败。
[0012]本专利技术实施例根据第二通讯报文历史报文访问信息和第二预设参数是否匹配成功确定第二判断结果是否匹配成功,增加利用第二通讯报文历史报文访问信息和第二预设参数的匹配结果判断是否允许第一通讯报文通过工业防火墙的步骤,提高了本防护方法的防护效率。
[0013]结合第一方面的第三实施例,在第一方面的第四实施例中,所述根据所述第一判断结果和第二判断结果,确定是否允许所述第一通讯报文通过工业防火墙,包括:若所述第一判断结果为匹配成功,且所述第二判断结果为匹配成功,允许所述第一通讯报文通过工业防火墙;否则,不允许所述第一通讯报文通过工业防火墙。
[0014]本实施例通过设置第一判断结果匹配成功之后,第二判断结果也匹配成功,才允许第一通讯报文通过工业防火墙,其他情况不允许第一通讯报文通过防火墙的条件,进一步提高防护墙的防护灵活性。
[0015]结合第一方面的第三实施例,在第一方面的第五实施例中,所述判断所述历史报文访问信息是否匹配第二预设参数之前,还包括:查询联动防护记录表,以获取所述历史报文访问信息;所述联动防护记录表中存储有所述历史报文访问信息。
[0016]本专利技术实施例通过查询联动防护记录表获取所述历史报文访问信息,实现查询联动防护记录表确定历史报文访问信息是否匹配第二预设参数,进而确定是否允许第一通讯报文通过工业防火墙,进一步提高了本防护方法的效率。
[0017]结合第一方面的第三实施例,在第一方面的第六实施例中,所述历史报文访问信息包括历史报文通过所述工业防火墙的历史频次,所述第二预设参数包括预设频次;所述判断所述历史报文访问信息是否匹配第二预设参数,包括:若所述历史报文通过所述工业防火墙的历史频次大于等于预设频次,则所述工业防火墙的历史频次匹配预设频次。
[0018]本专利技术实施例实现查询联动防护记录表确定历史报文通过工业防火墙的频次是否匹配预设频次,进而确定是否允许第一通讯报文通过工业防火墙,进一步提高了本防护方法的效率和灵活性。
[0019]本专利技术实施例第二方面提供一种用于工业防火墙的防护装置,包括:接收模块,用于接收第一通讯报文,所述第一通讯报文基于工业控制通信协议生成;解析模块,用于对所述第一通讯报文进行解析,以得到第一报文参数;判断模块,用于通过比较所述第一报文参数与第一预设参数生成第一判断结果,以及根据工业防火墙的历史报文访问信息生成第二判断结果;所述第一预设参数为预先配置的报文参数;确定模块,用于根据所述第一判断结
果和第二判断结果,确定是否允许所述第一通讯报文通过所述工业防火墙。
[0020]本专利技术实施例的用于工业防火墙的防护方法根据比较第一报文参数与第一预设参数生成的第一判断结果,以及根据工业防火墙的历史报文访问信息生成的第二判断结果,确定是否允许第一通讯报文通过工业防火墙,避免了仅依据当前的报文参数进行防护的问题,实现了其他通讯报文满足条件后再允许当前的第一通讯报文通过工业防火墙,提升了防火墙的防护效果,扩大了防火墙防护的范围,提高了防火墙的防护灵活性。
[0021]本专利技术实施例的用于工业防火墙的防护装置根据比较第一报文参数与第一预设参数生成的第一判断结果,以及根据工业防火墙的历史报文访问信息生成的第二判断结果,确定是否允许第一通讯报文通过工业防火墙,避免了仅依据当前的报文参数进行防护的问题,实现了其他通讯报文满足条件后再允许当前的第一通讯报文通本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于工业防火墙的防护方法,其特征在于,包括:接收第一通讯报文,所述第一通讯报文基于工业控制通信协议生成;对所述第一通讯报文进行解析,以得到第一报文参数;通过比较所述第一报文参数与第一预设参数生成第一判断结果,以及根据工业防火墙的历史报文访问信息生成第二判断结果;所述第一预设参数为预先配置的报文参数;根据所述第一判断结果和第二判断结果,确定是否允许所述第一通讯报文通过所述工业防火墙。2.根据权利要求1所述的用于工业防火墙的防护方法,其特征在于,所述第一报文参数包括工业网络协议、寄存器功能码、寄存器地址和寄存器值;所述第一预设参数包括预设网络协议、预设功能码、预设地址和预设值。3.根据权利要求2所述的用于工业防火墙的防护方法,其特征在于,所述通过比较所述第一报文参数与第一预设参数生成第一判断结果,包括:依次判断所述工业网络协议、寄存器功能码、寄存器地址及寄存器值是否一一对应匹配所述预设网络协议、预设功能码、预设地址和预设值;若所述工业网络协议、寄存器功能码、寄存器地址及寄存器值均匹配成功,所述第一判断结果为匹配成功;若所述工业网络协议、寄存器功能码、寄存器地址及寄存器值中任一项匹配失败,所述第一判断结果为匹配失败。4.根据权利要求1至3中任一权利要求所述的用于工业防火墙的防护方法,其特征在于,所述根据工业防火墙的历史报文访问信息生成第二判断结果,包括:判断所述历史报文访问信息是否匹配第二预设参数;若所述历史报文访问信息匹配第二预设参数,所述第二判断结果为匹配成功;否则,第二判断结果为匹配失败。5.根据权利要求4所述的用于工业防火墙的防护方法,其特征在于,所述根据所述第一判断结果和第二判断结果,确定是否允许所述第一通讯报文通过工业防火墙,包括:若所述第一判断结果为匹配成功,且所述第二判断结果为匹配成功...
【专利技术属性】
技术研发人员:康振江,
申请(专利权)人:北京力控华康科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。