[发明专利]用于保护现场设备的透明防火墙

说明书

本发明提供了一种现场设备防火墙(200)，该现场设备防火墙包括运行网络保护算法的处理器、以及存储设备类型、请求和命令的列表的存储器(200g)。该现场设备防火墙适用于在过程控制器和耦接到现场设备(225)的现场网络通信接口(215)之间的通信网络中使用。该现场设备防火墙不支持与现场设备的任何本地通信，并且也缺少IP地址。网络保护算法实现将接收到的分组中的信息与存储的列表进行比较，如果比较确定信息在存储的列表上，则允许将接收到的分组传输到现场设备，并且如果比较确定信息不在存储的列表上，则阻止将接收到的分组传输到现场设备。

技术领域

本发明所公开的实施方案涉及防火墙，用于保护现场设备免受通过现场设备所连接的工业通信网络耦接的恶意实体的入侵和活动的影响。

背景技术

工业设施生产各种产品和材料，并且可以支持诸如石油精炼、化学加工、制药生产以及纸浆和纸张生产的过程。所采用的过程控制系统(例如，分布式控制系统、可编程逻辑控制器、安全系统或监控和数据采集(SCADA)系统)和测量网络包括大量现场设备，诸如与控制室通信的传感器和致动器。

常规地，给定工业设施中的现场设备经由有线连接通过过程控制回路与控制室和/或其他现场设备通信。有线过程通信协议的一个示例称为高速通道可寻址远程传感器(HART)协议。HART协议利用贝尔202频移键控(FSK)标准将低电平的数字通信信号叠加在4至20mA的模拟信号之上。这使得双向现场通信能够发生，并且使得除了仅正常过程变量之外的附加信息能够传达到智能现场设备或从智能现场设备传达。

HART通信是过程工业中最常用的通信协议之一。HART协议在安全系统中非常流行，并且在大多数情况下，HART设备通过串行/互联网协议(IP)HART多路复用器连接，或者向前通过FDI(现场设备集成)通信服务器(IEC 62769-第7部分，使用用于过程控制(OPC)统一架构(UA)的对象链接和嵌入(OLE))连接。随着工业物联网(IIOT)的出现，工业设施现在也有可能接入互联网和从互联网接入。互联网连接提供了从全球基本上任何连接的IP计算机或计算设备与工业设施交互的能力。

因此，工业网络可能容易受到内部和外部网络攻击。作为针对外部网络攻击的预防性措施，可以采取防火墙或其他安全措施来试图将工业网络与其他网络分开。

发明内容

提供本发明内容以介绍简化形式的公开概念的简要选择，其在下文包括附图的具体实施方式中被进一步描述。该发明内容不旨在限制所要求保护的主题的范围。

所公开的实施方案认识到互联网连接为恶意实体(例如黑客)提供了尝试接入工业网络以通过无线方式影响工业设施的可能性。所公开的实施方案还认识到，通过现场网络连接到各种工业网络(控制、安全、SCADA、无线)的使用HART和其他协议的现场设备(例如，传感器、开关和致动器)因此容易受到网络攻击，包括病毒、恶意软件或不可信软件攻击，这些攻击可以在现场设备使用时篡改设备的配置，从而扰乱它们所服务的通常关键的过程或安全操作。虽然一些防火墙和相关方法可用于保护现场设备免受网络攻击，但已知的防火墙支持与现场设备的“本地”无线通信(工业无线协议，诸如ISA100或无线HART)，并且也在工业网络上具有IP地址，这两者均被认为存在相关问题。

一个公开的实施方案包括用于网络保护现场设备的现场设备防火墙。现场设备防火墙包括运行网络保护算法的处理器和存储设备类型、请求和命令的列表的存储器。现场设备防火墙适用于在过程控制器和耦接到现场设备的现场网络通信接口之间的控制系统的通信网络中使用。如本文所用，“过程控制器”被广义地定义为例如在分布式控制系统(DCS)、可编程逻辑控制器(PLC)、安全系统或监控和数据采集(SCADA)系统内的控制器，其通过线路(例如电缆)或无线地连接。现场设备防火墙不支持与现场设备的任何本地通信，并且也缺少IP地址。网络保护算法实现将接收到的分组中的信息与存储的列表进行比较，如果比较确定该信息在存储的列表上，则允许将接收到的分组传输到现场设备，并且如果比较确定该信息不在存储的列表上，则阻止将接收到的分组传输到现场设备。