基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法制造技术

本发明专利技术涉及一种基于工业协议OPC?Classic的无IP分布式工业防火墙深度检查算法，所述工业防火墙安装在被保护设备的上游，无需提前配置网络信息；简化防火墙的安装、管理、配置工作；同时无IP工业防火墙设计为放置在工业网络边缘，处理流量较少，网络延时小，实时性好。

【技术实现步骤摘要】

本专利技术属于网络
，具体涉及一种基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法。
技术介绍
随着工业设备IP化的发展，网络安全的重要性在工业网络中日益凸显，目前的工业网络主要使用传统的IT防火墙进行保护，此类IT防火墙一般部署在网络入口，譬如说交换机之间，用于集中过滤所有网络流量，很难精确控制带来的时延。同时，在工业网络中，OPC, Modbus等通信协议已广泛使用，这些协议处于ISO网络体系结构的应用层，为了达到工业安全的要求，需要对网络包进行连接跟踪，格式检查等操作，但是，传统IT防火墙并没有针对工业通信协议的特点进行深度安全检测及防护，无法对工业设备进行有效保护，而且安装时需要考虑现有网络拓扑结构，配置IP、路由等信息，大大增加了部署配置管理的复杂度，传统IT防火墙无法满足工业网络安全需要，无法实现工业协议深度检查。
技术实现思路
本专利技术克服了现有技术的不足，提出了基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法，所述工业防火墙安装在被保护设备的上游，无需提前配置网络信息；简化防火墙的安装、管理、配置工作；同时无IP工业防火墙设计为放置在工业网络边缘，处理流量较少，网络延时小，实时性好。本专利技术的技术方案为基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法，所述算法利用工业防火墙和管理服务器进行工作，所述工业防火墙设置在工业网络和被保护设备网段之间，管理服务器通过向被保护设备发送特殊的网络包，网络包被工业防火墙截获，嵌入在防火墙设备内的深度检查算法处理所述网络包并且回送响应给管理服务器，实现工业防火墙的集中管理与配置，深度检查算法包括了防火墙无IP集中管理模块算法、防火墙自动配置算法、基于配置的深度检查算法；防火墙无IP集中管理模块算法为第1步，启动防火墙捕获每一个经过它的网络包；第2步，根据网络包端口号，网络包格式符合一定条件，过滤出管理包；第3步，检查此管理包是否是针对自身的；第4步,针对管理包的内容,进行防火墙自动配置；防火墙自动配置算法为1)防火墙判断下游设备类型；2)根据设备类型向管理服务器发送配置请求，其中配置请求包括被保护设备的IP和被保护设备的类型；3)管理服务器处理此消息，将配置下载到防火墙中；第5步，基于配置的深度检查算法根据控制端口连接请求动态打开数据端口，并对控制端口的各种通信进行深度检查，拒绝所有不符合OPC协议的包，具体算法为I)是否符合DCE/RPC协议格式，如果否，拒绝此包；2)是否进行了分片，如果是，拒绝此包；3)是否是未请求的响应，如果是，拒绝此包；4)是否为响应包，如果是，到5步，如果否，结束；5)将此端口作为通信目的端口，建立一条防火墙规则，允许目的端口数据通过，启动超时定时器；6)是否有超时发生，如果是，删掉对应的那条动态规则，如果否，返回。工业防火墙的设备接口连接设备网络，网络接口连接上游工业网络，网络包处理模块负责截获数据包，并针对网络流量类型分别将流量发送给管理模块，防火墙模块和工业协议检查模块。管理服务器的通信模块负责与多个防火墙设备通信，管理配置模块根据防火墙规则数据库，工业协议检查数据库对每个防火墙进行配置，生成的配置放在防火墙设备配置数据库中。本专利技术具有如下有益效果本专利技术安装工业防火墙上，工业防火墙在被保护设备的上游，无需提前配置网络信息；集中发现管理配置防火墙，简化防火墙的安装、管理、配置工作；同时无IP工业防火墙针对工业网络实时性要求高的特点，设计为放置在工业网络边缘，主要用于保护工业网络的关键设备，处理流量较少`，网络延时小，实时性好；该防火墙针对工业通信协议的特点，进行深度检查和状态跟踪，对设备的防护更加的精确严密，使得工业网络更加的安全；同时，该防火墙无IP的特点可天然的防止任何基于IP的攻击，使防火墙更加的稳定。附图说明 以下结合附图和具体实施方式进一步说明本专利技术。 图1为本专利技术工业防火墙方案部署示意 图2为本专利技术防火墙设备框 图3为本专利技术管理服务器框 图4为本专利技术防火墙对管理包的处理流程 图5为本专利技术管理服务器对防火墙设备探测与配置流程 图6为本专利技术OPCClassic深度检查流程图。具体实施例方式参见图1至图6所示，本专利技术所述算法利用工业防火墙和管理服务器进行工作，所述工业防火墙设置在工业网络和被保护设备网段之间，管理服务器通过向被保护设备发送特殊的网络包，网络包被工业防火墙截获，嵌入在防火墙设备内的深度检查算法处理所述网络包并且回送响应给管理服务器，实现工业防火墙的集中管理与配置，深度检查算法包括了防火墙无IP集中管理模块算法、防火墙自动配置算法、基于配置的深度检查算法。参见图1所示，防火墙设备被部署在工业网络边缘，用于有针对性保护多个工业设备。防火墙管理服务器集中发现管理防火墙设备并进行配置。本专利技术涉及对防火墙设备与防火墙管理服务器的设计，其中防火墙设备为二层透明防火墙，无需配置IP，可以配置为针对具体工业协议进行深度检查；管理服务器集中发现多个防火墙设备进行管理配置。参见图2所示，防火墙设备框图中，设备接口连接设备网络，网络接口连接上游工业网络，网络包处理模块负责截获数据包，并针对网络流量类型分别将流量发送给管理模块，防火墙模块和工业协议检查模块。管理模块主要负责和管理服务器进行交互，实现远程管理与配置。防火墙模块负责普通流量的过滤。工业协议检查模块负责对具体的工业协议进行深度检查。参见图3所示，网络接口连接到工业网络中，通信模块负责与多个防火墙设备通信，管理配置模块根据防火墙规则数据库，工业协议检查数据库对每个防火墙进行配置，生成的配置放在防火墙设备配置数据库中。针对无IP工业防火墙设备的设计需要描述无IP管理配置的原理、工业协议(0PCclassic)深度检查原理。针对管理服务器的设计需要对集中管理配置的工作原理进行描述。管理服务器通过向被保护设备发送特殊的网络包，网络包被工业防火墙设备截获，防火墙设备的管理模块处理此包并且回送响应给管理服务器，实现防火墙设备的集中管理与配置。 工业协议OPC classic的深度检查包括了动态打开通讯端口、阻止非法OPC连接请求、超时后自动关闭无效通信等功能。参见图4所示，图4描述了防火墙设备对经过他的管理包进行截获处理，从而实现没有IP也可以被管理的功能，参见图5所示，管理服务器需要集中管理多个防火墙设备，需要实现对防火墙的探测与配置两个过程。(2)工业协议OPC Classic深度检查方案，OPC classic深度检查方案需要实现数据通信端口根据需求自动打开、阻止非法OPC请求、延时自动关闭非法通信功能。图6描述了这三种功能的实现原理。本文档来自技高网...

