【技术实现步骤摘要】
本专利技术涉及工控安全领域,具体涉及一种集中管理式工业防火墙的快速配置方法及装置。
技术介绍
1、集中管理式工业防火墙主要应用于中大规模的工业现场,其工作模式所有工业防火墙设备都连接到一个集中管理服务器,管理员通过访问集中管理服务器的web服务完成对工业防火墙配置下发和告警日志查看等。一般根据规模不同常用如下两类网络拓扑,如图1所示,为中小规模的网络拓扑和大规模的网络拓扑,由于工业网络对稳定性要求较高,一般均需要为设备配置固定ip。在完成网络物理连接后需要对工业防火墙依次配置固定ip地址、掩码、网关地址及要连接到的集中管理服务器ip地址。为了在不影响现场生产,一般部署防火墙等安全设施需要在短暂的停产时间窗口内完成,这就对工业防火墙的初始化配置和调试时间有了更加严格的要求。
2、传统的配置方式为电脑通过串口线连接到工业防火墙设备,然后根据制定好的配置表通过命令行参数配置,单台工业防火墙的配置时间一般为3分钟左右,如果单个车间部署30台工业防火墙,则总配置时间达90分钟。
3、因此,提供一种解决批量部署工业防火墙的初始配置效率问题,可以有效减少配置时间,极大的降低对生产的影响集中管理式工业防火墙的快速配置方法及装置,已是一个值得研究的问题。
技术实现思路
1、本专利技术的目的是提供一种解决批量部署工业防火墙的初始配置效率问题,可以有效减少配置时间,极大的降低对生产的影响集中管理式工业防火墙的快速配置方法及装置,本专利技术引入配置下发模块和配置接收模块,分别部署于
2、本专利技术的目的是这样实现的:
3、一种集中管理式工业防火墙的快速配置装置,包括位于集中管理服务器内或笔记本电脑中的配置下发模块、位于工业防火墙内的配置接收程序模块;集中管理服务器或者配置用笔记本与工业防火墙通过以太网交换机进行连接,实现一对多的网络拓扑;配置下发程序模块与配置接收程序模块通过ip协议进行通信。
4、所述配置下发程序模块包括dhcp服务端、设备显示模块、组播监听模块、配置下发模块和配置导入模块;dhcp服务端为工业防火墙分配ip后,组播监听模块收到防火墙id和ip信息通过设备显示模块显示;用户可以通过配置输入模块直接选择某个防火墙修改配置信息并下发,也可以直接通过配置导入模块导入批量的设备配置信息通过配置下发模块下发到设备;
5、dhcp服务端模:
6、逻辑位置:网络中的中心角色,负责分配ip地址;工作过程:为新加入网络的工业防火墙设备提供临时ip地址,以便它们能够在网络上进行通信,以确保设备能够在网络上被识别和通信,为后续的配置过程打下基础;
7、设备显示模块:
8、逻辑位置:用户界面的一部分,用于展示信息;工作过程:显示已识别的工业防火墙及其当前状态,如是否已配置、ip地址等;以提供可视化界面,帮助管理员监控和管理网络中的设备状态;
9、组播监听模块:
10、逻辑位置:配置下发程序的一部分,负责监听网络中的组播消息;工作过程:接收工业防火墙通过组播发送的自身状态信息,如id号、配置完成情况等;以实时监控设备状态,为配置下发提供决策依据;
11、配置下发模块:
12、逻辑位置:负责将配置信息发送给特定的设备;工作过程:根据组播监听模块提供的信息,将配置信息(如ip地址、子网掩码、网关、集中管理服务器ip等)下发到特定的工业防火墙;自动化配置过程,提高配置效率和准确性;
13、配置导入模块:
14、逻辑位置:用于导入预先规划的配置信息;工作过程:允许管理员将excel格式的配置信息导入到软件中,以便自动化处理;简化配置信息的输入和管理,减少手动输入错误;
15、配置输入模块:
16、逻辑位置:提供手动输入配置信息的接口;工作过程:允许管理员手动输入那些excel文件中未包含的设备配置信息;提供灵活性,处理特殊情况下的配置需求。
17、所述配置接收程序模块包括dhcp客户端、组播发送模块、配置接收模块和配置写入模块;
18、dhcp客户端:
19、逻辑位置:工业防火墙设备上的模块,用于获取ip地址;工作过程:工业防火墙设备通过dhcp客户端请求并获取临时ip地址,确保设备能够在网络上进行初步通信,以便接收后续的配置信息;
20、组播发送模块:
21、逻辑位置:工业防火墙设备上的模块,用于发送状态信息;工作过程:周期性地发送设备的配置信息,包括id号、配置完成情况和网络配置信息,让配置下发程序模块能够了解设备的状态,以便进行正确的配置下发;
