CN103650634B - 网络管理系统 - Google Patents
网络管理系统 Download PDFInfo
- Publication number
- CN103650634B CN103650634B CN201380001913.9A CN201380001913A CN103650634B CN 103650634 B CN103650634 B CN 103650634B CN 201380001913 A CN201380001913 A CN 201380001913A CN 103650634 B CN103650634 B CN 103650634B
- Authority
- CN
- China
- Prior art keywords
- network
- network management
- nms
- management equipment
- management device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提供一种网络管理系统,其通过使用具有多个安全策略的无线网络管理设备,从而能够在多个安全级别的网络中同时使用,并且能够不必外部设置防火墙而确保安全,省去设定并运用冗余化用网络的步骤。网络管理系统由下述部分构成:第1网络(NW1),其连接工厂管理设备(11、12);第2网络(NW2),其连接现场设备(5l~5n);以及无线网络管理设备(61、62),其具有防火墙功能,与所述第1网络(NW1)和所述第2网络(NW2)连接。
Description
技术领域
本发明涉及一种网络管理系统,详细地说涉及一种网络的安全管理。
背景技术
图3是表示基于工业自动化用无线通信标准ISA100.11a构筑的现有网络的一个例子的框图。工厂管理设备11、12与第1网络NW1连接,上述工厂管理设备11、12构成第1安全区域SA1。
第1网络NW1经由防火墙21与第2网络NW2连接。
无线网络管理设备31、32是具有ISA100.11a中的系统管理功能和网关功能的设备,进行无线网络的管理,并且与无线网络上的设备进行信息交换。
另外,无线网络管理设备31、32与第2网络NW2连接,并且与第3网络NW3连接。
第3网络NW3还与维护用终端4连接。上述无线网络管理设备31、32和维护用终端4构成第3安全区域SA3。
第3网络NW3经由防火墙22与第4网络NW4连接。
在第4网络NW4上连接有现场设备51~5n。上述现场设备51~5n构成第5安全区域SA5。
在这里,作为防火墙21、22,为了满足第1安全区域SA1、第3安全区域SA3以及第5安全区域SA5各自不同的安全策略,而设置在各网络的边界。
另外,所谓安全策略,例如是包含许可与该网络连接的IP地址信息在内的信息。在设定了许可连接的IP地址的情况下,在该通信端口中,不容许来自其它IP地址的连接。
在第1安全区域SA1中设定安全策略,该安全策略用于以冗余结构使用工厂管理设备11、12。
在第3安全区域SA3中设定安全策略,该安全策略用于以冗余结构使用无线网络管理设备31、32。
在第5安全区域SA5中设定安全策略,该安全策略用于并行驱动多台现场设备51~5n。
在专利文献1中记载有下述控制网络管理系统的技术,即:在将工业自动化中的程序控制系统作为无线控制网络系统构成时,避免恶意第三者的篡改等,并且使同一网络中同时存在保证优先度并要求高级实时性的程序控制用无线通信信号、和不那么要求实时性的信号。
专利文献1:日本特开2011-142441号公报
发明内容
但是,在图3的结构中,在新连接无线网络管理设备时,必须利用防火墙守护网络的边界,由于设置防火墙而花费成本。
另外,必须考虑与无线网络管理设备直接连接的维护用终端和冗余化用的第3安全区域SA3的安全,因此,安全策略的管理变得复杂。
另外,不仅需要设置防火墙,也必须具有用于构成冗余化用网络的网络开关等设备。
并且,根据网络的结构,控制冗余化结构的通信可能经由其它的网络,从而对其他网络产生影响。
本发明着眼于如上所述的现有的问题点而提出,其目的在于,通过利用具有多个安全策略的无线网络管理设备,而能够同时使用多个安全级别的网络。
其它的目的在于,通过利用内置有防火墙功能的无线网络管理设备,确保安全,省去设定和运用冗余化用网络的步骤,而不必在外部设置防火墙。
本发明的目的通过以下的结构而实现。
(1)一种网络管理系统,其特征在于,由下述部分构成:
第1网络,其连接工厂管理设备;
第2网络,其连接现场设备;以及
网络管理设备,其具有防火墙功能,与所述第1网络和所述第2网络连接。
(2)根据上述(1)所述的网络管理系统,其特征在于,
所述网络管理设备通过经由专用的连接线连接而被冗余化。
(3)根据上述(1)或(2)所述的网络管理系统,其特征在于,
所述网络管理设备具有用于与多个网络连接的多个通信端口。
(4)根据上述(3)所述的网络管理系统,其特征在于,
所述多个通信端口向每个通信端口分配安全策略,与安全区域不同的所述多个网络连接。
(5)根据上述(1)至(4)中任一项所述的网络管理系统,其特征在于,
该网络管理系统是基于工业自动化用无线通信标准ISA100.11a构筑的网络管理系统。
发明的效果
根据上述结构,能够在多个安全级别的网络中同时使用网络管理设备。
另外,能够不另外设置防火墙而确保安全,省略设定并运用冗余化用网络的麻烦。
附图说明
图1是表示本发明的一个实施例的框图。
图2是表示无线网络管理设备61的具体例的框图。
图3是表示现有的网络的一个例子的框图。
具体实施方式
下面,利用附图,对本发明进行说明。图1是表示本发明的一个实施例的框图,对于与图3相同的部分,标注相同的标号。
工厂管理设备11、12与第1网络NW1连接,上述工厂管理设备11、12构成第1安全区域SA1。
