[发明专利]用于保护现场设备的透明防火墙

权利要求书

1.一种对过程控制系统(250)中的现场设备进行网络保护的方法(100)，所述过程控制系统(250)包括用于控制所述现场设备的过程控制器，所述现场设备利用具有过程通信协议的通信网络，所述方法包括：

将现场设备防火墙(200)定位(101)在现场网络通信接口(215)和所述过程控制器之间的所述通信网络中，其中所述现场设备防火墙具有已知设备类型、请求类型和命令类型的存储的列表，不支持与所述现场设备的任何本地通信，并且缺少所述通信网络上的IP地址，所述现场设备防火墙包括运行网络保护算法的处理器，所述网络保护算法实现：

将接收到的分组中的包括设备类型和请求类型或命令类型的信息与所述存储的列表中的所述已知设备类型、请求类型或命令类型进行比较(102)；

如果所述比较确定所述信息全部在所述存储的列表上，则允许(103)将所述接收到的分组传输到所述现场设备，以及

如果所述比较确定所述信息不是全部在所述存储的列表上，则阻止(104)将所述接收到的分组传输到所述现场设备。

2.根据权利要求1所述的方法，其中所述现场网络通信接口包括多路复用器、串行调制解调器或以太网IP网关。

3.根据权利要求1所述的方法，其中所述已知设备类型包括设备制造商标识和设备类型标识中的至少一个。

4.根据权利要求1所述的方法，其中所述过程控制系统是基于云的过程控制系统(320)，并且其中所述现场设备防火墙在与所述基于云的过程控制系统通信的边缘网关节点(315)处。

5.根据权利要求1所述的方法，其中所述过程通信协议包括具有混合模拟和数字信令的协议。

6.根据权利要求1所述的方法，其中所述通信网络包括基于以太网的数据通信网络。

7.一种现场设备防火墙(200)，包括：

处理器，所述处理器运行网络保护算法；

存储器(200g)，其具有已知设备类型、请求类型和命令类型的存储的列表；

其中所述现场设备防火墙适用于在过程控制器和耦接到现场设备的现场网络通信接口之间的通信网络中使用，并且其中所述现场设备防火墙不支持与所述现场设备的任何本地通信，并且缺少IP地址，其中，所述现场设备利用具有过程通信协议的通信网络，所述网络保护算法实现：

将接收到的分组中的包括设备类型和请求类型或命令类型的信息与所述存储的列表中的所述已知设备类型、请求类型或命令类型进行比较(102)；

如果所述比较确定所述信息全部在所述存储的列表上，则允许(103)将所述接收到的分组传输到所述现场设备，以及

如果所述比较确定所述信息不是全部在所述存储的列表上，则阻止(104)将所述接收到的分组传输到所述现场设备。

8.根据权利要求7所述的现场设备防火墙，其中所述现场网络通信接口(215)包括多路复用器、串行调制解调器或以太网IP网关。

9.根据权利要求7所述的现场设备防火墙，其中所述过程通信协议包括具有混合模拟和数字信令的协议。

10.根据权利要求7所述的现场设备防火墙，其中所述现场设备防火墙包括通信模块、白名单配置/规则模块(200b)、深度分组分析器模块(200c)和协议简档模块(200d)，所述深度分组分析器模块(200c)采用深度分组检查(DPI)机制来检查每个通信是否违反配置的规则，所述协议简档模块(200d)负责提供支持的现场协议通信结构的完整信息。

11.根据权利要求10所述的现场设备防火墙，其中所述现场设备防火墙还包括安全模块(200e)和用于分析的防火墙数据模块(200f)，所述安全模块(200e)用于实现与数字证书、可信登录和权限或特权的安全通信，所述用于分析的防火墙数据模块(200f)用于捕获所述现场设备防火墙的操作统计数据。