[发明专利]一种应用于FINS工业以太网的安全防护方法

权利要求书

1.一种应用于FINS工业以太网的安全防护方法，包括如下步骤：

步骤1：规则处理，从管理平台下发规则到工业防火墙设备，规则下发完成后加载到所述工业防火墙设备的内存中，其中，所述规则包括FINS命令字、FINS参数；

步骤2：FINS协议的识别，网络上的数据包到达工业防火墙设备后，由数据驱动模块接收数据包，数据驱动模块把收到的数据包送入协议识别模块对FINS协议进行识别，其中，识别基于TCP或UDP传输的FINS数据包；

步骤3：FINS协议的解析，FINS数据包在被协议识别模块识别成FINS协议后，由数据驱动模块送入工业防火墙的FINS解析模块，从数据包里解析出FINS命令字和FINS命令字对应的参数；

步骤4：规则匹配，在FINS协议报文解析完成后进行规则的匹配，从报文解析出的源IP、目的IP、FINS命令字、FINS命令字对应的参数都能和规则匹配，所述工业防火墙设备进行数据放行。

2.根据权利要求1所述的应用于FINS工业以太网的安全防护方法，其特征在于，步骤1中，所述规则还包括源IP地址和目的IP地址。

3.根据权利要求1所述的应用于FINS工业以太网的安全防护方法，其特征在于，步骤2中，还包括解析出源IP和目的IP地址。

4.根据权利要求1所述的应用于FINS工业以太网的安全防护方法，其特征在于，步骤2中，上位机将FINS数据包发送至工业防火墙设备的识别模块。

5.根据权利要求1所述的应用于FINS工业以太网的安全防护方法，其特征在于，步骤2中，先判断TCP或UDP报文中的目的端口是否为9600，如果是9600那么识别成FINS数据包；如果不是9600，再根据步骤1中配置的端口来识别是否为FINS数据包。

6.根据权利要求1所述的应用于FINS工业以太网的安全防护方法，其特征在于，步骤2中，所述管理平台连接有若干个工业防火墙，所述管理平台还配置FINS协议使用的TCP或UDP端口号，将所述TCP或UDP端口号下发到工业防火墙，作为识别FINS协议使用。

7.根据权利要求1所述的应用于FINS工业以太网的安全防护方法，其特征在于，步骤4中，从报文解析出的源IP、目的IP、FINS命令字、FINS命令字对应的参数不能和规则完全匹配，所述工业防火墙设备发送告警数据到管理平台。

8.根据权利要求1所述的应用于FINS工业以太网的安全防护方法，其特征在于，步骤4中，所述工业防火墙设备具备告警模式，所述工业防火墙设备在告警模式下运行时进行告警数据的发送。

9.根据权利要求1所述的应用于FINS工业以太网的安全防护方法，其特征在于，步骤4中，从报文解析出的源IP、目的IP、FINS命令字、FINS命令字对应的参数不能和规则完全匹配，所述工业防火墙设备丢弃不匹配规则的FINS数据包。

10.根据权利要求1所述的应用于FINS工业以太网的安全防护方法，其特征在于，步骤4中，所述工业防火墙设备具备防护模式，所述工业防火墙设备在防护模式下运行时进行FINS数据包的丢弃。