基于报文重构的工控防火墙控制方法
【技术领域】
[0001]本发明涉及一种工控防火墙控制方法,尤其涉及一种基于报文重构的工控防火墙控制方法。
【背景技术】
[0002]防火墙作为网络安全设备,自身的安全性非常重要,如果防火墙设备自身的系统被攻破,对其保护的网络来说无疑是一场灾难。尤其是在工业控制网络中使用的工控防火墙设备,如果由于防火墙自身受到攻击而影响工业控制网络的实时性和稳定性,就会直接影响重要的工业生产过程。同时,为了方便防火墙的管理和配置,都需要给防火墙配置一个IP地址,然而一个具有IP地址的防火墙就等于将防火墙暴露在网络威胁下。为了保护防火墙自身系统,现有的方法通常是防火墙系统自身具备网络安全防御机制,在防火墙的研发和生产过程中,就不断的用漏洞扫描、DoS(Denial of Service,即拒绝服务)攻击、Flood攻击(指流量型Dos攻击)等方式测试防火墙自身的网络安全防御机制的健壮性。然而工控防火墙仍然是工业网络威胁攻击的对象,工控防火墙为了管理的需要仍然配置有IP地址,那么病毒和网络攻击手段就可以通过扫描网络找到这台防火墙设备,从而通过攻击这个IP地址攻破工控防火墙本身的系统从而达到攻击其下游工控设备的目的。
[0003]同时,考虑到工控防火墙应用在工业生产现场,其部署和使用不应该影响到正在运行的工业生产过程,但是由于现有的防火墙防御原理,通常需要重新配置工业控制器(如:PLC (Programmable Logic Controller,即可编程逻辑控制器)、DCS (DistributedControl System,即分布式控制系统)和 SCADA(Supervisory Control And DataAcquisit1n,即数据采集与监视控制系统)等)的网络结构。工控防火墙设备通常位于两个网络之间,使得工业控制器接收和发送的报文都经过工控防火墙,工业防火墙起到网络隔离和保护的作用。在网络上添加一台新的具有IP地址的工控防火墙设备,都需要重新配置原先网络上的部分设备,使得网络报文经由这台防火墙到达对方网络,在安装配置工控防火墙的时候会引起网络连接中断,导致在中断时间里面生产控制无法与工程师站和操作员站通信,部分实时生产数据丢失。万一发生生产设备故障需要工程师站和操作员站干预,中断网络连接就会引起工厂停车。通常做法是将所有影响到的网络设备的配置脚本写好,在夜间工厂生产不繁忙的时候,短暂的中断网络连接,把防火墙设备配置好,再重新启用网络。
【发明内容】
[0004]本发明所要解决的技术问题是提供一种基于报文重构的工控防火墙控制方法,能够利用管理平台和工控防火墙之间的报文重构技术,达到同样的工控防火墙管理的功能。
[0005]本发明为解决上述技术问题而采用的技术方案是提供一种基于报文重构的工控防火墙控制方法,包括防火墙管理平台、工控防火墙和至少一个工控设备,其中,所述工控防火墙设置在所述防火墙管理平台和所述工控设备之间并且将网络分割为所述工控设备所在的内网和所述防火墙管理平台所在的外网,所述防火墙管理平台和所述工控防火墙之间设置有保证所述防火墙管理平台和所述工控防火墙之间通信安全的安全防护模块,其中,所述控制方法包括以下步骤:所述防火墙管理平台向所述工控设备发送由所述安全防护模块加密的第一数据报文;所述工控防火墙截取所述第一数据报文;所述工控防火墙判断所述第一数据报文是否满足第一预设条件;当所述第一数据报文不满足第一预设条件时,阻止所述第一数据报文的传送;当所述第一数据报文满足第一预设条件时,所述工控防火墙判断所述第一数据报文是否满足第二预设条件;当所述第一数据报文满足第二预设条件时,所述工控防火墙发送确认收到信息给防火墙管理平台;建立所述防火墙管理平台和所述工控防火墙之间的连接。
[0006]上述的基于报文重构的工控防火墙控制方法,其中,所述第一预设条件是指所述第一数据报文的端口号是指定端口号,所述第二预设条件是指所述第一数据报文是指定数据包。
[0007]上述的基于报文重构的工控防火墙控制方法,其中,所述工控防火墙判断所述第一数据报文是否满足第二预设条件的步骤包括将所述第一数据报文发送到所述工控防火墙的内核,由一个内置引擎来判断所述第一数据报文是否是指定数据包。
