[发明专利]基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法

权利要求书

1.基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法，其特征是：所述算法利用工业防火墙和管理服务器进行工作，所述工业防火墙设置在工业网络和被保护设备网段之间，管理服务器通过向被保护设备发送特殊的网络包，网络包被工业防火墙截获，嵌入在防火墙设备内的深度检查算法处理所述网络包并且回送响应给管理服务器，实现工业防火墙的集中管理与配置，深度检查算法包括了防火墙无IP集中管理模块算法、防火墙自动配置算法、基于配置的深度检查算法；防火墙无IP集中管理模块算法为：

第1步，启动防火墙捕获每一个经过它的网络包；

第2步，根据网络包端口号，网络包格式符合一定条件，过滤出管理包；

第3步，检查此管理包是否是针对自身的；

第4步，针对管理包的内容，进行防火墙自动配置；防火墙自动配置算法为：

1)防火墙判断下游设备类型；

2)根据设备类型向管理服务器发送配置请求，其中配置请求包括被保护设备的IP和被保护设备的类型；

3)管理服务器处理此消息，将配置下载到防火墙中；

第5步，基于配置的深度检查算法根据控制端口连接请求动态打开数据端口，并对控制端口的各种通信进行深度检查，拒绝所有不符合OPC协议的包，具体算法为：

1)是否符合DCE/RPC协议格式，如果否，拒绝此包；

2)是否进行了分片，如果是，拒绝此包；

3)是否是未请求的响应，如果是，拒绝此包；

4)是否为响应包，如果是，到5步，如果否，结束；

5)将此端口作为通信目的端口，建立一条防火墙规则，允许目的端口数据通过，启动超时定时器；

6)是否有超时发生，如果是，删掉对应的那条动态规则，如果否，返回。

2.根据权利要求1所述的深度检查算法，其特征是：工业防火墙的设备接口连接设备网络，网络接口连接上游工业网络，网络包处理模块负责截获数据包，并针对网络流量类型分别将流量发送给管理模块，防火墙模块和工业协议检查模块。

3.根据权利要求1所述的深度检查算法，其特征是：管理服务器的通信模块负责与多个防火墙设备通信，管理配置模块根据防火墙规则数据库，工业协议检查数据库对每个防火墙进行配置，生成的配置放在防火墙设备配置数据库中。