【技术保护点】
基于工业协议OPC?Classic的无IP分布式工业防火墙深度检查算法，其特征是：所述算法利用工业防火墙和管理服务器进行工作，所述工业防火墙设置在工业网络和被保护设备网段之间，管理服务器通过向被保护设备发送特殊的网络包，网络包被工业防火墙截获，嵌入在防火墙设备内的深度检查算法处理所述网络包并且回送响应给管理服务器，实现工业防火墙的集中管理与配置，深度检查算法包括了防火墙无IP集中管理模块算法、防火墙自动配置算法、基于配置的深度检查算法；防火墙无IP集中管理模块算法为：第1步，启动防火墙捕获每一个经过它的网络包；第2步，根据网络包端口号，网络包格式符合一定条件，过滤出管理包；第3步，检查此管理包是否是针对自身的；第4步，针对管理包的内容，进行防火墙自动配置；防火墙自动配置算法为：1)防火墙判断下游设备类型；2)根据设备类型向管理服务器发送配置请求，其中配置请求包括被保护设备的IP和被保护设备的类型；3)管理服务器处理此消息，将配置下载到防火墙中；第5步，基于配置的深度检查算法根据控制端口连接请求动态打开数据端口，并对控制端口的各种通信进行深度检查，拒绝所有不符合OPC协议的包，具体算法为：1)是否符合DCE/RPC协议格式，如果否，拒绝此包；2)是否进行了分片，如果是，拒绝此包；3)是否是未请求的响应，如果是，拒绝此包；4)是否为响应包，如果是，到5步，如果否，结束；5)将此端口作为通信目的端口，建立一条防火墙规则，允许目的端口数据通过，启动超时定时器；6)是否有超时发生，如果是，删掉对应的那条动态规则，如果否，返回。...

【技术特征摘要】
1.基于エ业协议OPCClassic的无IP分布式エ业防火墙深度检查算法，其特征是所述算法利用エ业防火墙和管理服务器进行工作，所述エ业防火墙设置在エ业网络和被保护设备网段之间，管理服务器通过向被保护设备发送特殊的网络包，网络包被エ业防火墙截获，嵌入在防火墙设备内的深度检查算法处理所述网络包并且回送响应给管理服务器，实现エ业防火墙的集中管理与配置，深度检查算法包括了防火墙无IP集中管理模块算法、防火墙自动配置算法、基于配置的深度检查算法；防火墙无IP集中管理模块算法为 第I步，启动防火墙捕获每ー个经过它的网络包； 第2步，根据网络包端口号，网络包格式符合一定条件，过滤出管理包； 第3歩，检查此管理包是否是针对自身的； 第4步，针对管理包的内容，进行防火墙自动配置；防火墙自动配置算法为 1)防火墙判断下游设备类型； 2)根据设备类型向管理服务器发送配置请求，其中配置请求包括被保护设备的IP和被保护设备的类型； 3)管理服务器处理此消息，将配置下载到防火墙中； 第5歩，基于配置...

【专利技术属性】
技术研发人员：仇亚仁，刘安正，樊庆欣，温克强，彭亮，武晓芳，刘文娟，刘成梅，张娟娟，宁春龙，李涛，
申请(专利权)人：青岛海天炜业自动化控制系统有限公司，
类型：发明
国别省市：