[0008]上述的基于报文重构的工控防火墙控制方法,其中,所述指定数据包包括IP头单元、UDP头单元、管理帧头单元、防火墙管理平台信息单元、校验信息单元,其中,所述IP头单元包括所述防火墙管理平台发往所述工控设备的IP头;所述UDP头单元包括发往所述工控设备的指定端口的UDP头;所述管理帧头单元包括用于指示所述指定数据包类型的字段以及用于指示当前防火墙管理平台发往所述工控设备的包序号;所述防火墙管理平台信息单元包括表示与所述工控防火墙通信的所述防火墙管理平台的字段、当前与所述工控防火墙通信的所述防火墙管理平台的型号的字段以及当前与所述工控防火墙通信的所述防火墙管理平台的版本号的字段;所述校验信息单元包括用于验证所述指定数据包是否完整正确。
[0009]上述的基于报文重构的工控防火墙控制方法,其中,所述确认收到信息包括IP头单元、UDP头单元、管理帧头单元、防火墙管理平台信息单元、校验信息单元,其中,所述IP头单元包括所述工控防火墙模拟所述工控设备发送给所述防火墙管理平台的包头;所述UDP头单元包括所述工控防火墙模拟所述工控设备使用所述指定端口号会送给所述防火墙管理平台的对应端口 ;所述管理帧头单元包括用于指示所述指定数据包类型的字段以及用于指示当前防火墙管理平台发往所述工控设备的包序号;所述防火墙管理平台信息单元包括表示与所述工控防火墙通信的所述防火墙管理平台的字段、当前与所述防火墙管理平台通信的所述工控防火墙的型号的字段以及当前与所述防火墙管理平台通信的所述工控防火墙的版本号的字段;所述校验信息单元包括用于验证所述确认收到信息是否完整正确。
[0010]上述的基于报文重构的工控防火墙控制方法,其中,在所述防火墙管理平台向所述工控设备发送由所述安全防护模块加密的第一数据报文的步骤之前,还包括:所述防火墙管理平台向所述工控防火墙发送由所述安全防护模块加密的第二数据报文;所述工控防火墙截取所述第二数据报文;所述工控防火墙判断所述第二数据报文是否满足预设条件;当所述第二数据报文不满足所述预设条件时,阻止所述第二数据报文的传送;当所述第二数据报文满足所述预设条件时,在一定时间阈值内,使能相应的防火墙管理平台的IP/端口的TCP连接到所述工控防火墙的安全防护模块的守护进程。
[0011]上述的基于报文重构的工控防火墙控制方法,其中,所述预设条件包括所述防火墙管理平台是第一次接受管理或是已经授权过的,所述工控防火墙判断所述第二数据报文是否满足预设条件的步骤包括:将所述第二数据报文发送到所述工控防火墙的内核,由一个内置引擎来判断所述第二数据报文是否表示所述防火墙管理平台是第一次接受管理或是已经授权过的。
[0012]上述的基于报文重构的工控防火墙控制方法,其中,还包括:在所述时间阈值之后,禁止建立新连接;仅根据所述工控设备的MAC/IP建立二层和三层的目的地址转换和源地址转换。
[0013]上述的基于报文重构的工控防火墙控制方法,其中,所述第二数据报文包括IP头单元、UDP头单元、管理帧头单元、安全防护模块信息单元、校验信息单元,其中,所述IP头单元包括所述防火墙管理平台发往所述工控设备的IP头;所述UDP头单元包括发往所述工控设备的指定端口的UDP头;所述管理帧头单元包括用于指示所述指定数据包类型的字段以及用于指示当前防火墙管理平台发往所述工控设备的包序号;所述安全信息模块信息单元包括表示与所述工控防火墙通信的所述防火墙管理平台的字段、表示与所述工控防火墙进行连接的字段以及表示所述防火墙管理平台使用指定端口连接所述工控防火墙的字段;所述校验信息单元包括用于验证所述第二数据报文是否完整正确。
[0014]上述的基于报文重构的工控防火墙控制方法,其中,所述安全防护模块采用预共享秘钥方式或CA证书认证方式,所述预共享秘钥方式包括对称加密方式、Diffie-Hellman密匙交换加密信道和RSA公钥认证方式。
[0015]本发明对比现有技术有如下的有益效果:本发明使用的工控防火墙,由于没有IP地址,工控防火墙在网络上变成一个透明的设备,即病毒和黑客软件均无法通过扫描网络找到该设备,大大增强了防火墙本身的安全性和工控网络的健壮性;并且由于该方法使得工控防火墙没有IP地址,在工业控制网络中安装配置的时候不需要重新配置网络,即插即用,不要中断工业控制网络,对生产过程几乎没有影响,增加了工控防火墙使用中的稳定性和可靠性。<