[发明专利]基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法

摘要

本发明涉及一种基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法，所述工业防火墙安装在被保护设备的上游，无需提前配置网络信息；简化防火墙的安装、管理、配置工作；同时无IP工业防火墙设计为放置在工业网络边缘，处理流量较少，网络延时小，实时性好。

主权项

基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法，其特征是：所述算法利用工业防火墙和管理服务器进行工作，所述工业防火墙设置在工业网络和被保护设备网段之间，管理服务器通过向被保护设备发送特殊的网络包，网络包被工业防火墙截获，嵌入在防火墙设备内的深度检查算法处理所述网络包并且回送响应给管理服务器，实现工业防火墙的集中管理与配置，深度检查算法包括了防火墙无IP集中管理模块算法、防火墙自动配置算法、基于配置的深度检查算法；防火墙无IP集中管理模块算法为：第1步，启动防火墙捕获每一个经过它的网络包；第2步，根据网络包端口号，网络包格式符合一定条件，过滤出管理包；第3步，检查此管理包是否是针对自身的；第4步，针对管理包的内容，进行防火墙自动配置；防火墙自动配置算法为：1)防火墙判断下游设备类型；2)根据设备类型向管理服务器发送配置请求，其中配置请求包括被保护设备的IP和被保护设备的类型；3)管理服务器处理此消息，将配置下载到防火墙中；第5步，基于配置的深度检查算法根据控制端口连接请求动态打开数据端口，并对控制端口的各种通信进行深度检查，拒绝所有不符合OPC协议的包，具体算法为：1)是否符合DCE/RPC协议格式，如果否，拒绝此包；2)是否进行了分片，如果是，拒绝此包；3)是否是未请求的响应，如果是，拒绝此包；4)是否为响应包，如果是，到5步，如果否，结束；5)将此端口作为通信目的端口，建立一条防火墙规则，允许目的端口数据通过，启动超时定时器；6)是否有超时发生，如果是，删掉对应的那条动态规则，如果否，返回。