无线网络管理设备61、62与第1网络NW1和第2网络NW2连接。无线网络管理设备61和62利用专用的连接线连接。维护用终端7与无线网络管理设备61或62直接连接。上述无线网络管理设备61、62和维护用终端7构成第6安全区域SA6。
现场设备51~5n与第2网络NW2连接。
无线网络管理设备61、62除了具有工业自动化用无线通信标准ISA100.11a中的系统管理功能和网关功能以外,还具有防火墙功能。通过使无线网络管理设备61、62具有防火墙功能,从而能够将无线网络管理设备61、62和各网络NW1、NW2直接连接。
并且,通过向无线网络管理设备61、62的每个端口分配安全策略,从而能够与安全策略不同的多个网络连接。
另外,通过在无线网络管理设备61、62之间的通信中使用专用的连接线,从而能够构筑冗余化结构。
图2是表示无线网络管理设备61的具体例的框图。在图2中,在数据包处理部61a上连接冗余化管理设备连接用通信端口61b,并且连接防火墙功能部61c。
在防火墙功能部61c上连接过滤规则设定数据库61d,并且连接维护终端直接连结用通信端口61e、上位网络连接用通信端口61f、下位网络连接用通信端口61g。
在图2的结构中,防火墙功能部61c从过滤规则设定数据库61d中取得过滤规则并进行动作。在这里,所谓过滤规则,是指在各通信端口中许可通信的IP地址一览等信息。
防火墙功能部61c基于从过滤规则设定数据库61d中取得的过滤规则,对接收的数据包进行控制,将通信被许可的数据包发送至数据包处理部61a。
在构成冗余化的无线网络管理设备61、62之间进行信息同步,以使得一个无线网络管理设备(例如61)内的数据库与成为所配对的另一个无线网络管理设备(例如62)内的数据库等同。
在用于进行数据库同步的通信中,例如使用冗余化管理设备连接用通信端口61b,该冗余化管理设备连接用通信端口61b用于在一个无线网络管理设备61上直接连接另一个无线网络管理设备62。由此,在上位侧网络NW1及下位侧网络NW2上不进行数据库同步的通信。
根据如上所述的结构,能够将无线网络管理设备61、62与安全级别不同的多个网络NW1、NW2连接。
能够不另外使用防火墙,而在安全级别的边界上设置无线网络管理设备61、62。
通过使无线网络管理设备61、62彼此利用专用的连接线直接连接,从而不必构筑用于冗余化结构的网络,而能够容易地实现冗余化。
并且,由于使无线网络管理设备61、62以冗余化结构运行时所所需的通信,是经由专用的连接线进行的,因此不会对其它的网络产生影响。作为该情况的专用连接线,不限于网线,也可以利用专用线缆、印刷配线板的背板。
另外,在上述实施例中,针对网络管理设备为无线网络管理设备的例子进行了说明,但不限于此,针对有线的网络管理设备也能够获得相同的效果。
如以上说明所示,根据本发明,能够实现下述网络管理系统,该网络管理系统通过利用内置有防火墙功能的无线网络管理设备,从而能够在多个安全级别的网络中同时使用,能够不在外部设置防火墙而确保安全,省略设定和运用冗余化用网络的步骤。
另外,以上说明的目的仅在于对本发明进行说明及例示,仅示出了特定的优选实施例。因此,本发明不由上述实施例所限定,在不脱离其本质的范围内,包含更多的变更、变形。
本申请是基于2012年6月25日提出的日本特许出愿(特愿2012-142224)而提出的,其内容在这里作为参照而引入。
标号的说明
11、12 工厂管理设备
51~5n 现场设备
61、62 无线网络管理设备
61a 数据包处理部
61b 冗余化管理设备连接用通信端口
61c 防火墙功能部
61d 过滤规则设定数据库
61e 维护终端直接连结用通信端口
61f 上位网络连接用通信端口
61g 下位网络连接用通信端口
Claims (4)
1.一种网络管理系统,其特征在于,由下述部分构成:
第1网络,其连接工厂管理设备;
第2网络,其连接现场设备;以及
多个网络管理设备,其具有防火墙功能,并具备数据库,该多个网络管理设备与所述第1网络和所述第2网络连接,
所述多个网络管理设备通过经由专用的连接线连接而被冗余化,该专用的连接线用于对所述多个网络管理设备的一个网络管理设备的数据库和所述多个网络管理设备的另一个网络管理设备的数据库进行同步。
2.根据权利要求1所述的网络管理系统,其特征在于,
所述网络管理设备具有用于与多个网络连接的多个通信端口。
3.根据权利要求2所述的网络管理系统,其特征在于,
作为所述多个通信端口,向每个通信端口分配安全策略,与安全区域不同的所述多个网络连接。
4.根据权利要求1至3中任一项所述的网络管理系统,其特征在于,
该网络管理系统是基于工业自动化用无线通信规格ISA100.11a构筑的网络管理系统。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012142224A JP5445626B2 (ja) | 2012-06-25 | 2012-06-25 | ネットワーク管理システム |
JP2012-142224 | 2012-06-25 | ||
PCT/JP2013/065419 WO2014002699A1 (ja) | 2012-06-25 | 2013-06-04 | ネットワーク管理システム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103650634A CN103650634A (zh) | 2014-03-19 |
CN103650634B true CN103650634B (zh) | 2017-05-31 |
Family
ID=49782865
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380001913.9A Active CN103650634B (zh) | 2012-06-25 | 2013-06-04 | 网络管理系统 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10003575B2 (zh) |
