[发明专利]用于工业防火墙的Modbus TCP协议防护方法

权利要求书

1.一种用于工业防火墙的Modbus TCP协议防护方法，其特征在于，包括步骤：

S1，下发规则到防火墙引擎；在步骤S1中，所述下发规则包括下发手写规则或下发学习规则；所述下发手写规则包括子步骤：由用户配置Modbus TCP协议，包括配置：协议名称、端口号、传输层协议、功能码、起始地址、值的大小范围、配置源目的IP和事件日志记录以及报文处理方式，完成手写规则的下发；所述下发学习规则包括子步骤：防火墙工作在全通模式下打开深度检测开关，设置学习时间，然后打开学习开关，等待学习完成后，根据需求调整学习到的规则，手动调整Modbus TCP功能码、起始地址、值的大小范围后，再下发给防火墙引擎；

S2，防火墙系统进行预过滤，把需要进行深度检测的报文送到防火墙引擎做深度检测处理；在步骤S2中，所述预过滤包括子步骤：内核空间对源IP地址、目的IP地址、源MAC地址、目的MAC地址、源端口、目的端口、协议、时间进行过滤，只把需要进行深度检测的报文送到用户空间的防火墙引擎；

S3，防火墙引擎对收到的报文按照Modbus TCP协议规定的格式来进行深度解析，提取报文中携带的功能码、起始地址和值；

S4，将步骤S3中提取的功能码、起始地址和值，按照预先设定格式发送给中间件，完成规则学习；在步骤S4中，所述按照预先设定格式发送给中间件，完成规则学习包括子步骤：打开规则学习开关，然后将解析出的功能码和起始地址以及值信息按照设定格式展示出来；或管理员根据学习到的Modbus TCP规则做出调整下发给防火墙引擎；或管理员能够自定义配置Modbus TCP的功能码和起始地址以及值信息；

S5，匹配功能码、起始地址和值，对规则匹配成功的报文根据规则配置相应动作；未匹配成功的报文，根据设定的规则结果进行处理；所述根据设定的规则结果进行处理具体为通知内核协议栈转发或者丢弃报文；在步骤S2中，包括子步骤：将防火墙系统设置为默认丢弃所有报文，对需要通过的报文，需要手动配置规则放行；所述匹配功能码、起始地址和值包括子步骤：首先匹配功能码，若功能码匹配成功，则继续匹配起始地址；若起始地址匹配成功，则再继续匹配值。

2.根据权利要求1所述的用于工业防火墙的Modbus TCP协议防护方法，其特征在于，在步骤S3中，包括子步骤：在深度解析前，用户空间运行防火墙引擎，对Modbus TCP流进行重组。

3.根据权利要求1所述的用于工业防火墙的Modbus TCP协议防护方法，其特征在于，在步骤S3中，包括子步骤：在提取报文中携带的功能码、起始地址和值前，根据报文的特征以及端口信息进行协议识别；然后对Modbus TCP协议的报文，先进行格式检查，确认报文合法性，检测传输过程中的会话速率和会话总数的合法性。

4.根据权利要求3所述的用于工业防火墙的Modbus TCP协议防护方法，其特征在于，所述根据报文的特征以及端口信息进行协议识别具体为根据协议特征的偏移、深度、值及端口信息，然后由开发人员实现对应协议的识别，报文合法性检查以及解析代码；所述确认报文合法性具体为对Modbus TCP报文的长度以及功能码做出检查，丢弃不合法报文。