[实用新型]工控防火墙

说明书

技术领域

本实用新型涉及一种工业控制系统用工控防火墙。

背景技术

由于工控系统管控一体化趋势逐渐加强，使得工控系统与信息管理系统与互联网相连通，同时工控系统日益复杂化，已经开始大量采用通用软件、通用硬件及通用协议，这使传统封闭的工控系统逐步暴露出来，直接面对来自外界网络的种种威胁，增加了工控系统的安全隐患。工控系统通常是从简单独立的系统发展成为复杂的网络系统，各个子系统之间设计缺乏保护措施，从而导致一个区域出现问题，很快就会传染到整个工控系统网络。

实用新型内容

本实用新型所要解决的技术问题是克服现有技术的不足，提供一种具备区域隔离功能、实现数据通信监测、限制未经允许的数据通信的工控防火墙。

本实用新所采用的技术方案为：本实用新型包括壳体，在所述壳体内设置有CPU、内存、flash闪存、至少两个网口、电口、光口、电源、数据串口、网络逻辑隔离模块、动态端口检测模块、日志事件告警模块、状态检测模块和工控协议过滤模块，所述内存、所述flash闪存、所述网口、所述电口、所述光口、所述电源和所述数据串口均与所述CPU电连接，所述网络逻辑隔离模块用于网络逻辑隔离，所述日志事件告警模块提供访问日志、事件日志及告警日志的访问及审计，所述工控协议过滤模块用于由控制器下发到工业控制层的数据进行校验，所述工控防火墙采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控。

在所述壳体内还设置有扩展USB接口。

所述工控防火墙还包括告警模块。

所述电源为双电源供电。

所述数据串口为RS485或RS232串口。

本实用新型的有益效果是：由于本实用新型包括壳体，在所述壳体内设置有CPU、内存、flash闪存、至少两个网口、电口、光口、电源、数据串口、网络逻辑隔离模块、动态端口检测模块、日志事件告警模块、状态检测模块和工控协议过滤模块，所述内存、所述flash闪存、所述网口、所述电口、所述光口、所述电源和所述数据串口均与所述CPU电连接，所述网络逻辑隔离模块用于网络逻辑隔离，所述日志事件告警模块提供访问日志、事件日志及告警日志的访问及审计，所述工控协议过滤模块用于由控制器下发到工业控制层的数据进行校验，所述工控防火墙采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控，所以，本实用新型支持OPC实时通信的动态保护，防止未经授权的用户访问OPC服务器、对工业控制数据进行监测，并对工控网络进行区域隔离。

附图说明

图1是本实用新型的结构示意图；

图2是本实用新型壳体内的结构连接框图。

具体实施方式

如图1、图2所示，本实用新型包括壳体1，在所述壳体1内设置有CPU2、内存3、flash闪存4、至少两个网口5、电口6、光口7、电源8、数据串口9、网络逻辑隔离模块10、动态端口检测模块11、日志事件告警模块12、状态检测模块13和工控协议过滤模块14，所述内存3、所述flash闪存4、所述网口5、所述电口6、所述光口7、所述电源8和所述数据串口9均与所述CPU2电连接，所述网络逻辑隔离模块10用于网络逻辑隔离，所述日志事件告警模块12提供访问日志、事件日志及告警日志的访问及审计，所述工控协议过滤模块14用于由控制器下发到工业控制层的数据进行校验，所述工控防火墙采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控。

在所述壳体1内还设置有扩展USB接口15。所述工控防火墙还包括告警模块16。所述电源8为双电源供电。所述数据串口9为RS485或RS232串口。

本实用新型具备区域隔离功能，可实现数据通信监测，限制未经允许的数据通信，一旦发生网络故障会被控制在最初发生区域内，不会影响到其它区域的正常运行。本实用新型基于IP、MAC、端口、IP协议号、方向和时间等综合访问控制技术，可选择只允许在白名单方位内的数据通过。在测试模数下，所有的网络数据均可通过，仅对不符合通信规则的数据产生告警，对工控系统不带来任何运行风险；在运行模式下，无需更改工控现场网络拓扑结构以及主机配置就能直接透明接入，设备部署实施非常方便快捷。本实用新型还提供图形管理配置界面，用户只需要很少时间安装配置，即可接入网络对通信进行安全监控、系统管理、维护、审计。设备的配置管理是基于XML配置文件，用户可以通过管理工具对配置文件进行备份、还远等操作，方便管理。

本实用新型可应用于工业控制领域。