[发明专利]基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法

说明书

技术领域

本发明属于网络技术领域，具体涉及一种基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法。 

背景技术

随着工业设备IP化的发展，网络安全的重要性在工业网络中日益凸显，目前的工业网络主要使用传统的IT防火墙进行保护，此类IT防火墙一般部署在网络入口，譬如说交换机之间，用于集中过滤所有网络流量，很难精确控制带来的时延。同时，在工业网络中，OPC，Modbus等通信协议已广泛使用，这些协议处于ISO网络体系结构的应用层，为了达到工业安全的要求，需要对网络包进行连接跟踪，格式检查等操作，但是，传统IT防火墙并没有针对工业通信协议的特点进行深度安全检测及防护，无法对工业设备进行有效保护，而且安装时需要考虑现有网络拓扑结构，配置IP、路由等信息，大大增加了部署配置管理的复杂度，传统IT防火墙无法满足工业网络安全需要，无法实现工业协议深度检查。 

发明内容

本发明克服了现有技术的不足，提出了基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法，所述工业防火墙安装在被保护设备的上游，无需提前配置网络信息；简化防火墙的安装、管理、配置工作；同时无IP工业防火墙设计为放置在工业网络边缘，处理流量较少，网络延时小，实时性好。 

本发明的技术方案为：基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法，所述算法利用工业防火墙和管理服务器进行工作，所述工业 防火墙设置在工业网络和被保护设备网段之间，管理服务器通过向被保护设备发送特殊的网络包，网络包被工业防火墙截获，嵌入在防火墙设备内的深度检查算法处理所述网络包并且回送响应给管理服务器，实现工业防火墙的集中管理与配置，深度检查算法包括了防火墙无IP集中管理模块算法、防火墙自动配置算法、基于配置的深度检查算法；防火墙无IP集中管理模块算法为： 

第1步，启动防火墙捕获每一个经过它的网络包； 

第2步，根据网络包端口号，网络包格式符合一定条件，过滤出管理包； 

第3步，检查此管理包是否是针对自身的； 

第4步，针对管理包的内容，进行防火墙自动配置；防火墙自动配置算法为： 

1)防火墙判断下游设备类型； 

2)根据设备类型向管理服务器发送配置请求，其中配置请求包括被保护设备的IP和被保护设备的类型； 

3)管理服务器处理此消息，将配置下载到防火墙中； 

第5步，基于配置的深度检查算法根据控制端口连接请求动态打开数据端口，并对控制端口的各种通信进行深度检查，拒绝所有不符合OPC协议的包，具体算法为： 

1)是否符合DCE/RPC协议格式，如果否，拒绝此包； 

2)是否进行了分片，如果是，拒绝此包； 

3)是否是未请求的响应，如果是，拒绝此包； 

4)是否为响应包，如果是，到5步，如果否，结束； 

5)将此端口作为通信目的端口，建立一条防火墙规则，允许目的端口数据通过，启动超时定时器； 

6)是否有超时发生，如果是，删掉对应的那条动态规则，如果否，返回。 

工业防火墙的设备接口连接设备网络，网络接口连接上游工业网络，网络包处理模块负责截获数据包，并针对网络流量类型分别将流量发送给管理模块，防火墙模块和工业协议检查模块。 

管理服务器的通信模块负责与多个防火墙设备通信，管理配置模块根据防火墙规则数据库，工业协议检查数据库对每个防火墙进行配置，生成的配置放在防火墙设备配置数据库中。 

本发明具有如下有益效果： 

本发明安装工业防火墙上，工业防火墙在被保护设备的上游，无需提前配置网络信息；集中发现管理配置防火墙，简化防火墙的安装、管理、配置工作；同时无IP工业防火墙针对工业网络实时性要求高的特点，设计为放置在工业网络边缘，主要用于保护工业网络的关键设备，处理流量较少，网络延时小，实时性好；该防火墙针对工业通信协议的特点，进行深度检查和状态跟踪，对设备的防护更加的精确严密，使得工业网络更加的安全；同时，该防火墙无IP的特点可天然的防止任何基于IP的攻击，使防火墙更加的稳定。

附图说明：

以下结合附图和具体实施方式进一步说明本发明。 

图1为本发明工业防火墙方案部署示意图； 

图2为本发明防火墙设备框图； 

图3为本发明管理服务器框图； 

图4为本发明防火墙对管理包的处理流程图；