EP (1) | EP2874466B1 (zh) |
JP (1) | JP5445626B2 (zh) |
CN (1) | CN103650634B (zh) |
WO (1) | WO2014002699A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5601353B2 (ja) * | 2012-06-29 | 2014-10-08 | 横河電機株式会社 | ネットワーク管理システム |
JP5556858B2 (ja) | 2012-06-29 | 2014-07-23 | 横河電機株式会社 | ネットワーク管理システム |
WO2019087849A1 (ja) * | 2017-10-31 | 2019-05-09 | 村田機械株式会社 | 通信システム、被制御機器、及び、通信システムの制御方法 |
WO2019123523A1 (ja) | 2017-12-18 | 2019-06-27 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、プログラム |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1602610A (zh) * | 2001-08-03 | 2005-03-30 | 波音公司 | 机载安全管理器 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020188700A1 (en) * | 2001-06-08 | 2002-12-12 | Todd Steitle | System and method of interactive network system design |
US7302700B2 (en) * | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US7197660B1 (en) * | 2002-06-26 | 2007-03-27 | Juniper Networks, Inc. | High availability network security systems |
FR2844415B1 (fr) * | 2002-09-05 | 2005-02-11 | At & T Corp | Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes |
US20050240989A1 (en) * | 2004-04-23 | 2005-10-27 | Seoul National University Industry Foundation | Method of sharing state between stateful inspection firewalls on mep network |
US7941837B1 (en) * | 2007-04-18 | 2011-05-10 | Juniper Networks, Inc. | Layer two firewall with active-active high availability support |
US8782771B2 (en) * | 2007-06-19 | 2014-07-15 | Rockwell Automation Technologies, Inc. | Real-time industrial firewall |
CN101834831A (zh) * | 2009-03-13 | 2010-09-15 | 华为技术有限公司 | 一种实现nat设备冗余备份的方法、装置和系统 |
US8826413B2 (en) * | 2009-12-30 | 2014-09-02 | Motorla Solutions, Inc. | Wireless local area network infrastructure devices having improved firewall features |
JP4900487B2 (ja) | 2010-01-06 | 2012-03-21 | 横河電機株式会社 | 制御ネットワーク管理システム |
JP5110406B2 (ja) * | 2010-03-01 | 2012-12-26 | 横河電機株式会社 | フィールド通信管理装置 |
JP5041257B2 (ja) | 2010-04-22 | 2012-10-03 | 横河電機株式会社 | フィールド通信システムおよびフィールド通信方法 |
JP5581141B2 (ja) | 2010-07-29 | 2014-08-27 | 株式会社Pfu | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
JP5494816B2 (ja) | 2010-10-20 | 2014-05-21 | 日本電気株式会社 | 通信制御装置、システム、方法及びプログラム |
US8446818B2 (en) * | 2010-11-01 | 2013-05-21 | Avaya Inc. | Routed split multi-link trunking resiliency for wireless local area network split-plane environments |
JP2012226680A (ja) * | 2011-04-22 | 2012-11-15 | Internatl Business Mach Corp <Ibm> | 産業制御システムを管理する管理システム、管理方法および管理プログラム |