22、配置接收模块:
23、逻辑位置:工业防火墙设备上的模块,用于接收配置信息;工作过程:接收来自配置下发程序模块的配置信息,并进行处理,自动化地接收配置信息,减少手动配置的需求;
24、配置写入模块:
25、逻辑位置:工业防火墙设备上的模块,负责存储配置信息;
26、工作过程:将接收到的配置信息写入设备的本地配置数据库,确保配置信息被正确保存,以便设备按照新的配置运行。
27、一种集中管理式工业防火墙的快速配置方法,包括以下步骤:
28、步骤1:工业防火墙上电,自动启动配置接收程序模块;
29、步骤2:配置下发程序模块启动,配置下发程序模块位于集中管理服务器或者笔记本电脑中;
30、步骤3:在工业防火墙设备上电后,为了使设备能够在网络上进行通信,它需要一个ip地址;配置接收程序模块作为dhcp客户端,向配置下发程序模块发出dhcp请求;配置下发程序模块,作为dhcp服务端,响应这个请求,为工业防火墙分配一个临时的ip地址;这个临时ip地址允许工业防火墙在网络中被识别和通信,同时为后续的配置过程奠定基础;此过程遵循标准的dhcp协议,确保了配置的自动化和标准化,简化了配置流程,提高了配置的效率和可靠性;为工业防火墙设备提供一个基础的网络环境,使其能够在网络上进行基本的通信;
31、步骤4:在工业防火墙设备成功获取临时ip地址后,配置下发程序模块会通过dhcp协议进一步下发网络配置信息,包括子网掩码、默认网关;这些信息对于工业防火墙来说是必要的,因为它们定义了设备的网络通信范围和访问外部网络的路径。配置下发程序模块将所述子网掩码、默认网关信息封装在dhcp响应消息中,发送给工业防火墙;工业防火墙的配置接收程序模块接收信息,并将其应用到设备的网络设置中;工业防火墙就具备完整的网络通信基础环境,可以进行更复杂的网络操作,如发送信息或响应网络请求。确保工业防火墙能够在网络中正常工作,为后续的详细配置和安全策略实施提供必要的网络参数;
32、步骤5:配置接收程序模块获取ip地址成功后,组播发送模块使用分配到的ip地址作为源地址,组播地址作为目本文档来自技高网...
【技术保护点】
1.一种集中管理式工业防火墙的快速配置装置,其特征在于:包括位于集中管理服务器内或笔记本电脑中的配置下发程序模块、位于工业防火墙内的配置接收程序模块;集中管理服务器或者配置用笔记本与工业防火墙通过以太网交换机进行连接,实现一对多的网络拓扑;配置下发程序模块与配置接收程序模块通过IP协议进行通信。
2.根据权利1所述的集中管理式工业防火墙的快速配置装置,其特征在于:所述配置下发程序模块包括DHCP服务端、设备显示模块、组播监听模块、配置下发模块和配置导入模块;DHCP服务端为工业防火墙分配IP后,组播监听模块收到防火墙ID和IP信息通过设备显示模块显示;用户可以通过配置输入模块直接选择某个防火墙修改配置信息并下发,也可以直接通过配置导入模块导入批量的设备配置信息通过配置下发模块下发到设备;
3.根据权利1所述的集中管理式工业防火墙的快速配置装置,其特征在于:所述配置接收程序模块包括DHCP客户端、组播发送模块、配置接收模块和配置写入模块;
4.一种集中管理式工业防火墙的快速配置方法,其特征在于:包括以下步骤:
5.根据权利要求4所述的
...【技术特征摘要】
1.一种集中管理式工业防火墙的快速配置装置,其特征在于:包括位于集中管理服务器内或笔记本电脑中的配置下发程序模块、位于工业防火墙内的配置接收程序模块;集中管理服务器或者配置用笔记本与工业防火墙通过以太网交换机进行连接,实现一对多的网络拓扑;配置下发程序模块与配置接收程序模块通过ip协议进行通信。
2.根据权利1所述的集中管理式工业防火墙的快速配置装置,其特征在于:所述配置下发程序模块包括dhcp服务端、设备显示模块、组播监听模块、配置下发模块和配置导入模块;dhcp服务端为工业防火墙分配ip后,组播监听模块收到防火墙id和ip信息通过设备显示模块显示;用户可以通过配置输入模块直接...
【专利技术属性】
技术研发人员:张刚,吝健全,魏国春,王雄,李晋鹏,唐兵传,李海波,马萌,谢朝光,陈铄,张博,
申请(专利权)人:上海宝冶集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。