US9270642B2 (en) * | 2011-10-13 | 2016-02-23 | Rosemount Inc. | Process installation network intrusion detection and prevention |
-
2012
- 2012-06-25 JP JP2012142224A patent/JP5445626B2/ja active Active
-
2013
- 2013-06-04 EP EP13805217.0A patent/EP2874466B1/en active Active
- 2013-06-04 US US14/129,215 patent/US10003575B2/en active Active
- 2013-06-04 WO PCT/JP2013/065419 patent/WO2014002699A1/ja active Application Filing
- 2013-06-04 CN CN201380001913.9A patent/CN103650634B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1602610A (zh) * | 2001-08-03 | 2005-03-30 | 波音公司 | 机载安全管理器 |
Non-Patent Citations (1)
Title |
---|
Application of trusted network technology to industrial control networks;Hamed Okhravi, David M. Nicol;《INTERNATIONAL JOURNAL OF CRITICAL INFRASTRUCTURE PROTECTION 2(2009)》;20091001;摘要,第85-91页,图2 * |
Also Published As
Publication number | Publication date |
---|---|
US20150222599A1 (en) | 2015-08-06 |
CN103650634A (zh) | 2014-03-19 |
JP5445626B2 (ja) | 2014-03-19 |
EP2874466B1 (en) | 2017-08-09 |
EP2874466A1 (en) | 2015-05-20 |
JP2014007588A (ja) | 2014-01-16 |
WO2014002699A1 (ja) | 2014-01-03 |
EP2874466A4 (en) | 2016-02-17 |
US10003575B2 (en) | 2018-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106571977B (zh) | 数据传输方法和装置 | |
CN103650634B (zh) | 网络管理系统 | |
CN102340434B (zh) | 基于多归属接入的环路避免方法和边缘设备 | |
CN108156074A (zh) | 保护倒换方法、网络设备及系统 | |
CN102780635B (zh) | 基于trill网络实现保护倒换的方法、tor交换机及系统 | |
CN100481832C (zh) | 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 | |
CN102045409B (zh) | 网络穿透方法及网络通讯系统 | |
CN105451219B (zh) | 数据整合方法和装置 | |
CN106209430A (zh) | 一种无线网络扩展的方法及无线路由器 | |
CN105871674A (zh) | 环保护链路故障保护方法、设备及系统 | |
CN103796343B (zh) | M2m网关设备及其应用方法 | |
CN108141399A (zh) | 用于通过借助于can控制器连接到总线上的节点来防止在can总线处的操纵的方法和装置 | |
Roosta et al. | An intrusion detection system for wireless process control systems | |
CN106413127A (zh) | Relay设备连接远程网管服务器的方法、系统及Relay设备 | |
CN102197680A (zh) | 无线通信系统及其无线通信方法、中继装置以及无线终端装置 | |
CN102984175A (zh) | 一种无ip监控前端设备和一种代理装置 | |
CN108966363A (zh) | 一种连接建立方法及装置 | |
CN104580346B (zh) | 数据传输方法及装置 | |
CN107431971A (zh) | 无线入侵防御系统传感器及利用该传感器断开终端的方法 | |
CN103944824B (zh) | 通信系统及网络中继装置 | |
CN103069751A (zh) | 网络信息处理系统、网络信息处理设备和信息处理方法 | |
CN107154948A (zh) | 一种应用于发射车信息化控制系统的多协议数据交互方法 | |
CN103945394A (zh) | 无线存取点装置、网络系统及其网络自动布建方法 | |
CN106534290A (zh) | 一种自适应被维护设备ip地址的维护方法及装置 | |
CN103957079A (zh) | 一种hdlc网络中的协商方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |